GAT 700-2007信息安全技术 计算机网络入侵分级要求.pdf

ICS 35.240GAA 90中华人民共和国公共安全行业标准GA/T 700—2007信息安全技术计算机网络入侵分级要求Information security technology--Classification criterion for intrusion ofcomputer network2007-05-14 发布2007-07-01实施中华人民共和国公安部发布 GA/T 700—2007前本标准由公安部公共信息网络安全监察局提出本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心。本标准主要起草人：沈亮、顾健。 GA/T 700--2007信息安全技术计算机网络入侵分级要求1 范围本标推规定了对计算机网络人侵分级的详细要求。本标准适用于网络事件相关产品的设计和实现，对网络人侵进行的测试、管理也可参照使用。2术语和定义下列术语和定义适用于本标准。2.1网络安全network security保护系统以及服务不受偶然或者恶意的破坏，保证系统可以连续可靠正常地运行，网络服务不被中断。2. 2网络入侵network intrusion在网络上无意或恶意破坏网络安全的入侵或具有人侵企图的行为。2.3威胁 threat人侵者潜在的、有预谋的、未经授权的致使系统不可靠或无法使用的能力。2. 4机密性 confidentiality对信息访问和公开的授权限制。2.5可用性E availability信息能被及时和可靠的访问。2.6完整性 Integrity信息的可信和完整。3计算机网络入侵威胁网络安全由机密性、可用性以及完整性三个安全属性组成。人侵者使用各种手段进行网络人侵，直接威胁到了这三个安全属性。3.1机密性3.1.1非授权访问 信息监听人侵者使用非授权监听、截获等手段，对在未经保护网络中传输的信息的安全产生威胁。例如，网络中存在协议分析工具。信息探测人侵者使用主动的访问手段，对访问信息存在非授权读获取的威胁。根据人侵者希望获取信息的1 GA/T 700-—2007重要程度，可分为一般信息和重要信息。1）一般信息：可公开的系统或服务的标识信息。如：用户标识、系统标识、反馈信息等；2）重要信息：不应公开且危及网络安全的信息。如：私人资料，密码信息等。3.1.2非授权使用3. 1.2. 1 尝试登录人侵者使用口令穷举等手段，通过正常鉴别机制非授权使用系统或服务。例如：暴力猜测、弱口令登录、人侵rservice 等。根据威胁用户对象的重要性，可分为一般用户和特殊用户。1）一般用户：目标机上的普通个人账号；2）特殊用户：目标机上的系统账号。突破安全访问机制人侵者使用主动的访问手段，旁路正常鉴别机制非授权使用系统或服务。例如：缓冲溢出获得SHELL、WEB服务错误解码人侵等。根据人侵者希望获取用户权限的重要性，可分为一般用户和特殊用户。1）一般用户：目标机上的普通个人账号；2）特殊用户：目标机上的系统账号。恶意代码人侵者利用在目标机运行的恶意代码进行非授权使用。例如：木马人侵。根据威胁目标的重要性，可分为一般用户和特殊用户。1）一般用户：目标机上的普通个人账号；2）特殊用户：目标机上的系统账号。3.2可用性由网络人侵导致系统或者服务部分或全部不可用。按照拒绝服务影响对象，可分为单系统、多系统和其他系统。1）单系统：网络人侵造成单个系统不可用，不影响到其他系统的运行。例如：阻断单个系统登录。2）多系统：网络人侵造成单个或多个系统不可用，影响到其他系统的服务使用。例如：服务器的拒绝服务人侵。.3）其他系统：网络人侵具有传播性，使得入侵目标系统外的系统也产生同样的网络入侵。例如：蠕虫入侵。3.3 完整性对数据或系统运行进行错误的输出，破坏数据和系统运行的完整性。1）数据完整性：人侵者修改原有数据。例如:数据注人、伪造邮件。2）系统完整性：人侵者修改系统运行方式。例如：预测重放、ARP伪装。4计算机网络入侵分级4.1分值表示本标准按照网络人侵不同分类对安全属性的威胁进行评分表示，采用了1～9标度分值。含义为：1—低威胁，3——稍微威胁，5--明显威胁，7——强烈威胁,9——极端威胁。网络入侵威胁按照：信息监听，信息探测，尝试登录，错误输出，突破安全访问机制，非授权执行代码，拒绝服务依次增强，具体分值对应表示关系如表1。2 GA/T 700—2007表 1分值对应表受影响的安全属性网络入侵威胁分值信息监听3一般信息非授权访1信息探测重要信息3一般用户1尝试登录机密性特殊用户3一般用户5非授权使用突破安全访问机制特殊用户7一般用户5非授权执行代码特殊用户7单系统5可用性拒绝服务多系统7其他系统9数据5完整性错误输出系统54.2分级方法4.2.1分值的计算网络入侵可能产生一个或多个可