GA_T 1454-2018 信息安全技术网络型流量控制产品安全技术要求

GA_T 1454-2018 信息安全技术网络型流量控制产品安全技术要求

ID：	0C8A274B0BD5413F8E00955CF40D8BB6
文件大小(MB)：	0.73
页数：	11
文件格式：	pdf
日期：	2024-8-17
购买：	购买或下载

文本摘录（文本识别可能有误，但文件阅览显示及打印正常，pdf文件可进行文字搜索定位）：

ICS 35.240,A 90 GA,中华人民共和国公共安全行业标准,GA/T 1454—2018,信息安全技术,网络型流量控制产品安全技术要求,Information security technology-Security technical requirements for,network-based flow control products,2018-01-26 发布2018-01-26 实施,中华人民共和国公安部发布,GA/T 1454—2018,刖百,本标准按照GB/T 1.1-2009给出的规则起草,本标准由公安部网络安全保卫局提出,本标准由公安部信息系统安全标准化技术委员会归口,本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、杭州安恒信息技术有限公,司、北京浩瀚深度信息技术股份有限公司、北京网康科技有限公司、深信服科技股份有限公司、公安部网,络安全保卫局、公安部第三研究所,本标准主要起草人:俞优、陈玉成、顾健、陆臻、沈亮、顾玮、范渊、孙小平、陈陆颖、曾志峰,I,GA/T 1454—2018,信息安全技术,网络型流量控制产品安全技术要求,1范围,本标准规定了网络型流量控制产品的安全功能要求、安全保障要求及等级划分要求,本标准适用于网络型流量控制产品的设计、开发及测试,2规范性引用文件,下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文,件。凡是不注日期的引用文件,其最新版本（包括所有的修改单）适用于本文件,GB/T 18336.3-2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件,GB/T 25069-2010信息安全技术术语,3术语和定义,GB/T 18336.3-2015和GB/T 25069—2010界定的以及下列术语和定义适用于本文件,3.1,网络型流丒控制产品 network-based flow control product,以串接方式部署在网络通路上,通过分析和控制网络流量,实现带宽资源的合理划分与分配的,产品,4网络型流丒控制产品描述,网络型流量控制产品保护的资产是受安全策略保护的网络服务和资源等,此外,产品本身及其内部,的重要数据也是受保护的资产。网络型流量控制产品通常以网关或网桥方式部署在网络通路上,通过,安全策略实现对网络流量的审计和控制,图1是网络型流量控制产品的ー个典型运行环境,图1网络型流丒控制产品典型运行环境,1,GA/T 1454—2018,5总体说明,5.1 安全技术要求分类,本标准将网络型流量控制产品安全技术要求分为安全功能和安全保障要求两大类。其中,安全功,能要求是对网络型流量控制产品应具备的安全功能提出具体要求，包括协议分析、应用识别、流量监测,和流量控制等;安全保障要求针对网络型流量控制产品的生命周期过程提出具体的要求，例如开发、指,导性文档、生命周期支持和测试等,5.2 安全等级划分,本标准按照网络型流量控制产品安全功能的强度划分安全功能要求的级别，参照GB/T 18336.3-,2015划分安全保障要求的级别。安全等级突出安全特性,分为基本级和增强级,安全功能强弱和安全,保障要求高低是等级划分的具体依据,6安全功能要求,6.1 协议分析,产品至少应支持分析以下协议:,a) TCP.UDP 和 !CMP 协议;,b) H TTP ヽ FTP、IM AP .TELNET、DNS、SMTP ヽ POP3 ；,c) P2P类和IM类,6.2 应用识别,产品应能识别以下常见应用,如即时通讯、P2P下载、流媒体、网络电视、网络视频、网络电话、股票,交易和网络游戏等,6.3 应用特征自定义,产品应支持识别自定义的应用,6.4 流，监测,产品应能监视网络或者某ー特定协议、IP地址的报文流量和字节流量,6.5 统计报表,产品应能按用户、时间和应用统计流量分布情况,6.6 流丒控制,6.6.1 速率限制,产品应能根据下列条件及其组合,对链路的上传/下载速率进行限制:,a)用户/用户组;,b) IP地址;,c)时间段;,d)应用协议;,2,GA/T 1454—2018,e) VLAN ID或网络接口,6.6.2 流丒限制,产品应能根据下列条件及其组合,对流量总额进行限制:,a)用户/用户组;,b) IP地址;,c)时间;,d)应用协议,e) VLAN ID或网络接口,6.6.3 连接限制,产品应能根据IP地址对并发连接数、新建连接速率和应用连接数等进行限制,6.6.4 流量优先级,产品应能根据用户、IP地址和应用协议等条件设置流量优先级,确保高优先级流量的通过,6.6.5 带宽保障,产品应能根据用户JP地址和应用协议等条件设置预留带宽,保证正常通信,6.6.6 带宽平均,产品应能够基于IP群组中的用户数变化,动态为每个IP平均分配带宽,6.6.7 白名单,产品应具备白名单功能,对白名单中的对象不做流量控制,6.7 标识与鉴别,6.7.1 用户标识,6.7.1.1 属性定义,产品应为每个管理员规定与之相关的安全属性,如标识、鉴别信息、隶属组、权限等,6.7.1.2 属性初始化,产品应提供使用默认值对创建的每个管理员的属性进行初始化的能力,6.7.1.3 唯一性标识,产品应为管理员提供唯一标识,并能将标识与该用户的所有可审计事件相关联,6.7.2 身份鉴别,6.7.2.1 基本鉴别,产品应在执行任何与安全功能相关的操作之前鉴别用户的身份,6.7.2.2 鉴别数据保护,产品应保证鉴别数据不被未授权查阅或修改,3,GA/T 1454—2018,6.7.2.3 鉴别失败处理……

……