ICS 35.240 GA A90 中华人民共和国公共安全行业标准 GA/T1345-2017 信息安全技术 云计算网络 入侵防御系统安全技术要求 Information security technology-Security technical requirements for cloud computing network intrusion prevention system 2017-11-20发布 2017-11-20实施 中华人民共和国公安部 发布 GA/T 1345—2017 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准由公安部网络安全保卫局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、公安部第三研究所。 本标准主要起草人：顾建新、顾健、张笑笑、沈亮、赵婷、顾玮。 I GA/T1345—2017 信息安全技术云计算网络 入侵防御系统安全技术要求 1范围 本标准规定了云计算环境下的网络人侵防御系统产品的安全功能要求、安全保障要求和等级划分 要求。 本标准适用于云计算环境下的网络人侵防御系统产品的设计、开发及测试。 . 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件 GB/T25069—2010信息安全技术术语 3术语和定义 GB/T18336.3一2015和GB/T25069一2010界定的以及下列术语和定义适用于本文件 3.1 TCP流重组 TCPreassembly 攻击者将发送的攻击数据分别在一个会话连接中的多个数据包发出，以躲避人侵防御系统的检测 行为。 3.2 SHELL代码变形SHELLdeformation 攻击者利用其他方式替代原有程序指令并以一种伪随机的方式结合到一起，以躲避人侵防御系统 检测缓冲区溢出攻击的行为。 3.3 报警alert 当产品发现有人侵行为时，向用户发出的紧急通知。 3.4 南北向流量 north-southflow 云计算平台内部与外部交互的流量。 3.5 东西向流量 east-west flow 云计算平台内部交互的流量。 4缩略语 下列缩略语适用于本文件。 1 GA/T 1345-2017 DDOS：分布式拒绝服务（DistributedDenialofService） IP：网际协议(InternetProtocol) IPS：人侵防御系统（IntrusionPreventionSystem） TCP：传输控制协议（TransmissionControlProtocol) URL：统一资源定位器（UniversalResourceLocator） VLAN：虚拟局域网（VirtualLocalAreaNetwork） VXLAN：虚拟可扩展局域网（VirtualeXtensibleLocalAreaNetwork） 5云计算网络入侵防御系统描述 用户与各类云服务端资源进行交互过程中，从用户端至云端的各个虚拟服务器之间都有可能存在 网络入侵攻击行为，云计算环境下的网络入侵防御系统产品能够通过分析判断用户所访问资源的安全 性，经过协议分析、内容识别、特征提取匹配等方式，实现对人侵事件的有效识别和拦截，该产品通常以 服务模块或者虚拟机的形式呈现，由后台服务器与多个引擎组成，引擎部署于云环境下的多个节点。如 图1所示。 云服务器（IPS分析服务器） 云端防御 云防御 引擎1 云服务器区 其他应用服务器 用户 图1云计算网络入侵防御系统网络示意图 6总体说明 6.1安全技术要求分类 本标准将云计算网络人侵防御系统产品的技术要求分为安全功能要求和安全保障要求两个大类。 其中，安全功能要求是对云计算网络人侵防御系统产品应具备的安全功能提出的具体要求，包括人侵事 件分析功能要求、入侵事件响应功能要求、入侵事件审计功能要求、管理控制功能要求和自身安全功能 要求；安全保障要求是针对云计算网络入侵防御系统产品的开发和使用文档的内容提出的具体要求，例 如开发、指导性文档、生命周期支持、测试和脆弱性评定等。 6.2安全等级 本标准按照云计算网络人侵防御系统产品安全功能的强度划分安全功能要求的级别，参照 GB/T18336.3一2015划分安全保障要求的级别。安全等级突出安全性，分为基本级和增强级，安全功 能强弱和安全保障要求高低是等级划分的具体依据。 2 GA/T1345—2017 7安全功能要求 7.1入侵事件分析功能要求 7.1.1同一虚拟网络内的协议分析 产品应具有对同一虚拟网络内，东西向流量和南北向流量进行协议分析的功能。 7.1.2不同虚拟网络间的协议分析 产品应具有对不同虚拟网络间，东西向流量和南北向流量进行协议分析的功能。 7.1.3数据收集 产品应具有实时收集流入目标网络内所有数据包的能力。 7.1.4协议分析 产品应对收集的数据包进行协议分析，以采集、识别、特征提取等方式，自动分析判断用户所访问资 源过程的安全性。 7.1.5入侵发现 产品应能发现协议中的人侵行为。 7.1.6入侵逃避发现 产品应能发现躲避或欺骗检测的行为，如IP碎片重组、TCP流重组、协议端口重定位、URL字符 串变形、shell代码变形等。 7.1.7流量监测 产品应基于不同应用或者协议对目标环境中的流量进行监测。 7.1.8IPv6支持 产品应支持IPv6协议接入方式。 7.2入侵事件响应功能要求 7.2.1拦截能力 产品应对发现的入侵行为进行预先拦截，防止人侵行为进人目标网络。 7.2.2安全报警 产品应在发现并拦截人侵行为时，采取相应动作发出安全警告。 7.2.3报警方式 产品的报警方式应采取手机短信实时报警、E-mail报警、屏幕实时报警等一种或多种方式。 7.2.4事件合并 产品应具有对高频度发生的相同安全事件进行合并报警，避免出现报警风暴的能力。 3