信息技術網(wǎng)絡型入侵防御產(chǎn)品安全測評規(guī)范

1、精編資料入侵防御系統(tǒng)預先定義好的能夠確認入侵行為的特定信息.網(wǎng)絡型入侵防御產(chǎn)品的組成事件分析單元 (IPS_ANL)采用相關的分析檢測技術,對經(jīng)過的信息進行分析,提取信息中所.信息技術,信息,技術信 息 技 術網(wǎng)絡型入侵防御產(chǎn)品安全測評規(guī)范目 次1 范圍12 規(guī)范性引用文件13 術語和定義14 網(wǎng)絡型入侵防御產(chǎn)品的組成1 事件分析單元1 響應單元1 審計單元1 管理控制單元15 工作環(huán)境1 系統(tǒng)接入1 工作環(huán)境安全2 管理人員26 功能要求2 組件分類2 事件分析單元組件要求2 響應單元組件要求3 審計單元組件要求3 管理控制單元組件要求37 安全功能要求4 安全功能組件4 安全審計4 標識和

2、鑒別4 安全管理5 安全功能保護58 安全保證要求5 配置管理保證5 操作保證5 開發(fā)過程保證5 指南文件保證6前 言 網(wǎng)絡型入侵防御產(chǎn)品是一種主動的、積極的入侵防范、阻止系統(tǒng)，它部署在網(wǎng)絡的進出口處，當它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。 網(wǎng)絡型入侵防御產(chǎn)品在網(wǎng)絡邊界檢查到攻擊包的同時將其直接拋棄，則攻擊包將無法到達目標，從而可以從根本上避免黑客的攻擊。這樣，在新漏洞出現(xiàn)后，只需要撰寫一個過濾規(guī)則，就可以防止此類攻擊的威脅了。 網(wǎng)絡型入侵防御產(chǎn)品和防火墻比較起來，網(wǎng)絡型入侵防御產(chǎn)品的功能比較單一，它只能串聯(lián)在網(wǎng)絡上（類似于通常所說的網(wǎng)橋式防火墻），對防火墻所不能

3、過濾的攻擊進行過濾。這樣一個兩級的過濾模式，可以最大地保證系統(tǒng)的安全。一般來說，企業(yè)用戶關注的是自己的網(wǎng)絡能否避免被攻擊，對于能檢測到多少攻擊并不是很熱衷。 當把入侵防御產(chǎn)品看成是一定安全目標的系統(tǒng)時，我們可稱之為入侵防御系統(tǒng)（IPS）。 IPS的檢測功能類似于IDS，但IPS檢測到攻擊后會采取行動阻止攻擊，可以說IPS是基于IDS的、是建立在IDS發(fā)展的基礎上的新生網(wǎng)絡安全產(chǎn)品。本規(guī)范規(guī)定了網(wǎng)絡型入侵防御產(chǎn)品技術要求。本規(guī)范起草單位：公安部計算機信息系統(tǒng)安全產(chǎn)品質量監(jiān)督檢驗中心。1 范圍本測試規(guī)范規(guī)定了采用傳輸控制協(xié)議/網(wǎng)間協(xié)議（TCP/IP）的網(wǎng)絡型入侵防御產(chǎn)品技術要求。本部分適用于網(wǎng)絡型

4、入侵防御產(chǎn)品的研制、開發(fā)、測評和采購。2 規(guī)范性引用文件下列文件中的條款通過本部分的引用而成為本部分的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本部分。然而，鼓勵根據(jù)本部分達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本部分。GB/T 5271.8 信息技術 詞匯 第8部分：安全3 術語和定義3.1 本規(guī)范采用了中的下列術語和定義： 安全策略 security policy審計跟蹤 audit trail鑒別 authentication脆弱性 vulnerability威脅 threat攻擊 attack主體

5、 subject客體 object3.2 下列術語和定義適用于本部分。3.2.1 入侵 intrusion 任何企圖危害資源完整性、保密性或可用性的行為。3.2.2 報警 alert當有入侵正在發(fā)生或者正在嘗試時，入侵防御系統(tǒng)向系統(tǒng)操作員、管理人員發(fā)出的緊急通知，可以消息、郵件等形式發(fā)出。3.2.3 入侵特征 intrusion features入侵防御系統(tǒng)預先定義好的能夠確認入侵行為的特定信息。4 網(wǎng)絡型入侵防御產(chǎn)品的組成4.1 事件分析單元 (IPS_ANL)采用相關的分析檢測技術，對經(jīng)過的信息進行分析，提取信息中所包含的事件特征。4.2 響應單元 (IPS_RSP)根據(jù)定義的策略對事件分

6、析單元發(fā)送的消息進行響應。有以下三種響應手段：記錄、報警和阻斷。4.3 審計單元 (IPS_FAU)在違反安全策略的事件發(fā)生時，對事件發(fā)生的時間、主體和客體等信息進行記錄和審計。4.4 管理控制單元 (IPS_MAN)負責入侵防御系統(tǒng)定制策略、審閱日志、系統(tǒng)狀態(tài)管理，并以可視圖形化形式提交授權用戶進行管理。5 工作環(huán)境5.1 系統(tǒng)接入5.1.1 入侵防御產(chǎn)品應提供網(wǎng)橋式部署方式接入網(wǎng)絡的能力。5.1.2 應具備嚴格的訪問控制機制，非授權人員不應管理檢測系統(tǒng)。5.2 工作環(huán)境安全5.2.1 應防止對入侵防御產(chǎn)品非授權的物理訪問。5.2.2 入侵防御產(chǎn)品的安裝應由授權管理人員實施。5.2.3 入侵

7、防御產(chǎn)品的安裝應實行嚴格的控制管理。5.3 管理人員5.3.1 指定一個或多個能勝任工作的人員來管理入侵防御產(chǎn)品及其所含信息的安全。5.3.2 入侵防御產(chǎn)品只能被授權用戶訪問。6 功能要求6.1 組件分類網(wǎng)絡型入侵防御產(chǎn)品組件功能要求分為事件分析單元組件要求、響應單元組件要求、審計單元組件要求和控制管理單元組件要求共4類（見表1）。表1 網(wǎng)絡型入侵防御產(chǎn)品組件功能要求組件組件功能要求協(xié)議分析規(guī)則匹配分析入侵特征庫升級身份鑒別報警通知日志攻擊阻斷生成審計事件審計紀錄的創(chuàng)建、儲存和刪除審計記錄查詢審計記錄的保存數(shù)據(jù)庫支持審計記錄存儲管理功能遠程管理管理信息加密鑒別和認證易用性6.2 事件分析單元組

8、件要求（IPS_ANL）6.2.1 IPS_ANL.1 對通信協(xié)議進行分析、譯碼并提取特征信息。6.2.2 IPS_ANL.2 從網(wǎng)絡通信數(shù)據(jù)包中提取字符串信息進行分析。至少應分析以下內容：a） 事件主體；b） 事件客體；c） 協(xié)議特征（類型和標志位）；d） 內容特征；e） 事件描述。6.2.3 IPS_ANL.3 事件分析單元應提供特征庫升級功能，允許用戶及時更新特征庫。6.2.4 IPS_ANL.4 事件分析單元應具備身份鑒別能力，除具有明確訪問權限的用戶外，事件分析單元應禁止其他用戶對事件分析單元的訪問。6.3 響應單元組件要求（IPS_RSP）6.3.1 IPS_RSP.1 當策略中被

9、定義為報警的事件產(chǎn)生時，響應單元應將報警信息以消息或郵件等形式提交給管理員。報警信息至少應包括以下內容：a) 事件標識；b) 事件主體；c) 事件客體；d) 事件發(fā)生時間。6.3.2 IPS_RSP.2 響應單元應將事件信息以文件或數(shù)據(jù)庫記錄等形式記錄下來。記錄信息至少應包括以下內容：a) 事件標識；b) 事件主體；c) 事件客體；d) 事件發(fā)生時間。6.3.3 IPS_RSP.3 響應單元應將策略中定義為阻斷的事件準確阻斷。6.4 審計單元組件要求（IPS_FAU）6.4.1 IPS_FAU.1 審計功能應為以下審計操作產(chǎn)生審計記錄：a) 審計功能的開啟和關閉；b) 符合基本級審計的所有下列

10、可審計事件： 修改安全屬性的所有嘗試； 任何對鑒別機制的使用； 所有對鑒別資料的請求訪問； 所有對審計數(shù)據(jù)讀取不成功嘗試； 鑒別機制的所有使用； 用戶鑒別機制的使用； 對角色中用戶組的修改。c) 其它在安全策略中定義的需要審計的事件。審計功能生成的每一條審計記錄至少應記錄以下信息：事件時間，事件類型，主體身份和事件結果（成功或失?。?。6.4.2 IPS_FAU.2 授權管理員應能對審計記錄執(zhí)行創(chuàng)建、儲存和刪除等操作。6.4.3 IPS_FAU.3 入侵防御產(chǎn)品應提供日志信息查詢和審閱功能。應能通過以下信息進行查詢：a） 事件標識；b） 事件主體；c） 事件客體；d） 事件發(fā)生時間。6.4.4

11、IPS_FAU.4 審計記錄的保存應滿足以下要求：a) 審計記錄應能存儲于永久性存儲媒體中；b) 當審計記錄的存儲空間將要耗盡時能夠通知管理人員；c) 審計單元應提供給管理員可定制的資料備份功能及策略。6.4.5 IPS_FAU.5 至少應支持一種數(shù)據(jù)庫。6.4.6 IPS_FAU.6 當審計記錄占據(jù)的存儲空間達到指定值時，審計單元應自動刪除舊的審計記錄，刪除的比例應可由管理員進行設置。6.5 管理控制單元組件要求 （IPS_MAN）6.5.1 IPS_MAN.1應包含配置和管理入侵防御產(chǎn)品安全功能所需的所有功能，至少應包括：a） 系統(tǒng)狀態(tài)定制；b） 增加、刪除和定制入侵防御策略；c） 查閱當

12、前策略配置；d） 查閱和管理審計資料。6.5.2 IPS_MAN.2 當管理控制單元與引擎是通過網(wǎng)絡連接時，應提供遠程管理功能。6.5.3 IPS_MAN.3 當管理控制單元與引擎是通過網(wǎng)絡連接時，管理控制單元與引擎間應可建立加密通信連接。6.5.4 IPS_MAN.4 管理控制單元應提供鑒別認證機制，在用戶登錄管理控制臺之前對用戶進行鑒別認證。當管理控制單元與引擎是通過網(wǎng)絡連接時，管理控制單元與引擎間建立通信會話之前應進行鑒別認證。6.5.5 IPS_MAN.5 提供給授權用戶的管理功能應簡單易用。7 安全功能要求7.1 安全功能組件 網(wǎng)絡型入侵防御產(chǎn)品的安全功能組件由表3所列項目組成。表2

13、 網(wǎng)絡型入侵防御產(chǎn)品安全功能組件安全功能組件安全功能要求 審計查閱 有限審計查閱 審計數(shù)據(jù)可用性保證 審計數(shù)據(jù)丟失防范 鑒別時效IPS_FIA_AFL.1 鑒別失敗處理 用戶屬性定義 安全功能管理 管理角色 數(shù)據(jù)傳輸加密 安全策略不可旁路性7.2 安全審計 7.2.1 IPS_FAU_SAR.1 審計查閱入侵防御產(chǎn)品應提供授權用戶訪問審計數(shù)據(jù)的能力。7.2.2 IPS_FAU_SAR.2 有限審計查閱入侵防御產(chǎn)品應明確用戶對審計數(shù)據(jù)的訪問權限，為不同權限的用戶提供相應的訪問權限。7.2.3 IPS_FAU_STG.1 審計數(shù)據(jù)可用性保證7.2.3.1 IPS_FAU_STG.1.1 入侵防御產(chǎn)

14、品應保護存儲的審計數(shù)據(jù)，避免未授權的刪除。7.2.3.2 IPS_FAU_STG.1.2 入侵防御產(chǎn)品應能檢測到對審計數(shù)據(jù)的修改。7.2.3.3 IPS_FAU_STG.1.3 在審計存儲資源耗盡、失敗或受到攻擊時，入侵防御產(chǎn)品應確保審計數(shù)據(jù)不被破壞。7.2.4 IPS_FAU_STG.2 審計數(shù)據(jù)丟失防范當審計數(shù)據(jù)存儲空間接近或到達規(guī)定值時，入侵防御產(chǎn)品應向授權管理員發(fā)送報警信息。7.3 標識和鑒別7.3.1 IPS_FIA_UAU.1 鑒別時效7.3.1.1 IPS_FIA_UAU.1.1 入侵防御產(chǎn)品在用戶被鑒別前應允許用戶執(zhí)行與入侵防御產(chǎn)品安全無關的操作。7.3.1.2 IPS_FIA

15、_UAU.1.2 入侵防御產(chǎn)品應確保用戶在執(zhí)行與入侵防御產(chǎn)品安全相關的任何操作之前，該用戶已被成功的鑒別。7.3.2 IPS_FIA_AFL.1 鑒別失敗處理7.3.2.1 IPS_FIA_AFL.1.1 當用戶的失敗登錄次數(shù)超過允許的嘗試鑒別次數(shù)時，入侵防御產(chǎn)品應能加以檢測。7.3.2.2 IPS_FIA_AFL.1.2 當用戶的失敗登錄次數(shù)超過允許的嘗試鑒別次數(shù)時，入侵防御產(chǎn)品應阻止該用戶的進一步登錄嘗試，直至授權管理員恢復對該用戶的鑒別能力。7.3.3 IPS_FIA_ATD.1 用戶屬性定義應對管理角色賦予執(zhí)行安全策略所必需的安全屬性，安全屬性包括：a) 唯一用戶身份；b) 鑒別數(shù)據(jù)；

16、c) 授權；d) 其它安全屬性。7.4 安全管理7.4.1 IPS_FMT_MOF.1 安全功能管理入侵防御產(chǎn)品應確保只有授權管理員擁有對安全功能進行修改和配置的權力。7.4.2 IPS_FMT_SMR.1 管理角色入侵防御產(chǎn)品應為管理角色進行分級，不同級別的管理角色具有不同的管理權限，以增加入侵防御產(chǎn)品管理的安全性。7.5 安全功能保護7.5.1 IPS_FPT_ITC.1 數(shù)據(jù)傳輸加密當入侵防御產(chǎn)品各組件之間需要通過網(wǎng)絡進行通信時，入侵防御產(chǎn)品應能對各組件間的通信進行加密。7.5.2 IPS_FPT_RVM.1 IPS安全策略不可旁路性入侵防御產(chǎn)品應確保用戶對系統(tǒng)安全功能的訪問都受到安全策

17、略的制約。8 安全保證要求8.1 配置管理保證8.1.1 開發(fā)者應使用配置管理系統(tǒng)。8.1.2 開發(fā)者應提供配置管理手冊。8.1.3 配置手冊應包括一個配置目錄。8.1.4 配置目錄應包含入侵防御產(chǎn)品的各個配置項目的描述。8.1.5 廠商所提供的信息應滿足在內容和表達上的所有要求。8.2 操作保證8.2.1 開發(fā)者應以文件方式說明入侵防御產(chǎn)品的安裝、配置和啟動的過程。8.2.2 用戶手冊中應詳盡描述入侵防御產(chǎn)品的安裝、配置和啟動運行所必需的基本步驟。8.2.3 廠商所提供的信息應滿足內容和表述上的所有要求。8.3 開發(fā)過程保證8.3.1 入侵防御產(chǎn)品和安全策略8.3.1.1 開發(fā)者應提供入侵防

18、御產(chǎn)品的功能規(guī)范。8.3.1.2 開發(fā)者應提供入侵防御產(chǎn)品的安全策略。8.3.1.3 功能規(guī)范應以非形式方法來描述安全策略。8.3.1.4 功能規(guī)范應以非形式方法來表述所有外部安全功能接口的語法和定義。8.3.1.5 廠商所提供的信息應滿足內容和表述上的所有要求。8.3.1.6 產(chǎn)品的功能規(guī)范與安全策略應保證一致。8.3.1.7 產(chǎn)品安全功能的表述應包含安全目標中的每一項功能要求。8.3.2 高層設計描述8.3.2.1 開發(fā)者應提供入侵防御產(chǎn)品安全功能的高層設計。8.3.2.2 高層設計應以非形式方法表述。8.3.2.3 高層設計應描述功能的每一個系統(tǒng)提供的安全功能。8.3.2.4 高層設計應

19、標明功能子系統(tǒng)的接口。8.3.2.5 高層設計應說明安全功能所需的所有底層硬件、固件和軟件，以及所實現(xiàn)的保護機制所提供的功能。8.3.2.6 廠商所提供的信息應滿足內容和表述上的所有要求。8.3.2.7 功能的表述應包含安全目標中的每一項功能要求。8.3.3 非形式的一致性要求8.3.3.1 開發(fā)者應證明所提供的對功能的扼要表述是準確和一致的，并且完整地反應了安全目標中的功能要求。8.3.3.2 對于同一功能的兩個相鄰層的表述，開發(fā)者應證明在較高層抽象表述的所有部分在較底層抽象中得到了細化。8.3.3.3 對于同一功能的兩個相鄰層的表述，其對應關系可以用非形式方法表述。8.3.3.4 廠商所提

20、供的信息應滿足內容和表述上的所有要求。8.4 指南文件保證 8.4.1 管理員指南8.4.1.1 開發(fā)者應提供滿足系統(tǒng)管理者需要的管理員指南。8.4.1.2 管理員指南應描述如何以安全的方式管理入侵防御產(chǎn)品。8.4.1.3 對于應該控制在安全處理環(huán)境中的功能和特權，管理員指南應有警告。8.4.1.4 管理員指南應對如何有效地使用安全功能提供指導。8.4.1.5 管理員指南應說明兩種類型功能之間的差別：一種是允許管理員配置安全參數(shù)，而另一種是只允許管理員獲得信息。8.4.1.6 管理員指南應描述管理員控制下的所有參數(shù)。8.4.1.7 管理員指南應描述各類需要執(zhí)行安全功能的安全相關事件，包括在安全

21、功能控制下改變實體的安全特性。8.4.1.8 管理員指南應包括安全功能如何相互作用的指導。8.4.1.9 管理員指南應包括怎樣安全配置入侵防御產(chǎn)品的指令。8.4.1.10 管理員指南應描述在入侵防御產(chǎn)品的安全安裝過程中可能使用的所有配置選項。8.4.1.11 管理員指南應充分描述與安全管理相關的詳細過程。8.4.2 用戶指南8.4.2.1 開發(fā)者應提供用戶指南。8.4.2.2 用戶指南應描述用戶可使用的安全功能和接口。8.4.2.3 用戶指南應包含使用入侵防御提供的安全功能和指導。8.4.2.4 對于應該控制在安全的處理環(huán)境中的功能和特權，用戶指南應有警告。8.4.2.5 用戶指南應描述那些用

22、戶可見的安全功能之間的相互作用。8.4.2.6 用戶指南應與提交評估的所有其它文件一致。8.4.2.7 所提供的信息應能滿足在內容和描述上的所有要求。8.4.3 測試保證8.4.3.1 獨立測試8.4.3.1.1 應由評估者或具有專業(yè)知識的團體支持的獨立實驗室進行入侵防御產(chǎn)品的測試。8.4.3.1.2 應對入侵防御產(chǎn)品進行相符性獨立測試，證明安全功能是按照規(guī)定運行的。8.4.3.1.3 應對入侵防御產(chǎn)品進行抽樣獨立測試，通過隨機抽樣對抽樣產(chǎn)品進行測試，證明安全功能是按照規(guī)定運行的。8.4.3.1.4 應對入侵防御產(chǎn)品進行完全獨立性測試，通過重復所有開發(fā)者的測試，證明安全功能是按照規(guī)定運行的。8.4.3.2 測試覆蓋面非形式分析8.4.3.2.1 開發(fā)者應提供一個對測試覆蓋范圍的分析。8.4.3.2.2 測試覆蓋面分析應證明測試文件中確定的測試項目能覆蓋入侵防御所有的安全功能。8.4.3.2.3 所提供的信息應能滿足在內容和表述上的所有要求。8.4.3.3 功能測試8.4.3.3.1 開發(fā)者應測試入侵防御產(chǎn)品的功能，并記錄結果。8.4.3.3.2 開發(fā)者應提供測試文件。8.4.3.3.3 測試文件應有測試計劃、測試過程描述和測試結果組成。8.4.3.3.4 測試文件應確定將要測試的產(chǎn)品功能，并描述將要達到的測試目標。8.4.3.3.5 測試過程的描述應確定將要進行的測試，并描述測試