ICS33.202 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 支持拟态防御功能的安全网关技术要求 Technical requirements of security gateways supported mimic architecture (点击此处添加与国际标准一致性程度的标识) 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YD/TXXXXX-XXXX 目次 前 言 1范围 2规范性引用文件 3术语和定义 4缩略语 5系统架构及组网方式 5.1系统架构 2 5.2组网方式 6支持拟态防御功能的安全网关功能要求 6.1业务层拟态防御功能要求 3 6.2业务层终端接入控制要求 3 6.3拟态管理层功能要求 6.4拟态管理层执行体要求 6.5拟态管理层输入代理要求 6.6拟态管理层输出代理要求 6.7拟态管理层动态调度要求 6.8日志接口要求. 5 6.9执行体定时调度周期, 5 6.10执行体清洗周期 6.11执行体状态收敛时间 6.12系统恢复时间 7支持拟态防御功能的安全网关安全要求 7.1通用安全要求.. 7.2差模注入情况安全要求 7.3N-1模情况安全要求 7.4N模注入情况安全要求. 6 附录A(资料性)性能指标计算依据和参考阅值 A.1执行体清洗周期. A.2执行体定时调度周期 A.3执行体状态收敛时间 参考文献,
YD/TXXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
本文件是"支持拟态防御功能的设备”系列标准之一,该系列标准的结构和名称预计如下: 1)支持拟态防御功能设备的总体技术指南 2)支持拟态防御功能的Web服务器技术要求 3)支持拟态防御功能的Web服务器检测规范 4)支持拟态防御功能的路由器技术要求 5)支持拟态防御功能的路由器检测规范 6)支持拟态防御功能的域名服务器技术要求 7)支持拟态防御功能的域名服务器检测规范 8)支持拟态防御功能的交换机技术要求 9)支持拟态防御功能的交换机检测规范 10)支持拟态防御功能的防火墙技术要求 11)支持拟态防御功能的防火墙检测规范 12)支持拟态防御功能的分布式存储系统技术要求 13)支持拟态防御功能的分布式存储系统检测规范 14)支持拟态防御功能的安全网关技术要求 15)支持拟态防御功能的安全网关检测规范 16)支持拟态防御功能的云组件技术要求和测试方法 请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口, 本文件起草单位中国信息通信研究院、中国人民解放军战略支援部队信息工程大学、珠海高凌信 息科技股份有限公司、河南信大网御科技有限公司.
本文件主要起草人:陈福才、扈红超、孟楠、贺倩、石悦、董航、程国振、霍树民、商珂、张帅、 郭义伟、范学云、吕青松、杨晓晗、全玉、张宜岗、李松泽、沈燃、贺喜卓、贾铁振、刘雷、赵逸飞.
标准信息服务平台 I1
YD/T XXXXX-XXXX 支持拟态防御功能的安全网关技术要求 1范围 本文件规定了支持拟态防御功能的安全网关的系统架构及组网方式、功能、安全要求.
本文件适用于支持拟态防御功能的安全网关的研制、测试、生产、认证和实际环境部署.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
GA/T681-2018信息安全技术网关安全技术要求 YD/T4223支持拟态防御功能设备的总体技术指南 3术语和定义 GA/T681-2018、YD/T4223界定的以及下列术语和定义适用于本文件.
3.1 指纹fingerprint 不同操作系统的网络协议栈存在的细微差别,可用于区分不同类别的操作系统.
3.2 支持拟态防御功能的安全网关mimicsecuritygateway 在通用网关功能要求的基础上,增加多种拟态防御技术,增强内网抵御和感知各类已知及未知威胁 能力的安全设备.
业标准信息 4缩略语 下列缩略语适用于本文件.
CISC 复杂指令集计算机 Complex Instruction Set Computer CPU 中央处理器 Central Processing Unit DHCP 动态主机配置协议 Dynamic Host Configuration Protocol DHR 动态异构冗余 Dynamical Heterogeneous Redundant IIS 互联网信息服务 Internet Information Services IP 网际互连协议 Internet Protocol MAC 媒体存取控制 Media Access Control RESTful 网络应用程序的设计风格和开发方式 Representational State Transfer RISC 精简指令集计算机 Reduced Instruction Set Computer SSH 安全外壳协议 Secure Shell
YD/TXXXXX-XXXX 5系统架构及组网方式 5.1系统架构 执9排1 入民理 执厅排2 YIE 目志监控 RESTSl IPOHR 买名单 绝续伤装 自名单 图1支持拟态防御功能的安全网关系统架构图 支持拟态防御功能的安全网关在基于GA/T681-2018和YD/T4223的拟态防御通用架构和功能的基 础上进行构建,总体架构主要包含业务层和管理层两部分,如Error!Reference source not found.1所示.
需基于DHR架构,提供对业务层控制、监控、展示等能力.
业务层的拟态防御包括但不限于:改变被保护网络(节点)的标识呈现(如IP地址、拓扑等)、改 变系统运行协议的对外呈现特征(如传输层的指纹信息)、改变被保护节点的端口,将各类安全威胁控 制在孤立的网络节点范围内并及时发出威胁感知信息.
此外,业务层还支持黑/白名单、威胁感知和告 金等通用网关安全技术要求.
管理层包含输入代理、多个异构执行体、输出代理、动态调度等功能模块,并完成对业务层拟态防 御系统配置参数的下发、状态查询、日志监控、信息展示等等功能.
5.2组网方式
