GA/T 696-2007信息安全技術(shù)單機(jī)防入侵產(chǎn)品安全功能要求

犐犆犛３５．２４０

犃９０

中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)

犌犃／犜６９６—２００７

信息安全技術(shù)

單機(jī)防入侵產(chǎn)品安全功能要求

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—犛犲犮狌狉犻狋狔犳狌狀犮狋犻狅狀犪犾狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉

狆狉狅犱狌犮狋狊狅犳狆狉狅狋犲犮狋犻狀犵狊狋犪狀犱犪犾狅狀犲犮狅犿狆狌狋犲狉犳狉狅犿犻狀狋狉狌狊犻狅狀

２００７０５１４發(fā)布２００７０７０１實(shí)施

中華人民共和國(guó)公安部發(fā)布

書(shū)

犌犃／犜６９６—２００７

前言

本標(biāo)準(zhǔn)由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局提出。

本標(biāo)準(zhǔn)由公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。

本標(biāo)準(zhǔn)起草單位：公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心。

本標(biāo)準(zhǔn)主要起草人：陸臻、張奕、顧瑋、沈亮、趙婷、張嵐、顧健。

Ⅰ

書(shū)

犌犃／犜６９６—２００７

信息安全技術(shù)

單機(jī)防入侵產(chǎn)品安全功能要求

１范圍

本標(biāo)準(zhǔn)規(guī)定了信息安全技術(shù)單機(jī)防入侵產(chǎn)品的安全功能要求和保證要求。

本標(biāo)準(zhǔn)適用于信息安全技術(shù)單機(jī)防入侵產(chǎn)品的生產(chǎn)及檢測(cè)。

２規(guī)范性引用文件

下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有

的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究

是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。

ＧＢ／Ｔ１８３３６．３—２００１信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第３部分：安全保證要

求（ｉｄｔＩＳＯ／ＩＥＣ１５４０８３：１９９９）

３術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。

３．１

單機(jī)防入侵產(chǎn)品狆狉狅犱狌犮狋狅犳狆狉狅狋犲犮狋犻狀犵犪狀犱狆狉犲狏犲狀狋犻狀犵犻狀狋狉狌狊犻狅狀狅狀狊狋犪狀犱犪犾狅狀犲犮狅犿狆狌狋犲狉

一個(gè)運(yùn)行于單機(jī)上的軟件。它可以截取單機(jī)上進(jìn)行的入站和出站ＴＣＰ／ＩＰ網(wǎng)絡(luò)連接嘗試，并使用

預(yù)先定義的規(guī)則允許和禁止其連接。

４單機(jī)防入侵產(chǎn)品的安全功能要求

４．１犐犘數(shù)據(jù)包過(guò)濾

依據(jù)ＴＣＰ／ＩＰ協(xié)議中的網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)格式約定，每一條匹配規(guī)則應(yīng)由下列要素組成：

ａ）數(shù)據(jù)包方向（連接發(fā)起方／接收方）。

ｂ）遠(yuǎn)程ＩＰ地址（任何ＩＰ地址／指定ＩＰ地址／指定ＩＰ地址范圍）。

ｃ）協(xié)議的匹配，具體協(xié)議至少應(yīng)包括：

１）ＩＣＭＰ數(shù)據(jù)包過(guò)濾

根據(jù)ＩＣＭＰ網(wǎng)絡(luò)數(shù)據(jù)包中的類型和代碼字段進(jìn)行設(shè)定，當(dāng)匹配到相同類型和代碼字段時(shí)

則按對(duì)應(yīng)規(guī)則中的數(shù)據(jù)包處理方式進(jìn)行處理；

２）ＵＤＰ數(shù)據(jù)包過(guò)濾

根據(jù)ＵＤＰ網(wǎng)絡(luò)數(shù)據(jù)包中的本地端口［包括單一端口和（或）端口范圍］和（或）遠(yuǎn)程端口［包

括單一端口和（或）端口范圍］進(jìn)行規(guī)則匹配；

３）ＴＣＰ數(shù)據(jù)包過(guò)濾

根據(jù)ＴＣＰ網(wǎng)絡(luò)數(shù)據(jù)包中的本地端口［包括單一端口和（或）端口范圍］和（或）遠(yuǎn)程端口［包