GAT 696-2007信息安全技术 单机防入侵产品安全功能要求.pdf

ICS 35.240GAA 90中华人民共和国公共安全行业标准GA/T 696-—2007信息安全技术单机防入侵产品安全功能要求Information security technology--Security functional requirements forproducts of protecting stand-alone computer from intrusion2007-07-01实施2007-05-14 发布中华人民共和国公安部发布 GA/T 6962007前言本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心。本标准主要起草人：陆臻、张奕、顾玮、沈亮、赵婷、张岚、顾健。 GA/T 696-—2007信息安全技术单机防入侵产品安全功能要求1范围本标准规定了信息安全技术单机防人侵产品的安全功能要求和保证要求。本标准适用于信息安全技术单机防人侵产品的生产及检测。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T18336.3-2001信息技术　安全技术信息技术安全性评估准则第3部分：安全保证要求(idt ISO/IEC 15408-3:1999)3术语和定义下列术语和定义适用于本标准。3.1单机防入侵产品 product of protecting and preventing intrusion on stand-alone computer一个运行于单机上的软件。它可以截取单机上进行的人站和出站TCP/IP网络连接尝试，并使用预先定义的规则允许和禁止其连接。4单机防入侵产品的安全功能要求4.1IP数据包过滤依据 TCP/IP协议中的网络数据包的数据格式约定，每一条匹配规则应由下列要素组成：a）数据包方向（连接发起方/接收方）。b）远程IP地址（任何IP地址/指定IP地址/指定IP地址范围）。c)1协议的匹配，具体协议至少应包括：1）ICMP数据包过滤根据ICMP网络数据包中的类型和代码字段进行设定，当匹配到相同类型和代码字段时则按对应规则中的数据包处理方式进行处理；2）UDP数据包过滤根据UDP网络数据包中的本地端口［包括单一端口和(或)端口范围］和(或)远程端口［包括单一端口和(或)端口范围}进行规则匹配;3）TCP数据包过滤括单一端口和(或)端口范围］，以及TCP数据包的标志位进行规则匹配过滤。4.2过滤动作单机防入侵产品应具有对数据包进行下述过滤动作的能力：a）拦截;1 GA/T 696--2007b）通行;c）继续匹配下一规则。4.3安全规则的修订a）用户能选择使用或弃用单机防人侵产品提供的安全规则；b）用户能根据4.1中的格式规定添加、删除、修改自定义安全规则。4.4对特定网络攻击数据包的拦截a）单机防人侵产品应具备对于一些特定攻击的抵挡及防御能力;b）配合抵御攻击的能力，单机防人侵产品应具备建立可更新的攻击特征库的能力。4.5应用程序网络访问控制单机防入侵产品的安全功能应包括能控制每个应用程序使用网络权限，对应用程序网络访问控制包括以下三种方式：a）允许访问：允许该程序使用网络；b）禁止访问：禁止该程序使用网络；c）网络访问时询问：当应用程序访问网络时，单机防入侵产品应对其将进行的访问操作向用户提供详细的报告及询问，根据询问结果对应用程序访问网络的行为进行相应处理。4.6网络快速切断/恢复以快捷的方式切断/恢复所有网络通讯。4.7包过滤、网络攻击的日志记录a）应提供一个网络通讯日志，便于用户查阅网络系统近况。日志项目应至少包括如下数据项：通讯日期时间、接受/发送/拦截情况、对方IP地址、本机端口、对方端口、备注。日志数据项的内部数据结构定义可参考如下：数据项类型长度1．通讯日期时间字符8字节2．接受/发送/拦截情况字符1字节（三种情况分别用0、1、2表示）3．对方IP地址字符12字节4．本机端口字符5字节5.对方端口字符5字节6．备注字符100字节（受攻击种类或内部通讯程序）b）系统应提供日志的清空功能。c）日志信息应为人所能理解。d）日志信息应存储在永久性存储介质中。4.8网络攻击的报警根据匹配系统指定规则发现异常网络数据包，单机防入侵产品应以一定方式警告用户，以及提示用户采取哪些措施。4.9产品自身安全若产品涉及分级访问控制的功能，则其管理控制还需具备基本的身份鉴别功能。5单机防入侵产品的保证要求保证要求按GB/T18336.3一2001第二级执行。6单机防入侵