GA公共安全标准-GAT 403.2-2002 信息技术 入侵检测产品技术要求 第2部分 主机型产品.pdf
《GA公共安全标准-GAT 403.2-2002 信息技术 入侵检测产品技术要求 第2部分 主机型产品.pdf》由会员分享,可在线阅读,更多相关《GA公共安全标准-GAT 403.2-2002 信息技术 入侵检测产品技术要求 第2部分 主机型产品.pdf(14页珍藏版)》请在三一文库上搜索。
1、I C S 3 5 . 0 2 0 I . 09 r . 1 中华人 民共和 国公 共安全 行业标准 GA / T 4 0 3 . 2 -2 0 0 2 信息技术入侵检测产品技术要求 第 2 部分: 主机型产品 I n f o r ma t i o n t e c h n o l o g y - T e c h n i c a l r e q u i r e me n t s f o r i n t r u s i o n d e t e c t i o n p r o d u c t s -P a r t 2 : Ho s t - b a s e d p r o d u c t s 2 0
2、0 2 一 1 2 一 1 1 发布 2 0 0 3 一 0 5一 0 1实施 中华人民共和国公安部发 布 GA/ T 4 0 3 . 2 -2 0 0 2 目次 月 舀 , , I 引言 , 一Q 1范围 , , 1 2 规范性引用文件 , . . . . . . . . . . . . . 1 3 术语和定义 , , , . . . . . . . . , . . . . . . l 4 主 机型人侵检测产品的组成和分级 , . . . . . . . . . . . . , 二1 4 . 1 产品组成 , , , . 1 4 . 2 产 品分级 , 1 5 工作环境 . . . . .
3、. . , . . . . . . . . . . , . . . . . . . . . . . . . . . . 2 5 . 1 系统接 入 , 2 5 . 2 工作环境安全 , , . 2 5 . 3 管理 人员 , , , . , . . . . . . . . . . . . . . . . . . , , . . . . . . . . . . . . . . . . . . . . . . . . 2 6 功能要求 , . . . . . 2 6 . 1 基本级主机型人侵检测产品组件功能要求 2 6 . 2 增强级主机型人侵检测产品扩展功能要求 4 7 性能要求 6 7 . 1
4、 误报率 , , , 6 7 . 2 漏报率 , , 6 7 . 3 平均响应时间 , . ,6 7 . 4稳定性 , , . . . , 6 7 . 5 C P U资源占用量 , , , . . . . . . . 6 7 . 6 存储空间资源占 用量 , , , . , . 6 7 . 7 内存占用量 , , , , , . 6 7 . 8 用户登录和资源访问 , . . . . . . . . . . . . . , , , 二6 7 . 9 网络通信 , 6 8 安全功能要求 , 6 8 . 1 安全功能组件 , 6 8 . 2 安全审计 , . 7 8 . 3 标识和鉴别 , , ,
5、 7 8 . 4 安全管理 , , . . . . , . . . . . . . . . . . . . . . . . . . . . 7 8 . 5 安全功能保护 , . . . . . . . . . . . S 9 安全保证要求 , , . 8 9 . 1 配置管理保证 , . . . 8 9 . 2 操作保证 , . . . . . . . 8 9 . 3 开发过程保证 , . . 8 9 . 4 指南文件保证 , , , 9 GA/ T 4 0 3 . 2 -2 0 0 2 m li舌 GA / T 4 0 3 信息技术人侵检测产品技术要求 分为两个部分: 第 1 部分: 网络型
6、产品; 第 2 部分: 主机型产品。 本部分为 G A/ T 4 0 3 的第 2 部分。 本部分由中华人民共和国公安部公共信息网络安全监察局提出。 本部分由公安部信息系统安全标准化技术委员会归口。 本部分由北京中科网威信息技术有限公司、 公安部第二研究所负责起草。 本部分主要起草人: 潘玉殉、 杨威、 曾明、 余立新、 肖江、 刘兵、 丁宇征 G A/ T 4 0 3 . 2 -2 0 0 2 引言 本部分是GA / T 4 0 3的第2部分。本部分规定了主机型人侵检测产品的技术要求。 人侵检测产品的目的是发现人侵行为。它通过对计算机网络中的若干关键点或被监测主机系统收 集安全相关信息并对其
7、进行分析, 从而发现网络和系统中违反安全策略的行为和被攻击的迹象。当把 人侵检测产品看成是完成一定安全 目标的系统时, 我们又可称之为人侵检测系统( I D S ) 。与其他安全 产品相比, 人侵检测产品具有更强的智能分析功能。人侵检测产品能简化管理员的工作, 保障网络的安 全运行 。 GA/ T 4 0 3 . 2 -2 0 0 2 信息技术入侵检测产品技术要求 第 2部分: 主机型产品 范 围 G A / T 4 0 3的本部分规定了采用传输控制协议/ 网间协议( TC P / I P ) 的主机型人侵检测产品的工作 环境、 功能要求、 性能要求、 安全功能要求和安全保证要求。 本部分适用
8、于主机型人侵 检测 产品的研制 、 开发、 测评和采购 。 2规范性 引用 文件 下列文件中的条款通过 G A/ T 4 0 3的本部分的引用而成为本部分的条款。凡是注 日期的引用文 件, 其随后所有的修改单( 不包括勘误的内容) 或修订版均不适用于本部分, 然而, 鼓励根据本部分达成 协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件, 其最新版本适用于本 部 分。 G B / T 5 2 7 1 . 8 -2 0 0 1 信息技术词汇第 8 部分: 安全( i d t I S O/ I E C 2 3 8 2 - 8 ; 1 9 9 8 ) GB / T 4 0 3 . 1
9、 - 2 0 0 2信息技术人侵 检测产品技术要求第 1部分 : 网络型产品 术语和定义 GB / T 5 2 7 1 . 8 -2 0 0 1和G A/ T 4 0 3 . 1 -2 0 0 2 确立的术语和定义适用于 G A / T 4 0 3的本部分。 4主机型入侵检测产 品的组成和分级 4 . 1 产品组成 4 . 1 . 1 事件产生单元( I D S - G E N ) 获取主机数据信息, 使人侵检测产品能捕获策略定制的主机状态信息。该单元通过在主机系统上 的代理实现基本功能。 4 . 1 . 2 事件分析单元( I D S _ A N L ) 采用分析检测技术, 通过收集主机的运
10、行状态与已指定的基本状态进行比较, 从而检测可能存在的 攻击 。 4 . 1 . 3响应单元 ( I DS RS P ) 响应单元对检测到的事件作出反应, 通常有报警、 记录和主动保护三种反应手段。通过在主机系统 上的代理实现其基本功能。 4 . 1 . 4审计单元( I DS _ F AU) 审计单元在违反安全策略的事件发生时, 对事件发生的时间、 主体和客体信息等进行审计和记录。 4 . 1 . 5 管理控制单元( I D S we MA N) 管理控制单元负责策略定制、 日志审阅和系统状态管理, 并以可视化形式提交给授权用户进行 管理 。 4 . 2 产品分级 对主机型人侵检测产 品分成
11、两个级别 , 即基本级和增强级 。 GA / T4 0 32 一2 0 0 2 基本级 具备基本的人侵检测功能, 对所保护对象具有可靠的保护功能。 增强级 除具备基本级的产品各项要求外, 在功能要求和性能要求 仁, 有扩展的或更高的要求。 5 工作环 境 51 系统接入 511 主机型人侵检测产品的代理端应被正确安装在受保护主机上, 代理端和管理端处于连通状态。 512 应具备严格的访问控制机制, 非授权人员不能管理人侵检测产品。 5 . 2 工作环境安全 521 应防止对人侵检测产品非授权的物理访问。 522 人侵检测产品的安装应由授权管理人员实施。 523 人侵检测产品的安装应实行严格的控
12、制管理 53 管理人员 531 指定一个或多个能胜任工作的人员来管理人侵检测产品及其所含信息的安全 532人侵检测 产品只能被授权用 户访 问。 6功能 要求 61 基本级主机型入侵检测产品组件功能要求 611 基本级主机型入侵检测产品功能组件 主机型人侵检测产品功能组件要求分为事件产生单元组件要求、 事件分析单元组件要求、 响应单元 组件要求、 审计单元组件要求和管理控制单元组件要求共5类。各类功能组件如表 1 所示 表 1 基本级主机型入侵检测产 品功能组件 功能组件 H一 组件要求 1 1 ) 5 ( 子 EN . 1 数据采集 1 1 ) 5 ( 二 E习2 数据采集的实时性 1 1
13、) S AN l l 统计分析 异常分析I DS_ ANI . 2 I DS ANI. 3 主机系统日志分析 1 1 ) S AN I. 砚 文件完整性分析 I DS AN L . 5 分析记录 I DS RS I 1 报臀 I DS RS I 2 报警记录 I DS FA UI 审计记录 审计纪录的创建、 储存和删除 I DS FA U. 2 I DS FA U. 3 审计记录查询 I DS-FAU. 4审计记录保存 一 I DSFAUt s 数据库支持 管理功能 远 程管理 身份鉴别和认证 易用性 1 1 ) S M A N. 1 1 1 ) S M A N. 2 I DS M A N.
14、3 I DS M A N 4 GA/ T 4 0 3 . 2 - 2 0 0 2 6 . 1 . 2 事件产生单元组件要求( I D S es G E N ) 6 . 1 . 2 . 1 I D S G E N . 1 获取策略定制的目标主机的各种状态信息。 事件产生单元应至少从目标主机收集以下信息: a ) 目标系统的启动和关闭; b ) 主机的资源使用情况; c ) 系统的日志, 审计的变化情况; d ) 标识和鉴别事件; c ) 服务请求; f ) 网络通信流量; 9 ) 安全配置的改变; h ) 策略定制的事件。 6 . 1 . 2 . 2 I D S es G E N . 2 数据采
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GA公共安全标准-GAT 403.2-2002 信息技术 入侵检测产品技术要求 第2部分 主机型产品 GA 公共 安全标准 GAT 403.2 2002 入侵 检测 产品 技术 要求 部分 主机
链接地址:https://www.31doc.com/p-3655783.html