信息技术入侵防御产品安全检验规范(1)

下一页 1 2 3 4 5 

　　 

入侵防御产品是一种主动的、积极的入侵防范、阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。

入侵防御产品在网络边界检查到攻击包的同时将其直接抛弃，则攻击包将无法到达目标，从而可以从根本上避免黑客的攻击。这样，在新漏洞出现后，只需要撰写一个过滤规则，就可以防止此类攻击的威胁了。

当把入侵防御产品看成是一定安全目标的系统时，我们可称之为入侵防御系统（IPS）。IPS的检测功能类似于IDS，但IPS检测到攻击后会采取行动阻止攻击，可以说IPS是基于IDS的、是建立在IDS发展的基础上的新生网络安全产品。

本规范规定了入侵防御产品技术要求。

本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。

信息技术入侵防御产品安全检验规范 

1.范围

本规范规定了采用传输控制协议/网间协议（TCP/IP）的入侵防御产品技术要求。

本部分适用于入侵防御产品的研制、开发、测评和采购。

2.规范性引用文件

下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分。然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。

GB/T 5271.8  信息技术  词汇  第8部分：安全

3.术语和定义

3.1 本规范采用了GB/T 5271.8中的下列术语和定义：

安全策略  security policy

审计跟踪  audit trail

鉴别  authentication

脆弱性  vulnerability

威胁  threat

攻击  attack

主体  subject

客体  object

3.2 下列术语和定义适用于本部分。

3.2.1 入侵  intrusion

任何企图危害资源完整性、保密性或可用性的行为。

3.2.2 报警  alert

当有入侵正在发生或者正在尝试时，入侵防御系统向系统操作员、管理人员发出的紧急通知，可以消息、邮件等形式发出。

3.2.3 入侵特征  intrusion features

入侵防御系统预先定义好的能够确认入侵行为的特定信息。

4.入侵防御产品的组成

4.1 事件分析单元  (IPS_ANL)

采用相关的分析检测技术，对经过的信息进行分析，提取信息中所包含的事件特征。

4.2 响应单元  (IPS_RSP)

根据定义的策略对事件分析单元发送的消息进行响应。有以下三种响应手段：记录、报警和阻断。

4.3 审计单元  (IPS_FAU)

在违反安全策略的事件发生时，对事件发生的时间、主体和客体等信息进行记录和审计。

4.4 管理控制单元  (IPS_MAN)

负责入侵防御系统定制策略、审阅日志、系统状态管理，并以可视图形化形式提交授权用户进行管理。

5.工作环境

5.1 系统接入

5.1.1 入侵防御产品应提供网桥式部署方式接入网络的能力。

5.1.2 应具备严格的访问控制机制，非授权人员不应管理检测系统。

原文转自：http://www.ltesting.net