1、GA/T696-2007信息安全技术单机防入侵产品安全功能要求1范围本标准规定了信息安全技术单机防入侵产品的安全功能要求和保证要求。本标准适用于信息安全技术单机防人侵产品的生产及检测。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T18336.3一2001信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求(idt IS)/IEC15408-3:1999)3术
2、语和定义下列术语和定义适用于本标准。3.1单机防入侵产品product of protecting and prenting intrusion on stan-alone computer一个运行于单机上的软件。它可以截取笔L上进行的入站和出站TCP/IP网络连接尝试,并使用预先定义的规则允许和禁止其连接。4单机防入侵产品的安全功能要求4.1IP数据包过滤依据TCP/IP协议中的网络数据包的数据格式约定,每一条匹配规则应由下列要素组成:a)数据包方向(连接发起方/接收方)。b)远程P地址(任何IP地址/指定IP地址/指定IP地址范周)。c)协议的匹配,具体协议至少应包括:1)ICMP数据包过
3、滤根据ICMP网铬数据包中的类型和代码字段进行设定,当匹配到相同类型和代码字段时则按对应规则中的数据包处理方式进行处理;2)UDP数据包过滤根据UDP网络数据包中的本地端口包括单一端口和(或)端口范围和(或)远程端口包括单一端口和(或)端口范围进行规则匹配:3)TCP数据包过滤根据TCP网络数据包中的本地端口包括单一瑞口和(或)瑞口范围和(或)远程瑞口包括单一端口和(或)端口范围,以及TCP数据包的标志位进行规则匹配过滤。4.2过滤动作单机防入侵产品应具有对数据包进行下述过滤动作的能力:a)拦截:GA/T696-2007b)通行:c)继续匹配下一规则。4,3安全规则的修订a)用户能选择使用或弃
4、用单机防入侵产品提供的安全规则:b)用户能根据4.1中的格式规定添加、删除、修改自定义安全规则。4.4对特定网络攻击数据包的拦截)单机防人侵产品应具备对于一些特定攻击的抵挡及防御能力:b)配合抵御攻击的能力,单机防人侵产品应具备建立可史新的攻击特征库的能力。4.5应用程序网络访问控制单机防入侵产品的安全功能应包括能控制每个应用程序使用网络权限,对应用程序网络访问控制包括以下三种方式:a)允许访问:允许该程序使用网络:b)禁止访问:禁止该程序使用网络)网络访问时询问:当应用程序访问网络时,单机防入侵产品应对其将进行的访问操作向用户提供详细的报告及询问,根据询问结果对应用程序访问网络的行为进行相应
5、处理。4.6网络快速切断/恢复以快捷的方式切断/恢复所有网络通讯。4.7包过滤、网络攻击的日志记录)应提供一个网络通讯日志,便于用户查阅网络系统近况。日志项目应至少包括如下数据项:通讯日期时同、接受/发送/拦截情况、对方P地址、本机端口、对方端口、备注。日志数据项的内部数据结构定义可参考如:数据项类型长度1.通讯日期时间字符8学节2.接受/发送/拦截情况字符1字节(三种情况分别用0、1、2表示)3.对方IP地址学符12字节4.本机端口学符5字节5.对方端口学符5学节6.备注学符100学节(受攻击种类或内部通讯程序)b)系统应提供日志的清空功能。c)日志信息应为人所能理解。d)日志信息应仔储在永久性存储介质中。4.8网络攻击的报警根据匹配系统指定规则发现异常网络数据包,单机防入侵产品应以一定方式警告用户,以及提示用户采取哪些措施。4.9产品自身安全若产品涉及分级访问控制的功能,则其管理控制还需具备基本的身份鉴别功能。5单机防入侵产品的保证要求保证要求按GB/T18336.3一2001第二级执行。6单机防入侵产品的安全等级划分依据信息安全技术单机防入侵产品的开发、生产现状及实际应用情况,对单机防入侵产品的安全功2
