1、书 书 书犐 犆犛 犔 备案号:中华人民共和国密码行业标准犌犕犜 密码设备管理犞犘犖设备监察管理规范犆 狉 狔 狆 狋 狅 犵 狉 犪 狆 犺 犻 犮犲 狇 狌 犻 狆犿犲 狀 狋犿犪 狀 犪 犵 犲犿犲 狀 狋犕狅 狀 犻 狋 狅 狉 犻 狀 犵犿犪 狀 犪 犵 犲犿犲 狀 狋狊 狆 犲 犮 犻 犳 犻 犮 犪 狋 犻 狅 狀狅 犳犞犘犖犲 狇 狌 犻 狆犿犲 狀 狋 发布 实施国家密码管理局发 布目次前言引言范围规范性引用文件术语和定义缩略语设备的监察管理体系 体系结构 功能要求 管理应用层 管理平台层 设备的监察设备层 安全通信 设备的监察管理流程设备的监察数据采集规则 过滤规则 基于
2、协议的检测规则 基于协议的检测规则设备的监察管理消息定义 概述 设备的监察设备配置消息 过滤规则消息 设备的监察设备告警消息附录(资料性附录)消息的定义举例 设备的监察设备配置消息的定义 设备的监察设备过滤规则消息的定义 设备的监察设备告警消息的定义 参考文献 犌犕犜 前言本标准按照 给出的规则起草。密码设备管理设备监察管理规范是密码设备管理类规范之一。该类规范由一个基础规范和系列管理应用规范组成,目前包括:基础规范:密码设备管理设备管理技术规范;管理应用规范:密码设备管理对称密钥管理规范;管理应用规范:密码设备管理设备监察管理规范;管理应用规范:密码设备管理远程监控与合规性检验接口数据规范。
3、本标准凡涉及密码算法相关内容,按国家有关法规实施。本标准由密码行业标准化技术委员会提出并归口。本标准起草单位:上海信息安全工程技术研究中心、上海交通大学信息安全学院、上海鹏越惊虹信息技术发展有限公司、上海华堂网络有限公司、卫士通信息产业股份有限公司、上海天融信网络安全技术有限公司、上海信昊信息科技有限公司。本标准主要起草人:王隽、田立、周志洪、黄志荣、廖烨、邹铷、袁峰、潘淑媛、王贺刚、李俊山、张元臣、吕明忠、潘利民、李高健。犌犕犜 引言本标准依据 密码设备管理设备管理技术规范中密码设备管理平台架构,提出针对重要信息系统与网络中设备的监察管理规范,包括管理体系、管理流程、管理消息格式等。本标准采
4、用的安全通道,依据 中的管理应用接口建立,相关内容请参考 。犌犕犜 密码设备管理犞犘犖设备监察管理规范范围本标准规定了重要信息系统与网络中的设备的监察管理,以发现和定位网络中的非法设备,并检测合法设备在使用过程中的违规操作。本标准适用于设备监察管理系统及监察设备的研发与应用,也可用于指导检测该类监察设备。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。技术规范 技术规范 密码设备管理设备管理技术规范 密码设备管理远程监控与合规性检验接口数据规范术语和定义下列术语和定义适用于
5、本文件。犞犘犖设备犞犘犖犱 犲 狏 犻 犮 犲利用技术实现网络中安全通信服务的设备。本标准中的设备指 和设备,包括采用 、协议的符合国家标准的网络密码机。犞犘犖设备的监察设备犞犘犖犮 狅犿狆 犾 犻 犪 狀 犮 犲犿狅 狀 犻 狋 狅 狉 犻 狀 犵犪 犵 犲 狀 犮 狔按照监察管理应用规则,实现对被监测网络中的目的数据包进行过滤分析,并上报关键信息的网络设备。伯克利封包过滤器犫 犲 狉 犽 犲 犾 犲 狔狆 犪 犮 犽 犲 狋犳 犻 犾 狋 犲 狉工作在操作系统内核的数据包捕获机制,先将链路层的数据包捕获再过滤,最后提供给应用层特定的过滤后的数据包。白名单狑犺 犻 狋 犲犾 犻 狊 狋对已在
6、国家密码管理主管部门备过案,并且“已知为良好”的设备名单,管理应用层用来标识安全可信的合规设备列表。白名单中的信息包括:设备的注册 地址、设备的密码算法标识等信息。犌犕犜 缩略语下列缩略语适用于本文件。:伯克利封包过滤器():安全协议():网络安全关联和密钥管理协议():分包数据单元():安全套接层():虚拟专用网()犞犘犖设备的监察管理体系 体系结构设备监察管理体系遵循 的,其体系结构如图所示。图犞犘犖设备监察管理体系结构图以下、详细描述图中的各层内容。功能要求监察管理系统的功能要求为:)在线获取设备的监察数据;)分析这些监察数据,判断设备的应用是否合规;)若发现不合规的设备,则实时告警和取证分析;)维护(新增、修改和删除)违规算法的列表;)维护过滤 列表,建立白名单机制;犌犕犜 )统计全网中设备的通信次数;)提供对历史数据的查询和统计分析。管理应用层本标准涉及的管理应用是设备的监察管理。对于设备的监察管理,应通过抓取和检测密钥协商阶段的数据包,分析网络中设备应用情况,对违规设备告警,确保设备的合法合规。管理平台层对管理平台层的要求遵循 的。犞犘犖设备的监察设备层设备的监察设备接受管
安全达人 