GA/T 910-2020 信息安全技术 内网主机监测产品安全技术要求

ICS35240

A90.

中华人民共和国公共安全行业标准

GA/T910—2020

代替

GA/T910—2010

信息安全技术

内网主机监测产品安全技术要求

Informationsecuritytechnology—

Securitytechnicalrequirementsforintranet-hostmonitoringproducts

2020-03-03发布2020-05-01实施

中华人民共和国公安部发布

GA/T910—2020

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

安全功能要求

4……………1

安全监测功能

4.1………………………1

安全控制功能

4.2………………………3

组件安全

4.3……………4

受控主机管理

4.4………………………4

安全管理

4.5……………5

审计功能

4.6……………6

安全保障要求

5……………6

开发

5.1…………………6

指导性文档

5.2…………………………7

生命周期支持

5.3………………………8

测试

5.4…………………8

脆弱性评定

5.5…………………………9

安全等级划分及要求

6……………………9

等级划分

6.1……………9

安全功能要求

6.2………………………9

安全保障要求

6.3………………………10

GA/T910—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术内网主机监测产品安全技术要求与

GA/T910—2010《》,GA/T910—

相比主要技术变化如下

2010:

修改了等级划分要求将等级划分为基本级和增强级两级见第章年版的第章

———,(6,20107);

修改了安全功能要求将监测功能和控制功能分开见年版的第章

———,(4.1、4.2,20104);

修改了安全保障要求见第章年版的第章

———(5,20105);

增加了打印监测见

———(4.1.7);

增加了主机安全策略监测和主机安全策略加固见

———(4.1.11、4.2.7);

增加了受控主机管理要求见

———(4.4)。

本标准由公安部网络安全保卫局提出

。

本标准由公安部信息系统安全标准化技术委员会归口

。

本标准起草单位公安部计算机信息系统安全产品质量监督检验中心

:。

本标准主要起草人邹春明田原刘瑞俞优陆臻沈亮

:、、、、、。

本标准的历次版本发布情况为

:

———GA/T910—2010。

Ⅰ

GA/T910—2020

信息安全技术

内网主机监测产品安全技术要求

1范围

本标准规定了内网主机监测产品的安全功能要求安全保障要求和等级划分要求

、。

本标准适用于内网主机监测产品的设计开发及检测

、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息技术安全评估准则第部分安全保障组件

GB/T18336.3—20153:

信息安全技术术语

GB/T25069—2010

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T18336.3—2015GB/T25069—2010。

31

.

受控主机controlledhost

接受监控的内网主机

。

32

.

内网主机监测产品intranet-hostmonitoringproduct

对受控主机上的各项活动进行监测和或控制的产品

/。

33

.

非授权外联non-authorizedinternetconnection

内网主机未授权访问外部网络的行为

。

34

.

外围接口externalinterface

计算机与外界进行数据交互的各种接口

。

4安全功能要求

41安全监测功能

.

411在线状态监测

..

产品应能对内网主机的以下状态进行监测

:

受控主机的在线状态代理运行状态

a)、;

设定地址范围内在线主机的代理安装情况

b)IP。

1

GA/T910—2020

412系统资源监测

..

产品能对受控主机的以下资源进行监测

:

硬件配置情况如型号和主频硬盘型号和容量网络适配器主板声卡显卡等

a),CPU()、()、、、、;

操作系统基本情况操作系统类型版本磁盘分区共享文件及目录等

b):、、;

系统资源的使用情况如内存硬盘网络流量等

c),CPU、、、;

当内存网络流量磁盘已用空间等超过阈值时应采取适当方式进行报警

d)CPU、、、,。

413软件情况监测

..

产品能对受控主机的软件安装使用情况进行监测

、:

应用软件安装情况

a);

系统补丁安装情况

b);

软件安装卸载情况并对监测结果进行记录记录内容至少包括时间动作安装或卸载软

c)、,,、()、

件名称及版本

;

软件使用情况如最近使用时间使用频率等

d),、;

当受控主机未安装杀毒软件或病毒库长时间未更新时应采取适当方式进行报警

e),。

414进程监测

..

产品能对受控主机的进程进行监控

:

监测系统的可见进程任务管理器中可见

a)();

监测系统的隐藏进程

b);

当设定进程的状态违反安全策略时应采取适当方式进行报警

c),。

415系统服务监测

..

产品能对受控主机的系统服务进行监控

:

监测系统服务的状态启动停止启动方式等

a)(、、);

当设定系统服务的状态违反安全策略时应采取适当方式进行报警

b),。

416网络端口监测

..

产品能对受控主机的网络端口进行监控

:

监测系统所开放的端口

a)TCP/UDP;

当设定端口的状态违反安全策略时应采取适当方式进行报警

b),。

417打印监测

..

产品应能对受控主机的文件打印情况进行监测并对监测结果进行记录记录内容至少包括时间

,,、

文件名称份数和页数

、。

418上网情况监测

..

产品能对受控主机的上网活动进行监测并对监测结果进行记录

,:

至少一种上网活动如电子邮件即时通讯等

a)(:HTTP、、);

一般上网活动至少包括电子邮件即时通讯等

b)(HTTP、、FTP、TELNET、);

对所监测的上网服务情况应记录如下数据项

c),:

访问时间源或主机名目标

1)HTTP:、IP、URL;

2

GA/T910—2020

邮件访问时间源或主机名收件人地址发件人地址邮件主题

2):、IP、、、;

访问时间源或主机名服务器或

3)FTP:、IP、IPURL;

访问时间源或主机名服务器或

4)TELNET:、IP、IPURL;

即时通讯源或主机名账号上线时间下线时间

5):IP、、、。

419非授权外联监测

..

产品应能对受控主机的非授权外联行为进行监控

:

监测非授权外联行为并对监测结果进行记录记录内容至少包括时间外联主机的或主机

a),,,IP

名等

;

对非授权外联行为以适当的方式进行报警

b)。

4110