GA_T 403.2-2014信息安全技术 入侵检测产品安全技术要求 第2部分：主机型产品.pdf

ICS 35.240GAA 90中华人民共和国公共安全行业标准GA/T 403.2--2014代替GA/T403.2—2002信息安全技术入侵检测产品安全技术要求第2部分：主机型产品Information security technology-Security technical requirements for intrusion detection products-Part 2 : Host - based products2014-03-24 发布2014-03-24实施中华人民共和国公安部发布 中华人民共和国公共安全行业标准信息安全技术入侵检测产品安全技术要求第2部分：主机型产品GA/T 403.2---2014*中国标准出版社出版发行北京市朝阳区和平里西街甲2号（100029)北京市西城区三里河北街16号（100045)网址 总编室：（010行中心：（010者服务部：（010国标准出版社秦皇岛印刷厂印刷各地新华书店经销*开本 880×1230 1/16 印张 1.55字数 38千字2014年5月第一版　2014年5月第一次印刷*书号：155066·2-27090如有印装差错由本社发行中心调换版权专有侵权必究举报电话：（010 GA/T 403.2—20147.4.2事件数据库产品的事件数据库应包括事件定义和分析、详细的漏洞修补方案、可采取的对策等。7.4.3事件分级产品应按照事件的严重程度将事件分级。7.4.4策略配置应提供产品策略配置方法和手段。7.4.5产品升级产品应具有更新、升级产品和事件库的能力。7.4.6集中管理产品应设置集中管理中心，对分布式、多级部署的人侵检测产品进行统一集中管理，形成多级管理结构。7.4.7同台管理对同一个厂家生成的产品，如果同时具有主机型入侵检测产品和网络型人侵检测产品，二者可被同一个控制台统一进行管理。7.5检测结果处理要求7.5.1事件记录产品应记录并保存检测到的人侵事件。人侵事件信息应至少包含以下内容：事件发生时间、源地址、目的地址、危害等级、事件详细描述以及解决方案建议等。7.5.2事件可视化用户应能通过管理界面实时清晰地查看人侵事件。7.5.3报告生成产品应能生成详尽的检测结果报告。7.5.4报告查阅产品应具有浏览检测结果报告的功能。7.5.5报告输出7.6产品灵活性要求7.6.1报告定制产品应支持授权管理员按照自已的要求修改和定制报告内容。 GA/T 403.2—20147.6.2窗口定义产品应支持用户自定义窗口显示的内容和显示方式。7.6.3事件定义产品应允许授权管理员自定义事件，或者对默认提供的事件做修改，并应提供方便、快捷的定义方法。7.6.4通用接口产品应提供对外的通用接口，以便与其他安全设备(如网络管理软件、防火墙等)共享信息或规范化联动。7.7身份鉴别7.7.1管理员鉴别产品应在管理员执行任何与安全功能相关的操作之前对管理员进行鉴别。7.7.2鉴别失败的处理当管理员鉴别尝试失败连续达到指定次数后，产品应锁定该账号或登录IP。最多失败次数仅由授权管理员设定。7.7.3鉴别数据保护产品应保护鉴别数据不被未授权查阅和修改。7.7.4超时设置产品应具有管理员登录超时重新鉴别功能。在设定的时间段内没有任何操作的情况下，终止会话，需要再次进行身份鉴别才能够重新管理产品。最大超时时间仅由授权管理员设定。7.7.5多鉴别机制产品应提供多种鉴别方式，或者允许授权管理员执行自定义的鉴别措施，以实现多重身份鉴别措施。多鉴别机制应同时使用。7.7.6会话锁定产品应允许管理员锁定自已的交互会话，锁定后需要再次进行身份鉴别才能够重新管理产品。7.8管理员管理7.8.1标识唯一性产品应保证所设置的管理员标识全局唯一。7.8.2用户属性定义产品应为每个管理员保存安全属性表，属性应包括：管理员标识、鉴别数据、授权信息或管理组信息、其他安全属性等。6 GA/T 403.2—20147.8.3安全行为管理产品应仅允许授权管理员对产品的功能具有禁止、修改的能力。7.8.4管理员角色产品应设置多个角色，不同的角色具有不同的管理权限，以增加产品管理的安全性。7.8.5安全属性管理产品应仅允许授权角色可以对指定的安全属性进行查询、修改、删除、改变其默认值等操作。7.9安全审计7.9.1审计数据生成产品应能为下述可审计事件产生审计记录：审计级别以内的所有可审计事件(如鉴别失败等重大事件)等。应在每个审计记录中至少记录如下信息：事件的日期和时间，事件类型，主体身份，事件的结果(成功或失败)等。7.9.2审计数据可用性审计数据的记录方式应便于管理员理解。7.9.3审计查阅产品应为授权管理员提供从审计记录中读取全部审计信息的