标准规范下载简介
GA/T 1542-2019 信息安全技术 基于IPv6的高性能网络入侵防御系统产品安全技术要求下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件 GB/T25069一2010信息安全技术术语 GB/T28451—20121 信息安全技术网络型人侵防御产品技术要求和测试评价方法
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分:安全保障 GB/T25069一2010信息安全技术术语 GB/T28451一2012信息安全技术网络型入侵防御产品技术要求和测试评价方法
GA/T1542—2019
基于IPv6的高性能网络入侵防御系统产品描述
本标准提出了基于IPv6的高性能网络入侵防御系统产品的安全功能要求和安全保障要求。网 络入侵防御产品通常以网桥、路由或透明模式部属在受保护网络出口,将网络划分为外网和内网,产 品功能是在内外网之间建立安全防护点,通过分析网络通信数据内容,根据预先定义的攻击防御规 则和其他防护策略GB/T 13747.18-2022 锆及锆合金化学分析方法 第18部分:钒含量的测定 苯甲酰苯基羟胺分光光度法和电感耦合等离子体原子发射光谱法.pdf,对网络通讯数据进行解析并过滤,抵御来自外网的攻击,保护内网用户资源或者 内网服务器,并向被保护的网络提供安全的访问服务请求或者应答。此外,适用于下一代互联网网 络环境的入侵防御产品的协议栈除支持IPv4外,还应支持IPv6、IPv4/IPv6过渡技术,并具备较高的 处理性能。 网络型入侵防御产品保护的资产是受安全策略保护的网络服务和用户资源等,此外,侵防御产品 本身及其内部的重要数据也是受保护的资产。 图1是网络人侵防御产品的一个典型部署环境,左图是企业内网防护场景,网络人侵防御产品防护 企业用户免受来自互联网的威胁,右图是关键服务器防护场景,网络人侵防御产品防护关键服务器免受 外部成助
图1网络入侵防御系统产品典型运行环境
6.1安全技术要求分类
基于IPv6的高性能网络入侵防御系统产品的安全等级按照其安全功能要求、自身安全功能要求和 安全保障要求的强度划分为基本级和增强级,其中安全保障要求参考了GB/T18336.3一2015
产品应具有实时收集流入目标网络内所有数据包的能力。
产品应至少但不限手分析: 、RIP、TCP、UDP、RPC、HT
追发现协议中的入侵行为
7.1.4入侵逃避发现
产品应能发现躲避或欺骗检测的行为,如IP碎片重组、TCP流重组、协议端口重定位、URL 变形、shell代码变形等。
产品应对目标环境中的应用流量进行监测。
产品应对发现的入侵行为进行预先拦截,防止进入目标网络,
产品应在发现并拦截入侵行为时,进行安全警告。
为减少对特定内网终端的影响,产品应支持主机隔离;同时为了关键业务系统的连续性, 持添加例外规则
产品应能对拦截行为及时生成审计记录。
产品应支持管理员按照自已的要求修改和定制报表内容,并输出成方便阅读的文件格式,至少支持 DOC、PDF、HTML、XLS等各式中的一种或多种
7.3.5报表模板的定制
产品应提供结果报表模板的定制功能。
7.4管理控制功能要求
产品应提供管理界面用于管理、配置人侵防御产品,管理界面应包含配置和管理产品所需的所有 功能。
7.4.4功能失效处理
产品应提供功能失效处理机制,当设备出现软硬件问题导致入侵防御功能失效时,用户可根据 择拦截或者放行网络流量。
产品应提供对入侵防御策略、响应措施进行配置的功能。
7.4.7管理接口独立
产品应具备独立的管理接
产品应具备独立的管理接口。
产品除支持默认的网络协议集外,还应允许授权管理员定义新的协议,或对协议的端 定位。
产品具备对应用流量进行控制的功能,例如:限制P2P下载流量等
产品应具备双机热备的能力。
产品应具备双机热备的能力。
产品应至少提供透明或者网桥接入方式,采取隐藏业务口IP地址等措施使自身在网络上不口 降低被攻击的可能性,
产品应提供使用默认值对创建的每个管理员的属性进行初始化的能力。
应在执行任何与安全功能相关的操作之前鉴别月
8.1.5鉴别数据保护
产品应保证鉴别数据不被未授权查阅或修改。
8.1.6鉴别失败处理
当用户鉴别失败的次数达到指定次数后
8.1.7超时锁定或注销
产品应具备登 的情况下,整正会适,需要 再次进行身份鉴别才售
8.2.1安全功能管理
授权管理员应能对产品进行以下管理操作: a)查看、修改相关安全属性; b)启动、关闭全部或部分安全功能; c)制定和修改各种安全策略。
8.2.2安全角色管理
产品应能对管理员角色进行区分: a)具有至少两种不同权限的管理员角色; b)根据不同的功能模块定义各种不同权限角色
8.2.3远程安全管理
诺产品支持通过网络进行: 术要求: )对远程会话信息进行保护 b)对远程管理主机的地址进行限制
8.3.1审计日志生成
8.3.2审计日志存储
8.3.3审计日志管理
产品应提供以下审计日志管理功能: a)只允许授权管理员访问审计日志; b)对审计日志的查询功能; c)保存及导出审计日志。
9.1支持纯IPv6网络环境
产品应支持纯IPv6网络环境,能够在纯IPv6网络环境下正常工作。
9.2IPv6网络环境下自身管理
产品应支持在IPv6网络环境下自身管理
9.3支持IPv6过渡网络环境(可选)
9.3.2.16over4
产品应支持6over4网络环境,能够在6over4网络环境下正常工作。 2 6to4 产品应支持6to4网络环境,能够在6to4网络环境下正常工作。
9.3.2.26to4
9.3.2.3ISATAP
立支持ISATAP网络环境,保证在ISATAP网络
GA/T 15422019
产品的吞吐率视不同速率的产品有所不同,具体指标要求如下: a)对64字节短包,百兆产品应不小于线速的20%,千兆及万兆产品应不小于线速的35%; b)对512字节中长包,百兆产品应不小于线速的70%,千兆及万兆产品应不小于线速的80% c)对1518字节长包,百兆产品应不小于线速的90%,千兆及万兆产品应不小于线速的95%; d)高性能入侵防衡系统产品在不丢包的情况下,对1518字节长包,整机处理能力应能够支控
产品的吞吐率视不同速率的产品有所不同,具体指标要求如下: a)对64字节短包,百兆产品应不小于线速的20%,千兆及万兆产品应不小于线速的35%; b)对512字节中长包,百兆产品应不小于线速的70%,千兆及万兆产品应不小于线速的80% c)对1518字节长包,百兆产品应不小于线速的90%,千兆及万兆产品应不小于线速的95% d)高性能人侵防御系统产品在不丢包的情况下,对1518字节长包,整机处理能力应能够
GA/T 1542—2019
GA/T 1542—2019
产品的延迟视不同速率的产品有所不同,具体指标要求如下: a)对64字节短包、512字节中长包、1518字节长包,百兆产品的最大延迟不应超过500μs; b)对64字节短包、512字节中长包、1518字节长包,千兆、万兆以及高性能人侵防御系统产品 最大延迟不应超过90uS。
产品的延退视不同速率的产品有所不同,具体指标要求如下: a)对64字节短包、512字节中长包、1518字节长包,百兆产品的最大延迟不应超过500μS; b)对64字节短包、512字节中长包、1518字节长包,千兆、万兆以及高性能人侵防御系统产品的 最大延迟不应超过90uS。
10.3最大并发连接数
最大并发连接数视不同速率的产品有所不同,具体指标要求如下: a)百兆产品的整机最大并发连接数应不小于10000个; b)千兆产品的整机最大并发连接数应不小于100000个; c)万兆产品的整机最大并发连接数应不小于1000000个; d)高性能入侵防御系统产品的整机最大并发连接数应不小于800万个
最大并发连接数视不同速率的产品有所不同,具体指标要求如下: a)百兆产品的整机最大并发连接数应不小于10000个; b)千兆产品的整机最大并发连接数应不小于100000个; c)万兆产品的整机最大并发连接数应不小于1000000个; d)高性能入侵防御系统产品的整机最大并发连接数应不小于800万个
最大连接数视不同速率的产品有所不同,具体指标要求如下: a)百兆产品的整机最大连接速率应不小于每秒1500个; b)千兆产品的整机最大连接速率应不小于每秒5000个; c)万兆产品的整机最大连接速率应不小于每秒50000个; d)高性能入侵防御系统产品的整机最大连接速率应不小于每秒50万个。
在正常背景流量条件下,产品的误截率
在正常背景流量和入侵流量混合条件下,产品的漏截率不可超过15%。
开发者应提供产品安全功能的安全架构描述,安全架构描述应满足以下要求: a)与产品设计文档中对安全功能实施抽象描述的级别一致; b)描述与安全功能要求一致的产品安全功能的安全域; c)描述产品安全功能初始化过程为何是安全的; d)证实产品安全功能能够防止被破坏; e)证实产品安全功能能够防止安全特性被旁路
开发者应提供完备的功能规范说明,功能规范说明应满足以下要求: a)完全描述产品的安全功能; b)描述所有安全功能接口的目的与使用方法; c)标识和描述每个安全功能接口相关的所有参数; d)描述安全功能接口相关的安全功能实施行为; e)描述由安全功能实施行为处理而引起的直接错误消息; f)证实安全功能要求到安全功能接口的追溯; g)描述安全功能实施过程中,与安全功能接口相关的所有行为; h)描述可能由安全功能接口的调用而引起的所有直接错误消息,
开发者应提供全部安全功能的实现表示,实现表示应满足以下要求: a)提供产品设计描述与实现表示实例之间的映射,并证明其一致性; b)按详细级别定义产品安全功能,详细程度达到无须进一步设计就能生成安全功能的程度 c)以开发人员使用的形式提供。
11.1.4 产品设计
开发者应提供产品设计文档,产品设计文档应满足以下要求: a)根据子系统描述产品结构; b)标识和描述产品安全功能的所有子系统; 描述安全功能所有子系统间的相互作用; d)提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口; e)根据模块描述安全功能; f)提供安全功能子系统到模块间的映射关系; g)描述所有安全功能实现模块,包括其目的及与其他模块间的相互作用; 描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用 调用的接口; 描述所有安全功能的支撑或相关模块,包括其目的及与其他模块间的相互作用。
11.2.1操作用户指南
运行之间的因果关系和联系; )充分实现安全目的所必需执行的安全策略
[11.2.2准备程序
开发者应提供产品及其准备程序,准备程序描述应满足以下要求: a)描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤; b)描述安全安装产品及其运行环境必需的所有步骤
[11.3生命周期支持
11.3.1配置管理能力
开发者的配置管理能力应满足以下要求: a)为产品的不同版本提供唯一的标识。 b 使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识配置项。 c)提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法。 d 配置管理系统提供一种自动方式来支持产品的生成,通过该方式确保只能对产品的实现表示 进行已授权的改变。 e 配置管理文档包括一个配置管理计划,配置管理计划描述如何使用配置管理系统开发产品, 实施的配置管理与配置管理计划相一致。 f)配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序
开发者的配置管理能力应满足以下要求: a)为产品的不同版本提供唯一的标识。 b)使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识配置项。 c)提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法。 d 配置管理系统提供一种自动方式来支持产品的生成,通过该方式确保只能对产品的实现表示 进行已授权的改变。 e 配置管理文档包括一个配置管理计划,配置管理计划描述如何使用配置管理系统开发产品。 实施的配置管理与配置管理计划相一致。 f)配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序
11.3.2配置管理范围
DB37/T 3362-2018 压力分散型悬锚式挡土墙设计与施工技术标准的并发者。配置项列表应包含以下内容 )产品、安全保障要求的评估证据和产品的组成部分; )实现表示、安全缺陷报告及其解决状态
开发者应使用一定的交付程序交付产品,并将交付过程文档化。在给用户方交付产品的各版本日 文档应描述为维护安全所必需的所有程序
[11.3.4开发安全
11.3.5生命周期定义
11.3.6工具和技术
12.2自身安全功能要求
不同安全等级的基于IPv6的高性能网络入侵防御系统产品的自身安全功能要求女
DB34/T 3325-2019 地下管线竣工测绘技术规程不同安全等级的基于IPv6的高性能网络入侵防御系统产品的安全保障要求如表3所示。
全等级的基于IPv6的高性能网络入侵防御系统