Ｉ ＣＳ ３５．２耳０ Ａ ９０ 中华 人 民共 和 国公 共 安全 行 业标 准 ＧＡ／Ｔ ６９６一 ２００７ 信息 安全技 术 单机 防入 侵产 品安全 功 能要求 Ｉ ｎｆ ｏｒ ｍａｔ ｉ ｏ ｎｓ ｅ ｃ ｕｒ ｉ ｔ ｙｔ ｅ ｃ ｈｎｏ ｌ ｏ ｇｙ 一Ｓｅ ｃ ｕｒ ｉ ｔ ｙｆ ｕ ｎｃ ｔ ｉ ｏｎａ ｌｒ ｅ ｑｕ ｉ ｒ ｅ ｍｅ ｎｔ ｓｆ Ｏｒ Ｐｒ ｏｄｕｃ ｔ ｓｏｆＰｒ ｏ ｔ ｅ ｃ ｔ ｉ ｎｇｓ ｔ ａ ｎｄ一 ａｌ ｏ ｎｅｃ ｏｍＰｕｔ ｅ ｒｆ ｒ ｏｍ ｉ ｎｔ ｒ ｕ ｓ ｉ ｎ ｏ ２０ ０７ 一 ０ ５一 １ ４发布 ２００７一 ０７一０１实 施 中华人民共和国公安部 发 布 ＧＡ／Ｔ ６９６一 ２００７ 月Ｕ 吕 本标准由公安部公共信息 网络安全监察局提 出。 本标准由公安部信息系统安全标准化技术委员会归 口。 本标准起草单位 ： 公 安部计算机信息系统安全产品质量监督检验中心 本标准主要起草人 ： 陆臻 、 张奕 、 顾玮、 沈亮 、 赵婷 、 张岚 、 顾健。 ＧＡ／Ｔ ６９６一 ２００７ 信息安全技术 　　　　　　　　 单机防入侵产品安全功能要求 范围 本标准规定了信息安全技术单机防人侵产品 的安全功能要求和保证要求 。 本标准适用于信息安全技术单机防人侵产品 的生产及检测 。 ２ 规 范 性 引 用 文件 下列 文件中的条款通过本标准的引用而成为本标准 的条 款 凡是注 日期 的引用文件 ， 　　　　 其随后所有 的修 改单 （ 不包括勘误 的内容） 或修订版均不适用于本标准 ， 然而 ， 鼓励根据本标准达成协议 的各方研究 是否 可使 用这些文件的最新版本 。凡是不注 日期的引用文件 ， 其最新 版本适用于本标准。 ＧＢ 　　　　 ／ Ｔ１８ ３３ ６． ３一２ ｏ０ １ 信息技术 安全技术 信息技术安全性评估准则 第 ３部分 ： 安全保证要 求 （ｉ ｄｔＩＳＯ／Ｉ ＥＣ １５４ＯＳ一３：１９９９） 术语和定义 下列 术语 和定义适用于本标准。 单机防入侵产品 　　　　 ｐ ｒ ｄｕ ｏ ｃ ｔｏ ｆｐｒ ｏ ｔ ｅ ｃ ｔ ｉ ｎｇａ ｎｄｐ ｒ ｅ ｖ ｅ ｎｔ ｉ ｎｇｉ ｎｔ ｒ ｕｓ ｉ ｏｎｏ ｎｓ ｔ ａ ｎｄ 一 ａ ｌ ｏ ｎｅｃ ｏｍｐｕｔ ｅ ｒ 　　　　 一 个运行于单机上的软件 。它可以截取 单机上进行 的人站和 出站 ＴＣＰ／ ＩＰ网络连接尝试 ， 并使用 预先定 义的规则 允许 和禁止其 连接。 ４ 单机防入侵产品的安全功能要求 ４．Ｉ Ｉ Ｐ数据包过滤 依据 ＴｃＰ 　　　　 ／Ｉ Ｐ 协议中的网络数据包的数据格式约定， 每一条匹配规则应由下列要素组成： ） 数据包方 向（ ａ 　　　　 连接发起方／ 接 收方 ） 。 ） 远程 Ｉ ｂ 　　　　 Ｐ 地址（ 任何 Ｉ Ｐ 地址／指定 Ｉ Ｐ 地址／指定 Ｉ Ｐ 地址范 围） 。 　　　　 ｃ ） 协议的匹配 ， 具体 协议 至少应包括 ： 　　　　　　　　 １ ） Ｉ ＣＭＰ数据包过滤 根据 Ｉ 　　　　　　　　　　　　 ＣＭＰ网络数据包 中的类型和代码字段进 行设定 ， 当匹配到相 同类型 和代码字段 时 则按对应规则中的数据包处理方式进行处理 ； 　　　　　　　　　　　　 　　　　　　　　 ２ ） ＵＤＰ数据包过滤 根据 ＵＤＰ网络数据包中的本地端 口［ 　　　　　　　　　　　　 包括单一端 口和（ 或） 端 口范围］和 （ 或） 远程端 口［ 包 括单一端 口和（ 　　　　　　　　　　　　 或） 端 口范围〕 进行规则匹 配； 　　　　　　　　 ） ３ ＴＣＰ数据包过滤 根据 ＴＣＰ网络数据包 中的本地端 口仁包括单 一端 口和＜ 　　　　　　　　　　　　 或）端 口范围］ 和（ 或） 远程端 口［ 包 括 单一端 口和（ 　　　　　　　　　　　　 或） 端 口范围口， 以及 ＴＣＰ数据包的标志位进行规则 匹配过滤 。 ４． ２ 过滤 动作 单机防人侵产 品应具有对数据包进行下述过滤 动作 的能力 ： 　　　　 ａ） 拦 截 ； 　　　　 １ 　　　　　　　　　 ＧＡ／Ｔ６９６一 ２００７ ｂ） 通 行 ； 　　　　　　 ｃ） 继续匹配下一规则 。 　　　　 ４ ．３ 安全规则的修订 　　　　 ） ａ 用户能选择使用或弃用单机防人侵产 品提供 的安全规则 ； ） 用户能根据 ４．１中的格式规定添加、 ｂ 　　　　 删除 、 修改 自定义安全规则 。 ４ ． ４ 对特定 网络攻击数据包的拦截 ） 单 机防人侵产品应具备对于一些特定攻击 的抵挡及防御能力 ； ａ 　　　　 ） 配合抵御攻击 的能力 ， ｂ 　　　　 单机防人侵产 品应具备建立可更新 的攻击特征库 的能力 。 ４， ５ 应用程序 网络访问控制 单 机防人侵产品的安全功能应包括能控制每个应用程 序使用 网络权 限 ， 　　　　 对应 用程序网络访 问控制 包括 以下三种方式 ： ａ 　　　　 ） 允许访 问：允许该程序使用 网络 ； 　　　　 ） ｂ 禁止访问 ： 禁止该 程序使用网络 ； ｃ） 网络访问时询 问： 　　　　 当应用程序访问网络时 ， 单机防人侵产 品应对其将进行 的访问操作 向用 户提 供详细 的报告及询 问， 　　　　　　　　 根据询问结果对应用程序访问 网络的行为进行相应处理。 ４． ６ 网络快速切断／恢复 以快捷 的方式切 断／ 　　　　 恢复所有 网络通讯 。 ４，７ 包 过 滤 、网 络 攻 击 的 日志 记 录 ） 应提供一个 网络通 讯 日志， ａ 　　　　 便于用户查阅网络系统近况。 　　　　　　　　 日志项 目应至少包括如下数据项 通讯 日期 时间 、 接 受／ 发送／拦截情 况、 对方 Ｉ Ｐ 地址 、 本机端 口、 　　　　　　　　 对 方端 口、 备注 日志数据项 的内部数据结构定 义可参考如下 ： 　　　　　　　　 　　　　　　 数据项 １．通讯 日期时间 　　　　　　 类型 字符 长度 ８字节 　　　　　　 ２ ．接受／ 发送／拦截情况 ３．对方 Ｉ 　　　　　　 Ｐ 地址 ４ 　　　　　　 ．本机端 口 字符 字符 字符 １字节（ 三种情况分别用 。、 １、 ２表示） ２ 字节 １ ５字节 ５ 　　　　　　 ．对方端 口 字符 ５字节 　　　　　　 ６ ，备注 字符 ） 系统应提供 日志 的清空功能 ｂ 　　　　 ０。字节（ １ 受攻击种类或内部通讯程序） 　　　　 ｃ ） 日志信息应为人所 能理解 。 ｄ） 日志信息应存储在永久性存储介质 中 　　　　 ４． ８ 网络攻击的报普 根据 匹配系统指定规则发现异常网络数据包 ， 　　　　 单机 防人侵产 品应 以一定方式警告用户 ， 以及提示用 户采取 哪些措施 ４９ 产品 自身安全 若 产 品涉 及 分 级 访 问控 制 的 功 能 ， 　　　　 则 其 管 理 控 制 还 需 具 备 基 本 的身 份 鉴 别 功 能 。 ５ 单 机防入侵产品的保证要求 保 证 要 求 按 ＧＢ／Ｔ １８３３６，３一 ２００ １ 第二级执行 。 ６ 单 机 防 入侵 产 品 的 安 全 等 级 划 分 依据信息安全技术单机 防人侵产 品的开 发、 生产现状及实际应用情况 ， 对单机 防人侵产 品的安全功 ＧＡ／Ｔ６９６一 ２００７ 能要求 划分成 两个等级。 单机 防人侵产品的安全等级划分如表 １所示 。 　　　　 表 ， 信息安全技术单机防入侵产 品安全等级划分表 　　　　　　　　　　　　　　　　　　　　　　 基本要求” 安全功能类 增强要求“ ４．Ｉ Ｉ Ｐ数据包过滤 了 丫 ４． ２ 过滤动作 了 丫 丫 ４． ３ 安全规则的修订 ａ） ４． ４ 对特定网络攻击数据包的栏截 了 ｂ） ４．５ 应用程序网络访问控制 丫 丫 召 了 了 ４．６ 网络快速切 断／恢复 ４．７ 包过滤 、网络攻击 的日志记 录 丫 了 ４，８ 网络攻击 的报 警 丫 了 ４．９ 产 品自身安 全 丫 丫 ５ 保证要求 了 丫 基 本要 求：为单机 防人侵 产品的最低安全级别要求。 　　 ｂ 增强要求： 为进一步提升产品安全功能的附加要求