自适应网络主动防御产品是一种主动的、积极的网络异常行为防范、阻止系统,它部署在网络交换机的镜像端口处,对网络内部所有数据包进行监视,当它检测到异常行为后,会主动基于特定控制接口与网络交换机联动,通过关闭物理端口来制止网络异常行为并阻隔攻击源,从而防止网络安全威胁的扩散。
自适应网络主动防御产品具有智能学习功能,通过对内部网络行为特征的统计分析,形成网络运行状态知识库,从而能够自动识别影响网络正常运行的各种异常行为,并可以与网络交换机进行互动,在物理层对网络异常行为进行阻隔。
当把自适应网络主动防御产品看成是一定安全目标的系统时,可称之为自适应网络主动防御系统(NAD:Network Active Defense)。NAD检测功能包括对目标网络应用环境的自适应智能学习能力,并同时具备对网络内部异常行为进行全面检测和阻隔的能力,以及与网络基础设备(如网络交换机)的交互能力。自适应网络主动防御系统为网络安全提供了一种新型的积极主动防御手段,丰富了网络安全解决方案中的信息安全产品系列。
本规范规定了自适应网络主动防御产品技术要求。
本规范起草单位:公安部计算机信息系统安全产品质量监督检验中心。
信息技术自适应网络主动防御产品安全检验规范
1.范围
本规范规定了信息技术-自适应网络主动防御产品的安全功能要求和保证要求。
本规范适用于信息技术-自适应网络主动防御产品的生产及检测。
2.术语和定义
2.1 目标网络 TN
Target Network:指自适应网络主动防御产品所要保护的网络。
2.2 网络异常行为 NAA
Network Abnormal Action:本规范所称异常行为是指目标网络中所有影响网络正常业务运行的行为,主要包括下述方面:
1.入侵行为:指任何企图危害资源完整性、保密性或可用性的行为(如网络入侵、蠕虫病毒等);;
2.非恶意不良行为:指用户无意识地滥用网络资源的行为;
3.恶意不良行为:指用户有目的、有意识地滥用网络资源的行为;
2.3 智能学习 AIL
Artificial Intelligent Learning:系统在目标网络应用环境中进行数据采集,并采用人工智能方法进行统计分析,以期能挖掘出目标网络的各项特点,使系统能更好、更精确地适应不同网络应用环境实际需求。
2.4 业务特征码 AFC
AFC:Application Feature Code:指目标网络环境中各种网络应用业务的特征码,被用以作为鉴别网络正常行为和异常行为的重要依据。
2.5 业务周期 AC
Application Cycle:指目标网络环境中循环运行的网络应用业务的周期。
3.信息技术-自适应网络主动防御产品的安全功能
3.1 自适应网络主动防御功能
3.1.1 网络协议分析
a)支持对以太网、TCP/IP及常见应用协议(如HTTP、FTP)的详细分析;
b)具有一定的协议分析结果表达方式。
3.1.2 网络管理
为网络管理员提供可视化工具界面,对系统进行远程管理,显示在线工作状态,集中配置系统参数、相关代码规则库、进行版本升级等。
3.1.3 智能学习
依据已经设定的目标网络业务周期,系统应能自动进行网络环境自适应学习,收集相关网络运行状态参数(如流量、业务特征码、有效应用端口列表、有效主机列表等)。
3.1.4 流量监控和告警
依据协议过滤器设置,对目标网络总体流量、平均流量、明细流量进行统计,并以实时曲线图的方式进行表达。如果流量超过预先设定的阈值(人工或依据3.1.3得到),系统可对相应计算机进行阻隔,并产生流量告警。
3.1.5 阻隔未授权计算机进入网络
依据3.1.3学习所得并经网络管理员确认的有效主机列表,对未被列入的上网计算机进行阻隔,使其无法进入目标网络。
3.1.6 网关IP地址保护
主动恢复目标网络中被其他计算机非法占用的网关IP地址。
3.1.7 业务特征码认证
依据3.1.3学习所得业务特征码,对网络数据包进行实时检测,确认正常应用业务,阻隔非法业务(网络异常行为)并产生告警。
3.1.8 恶意网络异常行为监控
系统需具备基于恶意行为代码库的网络异常行为监控功能,对已知的恶意网络异常行为进行阻断和告警。
3.1.9 与网络交换机互动
应能与具有管理功能的网络交换机进行互动,在出现网络异常行为时,可以依据预先设定的动作,通过特定的网络交换机接口关闭产生异常行为的计算机所连接的物理端口,从而防止异常行为进一步扩散,对网络正常运行造成影响。
3.1.10 系统及数据升级
应能在线自动更新或手工更新系统程序及相关数据(如业务特征码、恶意行为代码库等),以确保系统防御能力的实时更新。
3.1.11 告警
应能详细记录系统及网络事件,对网络异常行为产生告警,告警信息必须详尽且分类明确,方便查阅及管理。告警信息至少包含:产生时间,来源IP地址,告警类别。
3.2 自身安全功能
3.2.1 通信数据加密
所有经过网络传送的数据及代码均需经过加密处理,防止被中间窃取。
3.2.2 管理员身份鉴别
应保证只有授权管理员才有权使用产品的管理功能,对授权管理员应进行身份鉴别。
3.2.3 管理员权限:
a)管理员属性修改(更改密码等)。
b)制定和修改安全策略。
3.3 日志功能
3.3.1 日志数据生成
应至少能对下列事件生成日志:
a)系统的启动、关闭及在线状态;
b)产生异常行为的事件及处理结果(如是否阻隔,交换机端口是否关闭等);
应在每一个日志记录中记录事件发生的日期和时间、事件类型及描述。
3.3.2 日志管理
应提供下列日志管理功能:
a)只允许授权管理员访问日志记录;
b)提供对日志记录的查询功能;
c)授权管理员能存档、删除和清空日志记录。
4.1 目标网络环境要求
4.1.1 目标网络环境所运行的应用业务应清晰明确。
4.1.2 应具备严格的访问控制机制,非授权人员不应管理系统。
4.2 工作环境安全
4.2.1 应防止对自适应网络主动防御产品非授权的物理访问。
4.2.2 自适应网络主动防御产品的安装应由授权管理人员实施。
4.2.3 自适应网络主动防御产品的安装应实行严格的控制管理。
4.3 管理人员
4.3.1 系统可以设定用户管理自适应网络主动防御产品。
4.3.2 自适应网络主动防御产品只能被授权用户访问。
5.自适应网络主动防御产品的保证要求
5.1 交付和运行
5.1.1 交付过程
5.1.1.1 开发者行为元素:
a)开发者应将把自适应网络主动防御产品及其部分交付给用户的程序文档化;
b)开发者应使用交付程序。
5.1.1.2 证据元素的内容和表示
交付文档应描述,在给用户方分配自适应网络主动防御产品的版本时,用以维护安全所必需的所有程序。
5.1.2 安装、生成和启动程序
5.1.2.1 开发者行为元素
开发者应将自适应网络主动防御产品安全地安装、生成和启动所必需的程序文档化。
5.1.2.2 证据元素的内容和表示
文档应描述自适应网络主动防御产品安全地安装、生成和启动所必要的步骤。
5.2 指导性文档
5.2.1 管理员指南
5.2.1.1 开发者行为元素
开发者应当提供针对系统管理员的管理员指南。
5.2.1.2 证据的内容和形式元素:
a)管理员指南应当描述自适应网络主动防御产品管理员可使用的管理功能和接口;
b)管理员指南应当描述如何以安全的方式管理自适应网络主动防御产品;
c)管理员指南应当包含在安全处理环境中必须进行控制的功能和权限的警告;
d)管理员指南应当描述所有与自适应网络主动防御产品的安全运行有关的用户行为的假设;
e)管理员指南应当描述所有受管理员控制的安全参数,合适时,应指明安全值;
f)管理员指南应当描述每一种与需要执行的管理功能有关的安全相关事件,包括改变TSF所控制的实体的安全特性;
g)管理员指南应当与为评估而提供的其他所有文档保持一致;
h)管理员指南应当描述与管理员有关的IT环境的所有安全要求。
5.2.2 用户指南
5.2.2.1 开发者行为元素
开发者应当提供用户指南。
5.2.2.2 证据的内容和形式元素:
a)用户指南应该描述自适应网络主动防御产品的非管理用户可用的功能和接口;
b)用户指南应该描述自适应网络主动防御产品提供的用户可访问的安全功能的用法;
c)用户指南应该包含受安全处理环境中所控制的用户可访问的功能和权限的警告;
d)用户指南应该清晰地阐述自适应网络主动防御产品安全运行中用户所必须负的职责,包括有关在自适应网络主动防御产品安全环境阐述中找得到的用户行为的假设;
e)用户指南应该与为评估而提供的其它所有文档保持一致;
f)用户指南应该描述与用户有关的IT环境的所有安全要求。