GA T 1557-2019 信息安全技术 基于IPv6的高性能网络审计系统产品安全技术要求.pdf
《GA T 1557-2019 信息安全技术 基于IPv6的高性能网络审计系统产品安全技术要求.pdf》由会员分享,可在线阅读,更多相关《GA T 1557-2019 信息安全技术 基于IPv6的高性能网络审计系统产品安全技术要求.pdf(18页珍藏版)》请在麦多课文档分享上搜索。
1、 ICS 35.240 A90 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T XXXX XXXX 信息安全技术 基于 IPv6 的高性能网络审 计 系统 产品安全技术要 求 Information security technology Security technical requirements for IPv6-based high-performance network audit system products ( 报批稿 ) XXXX - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国公安部 发布 GA I 目 次 前言 . II
2、1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 IPv6 网络审计 产品描述 . 2 5 总体说明 . 3 5.1 安全技术要求分类 . 3 5.2 安全等级划分 . 3 6 安全功能要求 . 3 6.1 信息采集 . 3 6.2 数据还原 . 3 6.3 审计记录统计 . 4 6.4 审计记录分析处理 . 5 6.5 管理控制要求 . 6 6.6 标识与鉴别 . 6 6.7 审计日志 . 7 6.8 安全管理 . 7 6.9 数据存储 . 8 7 环境适应性要求 . 9 7.1 接入方式 . 9 7.2 IPv6 协议一致性 . 9 7.3 IPv6 应用环境适应性
3、 . 9 7.4 IPv6 管理环境适应性 . 9 8 性能要求 . 9 8.1 处理能力 . 9 8.2 网络影响 . 9 9 安全保障要求 . 9 9.1 开发 . 9 9.2 指导性文档 . 10 9.3 生命周期支持 . 11 9.4 测试 . 11 9.5 脆弱性评定 . 12 10 等级划分要求 . 12 10.1 概述 . 错误 !未定义书签。 10.2 安全功能要求等级划分 . 12 10.3 安全保障要求等级划分 . 错误 !未定义书签。 GA/T XXXX XXXX II 前 言 本标准按照 GB/T 1.1-2009给出 的规则起草。 本标准由公安部网络安全保卫局提出。
4、本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心 、 公安部网络安全保卫局 。 本标准主要起草人: 唐迪 、 王志佳 、 马海燕 、 范春玲、 俞优、 邹春明 、 顾健 。 GA/T XXXX XXXX 1 信息安全技术 基于 IPV6 的高性能 网络审计 系统 产品安全技术要求 1 范围 本 标准规定了基于 IPv6 的高性 能 网络审计 系统 产品 的安全功能要求 、 环境适应性要求、 性能要求、 安全保障 要求 和等级划分要求 。 本标准适用于 基于 IPv6 的高性 能 网络 审计 系统 产品 的 设计、开发及 测试 。 2
5、 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第 3部分: 安全保障 组件 GB/T 20945-2013 信息安全技术 信息系统安全审计产品技术要求和测试评价方法 GB/T 25069-2010 信息安全技术 术语 GA/T 695-2014 信息安全技术 网络通信审计产品技 术要求 3 术语和定义 GB/T 18336.3-2015、 GB/T 20945-2013、 GB/T 25
6、069-2010和 GA/T 695-2014界定的 以及下列术语和 定义适用于本 文件 。 3.1 基于 IPv6的高性能网络审计 系统 产品 IPv6-based high performance network audit system product 对网络通信进行记录和分析, 并针对特定事件采用相应的动作 , 同时 支持 IPv4协议 、 IPv6协议及过 度技术 , 并具有 高 性能 的产品 。 3.2 IPv6 过渡技术 IPv6 transition technology 用于 IPv4向 IPv6演进的过渡期内,保证业务共存和互操作的技术 。 3.3 IPv4/IPv6 隧道
7、技术 IPv4/IPv6 tunneling technology 基于 IPv4隧道来 传 送 IPv6数据报文的隧道技术 。 3.4 双协议栈技术 dual protocol stack technology 在一台设备上同时启用 IPv4协议栈和 IPv6协议栈 。 GA/T XXXX XXXX 2 3.5 IPv4/IPv6 网络地址转换 IPv4/IPv6 network address translation 通过对数据包的转换实现了在 网络过渡期 IPv4节点和 IPv6节点之间的互相访问 。 4 IPv6 网 络审计 产品描述 IPv6网 络审计产品 通过采集和分析网络通讯数据
8、,对审计目标网络内用户网络行为(如网页浏览、 FTP和 TELNET通讯、收发邮件、 IM上下线等)、网络流量、网络攻击等行为进行记录和分析。 IPv6网 络 审计产品 能够帮助使用者记录被审计网络内的用户行为及网络状态 , 能够追溯违反安全策略要求的用 户 。 IPv6网 络审计产品 能够适用于 IPv4及 IPv6两种网络环境 。此外,基 IPv6网 络审计产品 还 能 保护产品 自身及其内部重要数据的安全 。 网络通讯审计产 品按照部署模式划分,可分为串联部署和 并联 部署两种。在串联部署模式下, IPv6 网 络审计产品 在访问客户端与网络服务端之间。在旁路部署模式下, IPv6网 络
9、审计产品 并联在访问客户 端交换机上,通过镜像口获取网络通讯数据。 图 1为 IPv6网 络审计产品 串联部署的典型运行环境。 图 1 IPv6 网 络审计产品 串接部署运行环境 图 2为 IPv6网 络审计产品 并联 部署的典型运行环境。 图 2 IPv6 网 络审计产品 并联 部署运行环境 GA/T XXXX XXXX 3 5 总体说明 5.1 安全技术要求分类 本标准将 IPv6网 络审计产品 安全技术要求 分为安全功能和安全保障要求两大类。其中,安全 功能要 求是对 IPv6网络审计产品 应具备的安全功能提出具体要求,包括 接入 方式、信息采集、数据还原、审计 记录统计、审计记录分析、
10、管理控制 要求 等 ;安全保障要求针对 IPv6网 络审计产品 的 生命周期过程 提出 具体的要求,例如开发、指导性文档、生命周期支持和测试等。 5.2 安全等级划分 IPv6网络审计产品的 安全等级按照其安全功能要求和安全保障要求的强度划分为基本级和增强级, 其中安全保障要求参考了 GB/T 18336.3 2015。 6 安全功能要求 6.1 信息采集 IPv6网络审计产品 应能够根据审计目标设置网络数据采集策略,应在 以下项目 至少包含一 种 : a) 采集目标的 IP 地址类型; b) 采集目标的 IP地址或 IP地址段策略; c) 采集网络协议 应用策略 ; d) 采集传输协议 策略
11、 ; e) 采集 应用协议 策略 ; f) 采集时间段 策略 ; g) 其他 。 6.2 数据还原 6.2.1 网络基本信息还原 IPv6网 络审计产品 应能够 还原 目标网络内网络信息,其中应包括: a) 源端口、 源 IP地址 、 源 MAC地址 ; b) 目标 IP地址、目的端口; c) 网络层 协议类型; d) 传输层协议类型 ; e) 应用层协议类型 ; f) 支持 IPv6地址采集 ; g) 支持基于 IPv6过渡技术处理的 IP地址采集 , 其中包括隧道技术 、双协议栈技术、 网络地址转换 技术 。 6.2.2 会话内容的 还原 IPv6网络审计产品 应能还原 会话 , 信息内容
12、的基本项应包括:会话起始时间、源地址、目标地址 。 6.2.3 服务 信息 还原 基本要求 IPv6网络审计产品 应能够还原网络信息及事件 , 至少包括以下五 种 : GA/T XXXX XXXX 4 a) FTP协议 , 除基本项以外还应包括:使用的账号、输入命令; b) TELNET协议 , 除基本项以外还应包括:使用的账号、输入命令; c) HTTP协议 , 除基本项以外还应包括:目标 URL; d) E-mail协议 , 除基本项以外还应包 括: 发件人 地址、 收件人 地址。 e) RLOGIN协议 , 除基本项外应包括:使用用户、输入命令 ; f) DNS协议 , 除基本项外应包括
13、: 报文 协议内容 ; g) IM信息, 除基本项以外还应包 括 : IM软件名称及账号信息; h) 数据库远程管理与操作 , 除基本项外应包括:使用的账号、输入操作命令 ; i) 股票软件通信信息 , 除基本项以外还应包 括 : 股票软件名称 ; j) 网络下载通信信息 , 除基本项以外还应包 括 : 下载软件或协议名称和下载文件名称 ; k) 网络游戏通信信息 , 除基本项以外还应包 括 : 网络游戏名称 ; l) 论坛 、 博客及微博通信信息 , 论坛 、 博客或微博的名称和账号 ; m) 搜索引擎通信信息 , 搜索引擎名称和搜索关键字 ; n) 其他网络 通信 信息。 6.2.4 服务
14、信息 还原扩展要求 IPv6网络审计产品 应能够还原网络信息及 事件 , 至少包括以下两种 : a) FTP通信信息 , 除满足基本要求以外还应包括:传输的文件 名及文件 内容 ; b) TELNET通信信息 , 除满足基本要求以外还应包括:反馈信息 ; c) HTTP通信信息 , 除满足基本要求以外还应包括:恢复网页所需的文件 及传输文件内容 ; d) E-mail通信信息 , 除满足基本项以外还应包括: 主题 。 6.2.5 网络攻击 识别 IPv6网络审计产品 应能够 识别 网络攻击事件 , 至少包括以下一种 : a) DoS攻击; b) 口令暴力猜测攻击 ; c) 端口扫描攻击 ; d
15、) 其他网络攻击 。 还原内容应包括 : 日期 、 事件 、 源 IP地址 、 目的 IP地址 、 源端口 、 目的端口 、 攻击类型 。 6.2.6 基于 应用类型还原 IPv6网络审计产品 应能够 根据应用 类型特征 还原 非标准端口事件或动态端口 网络通信事件 。 6.3 审 计 记录 统计 6.3.1 事件 统计 IPv6网络审计产品 应能够对网络 事件 进行统计 ,应至少包括以下一种: a) 网络通信事件总数; b) 一种或多种特定类型网络通信事件数量统计 ; c) 其他事件统计 。 6.3.2 流量统计 IPv6网络审计产品 应能够对网络流量进行统计 ,应至少包括以下一种: GA/
16、T XXXX XXXX 5 a) TCP协议流量; b) UDP协议流量 ; c) 网络应用流量 ; d) 其他网络流量 。 6.4 审计 记录 分析 处理 6.4.1 分析 6.4.1.1 关联分析 IPv6网络审计产品 应能够对相互关联的事件进行 关联及分析 , 至少支持以下一种 ; a) 基本信息关联,包括 基于时间、事件、源 IP地址、源端口地址、目的 IP地址、服务类型、网络 协议等采集信息; b) 统计 关联 , 利用数据发掘算法等方法统计不同网络事件间的进行关联分析 。 6.4.1.2 异常 分析 IPv6网络审计产品 应能提供异常分析功能 ,异常事件发生时能 触发 警告,其功能
17、 包括以下 : a) 能够预定义异常事件 ,能够对 某个时间段 内发生的次数或频域达到某个阈值或某种流量达到阈 值时触发报警; b) 能够基于关联分析 功能的 结果定义异常行为,对系统的异常行为触发报警; c) 其他异常情况 。 6.4.1.3 分类 分级 IPv6网络审计产品 应能够提供事件 分类 分级功能 , 用户能够根据策略划分不同的 类别 , 同时用户能 够根据重要程度对审计事件进行分级,分类策略 策略应包括至少以下一种 : a) 根据审计目标; b) 根据时间范围 ; c) 根据审计事件类型 ; d) 根据网络流量 ; e) 根据通信协议 ; f) 根据审计分析结果 , 包括关联分析
18、或异常分析中的至少一项 ; g) 自定义 。 6.4.2 处理 6.4.2.1 响应告警 IPv6网络审计 产品 能 设置策略定义告警事件 , 并在告警事件发生时触发警告 , 告警 功能 满足以下要 求 : a) 产品应支持策略设置触发告警 ; b) 应能 记录告警,内容应包括:日期、时间、 事件主体、事件课题、事件的级别、事件 描述、告 警次数 、事件结果 ; c) 告警方式应至少支持邮件告警、 SNMP trap告警 、 声光电告警 、 短信告警等方式中的一种 。 6.4.2.2 处理措施 GA/T XXXX XXXX 6 IPv6网络审计产品应能对网络事件 采取处理措施 , 保证网络及自
19、身安全 , 措施应至少包括以下一种 : a) 支持设置策略 ,对网络事件进行阻断,策略应至少包括其中一项:事件级别、事件分析结果及 自定义; b) 支持调用授权管理员预定义操作或应用程序 ; c) 与其他网络产品联动 。 6.4.2.3 碎片包处理 IPv6网络审计产品应能够对用于逃避监测的通信方式 (如碎片包通信方式)进行审计。 6.4.3 审计结果 6.4.3.1 审计记录 IPv6网络审计产品 应 能够把 采集信息及还原信息的审计结果生成审计记录 。 6.4.3.2 审计查阅 IPv6网络审计产品 能够提供审计结果查阅功能 , 满足以下要求 : a) 仅授权用户能够访问审计结果; b)
20、应提供审计结果查阅工具; c) 应提供基于时间范围 进行查询; d) 应提供基于应用类型进行查询 ; e) 应提供基于记录时间、源 IP地址、源端口、目 的 IP地址、目的端口或协议类型等条件,对审计 记录进行查询和排序的工具 ; f) 应提供基于日期和时间、主体身份、事件类型、相关事件成功或失败等条件,对审计日志进行 查询和排序的工具。 6.4.3.3 统计报表 IPv6网络审计产品 能够生成统计报表 , 报表应包括以下功 能 : a) 应支持根据条件生成统计报表 , 生成条件应包括 : 关键字 、 模块功能 、 事件级别 、 自定义格式 等生成方式 ; b) 应支持文字、 图像化信息 两种
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
5000 积分 0人已下载
下载 | 加入VIP,交流精品资源 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GA 1557-2019 信息安全技术 基于IPv6的高性能网络审计系统产品安全技术要求 1557 2019 信息 安全技术 基于 IPv6 性能 网络 审计 系统 产品 要求
