信息安全技术网络入侵检测系统技术要求和测试评价方法

信息安全技术网络入侵检测系统技术要求和测试评价方法

国家标准 CB/T20275一2013 代替G20275二006 信息安全技术网络入侵检测系统 技术要求和测试评价方法 Informationseeurityteechnology一Technieialrequirementsand testingandevaluatiomapproachesfornetwork-basedintrusiomdetectionsystem 2013-12-31发布 2014-07-15实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准

GB/T20275一2013 目 次 前言 范围 规范性引用文件 术语和定义 缩略语 网络人侵检测系统等级划分 5.1 等级划分 5.2等级划分表 网络人侵检测系统技术要求 你 6.1 -级 6.2第二级 6.3第三级 1 网络人侵检测系统测评方法 28 测试环境 7.1 ----- 28 7.2测试工具 29 7.3第一级 29 7.4第二级 42 7.5第三级 6 参考文献 85

GB/T20275一2013 前 言 本标准按照GB/T1.1一2009给出的规则起草 本标准代替GB/T20275一2006《信息安全技术人侵检测系统技术要求和测试评价方法》 本标准与GB/T202752006的主要差异如下 -标准名称修改为《信息安全技术网络人侵检测系统技术要求和测试评价方法》; 删除了GB/T20275一2006中对主机人侵检测系统的技术要求和测试评价方法 删除了GB/T20275一2006中的“分析方式”(见2006版的6.1.1.2.2); GB/T202752006中的“窗口定义”见2006版的6.2.1.4.1); 增加了“最大监控流量”“最大监控并发连接数”“最大监控新建TCP连接速率”的性能要求; “硬件失效处理”“双机热备”的安全功能要求和测试评价方法; “控制台鉴别”“标识唯一性”的自身安全功能要求和测试评价方法; 调整了GB/T20275一2006中“阻断能力”“系统升级”“报告定制”和“定制响应”的级别 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口 本文件某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任 本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心,北京启明星辰信息安全技术 有限公司、公安部网络安全保卫局 本标准主要起草人;宋好好、顾健、张笑笑,李毅,吴其聪、张艳 m

GB/T20275一2013 信息安全技术网络入侵检测系统 技术要求和测试评价方法 范围 本标准规定了网络人侵检测系统的技术要求和测试评价方法,要求包括安全功能要求、自身安全功 能要求、安全保证要求和测试评价方法,并提出了网络人侵检测系统的分级要求 本标准适用于网络人侵检测系统的设计、开发、测试和评价 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件,仅注日期的版本适用于本文 凡是不注目期的引用文件,其最新版本(包括所有的修改单)适用于本文件 件 GB/T18336.1一2008信息技术安全技术信息技术安全性评估准则第1部分简介和一 一般 模型 GB/T250692010信息安全技术术语 术语和定义 GB/T18336.1一2008和GB/T25069一2010中界定的以及下列术语和定义适用于本文件 3.1 事件event -种系统、服务或网络状态的发生或者改变的记录信息,可作为分析安全事件的基础 3.2 安全事件ineident 通过对事件的分析处理,从而识别出一种系统、服务或网络状态的发生,表明一次可能的违反安全 规则或某些防护措施失效,或者一种可能与安全相关但以前不为人知的一种情况,极有可能危害业务运 行和威胁信息安全 3.3 入侵 iintrsion 任何危害或可能危害资源完整性保密性或可用性的行为 3.4 侵检测intrusiondeteetion 入 通过对计算机网络或计算机系统中的若干关健点收集信息并对其进行分析,从中发现网络或系统 中是否有违反安全策略的行为和被攻击的迹象 3.5 网络入侵检测系统network-baselintrusiondeteetiosystem 以网络上的数据包作为数据源,监听所保护网络内的所有数据包并进行分析,从而发现异常行为的 人侵检测系统
GB/T20275一2013 3.6 探测器 SenS0r 用于收集可能指示出人侵行为或者滥用信息系统资源的实时事件,并对收集到的信息进行初步分 析的人侵检测系统组件 3. 告警alert 当攻击或人侵发生时,网络人侵检测系统向授权管理员发出的紧急通知 3.8 响应 reSp0nSe 当攻击或人侵发生时,针对信息系统及存储的数据采取的保护并恢复正常运行环境的行为 3.9 误报falsepositives 网络人侵检测系统在未发生攻击时告警,或者发出错误的告警信息 3.10 漏报falsenegative 当攻击发生时网络人侵检测系统未告警 缩略语 下列缩略语适用于本文件 IressResolutionProtocol ARP;地址解析协议(Addr 1NameSystem DNs,城有养能 FTP;文件传输协议(FileTransferProtocolD) HTMI.超文本置标语言(HypertextMarkuplanguage) HrTP,超文本传送协议(Hyt ertextTransferProtocol CMP;网际控制报文协议(InternetControlMessageProtocol InternetMe IMAP;因特网消息访问协议(1 lessageAccessProtocal IP:网际协议(InternetProtocol NFs;网络文件系统(NetworkFilesystem) POP3;邮局协议的第三个版本(PostOffieeProtocol3) RIP:路由选择信息协议(RoutingInformationProtocoD RPC;远程过程调用(RenmoteProcedureCal sMTP简单邮件传送协议(SimpleMallTransferProocol) sNMP,简单网络管理协议(SimpleNetwoulkManagemenProtocol TCP;传输控制协议(TransportControlProtocol TELNET;远程登陆网络(TelecommunicationNetwork TFTP;普通文件传送协议(TivialFileTransferProtoceol UDP;用户数据报协议(UserDatagramProtocol) 5 网络入侵检测系统等级划分 5.1等级划分 5.1.1第一级 本级规定了网络人侵检测系统的最低安全要求 通过简单的管理员标识和鉴别来限制对系统的功
GB/T20275一2013 能配置和数据访问的控制,使管理员具备自主安全保护的能力,阻止非法用户危害系统,保护人侵检测 系统的正常运行 5.1.2第二级 本级划分了安全管理角色,以细化对人侵检测系统的管理 加人审计功能,使得授权管理员的行为 是可追踪的 本级还要求系统具有分布式部署集中管理的能力 同时,还增加了保护系统数据、系统 自身安全运行的措施 5.1.3第三级 本级通过增强审计,访间控制、系统的自身保护等要求,对人侵检测系统的正常运行提供较强的保 本级还要求系统具有分级管理的能力 此外,还要求系统具有较强的抗攻击能力 护 5.2等级划分表 网络人侵检测系统的安全等级划分如表1,表2,表3所示 对网络人侵检测系统的等级评定是依 据下面三个表格的综合评定得出的,符合第一级的网络人侵检测系统应满足表1,表2,表3中所标明的 -级产品应满足的所有项目;符合第二级的网络人侵检测系统应满足表1,表2,表3中所标明的二级产 品应满足的所有项目;符合第三级的网络人侵检测系统应满足表1、表2、表3中所标明的三级产品应满 足的所有项目 表1网络入侵检测系统安全功能要求等级划分表 安全功能要求 -级 三级 二级 数据收集 协议分析 数据探测 功能要求 行为监测 流量监测 数据分析 事件合并 人侵分析 功能要求 防躲避能力 事件关联 安全告警 告警方式 定制响应 排除响应 人侵响应 全局预警 功能要求 阻断能力 防火墙联动 人侵管理 其他设备联动
GB/T20275一2013 表1(续 二级 -级 三级 安全功能要求 图形界面 分布式部署 分级管理 集中管理 同台管理 端口分离 硬件失效处理 管理控制 功能要求 双机热备 事件数据库 事件分级 策略配置 事件库升级 统一升级 系统升级 事件记录 事件可视化 检测结果 报告生成 处理要求 报告查阅 报告输出 报告定制 产品灵 事件定义 活性要求 协议定义 误报率 漏报率 性能要求 流量监控能力 并发连接数监控能力 新建TCP连接速率监控能力 性能要求 还原能力 注: ”表示不具有该要求;“×”表示具有该要求 本标准对网络人侵检测系统每一等级的具体要求和测试 评价方法分别进行描述,"加粗宋体”表示第二级,第三级增加的内容,“系统”表示网络人侵检测系统
GB/T20275一2013 表2网络入侵检测系统自身安全功能要求等级划分表 自身安全功能要求 级 二级 三级 管理员鉴别 多重鉴别机制 鉴别失败的处理 身份鉴别 超时设置 控制台鉴别 会话锁定 鉴别数据保护 标识唯一性 管理员角色 管理员管理 管理员属性定义 安全行为管理 安全属性管理 审计日志生成 审计日志可理解性 安全审计 审计日志查阅 受限的审计日志查阅 可选审计查阅 安全管理 事件记录保护 事件记录安全 事件记录存储安全 数据存储告警 通信保密性 通信安全 通信完整性 升级安全 自我隐藏 运行安全 自我监测 注 -”表示不具有该要求;“ ”表示具有该要求 本标准对网络人侵检测系统每一等级的具体要求和测试 评价方法分别进行描述,“加粗宋体”表示第二级,第三级增加的内容,“系统”表示网络人侵检测系统
GB/T20275一2013 表3网络入侵检测系统安全保证要求等级划分表 安全保证要求 级 二级 三级 版本号 配置管 配置项 理能力 配置管理 授权控制 配置管理覆盖 交付程序 交付与运行 安装、生成和启动程序 非形式化功能规范 描述性高层设计 开发 高层设计 安全加强的高层设计 非形式化对应性证实 管理员指南 指导性文档 用户指南 生命周期支持 覆盖证据 测试覆盖 覆盖分析 测试深度 测试 功能测试 致性 独立测试 抽样 指南审查 脆羁性分析保证 产品安全功能强度评估 开发者脆弱性分析 -”表示不具有该要求;“关”表示具有该要求 本标准对网络人侵检测系统每一等级的具体要求和测试 注: 评价方法分别进行描述,“加粗宋体”表示第二级、第三级增加的内容,“系统”表示网络人侵检测系统 网络入侵检测系统技术要求 6.1第一级 6.1.1安全功能要求 6.1.1.1数据探测功能要求 6.1.1.1.1数据收集 系统应具有实时获取受保护网段内的数据包的能力用于检测分析
GB/T20275一2013 6.1.1.1.2协议分析 系统至少应分析基于以下协议的事件;IP、TCP,UDP、ICMP、ARP,RIP、、RPC、HTTP、FTP TFTP、IMAP、SNMP、TELNET、DNS、SMTP、P(OP3、NETBO)S、NFS等 6.1.1.1.3行为监测 系统至少应监视以下攻击行为端口扫描、强力攻击、木马后门攻击,拒绝服务攻击、缓冲区溢出攻 击、,IP碎片攻击、,网络蠕虫攻击、文件脆弱性攻击、浏览器脆弱性攻击、应用层安全漏洞攻击等 6.1.1.1.4流量监测 系统应监视整个网络或者某一特定协议,地址、端口的报文流量和字节流量 6.1.1.2入侵分析功能要求 6.1.1.2.1数据分析 系统应对收集的数据包进行分析,发现安全事件 6.1.1.2.2事件合并 系统应具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力 6.1.1.3入侵响应功能要求 6.1.1.3.1定制响应 系统应允许管理员对被检测网段中指定的目的主机定制不同的响应方式 6.1.1.3.2安全告警 当系统检测到人侵时,应自动采取相应动作以发出安全警告 6.1.1.3.3告警方式 告警应采取屏幕实时提示,Email告警,Syslog告警等一种或几种方式 6.1.1.4管理控制功能要求 6.1.1.4.1图形界面 系统应提供友好的管理员界面用于管理、配置人侵检测系统 管理配置界面应包含配置和管理产 品所需的所有功能" 6.1.1.4.2事件数据库 系统事件数据库中的内容应包括事件的定义和分析内容,详细的漏洞修补方案,可采取的对策等 6.1.1.4.3事件分级 系统应按照事件的严重程度将事件分级,以使授权管理员能从大量的信息中捕捉到危险的事件 6.1.1.4.4策略配置 系统应提供方便、快捷的人侵检测系统策略配置方法和手段,具备策略模板、支持策略的导人和
GB/T20275一2013 导出 6.1.1.4.5事件库升级 系统应具有升级事件库的能力 6.1.1.4.6统一升级 系统应提供由控制台对各探测器的事件库进行统一升级的功能 6.1.1.4.7硬件失效处理 对于硬件产品,系统失效时应及时向管理员报警 6.1.1.5检测结果处理要求 6.1.1.5.1事件记录 系统应保存检测到的安全事件并记录安全事件信息 安全事件信息应至少包含以下内容;事件发生时间,源地址、目的地址,事件等级,事件类型、事件名 称,事件详细描述以及解决方案建议等 6.1.1.5.2事件可视化 管理员应能通过管理界面实时清晰地查看安全事件 6.1.1.5.3报告生成 系统应能生成详尽的检测结果报告 6.1.1.5.4报告查阅 系统应具有浏览检测结果报告的功能 6.1.1.5.5报告输出 检测结果报告应可输出成方便管理员阅读的文本格式.如wORD文件、HTML文件、文本文件等 6.1.1.6性能要求 6.1.1.6.1误报率 产品应将误报率控制在应用许可的范围15%内,不能对正常使用产品产生较大影响 6.1.1.6.2漏报率 系统应将漏报率控制在应用许可的范围15%内,不能对正常使用产品产生较大影响 6.1.1.6.3流量监控能力 百兆系统单口监控流量>90Mbit/s,千兆系统单口监控流量>0.9Gbit/s,万兆系统单口监控流量 9Gbit/s 6.1.1.6.4并发连接数监控能力 百兆系统单口监控并发连接数>10万个,千兆系统单口监控并发连接数>100万个,万兆系统单口
GB/T20275一2013 监控并发连接数>150万个 6.1.1.6.5新建ICP连接速率监控能力 百兆系统单口监控每秒新建TCP连接数>6万个,千兆系统单口监控每秒新建TCP连接数>10 万个,万兆系统单口监控每秒新建TCP连接数>15万个 6.1.2自身安全功能要求 6.1.2.1身份鉴别 管理员鉴别 6.1.2.1.1 系统应在管理员执行任何与安全功能相关的操作之前对管理员进行鉴别 6.1.2.1.2鉴别失败的处理 当管理员鉴别尝试失败连续达到指定次数后,系统应阻止管理员进一步的鉴别请求,并将有关信息 生成审计事件 最多失败次数仅由授权管理员设定 6.1.2.1.3鉴别数据保护 系统应保护鉴别数据不被未授权查阅和修改 6.1.2.2管理员管理 6.1.2.2.1标识唯一性 系统应保证所设置的管理员标识全局唯一 6.1.2.2.2 管理员属性定义 系统应为每一个管理员保存安全属性表,属性应包括管理员标识、鉴别数据、授权信息或管理组信 息、其他安全属性等 6.1.2.2.3安全行为管理 系统应仅允许授权管理员对产品的功能具有禁止、修改的能力 6.1.2.3安全审计 6.1.2.3.1审计日志生成 应能为下述可审计事件产生审计日志;审计级别以内的所有可审计事件(如鉴别失败等重大事件 等 应在每个审计记录中至少记录如下信息:事件的日期和时间,事件类型,主体身份,事件的结果(成 功或失败)等 6.1.2.3.2审计日志可理解性 审计数据的记录方式应便于管理员理解 6.1.2.3.3审计日志查阅 系统应为授权管理员提供提供审计日志查阅功能,方便管理员查看审计结果
GB/T20275一2013 6.1.2.3.4受限的审计日志查阅 除了具有明确的访问权限的授权管理员之外,系统应禁止所有其他用户对审计日志的访问 6.1.2.3.5可选审计查阅 应支持按照一定条件对审计日志进行检索或排序 6.1.2.4事件记录安全 6.1.2.4.1安全管理 系统应仅允许授权管理员访问事件记录,禁止其他用户对事件记录的操作 6.1.2.4.2事件记录保护 在事件记录遭受攻击时,系统应能够及时通知管理员 6.1.2.5通信安全 系统应确保各组件之间传输的数据(如配置和控制信息、告警和事件数据等)不被泄漏 6.1.2.6运行安全 系统应采取隐藏探测器IP地址等措施使自身在网络上不可见,以降低被攻击的可能性 6.1.3安全保证要求 6.1.3.1配置管理 开发者应为系统的不同版本提供唯一的标识 6.1.3.2交付与运行 开发者应提供文档说明系统的安装,生成和启动的过程 6.1.3.3开发 6.1.3.3.1非形式化功能规范 开发者应提供一个功能规范,功能规范应满足以下要求: a)使用非形式化风格来描述系统安全功能及其外部接口; 是内在一致的; b e)描述所有外部接口的用途与使用方法,适当时应提供效果、例外情况和错误消息的细节; 完备地表示系统安全功能 d 6.1.3.3.2非形式化对应性证实 开发者应提供系统安全功能表示的所有相邻对之间提供对应性分析 对于系统安全功能所表示的每个相邻对,分析应闸明,较为抽象的安全功能表示的所有相关安全功 能,应在较具体的安全功能表示中得到正确且完备地细化 10o
GB/T20275一2013 6.1.3.4文档要求 6.1.3.4.1管理员指南 开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致 管理员指南应说明以下内容 管理员可使用的管理功能和接口; a b)怎样安全地管理系统; 在安全处理环境中应被控制的功能和权限; 所有对与产品的安全操作有关的用户行为的假设; 所有受管理员控制的安全参数,如果可能,应指明安全值， 每一种与管理功能有关的安全相关事件,包括对安全功能所控制实体的安全特性进行的改变空; 所有与管理员有关的T环境安全要求 g 6.1.3.4.2用户指南 开发者应提供用户指南,用户指南应与为评估而提供的其他所有文档保持一致 用户指南应说明以下内容 a)产品的非管理员用户可使用的安全功能和接口; b)产品提供给用户的安全功能和接口的使用方法; 用户可获取但应受安全处理环境所控制的所有功能和权限 c) 产品安全操作中用户所应承担的职责 d 与用户有关的IT环境的所有安全要求 P 6.1.3.5测试 开发者应提供适合测试的系统,提供的测试集合应与其自测系统功能时使用的测试集合相一致 6.2第二级 6.2.1安全功能要求 6.2.1.1数据探测功能要求 6.2.1.1.1数据收集 系统应具有实时获取受保护网段内的数据包的能力用于检测分析 6.2.1.1.2协议分析 系统至少应分析基于以下协议的事件:IP、TCP,UDP,ICMP,ARP,RIP,RPC、HTTP、FTP、 TFTP,IMAP,SNMP,TELNET,DNS,SMTP,POP3、NETBIOsS,NFS等 6.2.1.1.3行为监测 系统至少应监视以下攻击行为;端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻 击,IP碎片攻击,网络蠕虫攻击,文件脆弱性攻击,浏览器脆弱性攻击、应用层安全漏洞攻击等 6.2.1.1.4流量监测 系统应监视整个网络或者某一特定协议、地址、端口的报文流量和字节流量 11
GB/T20275一2013 6.2.1.2入侵分析功能要求 6.2.1.2.1数据分析 系统应对收集的数据包进行分析,发现安全事件 6.2.1.2.2事件合并 系统应具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力 6.2.1.2.3防躲避能力 系统应能发现躲避或欺骗检测的行为,如IP碎片分片、TCP流分段、.URL字符串变形、shel代码变 形等 6.2.1.2.4事件关联 系统应具有把不同的事件关联起来,发现低危害事件中隐含的高危害攻击的能力 6.2.1.3入侵响应功能要求 6.2.1.3.1定制响应 系统应允许管理员对被检测网段中指定的目的主机定制不同的响应方式， 6.2.1.3.2安全告警 当系统检测到人侵时,应自动采取相应动作以发出安全警告， 6.2.1.3.3告警方式 告警应采取屏幕实时提示,Email告警,Syslog告警等一种或几种方式 6.2.1.3.4阻断能力 系统在监测到网络上的非法连接时,可进行阻断 6.2.1.3.5排除响应 系统应允许管理员定义对被检测网段中指定的目的主机不予告警 6.2.1.3.6防火墙联动 系统应具有与防火墙进行联动的能力,可按照设定的联动策略自动调整防火墙配置 6.2.1.4管理控制功能要求 6.2.1.4.1 图形界面 系统应提供友好的管理员界面用于管理、配置人侵检测系统 管理配置界面应包含配置和管理产 品所需的所有功能 6.2.1.4.2事件数据库 系统事件数据库中的内容应包括事件的定义和分析内容、详细的漏洞修补方案、可采取的对策等 12
GB/T20275一2013 6.2.1.4.3事件分级 系统应按照事件的严重程度将事件分级,以使授权管理员能从大量的信息中捕捉到危险的事件 6.2.1.4.4 策略配置 系统应提供方便,快捷的人侵检测系统策略配置方法和手段,具备策略模板,支持策略的导人和 导出 6.2.1.4.5事件库升级 系统应具有升级事件库的能力 6.2.1.4.6统一升级 系统应提供由控制台对各探测器的事件库进行统一升级的功能 6.2.1.4,7硬件失效处理 对于硬件产品,系统失效时应及时向管理员报警 6.2.1.4.8分布式部署 系统应具有分布式部署的能力 6.2.1.4.9集中管理 系统应设置集中管理中心,对分布式的入侵检测系统进行统一集中管理 6.2.1.4.10端口分离 系统的探测器应配备不同的端口分别用于产品管理和网络数据监听 6.2.1.4.11双机热备 对于硬件产品,系统应提供双机热备功能 6.2.1.4.12系统升级 系统应具有升级系统程序的能力 6.2.1.5检测结果处理要求 6.2.1.5.1事件记录 系统应保存检测到的安全事件并记录安全事件信息 安全事件信息应至少包含以下内容;事件发生时间、源地址、目的地址、事件等级、事件类型、事件名 称,事件详细描述以及解决方案建议等 6.2.1.5.2事件可视化 管理员应能通过管理界面实时清晰地查看安全事件 6.2.1.5.3报告生成 系统应能生成详尽的检测结果报告 13
GB/T20275一2013 6.2.1.5.4报告查阅 系统应具有浏览检测结果报告的功能 6.2.1.5.5报告输出 检测结果报告应可输出成方便管理员阅读的文本格式,如woRD文件,HTML文件、文本文件等 6.2.1.6产品灵活性要求 6.2.1.6.1报告定制 系统应支持授权管理员定制报告内容 6.2.1.6.2事件定义 系统应允许授权管理员自定义事件,并应提供方便、快捷的定义方法 6.2.1.6.3协议定义 系统除支持默认的网络协议集外,还应允许授权管理员定义新的协议,或对协议的端口进行重新 定位 6.2.1.7性能要求 6.2.1.7.1 误报率 产品应将误报率控制在应用许可的范围15%内,不能对正常使用产品产生较大影响 6.2.1.7.2漏报率 系统应将漏报率控制在应用许可的范围15%内,不能对正常使用产品产生较大影响 6.2.1.7.3流量监控能力 百兆系统单口监控流量>90Mbps,千兆系统单口监控流量>0.9Gbps,万兆系统单口监控流量 >9Gbps 6.2.1.7.4并发连接数监控能力 百兆系统单口监控并发连接数>10万个,千兆系统单口监控并发连接数>100万个,万兆系统单口 监控并发连接数>150万个 6.2.1.7.5新建TCP连接速率监控能力 百兆系统单口监控每秒新建TCP连接数>6万个,千兆系统单口监控每秒新建TCP连接数 >10万个,万兆系统单口监控每秒新建TCP连接数>15万个 6.2.2自身安全功能要求 6.2.2.1身份鉴别 6.2.2.1.1管理员鉴别 系统应在管理员执行任何与安全功能相关的操作之前对管理员进行鉴别 14
GB/T20275一2013 6.2.2.1.2鉴别失败的处理 当管理员鉴别尝试失败连续达到指定次数后,系统应阻止管理员进一步的鉴别请求,并将有关信息 生成审计事件 最多失败次数仅由授权管理员设定 6.2.2.1.3鉴别数据保护 系统应保护鉴别数据不被未授权查阅和修改 6.2.2.1.4超时设置 系统应具有管理员登录超时重新鉴别功能 在设定的时间段内没有任何操作的情况下,锁定或终 止会话,需要再次进行身份鉴别才能够重新管理产品 最大超时时间仅由授权管理员设定 6.2.2.1.5控制台鉴别 系统应在通过控制台对引擎执行任何与安全功能相关的操作之前对控制台进行鉴别 6.2.2.2管理员管理 6.2.2.2.1标识唯一性 系统应保证所设置的管理员标识全局唯一 6.2.2.2.2管理员属性定义 系统应为每一个管理员保存安全属性表,属性应包括管理员标识,鉴别数据、授权信息或管理组信 息,其他安全属性等 6.2.2.2.3安全行为管理 系统应仅允许授权管理员对产品的功能具有禁止,修改的能力 6.2.2.2.4管理员角色 系统应设置多个角色,并应保证每一个角色标识是全局唯一的 6.2.2.2.5安全属性管理 系统应仅允许授权角色可以对指定的安全属性进行查询,修改、删除,改变其默认值等操作 6.2.2.3安全审计 6.2.2.3.1审计日志生成 应能为下述可审计事件产生审计日志,审计级别以内的所有可审计事件(如鉴别失败等重大事件 应在每个审计记录中至少记录如下信息事件的日期和时间、事件类型,主体身份、事件的结果成 功或失败)等 审计日志可理解性 6.2.2.3.2 审计数据的记录方式应便于管理员理解 6.2.2.3.3审计日志查阅 系统应为授权管理员提供提供审计日志查阅功能,方便管理员查看审计,结果 15
GB/T20275一2013 6.2.2.3.4受限的审计日志查阅 除了具有明确的访问权限的授权管理员之外,系统应禁止所有其他用户对审计日志的访问 6.2.2.3.5可选审计查阅 应支持按照一定条件对审计日志进行检索或排序 6.2.2.4事件记录安全 6.2.2.4.1安全管理 系统应仅允许授权管理员访问事件记录,禁止其他用户对事件记录的操作 6.2.2.4.2事件记录保护 在事件记录遭受攻击时,系统应能够及时通知管理员 6.2.2.4.3事件记录存储安全 系统应在发生事件记录存储器空间将耗尽等情况时,应采取相应措施保证已存储事件记录可用和 后续事件记录的存储 6.2.2.5通信安全 6.2.2.5.1通信保密性 系统应确保各组件之间传输的数据如配置和控制信息、告警和事件数据等)不被泄漏 6.2.2.5.2通信完整性 各组件之间传输的数据(如配置和控制信息、告警和事件数据等)被篡改后系统应确保及时发现 并通知管理员 6.2.2.6升级安全 系统应确保事件库和系统升级时的安全,应防止得到错误的或伪造的升级包 6.2.2.7运行安全 6.2.2.7.1 自我隐藏 系统应采取隐藏探测器IP地址等措施使自身在网络上不可见,以降低被攻击的可能性 6.2.2.7.2自我监测 系统在启动和正常工作时,应周期性地、或者按照授权管理员的要求执行自检,包括硬件工作状态 监测、组件连接状态监测等,以验证产品自身执行的正确性 6.2.3安全保证要求 6.2.3.1配置管理 6.2.3.1.1版本号 开发者应为系统的不同版本提供唯一的标识 16
GB/T20275一2013 6.2.3.1.2 配置项 开发者应使用配置管理系统并提供配置管理文档 配置管理文档应包括一个配置清单,配置清单应唯一标识组成系统的所有配置项并对配置项进行 描述,还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据 6.2.3.2交付与运行 6.2.3.2.1交付程序 开发者应使用一定的交付程序交付系统,并将交付过程文档化 交付文档应描述在给用户方交付系统的各版本时,为维护安全所必需的所有程序 6.2.3.2.2安装、生成和启动程序 开发者应提供文档说明系统的安装、生成和启动的过程 6.2.3.3开发 6.2.3.3.1非形式化功能规范 开发者应提供一个功能规范,功能规范应满足以下要求 使用非形式化风格来描述系统安全功能及其外部接口; a b 是内在一致的; 描述所有外部接口的用途与使用方法,适当时应提供效果、例外情况和错误消息的细节 c d)完备地表示系统安全功能 6.2.3.3.2描述性高层设计 开发者应提供系统安全功能的高层设计,高层设计应满足以下要求 a)表示应是非形式化的 b 是内在一致的; e)按子系统描述安全功能的结构; d)描述每个安全功能子系统所提供的安全功能性 标识安全功能所要求的任何基础性的硬件、固件或软件,以及在这些硬件、固件或软件中实现 的支持性保护机制所提供功能的一个表示 标识安全功能子系统的所有接口 标识安全功能子系统的哪些接口是外部可见的 6.2.3.3.3非形式化对应性证实 开发者应提供系统安全功能表示的所有相邻对之间提供对应性分析 对于系统安全功能所表示的每个相邻对,分析应阐明,较为抽象的安全功能表示的所有相关安全功 能,应在较具体的安全功能表示中得到正确且完备地细化 6.2.3.4文档要求 6.2.3.4.1管理员指南 开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致 17
GB/T20275一2013 管理员指南应说明以下内容 a)管理员可使用的管理功能和接口; b 怎样安全地管理系统; 在安全处理环境中应被控制的功能和权限; 所有对与产品的安全操作有关的用户行为的假设 所有受管理员控制的安全参数,如果可能,应指明安全值; f 每一种与管理功能有关的安全相关事件,包括对安全功能所控制实体的安全特性进行的改变; 所有与管理员有关的IT环境安全要求 g 6.2.3.4.2 用户指南 开发者应提供用户指南,用户指南应与为评估而提供的其他所有文档保持一致 用户指南应说明以下内容; 产品的非管理员用户可使用的安全功能和接口: a) 产品提供给用户的安全功能和接口的使用方法 b e)用户可获取但应受安全处理环境所控制的所有功能和权限; 产品安全操作中用户所应承担的职责; d 与用户有关的IT环境的所有安全要求 ee 6.2.3.5测试 覆盖证据 6.2.3.5.1 开发者应提供测试覆盖的证据 在测试覆盖证据中,应表明测试文档中所标识的测试与功能规范中所描述的系统的安全功能是对 应的 6.2.3.5.2功能测试 开发者应测试安全功能.将结果文档化并提供测试文档 测试文档应包括以下内容 a)测试计划,应标识要测试的安全功能,并描述测试的目标 b) 测试过程,应标识要执行的测试,并描述每个安全功能的测试概况,这些概况应包括对于其他 测试结果的顺序依赖性; e)预期的测试,结果应表明测试成功后的预期输出 d)实际测试结果,应表明每个被测试的安全功能能按照规定进行运作 6.2.3.5.3独立测试 6.2.3.5.3.1 -致性 开发者应提供适合测试的系统,提供的测试集合应与其自测系统功能时使用的测试集合相一致 6.2.3.5.3.2抽样 开发者应提供一组相当的资源,用于安全功能的抽样测试 18
GB/T20275一2013 6.2.3.6脆弱性分析保证 6.2.3.6.1系统安全功能强度评估 开发者应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分 析,并说明安全机制达到或超过定义的最低强度级别或特定功能强度度量 6.2.3.6.2开发者脆弱性分析 开发者应执行脆弱性分析,并提供脆弱性分析文档 开发者应从用户可能破坏安全策略的明显途径出发,对系统的各种功能进行分析并提供文档 对 被确定的脆弱性,开发者应明确记录采取的措施 对每一条脆弱性,应有证据显示在使用系统的环境中,该脆弱性不能被利用 在文档中,还需证明 经过标识脆弱性的系统可以抵御明显的穿透性攻击 6.3第三级 6.3.1安全功能要求 6.3.1.1数据探测功能要求 6.3.1.1.1数据收集 系统应具有实时获取受保护网段内的数据包的能力用于检测分析 6.3.1.1.2协议分析 系统至少应分析基于以下协议的事件;IPTCP、UDP,ICMP、ARP,RIP,RPC、HTTP,FTP TFTP、IMAPSNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS等 6.3.1.1.3行为监测 系统至少应监视以下攻击行为端口扫描、强力攻击、木马后门攻击,拒绝服务攻击、缓冲区溢出攻 击,IP碎片攻击、网络蠕虫攻击,文件脆弱性攻击,浏览器脆弱性攻击,应用层安全漏洞攻击等 6.3.1.1.4流量监测 系统应监视整个网络或者某一特定协议,地址、,端口的报文流量和字节流量 6.3.1.2入侵分析功能要求 6.3.1.2.1数据分析 系统应对收集的数据包进行分析,发现安全事件 6.3.1.2.2事件合并 系统应具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力 6.3.1.2.3防躲避能力 系统应能发现躲避或欺骗检测的行为,如lIP碎片分片、TCP流分段、URL字符串变形,shel代码 变形等 19
GB/T20275一2013 6.3.1.2.4事件关联 系统应具有把不同的事件关联起来,发现低危害事件中隐含的高危害攻击的能力 6.3.1.3入侵响应功能要求 6.3.1.3.1定制响应 系统应允许管理员对被检测网段中指定的目的主机定制不同的响应方式 6.3.1.3.2 安全告警 当系统检测到人侵时,应自动采取相应动作以发出安全警告 6.3.1.3.3告警方式 告警应采取屏幕实时提示,E-mail告警、Syslog告警等一种或几种方式 6.3.1.3.4阻断能力 系统在监渊到网络上的非法连接时可进行阻断 6.3.1.3.5排除响应 系统应允许管理员定义对被检测网段中指定的目的主机不予告警 6.3.1.3.6防火墙联动 系统应具有与防火墙进行联动的能力,可按照设定的联动策略自动调整防火墙配置 6.3.1.3.7全局预警 系统应具有全局预警功能,控制台可在设定全局预警的策略后,将局部出现的重大安全事件通知其 上级控制台或者下级控制台 6.3.1.3.8其他设备联动 系统应具有与其他网络设备或网络安全部件(如漏洞扫描、交换机)按照设定的策略进行联动的 能力 6.3.1.4管理控制功能要求 6.3.1.4.1图形界面 系统应提供友好的管理员界面用于管理、配置人侵检测系统 管理配置界面应包含配置和管理产 品所需的所有功能 6.3.1.4.2事件数据库 系统事件数据库中的内容应包括事件的定义和分析内容、详细的漏洞修补方案、可采取的对策等 6.3.1.4.3事件分级 系统应按照事件的严重程度将事件分级,以使授权管理员能从大量的信息中捕捉到危险的事件 20
GB/T20275一2013 6.3.1.4.4 策略配置 系统应提供方便、快捷的人侵检测系统策略配置方法和手段,具备策略模板,支持策略的导人和 导出 6.3.1.4.5事件库升级 系统应具有升级事件库的能力 6.3.1.4.6统一升级 系统应提供由控制台对各探测器的事件库进行统一升级的功能 6.3.1.4.7硬件失效处理 对于硬件产品,系统失效时应及时向管理员报警 6.3.1.4.8分布式部署 系统应具有分布式部署的能力 6.3.1.4.9集中管理 系统应设置集中管理中心,对分布式的人侵检测系统进行统一集中管理 6.3.1.4.10端口分离 系统的探测器应配备不同的端口分别用于产品管理和网络数据监听 6.3.1.4.11双机热备 对于硬件产品,系统应提供双机热备功能 6.3.1.4.12系统升级 系统应具有升级系统程序的能力 6.3.1.4.13分级管理 系统应具有分级管理的能力;支持可选择可配置需要多级之间同步的数据类型 6.3.1.5检测结果处理要求 6.3.1.5.1事件记录 系统应保存检测到的安全事件并记录安全事件信息 安全事件信息应至少包含以下内容:事件发生时间、源地址、目的地址、事件等级、事件类型、事件名 称,事件详细描述以及解决方案建议等 6.3.1.5.2事件可视化 管理员应能通过管理界面实时清晰地查看安全事件 6.3.1.5.3报告生成 系统应能生成详尽的检测结果报告 21
GB/T20275一2013 6.3.1.5.4报告查阅 系统应具有浏览检测结果报告的功能 6.3.1.5.5报告输出 检测结果报告应可输出成方便管理员阅读的文本格式,如wORD文件、HTML文件、文本文件等 6.3.1.6产品灵活性要求 6.3.1.6.1报告定制 系统应支持授权管理员定制报告内容 6.3.1.6.2事件定义 系统应允许授权管理员自定义事件,并应提供方便、快捷的定义方法 6.3.1.6.3协议定义 系统除支持默认的网络协议集外,还应允许授权管理员定义新的协议,或对协议的端口进行重新 定位 6.3.1.7性能要求 6.3.1.7.1误报率 产品应将误报率控制在应用许可的范围15%内,不能对正常使用产品产生较大影响 6.3.1.7.2漏报率 系统应将漏报率控制在应用许可的范围15%内,不能对正常使用产品产生较大影响 6.3.1.7.3流量监控能力 百兆系统单口监控流量>90MDps,千兆系统单口监控流量>0.9Gbps,万兆系统单口监控流量习 Gbps 9 6.3.1.7.4并发连接数监控能力 百兆系统单口监控并发连接数>10万个,千兆系统单口监控并发连接数>100万个,万兆系统单口 监控并发连接数>150万个 6.3.1.7.5新建ICP连接速率监控能力 百兆系统单口监控每秒新建TCP连接数>6万个,千兆系统单口监控每秒新建TCP连接数 >10万个,万兆系统单口监控每秒新建TCP连接数>15万个 6.3.1.7.6还原能力 系统应对入侵行为进行内容恢复和还原;当背景数据流低于网络有效带宽的80%时,系统应保证 入侵行为的获取和还原能够正常进行 心
GB/T20275一2013 6.3.2自身安全功能要求 6.3.2.1身份鉴别 6.3.2.1.1管理员鉴别 系统应在管理员执行任何与安全功能相关的操作之前对管理员进行鉴别 6.3.2.1.2鉴别失败的处理 当管理员鉴别尝试失败连续达到指定次数后,系统应阻止管理员进一步的鉴别请求,并将有关信息 生成审计事件 最多失败次数仅由授权管理员设定 6.3.2.1.3鉴别数据保护 系统应保护鉴别数据不被未授权查阅和修改 6.3.2.1.4超时设置 系统应具有管理员登录超时重新鉴别功能 在设定的时间段内没有任何操作的情况下,锁定或终 止会话,需要再次进行身份鉴别才能够重新管理产品 最大超时时间仅由授权管理员设定 6.3.2.1.5控制台鉴别 系统应在通过控制台对引擎执行任何与安全功能相关的操作之前对控制台进行鉴别 6.3.2.1.6多重鉴别机制 系统应提供多种鉴别方式,以实现多重身份鉴别措施 6.3.2.1.7 会话锁定 系统应允许管理员锁定当前的交互会话-锁定后需要再次进行身份鉴别才能够重新管理产品 6.3.2.2管理员管理 6.3.2.2.1标识唯一性 系统应保证所设置的管理员标识全局唯- 6.3.2.2.2管理员属性定义 系统应为每一个管理员保存安全属性表,属性应包括管理员标识,鉴别数据、授权信息或管理组信 息、其他安全属性等 安全行为管理 6.3.2.2.3 系统应仅允许授权管理员对产品的功能具有禁止、修改的能力 6.3.2.2.4管理员角色 系统应设置多个角色,并应保证每一个角色标识是全局唯一的 6.3.2.2.5安全属性管理 系统应仅允许授权角色可以对指定的安全属性进行查询、修改,删除,改变其默认值等操作 23
GB/T20275一2013 6.3.2.3安全审计 6.3.2.3.1审计日志生成 应能为下述可审计事件产生审计日志;审计级别以内的所有可审计事件(如鉴别失败等重大事件 等 应在每个审计记录中至少记录如下信息:事件的日期和时间,事件类型,主体身份,事件的结果成 功或失败)等 6.3.2.3.2审计日志可理解性 审计数据的记录方式应便于管理员理解 6.3.2.3.3审计日志查阅 系统应为授权管理员提供提供审计日志查阅功能,方便管理员查看审计结果 受限的审计日志查阅 6.3.2.3.4 除了具有明确的访问权限的授权管理员之外,系统应禁止所有其他用户对审计日志的访问 6.3.2.3.5可选审计查阅 应支持按照一定条件对审计日志进行检索或排序 6.3.2.4事件记录安全 6.3.2.4.1安全管理 系统应仅允许授权管理员访问事件记录,禁止其他用户对事件记录的操作 6.3.2.4.2事件记录保护 在事件记录遭受攻击时,系统应能够及时通知管理员 6.3.2.4.3事件记录存储安全 系统应在发生事件记录存储器空间将耗尽等情况时,应采取相应措施保证已存储事件记录可用和 后续事件记录的存储 6.3.2.4.4事件记录存储告警 系统应在发生事件数据存储器空间将耗尽等情况时,自动产生告警,产生告警的剩余存储空间大小 应由管理员自主设定 6.3.2.5通信安全 6.3.2.5.1通信保密性 系统应确保各组件之间传输的数据(如配置和控制信息、告警和事件数据等)不被泄漏 6.3.2.5.2通信完整性 各组件之间传输的数据(如配置和控制信息、告警和事件数据等)被篡改后,系统应确保及时发现、 并通知管理员 24

信息安全技术网络入侵检测系统技术要求和测试评价方法GB/T20275-2013分析

网络入侵检测系统是指通过监控网络流量、分析网络数据包等方式，发现并阻止可能威胁网络安全的攻击行为。然而，由于网络攻击手段不断变化，网络入侵检测系统也需要不断更新完善，以确保其有效性。

为此，GB/T20275-2013标准规定了网络入侵检测系统的技术要求和测试评价方法，以便评估该系统的可靠性、实用性和有效性。

该标准首先明确了网络入侵检测系统需要满足的基本要求，如系统应能够在不影响正常网络运行的情况下进行检测、应支持多种协议和应用程序的检测、应具有良好的可配置性等。

其次，该标准详细阐述了网络入侵检测系统的技术要求，包括数据采集和处理、攻击检测、响应与报告等方面。例如，在数据采集和处理方面，该标准规定了网络入侵检测系统应支持多种数据源，并具有高效的数据存储和检索能力；在攻击检测方面，该标准则要求系统能够检测各种攻击类型，并对攻击行为进行准确定位和分析；在响应与报告方面，该标准则强调系统需要及时采取有效措施应对攻击，并生成详细的报告以供分析。

此外，GB/T20275-2013标准还明确了网络入侵检测系统的测试评价方法，包括基本功能测试、性能测试、兼容性测试、安全性测试等方面。这些测试能够全面评估网络入侵检测系统的可靠性、实用性和有效性，为用户选择合适的系统提供了依据。

总之，随着网络攻击手段的日益增多和复杂化，网络入侵检测系统的重要性日益凸显。而GB/T20275-2013标准则为网络入侵检测系统的设计、开发和评估提供了重要参考，有助于提高系统的可靠性和有效性。

信息安全技术网络入侵检测系统技术要求和测试评价方法的相关资料

和信息安全技术网络入侵检测系统技术要求和测试评价方法类似的标准

GB/T26269-2010

网络入侵检测系统技术要求

2022/11/6 19:01:52 现行

GB/T26268-2010

网络入侵检测系统测试方法

2022/11/6 18:53:24 现行

GB/T20275-2013

信息安全技术网络入侵检测系统技术要求和测试评价方法

2022/10/22 19:53:24 现行

GB/T20275-2021

信息安全技术网络入侵检测系统技术要求和测试评价方法

2022/7/12 13:22:46 即将实施