GA/T 1542-2019 信息安全技术 基于IPv6的高性能网络入侵防御系统产品安全技术要求

ICS35.240

A.90

GA

中华人民共和国公共安全行业标准

GA/TXXXX—XXXX

信息安全技术基于IPv6的高性能网络入

侵防御系统产品安全技术要求

InformationsecuritytechnologySecuritytechnicalrequirementsforIPv6-based

high-performancenetworkintrusionpreventionsystemproducts

（报批稿）

XXXX-XX-XX发布XXXX-XX-XX实施

中华人民共和国公安部发布

GA/TXXXX—XXXX

目次

前言III

1范围1

2规范性引用文件1

3术语和定义1

4缩略语2

5基于IPv6的高性能网络入侵防御系统产品描述2

6总体说明3

6.1安全技术要求分类3

6.2安全等级划分3

7安全功能要求3

7.1入侵事件分析功能要求3

7.2入侵事件响应功能要求3

7.3入侵事件审计功能要求4

7.4管理控制功能要求4

8自身安全功能要求5

8.1标识与鉴别5

8.2安全管理6

8.3审计日志6

9环境适应性要求7

9.1支持纯IPv6网络环境7

9.2IPv6网络环境下自身管理7

9.3支持IPv6过渡网络环境（可选）7

10性能要求7

10.1吞吐率7

10.2延迟7

10.3最大并发连接数8

10.4最大连接速率8

10.5误截和漏截8

11安全保障要求8

11.1开发8

11.2指导性文档9

11.3生命周期支持9

11.4测试10

11.5脆弱性评定11

12不同安全等级要求11

12.1安全功能要求11

12.2自身安全功能要求12

I

GA/TXXXX—XXXX

12.3安全保障要求12

II

GA/TXXXX—XXXX

前言

本标准按照GB/T1.1-2009给出的规则起草。

本标准由公安部网络安全保卫局提出。

本标准由公安部信息系统安全标准化技术委员会归口。

本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心。

本标准主要起草人：顾建新、邵东、付文彬、顾健、张笑笑、顾玮。

III

GA/TXXXX—XXXX

信息安全技术基于IPv6的高性能网络入侵防御系统产品安全技术

要求

1范围

本标准规定了基于IPv6的高性能网络型入侵防御系统产品的安全功能要求、自身安全功能要求、环

境适应性要求、性能要求、安全保障要求以及等级划分。

本标准适用于基于IPv6的高性能网络型入侵防御系统产品的设计、开发及测试。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T18336.3-2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件

GB/T25069-2010信息安全技术术语

GB/T28451-2012信息安全技术网络型入侵防御产品技术要求和测试评价方法

3术语和定义

GB/T18336.3-2015、GB/T25069-2010和GB/T28451-2012界定的以及下列术语和定义适用于本文

件。

3.1

基于IPv6的高性能网络型入侵防御系统产品IPv6-basedhighperformancenetworkintrusion

preventionsystemproduct

以透明网桥或网关形式部署在网络通路上，通过分析网络流量发现具有入侵特征的网络行为，在其

传入被保护网络前进行拦截的产品，能够适用于IPv4、IPv6等不同的高性能网络应用场景。

3.2

安全事件incident

通过对事件的分析处理，从而识别出一种系统、服务或网络状态的发生，表明一次可能的违反安全

规则或某些防护措施失效，或者一种可能与安全相关但以前不为人知的一种情况，极有可能危害业务运

行和威胁信息安全。

3.3

入侵intrusion

任何危害或可能危害资源完整性、保密性或可用性的行为。

3.4

1

GA/TXXXX—XXXX

告警alert

当发现攻击或入侵事件时，高性能入侵防御系统向授权管理员发出的紧急通知。

3.5

误截falsepositive

在未出现攻击事件时，入侵防御系统产品对正常网络流量进行拦截的行为。

3.6

漏截falsenegative

当攻击事件发生时，入侵防御系统未进行拦截的行为。

4缩略语

下列缩略语适用于本文件。

IPv6：互联网协议第6版（InternetProtocolVersion6）

NFS：网络文件系统（NetworkFileSystem）

TFTP：简单文件传输协议（TrivialFileTransferProtocol）

5基于IPv6的高性能网络入侵防御系统产品描述

本标准提出了基于IPv6的高性能网络入侵防御系统产品的安全功能要求和安全保障要求。网络入

侵防御产品通常以网桥、路由或透明模式部属在受保护网络出口，将网络划分为外网和内网，产品功能

是在内外网之间建立安全防护点，通过分析网络通信数据内容，根据预先定义的攻击防御规则和其他防

护策略，对网络通讯数据进行解析并过滤，抵御来自外网的攻击，保护内网用户资源或者内网服务器，

并向被保护的网络提供安全的访问服务请求或者应答。此外，适用于下一代互联网网络环境的入侵防御

产品的协议栈除支持IPv4外，还应支持IPv6、IPv4/IPv6过渡技术，并具备较高的处理性能。

网络型入侵防御产品保护的资产是受安全策略保护的网络服务和用户资源等，此外，入侵防御产品

本身及其内部的重要数据也是受保护的资产。

下图1是网络入侵防御产品的一个典型部署环境，左图是企业内网防护场景，网络入侵防御产品防

护企业用户免受来自互联网的威胁，右图是关键服务器防护场景，网络入侵防御产品防护关键服务器免

受外部威胁。

RouterRouter

Firewall

Firewall客户端区

IPSIPS

企业内网

服务器区

图1网络入侵防御系统产品典型运行环境

2

GA/TXXXX—XXXX

6总体说明

6.1安全技术要求分类

本标准将基于IPv6的高性能网络入侵防御系统产品安全技术要求分为安全功能要求、自身安全功能

要求、环境适应性、性能要求和安全保障要求。其中，安全功能要求是对产品应具备的安全功能提出具

体要求，包括入侵事件分析功能要求、入侵事件响应功能要求、入侵事件审计功能要求、管理控制功能

要求；自身安全要求包括标识与鉴别、安全管理和审计日志；安全保障要求针对基于IPv6的高性能网络

入侵防御系统产品的生命周期过程提出具体的要求，例如配置管理、交付和运行、开发和指南文件等。

6.2安全等级划分

基于IPv6的高性能网络入侵防御系统产品的安全等级按照其安全功能要求、自身安全功能要求和

安全保障要求的强度划分为基本级和增强级，其中安全保障要求参考了GB/T18336.3—2015。

7安全功能要求

7.1入侵事件分析功能要求

7.1.1数据收集

产品应具有实时收集流入目标网络内所有数据包的能力。

7.1.2协议分析

产品应至少但不限于分析基于以下协议的事件：IP、ICMP、ARP、RIP、TCP、UDP、RPC、HTTP、

FTP、TFTP、IMAP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS、NNTP等。

7.1.3入侵发现

产品应能发现协议中的入侵行为。

7.1.4入侵逃避发现

产品应能发现躲避或欺骗检测的行为，如IP碎片重组，TCP流重组，协议端口重定位，URL字符

串变形，shell代码变形等。

7.1.5流量监测

产品应对目标环境中的应用流量进行监测。

7.2入侵事件响应功能要求

7.2.1拦截能力

产品应对发现的入侵行为进行预先拦截，防止进入目标网络。

7.2.2安全告警

产品应在发现并拦截入侵行为时，进行安全警告。

7.2.3告警方式

3

GA/TXXXX—XXXX

产品的告警方式包括屏幕实时提示、E-mail告警、声音告警、短信息等中的一种或多种方式。

7.2.4例外规则

为减少对特定内网终端的影响，产品应支持主机隔离；同时为了关键业务系统的连续性，产品应支

持添加例外规则。

7.2.5事件合并

产品应具有对高频度发生的相同安全事件进行合并告警，避免出现告警风暴的能力，其频度可设置。

7.2.6事件定位

产品应支持事件定位，可以定位到攻击源的地理位置（国家、城市），便于追溯。

7.3