GB/T 20275-2021 信息安全技术 网络入侵检测系统技术要求和测试评价方法

　　ICS 35 . 030 CCS L 80

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 20275—2021

　　代替 GB/T20275—2013

　　信息安全技术 网络入侵检测系统

　　技术要求和测试评价方法

　　Informationsecuritytechnology—

　　Technicalrequirementsandtestingandevaluationapproachesfor

　　network-basedintrusiondetectionsystem

　　2021-10-1 1 发布 2022-05-01 实施

　　国家市场监督管理总局国家标准化管理委员会

　　发

　　布

　　GB/T 20275—202 1

　　GB/T 20275—202 1

　　前 言

　　本文件按照 GB/T 1 . 1—2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规定起草。

　　本文件代替 GB/T 20275—2013《信息安全技术 网络入侵检测系统技术要求和测试评价方法》，与 GB/T 20275—2013 相比，除结构调整和编辑性改动外，主要技术变化如下：

　　a) 修改了“安全事件”的定义(见 3 .1 , 2013 年版的 3 .2) ;

　　b ) 修改了“告警”的定义(见 3 .2 , 2013 年版的 3 .7) ;

　　c) 增加了“网络入侵检测系统描述”章节的内容(见第 5 章);

　　d) 调整了网络入侵检测系统的分级(见 6.1.2 , 2013 年版的 5.2) ;

　　e) 修改了“攻击行为监测”的要求(见 6.2.1.1.3 和 6.3.1.1.3 , 2013 年版的 6.1.1.1.3、6.2.1.1.3 和6 . 3 . 1 . 1 . 3) ;

　　f) 增加了时钟同步的要求(见 6.2.1.4.9 和 6.3.1.4.9) ;

　　g) 增加了鉴别信息的要求(见 6.2.2.1.2 和 6.3.2.1.2) ;

　　h) 增加了管理地址限制的要求(见 6.2.2.1.6 和 6.3.2.1.6) ;

　　i) 增加了数据外发的要求(见 6.2.2.4.3 和 6.3.2.4.3) ;

　　j) 增加对“环境适应性要求”章节的内容，其中主要是明确了网络入侵检测系统对 IPv6 的支持能力，包括支持纯 IPv6 网络环境、IPv6 网络环境下自身管理能力和双协议栈(见 6.2.3 和 6.3.3) ;

　　k) 删除了“双机热备”的要求(见 2013 年版的 6.3.1.4.11) ;

　　l) 删除了“控制台鉴别”的要求(见 2013 年版的 6.3.2.1.5) ;

　　m) 增加了安全策略备份的要求(见 6.3.2.4.4) ;

　　n) 修改了各级的“安全保证要求”为“安全保障要求”(见 6.2.4 和 6.3.4 , 2013 年版的 6.1.3、6.2.3和 6 . 3 . 3) 。

　　请注意本文件的某些内容可能涉及专利。 本文件的发布机构不承担识别专利的责任。

　　本文件由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口 。

　　本文件起草单位：公安部第三研究所、北京天融信网络安全技术有限公司、奇安信科技集团股份有限公司、北京神州绿盟科技有限公司、启明星辰信息技术集团股份有限公司、上海国际技贸联合有限公司、网神信息技术(北京)股份有限公司、中国网络安全审查技术与认证中心、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、上海市信息安全测评认证中心、北京山石网科信息技术有限公司、西安交大捷普网络科技有限公司、新华三技术有限公司、北京安博通科技股份有限公司、北京中科网威信息技术有限公司、深信服科技股份有限公司、深圳市腾讯计算机系统有限公司、中国信息通信研究院、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、华信咨询设计研究院有限公司、中国科学院信息工程研究所、中国电力科学研究院有限公司信息通信研究所、陕西省网络与信息安全测评中心、上海工业控制安全创新科技有限公司、国网新疆电力有限公司电力科学研究院。

　　本文件主要起草人：宋好好、顾建新、沈亮、陆臻、顾健、赖静、陈妍、曹宁、陈华平、刘彤、焦玉峰、刘志远、魏向杰、付海涛、申永波、刘健、刘艺翔、徐佟海、李宇、何建锋、杨洪起、曾祥禄、宋伟、杨柳、黄超、许子先、王榕、郭永振、孙小平、闫兆腾、严敏辉、赵少飞、倪华、李峰、舒斐、王少杰、张凯悦、顾欣、任帅、肖颖。

　　本文件及其所代替文件的历次版本发布情况为：

　　— 2006 年首次发布为 GB/T 20275—2006 , 2013 年第一次修订;

　　— 本次为第二次修订。

　　GB/T 20275—202 1

　　信息安全技术 网络入侵检测系统

　　技术要求和测试评价方法

　　1 范围

　　本文件规定了网络入侵检测系统的安全技术要求和测试评价方法。

　　本文件适用于网络入侵检测系统的设计、开发与测评。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中，注 日期的引用文件，仅该日期对应的版本适用于本文件;不注 日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 25069 信息安全技术 术语

　　3 术语和定义

　　GB/T 25069 界定的以及下列术语和定义适用于本文件。

　　3.1

　　安全事件 securityincident

　　对网络和信息系统或者其中的数据造成危害的事件。

　　3.2

　　告警 alert

　　当攻击或入侵发生时，网络入侵检测系统向授权管理员发出的信息。

　　3.3

　　支撑系统 supportingsystem

　　支撑网络入侵检测系统运行的操作系统。

　　4 缩略语

　　下列缩略语适用于本文件。

　　FTP：文件传输协议(File Transfer Protocol)

　　HTML：超文本置标语言(Hyper Text Markup Language)

　　HTTP：超文本传输协议(Hyper Text Transfer Protocol)

　　ICMP：网际控制报文协议(Internet Control Message Protocol)

　　IP：网际协议(Internet Protocol)

　　POP3 ：邮局协议的第三个版本(Post Office Protocol 3)

　　SMTP：简单邮件传送协议(Simple Mail Transfer Protocol)

　　SNMP：简单网络管理协议(Simple Network Management Protocol)

　　GB/T 20275—202 1

　　TCP：传输控制协议(Transport Control Protocol)

　　TELNET：远程登陆(Telecommunication Network)

　　UDP：用户数据报协议(User Datagram Protocol)

　　5 网络入侵检测系统

　　网络入侵检测系统是以网络上的数据包作为数据源，监听所保护网络节点的所有数据包并进行分析，从而发现异常行为的产品。

　　6 安全技术要求

　　6 . 1 要求分类与分级

　　6 . 1 . 1 要求分类

　　本文件将网络入侵检测系统安全技术要求分为安全功能、自身安全保护、环境适应性和安全保障要求四个大类。 其中，安全功能要求针对网络入侵检测系统应具备的安全功能提出具体要求，主要包括数据探测功能要求、入侵分析功能要求、入侵响应功能要求、管理控制功能要求、检测结果处理要求、产品灵活性要求、性能要求等;自身安全保护要求针对网络入侵检测系统的身份鉴别、管理员管理、安全审

　　计、数据安全、通信安全、升级安全、运行安全等提出具体要求;环境适应性要求支持纯 IPv6 网络环境、 IPv6 网络环境下自身管理能力和双协议栈等;安全保障要求针对网络入侵检测系统的生命周期过程提

　　出具体要求，包括开发、指导性文档、生命周期支持、测试和脆弱性评定等。

　　6 . 1 . 2 安全等级

　　本文件将网络入侵检测系统的安全等级分为基本级和增强级，应符合表 1、表 2、表 3 和表 4 的要求 。安全功能与 自身安全保护的强弱、以及安全保障要求的高低是等级划分的具体依据，安全等级突出安全特性。

　　注：与基本级内容相比，增强级中要求有所增加或变更的内容在正文中通过“加粗”表示。

　　表 1 网络入侵检测系统安全功能要求等级划分表

　　GB/T 20275—202 1

　　表 1 网络入侵检测系统安全功能要求等级划分表(续)

　　GB/T 20275—202 1

　　表 2 网络入侵检测系统自身安全保护要求等级划分表

　　GB/T 20275—202 1

　　表 3 网络入侵检测系统环境适应性要求等级划分表

　　表 4 网络入侵检测系统安全保障要求等级划分表

　　6 . 2 基本级安全要求

　　6 . 2 . 1 安全功能要求

　　6 . 2 . 1 . 1 数据探测功能要求

　　6 . 2 . 1 . 1 . 1 数据收集

　　系统在进行检测分析时，应具有实时获取受保护网段内数据包的能力。

　　GB/T 20275—202 1

　　6 . 2 . 1 . 1 . 2 协议分析

　　系统应对收集的数据包进行协议分析。

　　6 . 2 . 1 . 1 . 3 攻击行为监测

　　系统至少应监视以下攻击行为：端口扫描、强力攻击、恶意代码攻击、拒绝服务攻击、缓冲区溢出攻击和弱性漏洞攻击等。

　　6 . 2 . 1 . 1 . 4 流量监测

　　系统应监视整个网络或者某一特定协议、地址、端口的报文流量和字节流量。

　　6 . 2 . 1 . 2 入侵分析功能要求

　　6 . 2 . 1 . 2 . 1 数据分析

　　系统应对收集的数据包进行分析，发现安全事件。

　　6 . 2 . 1 . 2 . 2 事件合并

　　系统应具有对高频度发生的相同安全事件进行合并告警，避免出现告警风暴的能力。 高频度阈值应由授权管理员设置。

　　6 . 2 . 1 . 3 入侵响应功能要求

　　6 . 2 . 1 . 3 . 1 定制响应

　　系统应允许管理员对被检测网段中指定的 目 的主机定制不同的响应方式。

　　6 . 2 . 1 . 3 . 2 安全告警

　　当系统检测到入侵时，应自动采取相应动作以发出安全警告。

　　6 . 2 . 1 . 3 . 3 告警方式

　　告警应采取屏幕实时提示、E-mail告警等一种或几种方式。

　　6 . 2 . 1 . 4 管理控制功能要求

　　6 . 2 . 1 . 4 . 1 图形界面

　　系统应提供管理员图形化界面用于管理、配置入侵检测系统。 管理配置界面应包含配置和管理系统所需的所有功能。

　　6 . 2 . 1 . 4 . 2 安全事件库

　　系统安全事件库中的内容应包括事件的定义和分析、详细的漏洞修补方案和可采取的对策等。

　　6 . 2 . 1 . 4 . 3 事件分级

　　系统应按照事件的严重程度将事件分级，以使授权管理员能从大量的信息中捕捉到危险的事件。

　　GB/T 20275—202 1

　　6 . 2 . 1 . 4 . 4 策略配置

　　系统应提供方便、快捷的入侵检测系统策略配置方法和手段，具备策略模板、支持策略的导入和导出。

　　6 . 2 . 1 . 4 . 5 事件库升级

　　系统应具有升级事件库的能力。

　　6 . 2 . 1 . 4 . 6 系统升级

　　系统应具有升级系统程序的能力。

　　6 . 2 . 1 . 4 . 7 硬件失效处理

　　对于硬件产品，硬件失效时应及时向管理员报警。

　　6 . 2 . 1 . 4 . 8 端口分离

　　系统的探测器应配备不同的端口分别用于系统管理和网络数据监听。

　　6 . 2 . 1 . 4 . 9 时钟同步

　　系统应提供时钟同步功能，保证系统各组件与时钟服务器之间时间的一致性。

　　6 . 2 . 1 . 5 检测结果处理要求

　　6 . 2 . 1 . 5 . 1 事件记录

　　系统应保存检测到的安全事件并记录安全事件信息。

　　安全事件信息应至少包含以下内容：事件发生时间、源地址、目 的地址、事件等级、事件类型、事件名称、事件定义和详细事件过程分析以及解决方案建议等。

　　6 . 2 . 1 . 5 . 2 事件可视化

　　管理员应能通过管理界面实时清晰地查看安全事件。

　　6 . 2 . 1 . 5 . 3 报告生成

　　系统应能生成详尽的检测结果报告。

　　6 . 2 . 1 . 5 . 4 报告查阅

　　系统应具有浏览检测结果报告的功能。

　　6 . 2 . 1 . 5 . 5 报告输出

　　检测结果报告应可输出成方便管理员阅读的文本格式，包括但不限于 WORD 文件、HTML 文件、 PDF文件、WPS文件或 OFD文件等。

　　6 . 2 . 1 . 6 性能要求

　　6 . 2 . 1 . 6 . 1 误报率

　　系统应将误报率控制在 15%内，不能对正常使用系统产生较大影响。支持在 IPv6 网络环境下工

　　GB/T 20275—202 1

　　作的系统的误报率应满足上述指标。

　　6 . 2 . 1 . 6 . 2 漏报率

　　系统应将漏报率控制在 15%内，不能对正常使用系统产生较大影响。支持在 IPv6 网络环境下工

　　作的系统的漏报率应满足上述指标。

　　6 . 2 . 1 . 6 . 3 高流量背景入侵检测能力

　　百兆系统单 口监控流量 ≥ 90 Mbps,千兆系统单 口监控流量≥ 0. 9 Gbps,万兆系统单 口监控流量 ≥9 Gbps。支持在 IPv6 网络环境下工作的系统的流量监控能力应满足上述指标。

　　6 . 2 . 1 . 6 . 4 高并发连接背景入侵检测能力

　　百兆系统单口监控并发连接数 ≥10 万个，千兆系统单口监控并发连接数 ≥100 万个，万兆系统单口监控并发连接数 ≥150 万个。支持在 IPv6 网络环境下工作的系统的并发连接数监控能力应满足上述

　　指标。

　　6 .2 . 1 .6 .5 高新建 TCP连接速率背景入侵检测能力

　　百兆系统单 口监控每秒新建 TCP 连接数≥ 6 万个，千兆 系统单 口监控每秒新建 TCP 连接数 ≥10 万个，万兆系统单口监控每秒新建 TCP 连接数 ≥15 万个。支持在 IPv6 网络环境下工作的系统

　　的新建 TCP 连接速率监控能力应满足上述指标。

　　6 . 2 . 2 自身安全保护要求

　　6 . 2 . 2 . 1 身份鉴别

　　6 . 2 . 2 . 1 . 1 管理员鉴别

　　系统应在管理员执行任何与安全功能相关的操作之前对管理员进行鉴别。

　　6 . 2 . 2 . 1 . 2 鉴别信息要求

　　在采用基于口令的鉴别信息时，系统应对管理员设置的口令进行复杂度检查，确保管理员口令满足复杂度要求。 当存在默认口令时，系统应提示管理员对默认口令进行修改，以减少用户身份被冒用的风险 。 系统应提供鉴别信息定期更换功能，当鉴别信息使用时间达到使用期限阈值前，应提示管理员进行修改。

　　6 . 2 . 2 . 1 . 3 鉴别失败的处理

　　当管理员鉴别尝试失败连续达到指定次数后，系统应阻止管理员进一步的鉴别请求，并将有关信息生成审计事件。 最多失败次数仅由管理员设定。

　　6 . 2 . 2 . 1 . 4 鉴别数据保护

　　系统应保护鉴别数据不被未授权查阅和修改。

　　6 . 2 . 2 . 1 . 5 超时设置

　　系统应具有管理员登录超时重新鉴别功能。 在设定的时间段内没有任何操作的情况下，锁定或终

　　GB/T 20275—202 1

　　止会话，需要再次进行身份鉴别才能够重新管理系统。 最大超时时间仅由授权管理员设定。

　　6 . 2 . 2 . 1 . 6 管理地址限制

　　系统应对管理员登录的网络地址进行限制。

　　6 . 2 . 2 . 2 管理员管理

　　6 . 2 . 2 . 2 . 1 标识唯一性

　　系统应保证所设置的管理员标识全局唯一 。

　　6 . 2 . 2 . 2 . 2 管理员属性定义

　　系统应为每一个管理员保存安全属性表，属性应包括：管理员标识、鉴别数据、授权信息或管理组信息、其他安全属性等。

　　6 . 2 . 2 . 2 . 3 安全行为管理

　　系统应仅限于授权管理员具有禁止、修改系统功能的能力。

　　6 . 2 . 2 . 3 安全审计

　　6 . 2 . 2 . 3 . 1 审计日志生成

　　系统应生成以下事件的审计日志：

　　a) 管理员账户的登录和注销、系统启动、系统升级、重要配置变更、增加/删除/修改管理员、保存/删除审计日志等;

　　b) 系统及其模块异常状态的告警。

　　系统应在每一个审计日志记录中记录事件发生的 日期、时间、用户标识、事件描述和结果。 若采用远程登录方式还应记录管理主机的 IP 地址。

　　6 . 2 . 2 . 3 . 2 审计日志可理解性

　　审计数据的记录方式应便于管理员理解，以便对审计日志进行分析。

　　6 . 2 . 2 . 3 . 3 审计日志查阅

　　系统应为授权管理员提供审计日志查阅功能，方便管理员查看审计结果。

　　6 . 2 . 2 . 3 . 4 受限的审计日志查阅

　　除具有明确的访问权限的授权管理员之外，系统应禁止所有其他用户对审计日志的访问。

　　6 . 2 . 2 . 3 . 5 可选审计查阅

　　应支持按照一定条件对审计日志进行检索或排序。

　　6 . 2 . 2 . 4 数据安全

　　6 . 2 . 2 . 4 . 1 安全管理

　　系统应仅允许授权管理员访问安全事件记录和审计日志，禁止其他用户对安全事件记录和审计 日

　　GB/T 20275—202 1

　　志的操作。

　　6 . 2 . 2 . 4 . 2 数据存储告警

　　系统应在数据存储空间将耗尽等情况时，自动产生告警，产生告警的剩余存储空间大小应由管理员自主设定。

　　6 . 2 . 2 . 4 . 3 数据外发

　　系统应支持将安全事件记录和审计日志外发，便于对安全事件记录和审计日志的进一步分析。

　　6 . 2 . 2 . 5 通信安全

　　系统应确保各组件之间传输的数据(包括但不限于配置和控制信息、告警和事件数据等)不被泄露。

　　6 . 2 . 2 . 6 运行安全

　　系统应采取隐藏探测器 IP 地址等措施使自身在网络上不可见，以降低被攻击的可能性。 6 . 2 . 2 . 7 支撑系统安全

　　系统的支撑系统应：

　　a) 进行必要的裁剪，不提供多余的组件或网络服务;

　　b) 在重启过程中，安全策略和 日志信息不丢失;

　　c) 不含已知中、高、超危安全漏洞。

　　6 . 2 . 3 环境适应性要求(有则适用)

　　6 . 2 . 3 . 1 支持纯 IPv6 网络环境

　　系统应支持纯 IPv6 网络环境，能够在纯 IPv6 网络环境下正常工作，实现对目标网络入侵的检测。

　　6 . 2 . 3 . 2 IPv6 网络环境下自身管理

　　系统应支持在 IPv6 网络环境下自身管理，实现对产品的管理操作。

　　6 . 2 . 3 . 3 双协议栈

　　系统应支持 IPv4/IPv6 双栈网络环境，能够在 IPv4/IPv6 双栈网络环境下正常工作，实现对目标网

　　络入侵的检测。

　　6 . 2 . 4 安全保障要求

　　6 . 2 . 4 . 1 开发

　　6 . 2 . 4 . 1 . 1 安全架构

　　开发者应提供产品安全功能和自身安全保护的安全架构描述，安全架构描述应满足以下要求：

　　a) 与产品设计文档中对安全功能和 自身安全保护实施抽象描述的级别一致;

　　b) 描述与安全功能和 自身安全保护要求一致的产品安全功能和自身安全保护的安全域;

　　c) 描述产品安全功能和 自身安全保护初始化过程为何是安全的;

　　d) 证实产品安全功能和 自身安全保护能够防止被破坏;

　　GB/T 20275—202 1

　　e) 证实产品安全功能和自身安全保护能够防止安全特性被旁路。

　　6 . 2 . 4 . 1 . 2 功能规范

　　开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：

　　a) 完全描述产品的安全功能和 自身安全保护;

　　b) 描述所有安全功能和 自身安全保护接口的 目的与使用方法;

　　c) 标识和描述每个安全功能和 自身安全保护接口相关的所有参数;

　　d) 描述安全功能和 自身安全保护接口相关的安全功能和自身安全保护实施行为;

　　e) 描述由安全功能和 自身安全保护实施行为处理而引起的直接错误消息;

　　f) 证实安全功能和 自身安全保护要求到安全功能和自身安全保护接口的追溯。

　　6 . 2 . 4 . 1 . 3 产品设计

　　开发者应提供产品设计文档，产品设计文档应满足以下要求：

　　a) 根据子系统描述产品结构;

　　b) 标识和描述产品安全功能和 自身安全保护的所有子系统;

　　c) 描述安全功能和 自身安全保护所有子系统间的相互作用;

　　d) 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能和自身安全保护接口 。

　　6 . 2 . 4 . 2 指导性文档

　　6 . 2 . 4 . 2 . 1 操作用户指南

　　开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持 一致，对每一种用户角色的描述应满足以下要求：

　　a) 描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息;

　　b) 描述如何以安全的方式使用产品提供的可用接口;

　　c) 描述可用功能和接口，尤其是受用户控制的所有安全参数;

　　d) 明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能和 自身安全保护所控制实体的安全特性;

　　e) 标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误)，以及它们与维持安全运行之间的因果关系和联系;

　　f) 充分实现安全目的所执行的安全策略。

　　6 . 2 . 4 . 2 . 2 准备程序

　　开发者应提供产品及其准备程序，准备程序描述应满足以下要求：

　　a) 描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤;

　　b) 描述安全安装产品及其运行环境必需的所有步骤。

　　6 . 2 . 4 . 3 生命周期支持

　　6 . 2 . 4 . 3 . 1 配置管理能力

　　开发者的配置管理能力应满足以下要求：

　　GB/T 20275—202 1

　　a) 为产品的不同版本提供唯一的标识;

　　b) 使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项;

　　c) 提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法。

　　6 . 2 . 4 . 3 . 2 配置管理范围

　　开发者应提供产品配置项列表，并说明配置项的开发者。 配置项列表至少包含产品、安全保障要求的评估证据和产品的组成部分。

　　6 . 2 . 4 . 3 . 3 交付程序

　　开发者应使用一定的交付程序交付产品，并将交付过程文档化。 在给用户方交付产品的各版本时，交付文档应描述为维护安全所必需的所有程序。

　　6 . 2 . 4 . 4 测试

　　6 . 2 . 4 . 4 . 1 测试覆盖

　　开发者应提供测试覆盖文档，测试覆盖描述应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能和 自身安全保护间的对应性。

　　6 . 2 . 4 . 4 . 2 功能测试

　　开发者应测试产品安全功能和 自身安全保护，将结果文档化并提供测试文档。 测试文档应包括以下内容：

　　a) 测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其他测试结果的任何顺序依赖性;

　　b ) 预期的测试结果，表明测试成功后的预期输出;

　　c) 实际测试结果和预期的测试结果的对比。

　　6 . 2 . 4 . 4 . 3 独立测试

　　开发者应提供一组与其自测安全功能和自身安全保护时使用的同等资源，以用于安全功能和 自身安全保护的抽样测试。

　　6 . 2 . 4 . 5 脆弱性评定

　　基于已标识的潜在脆弱性，产品能够抵抗具有基本攻击潜力的攻击者的攻击。

　　6 . 3 增强级安全要求

　　6 . 3 . 1 安全功能要求

　　6 . 3 . 1 . 1 数据探测功能要求

　　6 . 3 . 1 . 1 . 1 数据收集

　　系统在进行检测分析时，应具有实时获取受保护网段内数据包的能力。

　　6 . 3 . 1 . 1 . 2 协议分析

　　系统应对收集的数据包进行协议分析。

　　GB/T 20275—202 1

　　6 . 3 . 1 . 1 . 3 攻击行为监测

　　系统至少应监视以下攻击行为：端口扫描、强力攻击、恶意代码攻击、拒绝服务攻击、缓冲区溢出攻击和弱性漏洞攻击等。

　　6 . 3 . 1 . 1 . 4 流量监测

　　系统应监视整个网络或者某一特定协议、地址、端口的报文流量和字节流量。

　　6 . 3 . 1 . 2 入侵分析功能要求

　　6 . 3 . 1 . 2 . 1 数据分析

　　系统应对收集的数据包进行分析，发现安全事件。

　　6 . 3 . 1 . 2 . 2 事件合并

　　系统应具有对高频度发生的相同安全事件进行合并告警，避免出现告警风暴的能力。 高频度阈值应由授权管理员设置。

　　6 . 3 . 1 . 2 . 3 防躲避能力

　　系统应能发现躲避或欺骗检测的行为，包括但不限于 IP碎片分片、TCP流分段、URL字符串变形、 shell代码变形、协议端口重定向等。

　　6 . 3 . 1 . 2 . 4 事件关联

　　系统应具有把不同的事件关联起来，发现低危害事件中隐含的高危害攻击的能力。

　　6 . 3 . 1 . 3 入侵响应功能要求

　　6 . 3 . 1 . 3 . 1 定制响应

　　系统应允许管理员对被检测网段中指定的 目 的主机定制不同的响应方式。

　　6 . 3 . 1 . 3 . 2 安全告警

　　当系统检测到入侵时，应自动采取相应动作以发出安全警告。

　　6 . 3 . 1 . 3 . 3 告警方式

　　告警应采取屏幕实时提示、E-mail告警等一种或几种方式。

　　6 . 3 . 1 . 3 . 4 阻断能力

　　系统在监测到网络上的非法连接时，可进行阻断。

　　6 . 3 . 1 . 3 . 5 排除响应

　　系统应允许管理员定义对被检测网段中指定的目的主机不予告警。

　　6 . 3 . 1 . 3 . 6 防火墙联动

　　系统应具有与防火墙进行联动的能力，可按照设定的联动策略自动调整防火墙配置。

　　GB/T 20275—202 1

　　6 . 3 . 1 . 3 . 7 全局预警

　　系统应具有全局预警功能，控制台可在设定全局预警的策略后，将局部出现的重大安全事件通知其上级控制台或者下级控制台。

　　6 . 3 . 1 . 3 . 8 其他设备联动

　　系统应具有与其他网络设备或网络安全部件(包括但不限于沙箱、漏洞扫描、交换机等)按照设定的策略进行联动的能力。

　　6 . 3 . 1 . 4 管理控制功能要求

　　6 . 3 . 1 . 4 . 1 图形界面

　　系统应提供管理员图形化界面用于管理、配置入侵检测系统。 管理配置界面应包含配置和管理系统所需的所有功能。

　　6 . 3 . 1 . 4 . 2 安全事件库

　　系统安全事件库中的内容应包括事件的定义和分析、详细的漏洞修补方案和可采取的对策等。

　　6 . 3 . 1 . 4 . 3 事件分级

　　系统应按照事件的严重程度将事件分级，以使授权管理员能从大量的信息中捕捉到危险的事件。

　　6 . 3 . 1 . 4 . 4 策略配置

　　系统应提供方便、快捷的入侵检测系统策略配置方法和手段，具备策略模板、支持策略的导入和导出。

　　6 . 3 . 1 . 4 . 5 事件库升级

　　系统应具有升级事件库的能力。

　　6 . 3 . 1 . 4 . 6 系统升级

　　系统应具有升级系统程序的能力。

　　6 . 3 . 1 . 4 . 7 硬件失效处理

　　对于硬件产品，硬件失效时应及时向管理员报警。

　　6 . 3 . 1 . 4 . 8 端口分离

　　系统的探测器应配备不同的端口分别用于系统管理和网络数据监听。

　　6 . 3 . 1 . 4 . 9 时钟同步

　　系统应提供时钟同步功能，保证系统各组件与时钟服务器之间时间的一致性。

　　6 . 3 . 1 . 4 . 10 分布式部署

　　系统应具有分布式部署的能力。

　　GB/T 20275—202 1

　　6 . 3 . 1 . 4 . 1 1 集中管理

　　系统应设置集中管理中心，对分布式的入侵检测系统进行统一集中管理。

　　6 . 3 . 1 . 4 . 12 统一升级

　　系统应提供由集中管理中心对各探测器及其事件库进行统一升级的功能。

　　6 . 3 . 1 . 4 . 13 分级管理

　　系统应具有分级管理的能力，支持可选择、可配置多级之间需要同步的数据类型。

　　6 . 3 . 1 . 5 检测结果处理要求

　　6 . 3 . 1 . 5 . 1 事件记录

　　系统应保存检测到的安全事件并记录安全事件信息。

　　安全事件信息应至少包含以下内容：事件发生时间、源地址、目 的地址、事件等级、事件类型、事件名称、事件定义和详细事件过程分析以及解决方案建议等。

　　6 . 3 . 1 . 5 . 2 事件可视化

　　管理员应能通过管理界面实时清晰地查看安全事件。

　　6 . 3 . 1 . 5 . 3 报告生成

　　系统应能生成详尽的检测结果报告。

　　6 . 3 . 1 . 5 . 4 报告查阅

　　系统应具有浏览检测结果报告的功能。

　　6 . 3 . 1 . 5 . 5 报告输出

　　检测结果报告应可输出成方便管理员阅读的文本格式，包括但不限于 WORD 文件、HTML 文件、 PDF文件、WPS文件或 OFD文件等。

　　6 . 3 . 1 . 6 产品灵活性要求

　　6 . 3 . 1 . 6 . 1 报告定制

　　系统应支持授权管理员定制报告内容。

　　6 . 3 . 1 . 6 . 2 事件定义

　　系统应允许授权管理员自定义事件，并应提供方便、快捷的定义方法。

　　6 . 3 . 1 . 6 . 3 协议定义

　　系统除支持默认的网络协议集外，还应允许授权管理员定义新的协议，或对协议的端口进行重新定位。

　　6 . 3 . 1 . 7 性能要求

　　6 . 3 . 1 . 7 . 1 误报率

　　系统应将误报率控制在 15%内，不能对正常使用系统产生较大影响。支持在 IPv6 网络环境下工

　　GB/T 20275—202 1

　　作的系统的误报率应满足上述指标。

　　6 . 3 . 1 . 7 . 2 漏报率

　　系统应将漏报率控制在 15%内，不能对正常使用系统产生较大影响。支持在 IPv6 网络环境下工

　　作的系统的漏报率应满足上述指标。

　　6 . 3 . 1 . 7 . 3 高流量背景入侵检测能力

　　百兆系统单 口监控流量 ≥ 90 Mbps,千兆系统单 口监控流量≥ 0. 9 Gbps,万兆系统单 口监控流量 ≥9 Gbps。支持在 IPv6 网络环境下工作的系统的流量监控能力应满足上述指标。

　　6 . 3 . 1 . 7 . 4 高并发连接背景入侵检测能力

　　百兆系统单口监控并发连接数 ≥10 万个，千兆系统单口监控并发连接数 ≥100 万个，万兆系统单口监控并发连接数 ≥150 万个。支持在 IPv6 网络环境下工作的系统的并发连接数监控能力应满足上述

　　指标。

　　6 .3 . 1 .7 .5 高新建 TCP连接速率背景入侵检测能力

　　百兆系统单 口监控每秒新建 TCP 连接数≥ 6 万个，千兆 系统单 口监控每秒新建 TCP 连接数 ≥10 万个，万兆系统单口监控每秒新建 TCP 连接数 ≥15 万个。支持在 IPv6 网络环境下工作的系统

　　的新建 TCP 连接速率监控能力应满足上述指标。

　　6 . 3 . 1 . 7 . 6 还原能力

　　系统应对入侵行为进行内容恢复和还原，当背景数据流低于网络有效带宽的 80%时，系统应保证入侵行为的获取和能够正确还原 85%的入侵行为。支持在 IPv6 网络环境下工作的系统的还原能力应

　　满足上述指标。

　　6 . 3 . 2 自身安全保护要求

　　6 . 3 . 2 . 1 身份鉴别

　　6 . 3 . 2 . 1 . 1 管理员鉴别

　　系统应在管理员执行任何与安全功能相关的操作之前对管理员进行鉴别。

　　6 . 3 . 2 . 1 . 2 鉴别信息要求

　　在采用基于口令的鉴别信息时，系统应对管理员设置的口令进行复杂度检查，确保管理员口令满足复杂度要求。 当存在默认口令时，系统应提示管理员对默认口令进行修改，以减少用户身份被冒用的风险 。 系统应提供鉴别信息定期更换功能，当鉴别信息使用时间达到使用期限阈值前，应提示管理员进行修改。

　　6 . 3 . 2 . 1 . 3 鉴别失败的处理

　　当管理员鉴别尝试失败连续达到指定次数后，系统应阻止管理员进一步的鉴别请求，并将有关信息生成审计事件。 最多失败次数仅由管理员设定。

　　6 . 3 . 2 . 1 . 4 鉴别数据保护

　　系统应保护鉴别数据不被未授权查阅和修改。

　　GB/T 20275—202 1

　　6 . 3 . 2 . 1 . 5 超时设置

　　系统应具有管理员登录超时重新鉴别功能。 在设定的时间段内没有任何操作的情况下，锁定或终止会话，需要再次进行身份鉴别才能够重新管理系统。 最大超时时间仅由授权管理员设定。

　　6 . 3 . 2 . 1 . 6 管理地址限制

　　系统应对管理员登录的网络地址进行限制。

　　6 . 3 . 2 . 1 . 7 多重鉴别机制

　　系统应提供多种鉴别方式，以实现多重身份鉴别措施。

　　6 . 3 . 2 . 1 . 8 会话锁定

　　系统应允许管理员锁定当前的交互会话，锁定后需要再次进行身份鉴别才能够重新管理系统。

　　6 . 3 . 2 . 2 管理员管理

　　6 . 3 . 2 . 2 . 1 标识唯一性

　　系统应保证所设置的管理员标识全局唯一 。

　　6 . 3 . 2 . 2 . 2 管理员属性定义

　　系统应为每一个管理员保存安全属性表，属性应包括：管理员标识、鉴别数据、授权信息或管理组信息、其他安全属性等。

　　6 . 3 . 2 . 2 . 3 安全行为管理

　　系统应仅限于授权管理员具有禁止、修改系统功能的能力。

　　6 . 3 . 2 . 2 . 4 管理员角色

　　系统应设置多个角色，并应保证每一个角色标识是全局唯一的。

　　6 . 3 . 2 . 2 . 5 安全属性管理

　　系统应仅允许授权角色可以对指定的安全属性进行查询、修改、删除、改变其默认值等操作。

　　6 . 3 . 2 . 3 安全审计

　　6 . 3 . 2 . 3 . 1 审计日志生成

　　系统应生成以下事件的审计日志：

　　a) 管理员账户的登录和注销、系统启动、系统升级、重要系统参数修改、安全策略变更、增加/删除/修改管理员、保存/删除审计日志等;

　　b) 系统及其模块异常状态的告警。

　　系统应在每一个审计日志记录中记录事件发生的 日期、时间、用户标识、事件描述和结果。 若采用远程登录方式还应记录管理主机的 IP 地址。

　　6 . 3 . 2 . 3 . 2 审计日志可理解性

　　审计数据的记录方式应便于管理员理解，以便对审计日志进行分析。

　　GB/T 20275—202 1

　　6 . 3 . 2 . 3 . 3 审计日志查阅

　　系统应为授权管理员提供审计日志查阅功能，方便管理员查看审计结果。

　　6 . 3 . 2 . 3 . 4 受限的审计日志查阅

　　除具有明确的访问权限的授权管理员之外，系统应禁止所有其他用户对审计日志的访问。

　　6 . 3 . 2 . 3 . 5 可选审计查阅

　　应支持按照一定条件对审计日志进行检索或排序。

　　6 . 3 . 2 . 4 数据安全

　　6 . 3 . 2 . 4 . 1 安全管理

　　系统应仅允许授权管理员访问安全事件记录和审计日志，禁止其他用户对安全事件记录和审计 日志的操作。

　　6 . 3 . 2 . 4 . 2 数据存储告警

　　系统应在数据存储空间将耗尽等情况时，自动产生告警，产生告警的剩余存储空间大小应由管理员自主设定。

　　6 . 3 . 2 . 4 . 3 数据外发

　　系统应支持将安全事件记录和审计日志外发，便于对安全事件记录和审计日志的进一步分析。

　　6 . 3 . 2 . 4 . 4 安全策略备份

　　系统应支持对安全策略进行备份和恢复，并在恢复时校验备份文件的完整性。

　　6 . 3 . 2 . 5 通信安全

　　6 . 3 . 2 . 5 . 1 通信保密性

　　系统应确保各组件之间传输的数据(包括但不限于配置和控制信息、告警和事件数据等)不被泄露。

　　6 . 3 . 2 . 5 . 2 通信完整性

　　各组件之间传输的数据(包括但不限于配置和控制信息、告警和事件数据等)被篡改后，系统应确保及时发现、并通知管理员。

　　6 . 3 . 2 . 6 升级安全

　　系统应确保事件库和系统升级时的安全，避免得到错误的或伪造的升级包。

　　6 . 3 . 2 . 7 运行安全

　　6 . 3 . 2 . 7 . 1 自我隐藏

　　系统应采取隐藏探测器 IP 地址等措施使自身在网络上不可见，以降低被攻击的可能性。

　　6 . 3 . 2 . 7 . 2 自我监测

　　系统在启动和正常工作时，应周期性地、或者按照授权管理员的要求执行自检，包括硬件工作状态

　　GB/T 20275—202 1

　　监测、组件连接状态监测等，以验证系统自身执行的正确性。 当系统自检发现异常时，应及时通知授权管理员。

　　6 . 3 . 2 . 8 支撑系统安全

　　系统的支撑系统应：

　　a) 进行必要的裁剪，不提供多余的组件或网络服务;

　　b) 在重启过程中，安全策略和 日志信息不丢失;

　　c) 不含已知中、高、超危安全漏洞。

　　6 . 3 . 3 环境适应性要求(有则适用)

　　6 . 3 . 3 . 1 支持纯 IPv6 网络环境

　　系统应支持纯 IPv6 网络环境，能够在纯 IPv6 网络环境下正常工作，实现对目标网络入侵的检测。

　　6 . 3 . 3 . 2 IPv6 网络环境下自身管理

　　系统应支持在 IPv6 网络环境下自身管理，实现对产品的管理操作。

　　6 . 3 . 3 . 3 双协议栈

　　系统应支持 IPv4/IPv6 双栈网络环境，能够在 IPv4/IPv6 双栈网络环境下正常工作，实现对目标网

　　络入侵的检测。

　　6 . 3 . 4 安全保障要求

　　6 . 3 . 4 . 1 开发

　　6 . 3 . 4 . 1 . 1 安全架构

　　开发者应提供产品安全功能和自身安全保护的安全架构描述，安全架构描述应满足以下要求：

　　a) 与产品设计文档中对安全功能和 自身安全保护实施抽象描述的级别一致;

　　b) 描述与安全功能和 自身安全保护要求一致的产品安全功能和自身安全保护的安全域;

　　c) 描述产品安全功能和 自身安全保护初始化过程为何是安全的;

　　d) 证实产品安全功能和 自身安全保护能够防止被破坏;

　　e) 证实产品安全功能和自身安全保护能够防止安全特性被旁路。

　　6 . 3 . 4 . 1 . 2 功能规范

　　开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：

　　a) 完全描述产品的安全功能和 自身安全保护;

　　b) 描述所有安全功能和 自身安全保护接口的 目的与使用方法;

　　c) 标识和描述每个安全功能和 自身安全保护接口相关的所有参数;

　　d) 描述安全功能和 自身安全保护接口相关的安全功能和自身安全保护实施行为;

　　e) 描述由安全功能和 自身安全保护实施行为处理而引起的直接错误消息;

　　f) 证实安全功能和 自身安全保护要求到安全功能和自身安全保护接口的追溯;

　　g) 描述安全功能和自身安全保护实施过程中，与安全功能和自身安全保护接口相关的所有行为;

　　h ) 描述可能由安全功能和自身安全保护接口的调用而引起的所有直接错误消息。

　　GB/T 20275—202 1

　　6 . 3 . 4 . 1 . 3 实现表示

　　开发者应提供全部安全功能和自身安全保护的实现表示，实现表示应满足以下要求：

　　a) 提供产品设计描述与实现表示实例之间的映射，并证明其一致性;

　　b ) 按详细级别定义产品安全功能和自身安全保护，详细程度达到无须进一步设计就能生成安全功能和自身安全保护的程度;

　　c) 以开发人员使用的形式提供。

　　6 . 3 . 4 . 1 . 4 产品设计

　　开发者应提供产品设计文档，产品设计文档应满足以下要求：

　　a) 根据子系统描述产品结构;

　　b) 标识和描述产品安全功能和 自身安全保护的所有子系统;

　　c) 描述安全功能和 自身安全保护所有子系统间的相互作用;

　　d) 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能和自身安全保护接口;

　　e) 根据模块描述安全功能和自身安全保护;

　　f) 提供安全功能和自身安全保护子系统到模块间的映射关系;

　　g) 描述所有安全功能和自身安全保护实现模块，包括其目的及与其他模块间的相互作用;

　　h) 描述所有实现模块的安全功能和自身安全保护要求相关接口、其他接口的返回值、与其他模块间的相互作用及调用的接口;

　　i ) 描述所有安全功能和 自身安全保护的支撑或相关模块，包括其 目的及与其他模块间的相互作用。

　　6 . 3 . 4 . 2 指导性文档

　　6 . 3 . 4 . 2 . 1 操作用户指南

　　开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持 一致，对每一种用户角色的描述应满足以下要求：

　　a) 描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息;

　　b) 描述如何以安全的方式使用产品提供的可用接口;

　　c) 描述可用功能和接口，尤其是受用户控制的所有安全参数;

　　d) 明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能和 自身安全保护所控制实体的安全特性;

　　e) 标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误)，以及它们与维持安全运行之间的因果关系和联系;

　　f) 充分实现安全目的所执行的安全策略。

　　6 . 3 . 4 . 2 . 2 准备程序

　　开发者应提供产品及其准备程序，准备程序描述应满足以下要求：

　　a) 描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤;

　　b) 描述安全安装产品及其运行环境必需的所有步骤。

　　GB/T 20275—202 1

　　6 . 3 . 4 . 3 生命周期支持

　　6 . 3 . 4 . 3 . 1 配置管理能力

　　开发者的配置管理能力应满足以下要求：

　　a) 为产品的不同版本提供唯一的标识;

　　b) 使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项;

　　c) 提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法;

　　d) 配置管理系统提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示进行已授权的改变;

　　e) 配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品，实施的配置管理与配置管理计划相一致;

　　f) 配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。

　　6 . 3 . 4 . 3 . 2 配置管理范围

　　开发者应提供产品配置项列表，并说明配置项的开发者。 配置项列表应包含以下内容：

　　a) 产品、安全保障要求的评估证据和产品的组成部分;

　　b ) 实现表示、安全缺陷报告及其解决状态。

　　6 . 3 . 4 . 3 . 3 交付程序

　　开发者应使用一定的交付程序交付产品，并将交付过程文档化。 在给用户方交付产品的各版本时，交付文档应描述为维护安全所必需的所有程序。

　　6 . 3 . 4 . 3 . 4 开发安全

　　开发者应提供开发安全文档。 开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。

　　6 . 3 . 4 . 3 . 5 生命周期定义

　　开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制，并提供生命周期定义文档描述用于开发和维护产品的模型。

　　6 . 3 . 4 . 3 . 6 工具和技术

　　开发者应明确定义用于开发产品的工具，并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义。

　　6 . 3 . 4 . 4 测试

　　6 . 3 . 4 . 4 . 1 测试覆盖

　　开发者应提供测试覆盖文档，测试覆盖描述应满足以下要求：

　　a) 表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能和 自身安全保护间的对应性;

　　b ) 表明上述对应性是完备的，并证实功能规范中的所有安全功能和自身安全保护接口都进行了测试。

　　GB/T 20275—202 1

　　6 . 3 . 4 . 4 . 2 测试深度

　　开发者应提供测试深度的分析。 测试深度分析描述应满足以下要求：

　　a) 证实测试文档中的测试与产品设计中的安全功能和自身安全保护子系统和实现模块之间的一致性;

　　b ) 证实产品设计中的所有安全功能和自身安全保护子系统、实现模块都已经进行过测试。

　　6 . 3 . 4 . 4 . 3 功能测试

　　开发者应测试产品安全功能和 自身安全保护，将结果文档化并提供测试文档。 测试文档应包括以下内容：

　　a) 测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其他测试结果的任何顺序依赖性;

　　b ) 预期的测试结果，表明测试成功后的预期输出;

　　c) 实际测试结果和预期的测试结果的对比。

　　6 . 3 . 4 . 4 . 4 独立测试

　　开发者应提供一组与其自测安全功能和自身安全保护时使用的同等资源，以用于安全功能和 自身安全保护的抽样测试。

　　6 . 3 . 4 . 5 脆弱性评定

　　基于已标识的潜在脆弱性，产品能够抵抗具有中等攻击潜力的攻击者的攻击。

　　7 测试评价方法

　　7 . 1 测试环境

　　网络入侵检测系统功能测试的典型网络拓扑结构如图 1 所示。

　　GB/T 20275—202 1

　　图 1 网络入侵检测系统功能测试典型网络拓扑图

　　测试设备包括测试所需的交换机、测试工具集、模拟攻击源计算机、模拟被攻击计算机、以及网络入侵检测系统控制台、网络入侵检测系统探测器等。 其中，模拟攻击源计算机和模拟被攻击计算机可以为多台，并可安装不同的操作系统和应用软件。

　　7 . 2 测试工具

　　可用的测试工具包括但不限于：生成网络背景流量的专用网络性能分析仪;进行包回放的网络数据包获取软件;测试产品报警能力的扫描和攻击工具包。

　　可采取多种测试工具和测试方法对系统进行测试。

　　7 . 3 基本级

　　7 . 3 . 1 安全功能测试

　　7 . 3 . 1 . 1 数据探测功能测试

　　7 . 3 . 1 . 1 . 1 数据收集

　　对数据收集的测试评价方法如下。

　　a) 测试方法：

　　1) 打开系统的安全策略配置，配置受保护网段;

　　2) 对受保护网段发起攻击;

　　3) 检查是否具有实时获取受保护网段内的数据包的能力。

　　b ) 预期结果：系统应能够实时获取足够的网络数据包以分析安全事件。

　　GB/T 20275—202 1

　　c) 结果判定：

　　上述预期结果均满足判定为符合，其他情况判定为不符合。

　　7 . 3 . 1 . 1 . 2 协议分析

　　对协议分析的测试评价方法如下。

　　a) 测试方法：

　　1) 打开系统的安全策略配置，检查安全事件的描述是否具有协议类型等属性;

　　2) 检查产品说明书，查找关于协议分析方法的说明，按照系统所声明的协议分析类型，抽样生成协议事件，组成安全事件测试集;

　　3) 配置系统的检测策略为最大策略集;

　　4) 发送安全事件测试集中的所有事件，记录系统的检测结果。

　　b ) 预期结果：

　　1) 记录系统报告的攻击名称和类型;

　　2) 产品说明书中声称能够分析的协议事件，抽样测试应未发现矛盾之处;

　　3) 列举系统支持的所有协议分析方法。

　　c) 结果判定：

　　上述预期结果均满足判定为符合，其他情况判定为不符合。

　　7 . 3 . 1 . 1 . 3 攻击行为监测

　　对攻击行为监测的测试评价方法如下。

　　a) 测试方法：

　　1) 从已有的事件库中选择具有不同特征的多个事件，组成安全事件测试集，选取的事件应包括：端口扫描类事件(包括但不限于 TCP 端口扫描、UDP 端口扫描、ICMP 分布式主机扫描等)、强力攻击类事件(包括但不限于 SMTP、HTTP、FTP、MSSQLSERVER、FTP_弱口令、POP3_弱口令等)、恶意代码类事件(包括但不限于 BO、Netbus、Dolly、红色代码、冲击波、振荡波等)、拒绝服务类事件(包括但不限于 SYNFLOOD、UDPFLOOD、ICMP- FLOOD、IGMP 拒绝服务等)、缓冲区溢出类事件(包括但不限于 FTP__命令溢出、SMTP_ HELO_缓冲区溢出、POP3_foxmail_5. 0_缓冲区溢出、Telnet_Solaris_telnet_缓冲区溢出、HTTP_IIS_Unicode_漏洞、MSSQL2000_远程溢出等)、脆弱性漏洞攻击类事件(包括但不限于 MS-Office 文件脆弱性、MS-IE 浏览器脆弱性、应用层安全漏洞攻击等)以及其他具有代表性的网络安全事件，测试系统;

　　2) 配置系统的检测策略为最大策略集;

　　3) 发送安全事件测试集中的所有事件，记录系统的检测结果。

　　b ) 预期结果：

　　1) 对安全事件测试集的攻击，系统应报告相应的安全事件，包括事件名称、事件类型、攻击源地址、目 的地址、事件发生时间、重要级别等信息;

　　2) 记录系统报告的攻击名称和类型。

　　c) 结果判定：

　　上述预期结果均满足判定为符合，其他情况判定为不符合。

　　7 . 3 . 1 . 1 . 4 流量监测

　　对流量监控的测试评价方法如下。

　　a) 测试方法：

　　GB/T 20275—202 1

　　1) 开启流量显示功能，定义流量事件，查看流量显示界面，显示流量变化;

　　2) 对某一服务器发起大流量的攻击，如 ping flood;

　　3) 对特定的端口(如 80 端口)发起拒绝服务攻击。

　　b ) 预期结果：

　　1) 可以显示出各种流量信息;

　　2) 可以显示出正在遭受攻击(如 ping flood)的服务器;

　　3) 可以显示出网络中正遭受的拒绝服务攻击;

　　4) 列举提供的流量监测内容，包括但不限于流量事件、不同协议的流量显示曲线等。

　　c) 结果判定：

　　上述预期结果均满足判定为符合，其他情况判定为不符合。

　　7 . 3 . 1 . 2 入侵分析功能测试

　　7 . 3 . 1 . 2 . 1 数据分析

　　对数据分析的测试评价方法如下。

　　a) 测试方法：

　　1) 从已有的事件库中选择具有不同特征的多个事件，组成安全事件测试集。 选取的事件应包括扫描类事件、拒绝服务类事件、后门类事件、蠕虫类事件、溢出类事件、暴力猜解和弱口令类事件、以及其他具有代表性的安全事件;

　　2) 配置系统的检测策略为最大策略集;

　　3) 发送安全事件测试集中的所有事件，记录系统的检测结果。

　　b ) 预期结果：

　　1) 对安全事件测试集的攻击，系统应报告相应的安全事件，包括事件名称、攻击源地址、目 的地址、事件发生时间、重要级别等信息;

　　2) 记录系统报告的攻击名称和类型。

　　c) 结果判定：

　　上述预期结果均满足判定为符合，其他情况判定为不符合。

　　7 . 3 . 1 . 2 . 2 事件合并

　　对事件合并的测试评价方法如下。

　　a) 测试方法：

　　1) 连续触发同一条事件达到高频度阈值，查看报警显示的情况，是否是将同一事件进行合并显示;

　　2) 设置事件合并的规则，将某些内容进行合并，如只显示报警信息的事件名称、发生的次数、源 IP( 目 的是查看某一事件在这个 IP 上发生了多少次)。

　　b ) 预期结果：

　　1) 可以根据需要进行同类事件的合并;

　　2) 可以按照设置显示报警信息的事件名称、发生的次数、源 IP 等信息。

　　c) 结果判定：

　　上述预期结果均满足判定为符合，其他情况判定为不符合。

　　7 . 3 . 1 . 3 入侵响应功能测试

　　7 . 3 . 1 . 3 . 1 定制响应

　　对定制响应的测试评价方法如下。

　　GB/T 20275—202 1

　　a) 测试方法：

　　1) 系统应允许管理员对被检测网段中指定的 目 的主机定制不同的响应方式，以对特定的事件突出告警;

　　2) 打开菜单，检查系统是否允许管理员设置仅对被检测网段中指定的 目 的主机进行告警。

　　b ) 预期结果：管理员可以定制仅监控符合指定条件的 目的主机。

　　c) 结果判定：

　　上述预期结果均满足判定为符合，其他情况判定为不符合。

　　7 . 3 . 1 . 3 . 2 安全告警

　　对安全告警的测试评价方法如下。

　　a) 测试方法：

　　1) 触发一定的安全事件，查看是否有告警信息;

　　2) 检查报警界面的显示信息是否分级别显示;

　　3) 查看报警信息的详细记录;

　　4) 查看报警事件的详细解释和建议解决方案。

　　b ) 预期结果：

　　1) 可以显示告警信息;

　　2) 报警信息可以显示安全事件的级别;

　　3) 对于每条报警信息记录详细的参数;

　　4) 对于每条报警事件能够给出详细解释和建议解决方案。

　　c) 结果判定：

　　上述预期结果均满足判定为符合，其他情况判定为不符合。

　　7 . 3 . 1 . 3 . 3 告警方式

　　对告警方式的测试评价方法如下。

　　a) 测试方法：

　　1) 打开菜单，查看告警方式的选择;

　　2) 依次选择各种告警方式，测试是否能够按照指定的方法告警。

　　b) 预期结果：可以采取屏幕实时提示、E-mail 告警等一种或几种告警方式。记录并列出所有告警方式。

　　c) 结果判定：

　　上述预期结果均满足判定为符合，其他情况判定为不符合。

　　7 . 3 . 1 . 4 管理控制功能测试

　　7 . 3 . 1 . 4 . 1 图形界面

　　对图形界面的测试评价方法如下。

　　a) 测试方法：

　　1) 登录控制台界面;

　　2) 查看管理员界面的功能，包括管理配置界面、报警显示界面等;

　　3) 通过界面配置控制台和探测器的连接。

　　b ) 预期结果：

　　1) 具备独立的控制台;

　　GB/T 20275—202 1

　　2) 具有图形化的管理界面;

　　3) 具备划分清晰功能区域的报警显示界面。

　　c) 结果判定：

　　上述预期结果均满足判定为符合，其他情况判定为不符合。

　　7 . 3 . 1 . 4 . 2 安全事件库

　　对安全事件库的测试评价方法如下。

　　a) 测试方法：

　　1) 检查系统是否把对安全事件的描述存储到相应的事件库中;

　　2) 检查系统支持的安全事件库格式。

　　b ) 预期结果：

　　1) 系统提供存储安全事件的事件库;

　　2) 安全事件库中的内容应包括安全事件的定义和分析内容、详细的漏洞修补方案和可采取的对策等内容;

　　3) 列举系统支持的安全事件库格式。

　　c) 结果判定：

　　上述预期结果均满足判定为符合，其他情况判定为不符合。

　　7 . 3 . 1 . 4 . 3 事件分级

　　对事件分级的测试评价方法如下。

　　a) 测试方法：

　　1) 打开系统的事件库，检查是否每个事件都有分级信息;

　　2) 检查界面显示的安全事件是否具备事件级别信息。

　　b ) 预期结果：

　　1) 事件库的所有事件都具有分级信息;

　　2) 界面显示的安全事件，都以文字或色彩等形式显示事件级别。

　　c) 结果判定：

　　上述预期结果均满足判定为符合，其他情况判定为不符合。

　　7 . 3 . 1 . 4 . 4 策略配置

　　对策略配置的测试评价方法如下。

　　a) 测试方法：

　　1) 打开菜单，查看系统提供的默认策略;

　　2) 查看是否允许编辑或修改生成新的策略。

　　b ) 预期结果：

　　1) 系统应提供默认的策略，并可以直接应用;

　　2) 应允许管理员编辑策略;

　　3) 支持策略的导入、导出;

　　4) 记录系统提供的策略种类和名称。

　　c) 结果判定：

　　上述预期结果均满足判定为符合，其他情况判定为不符合。

　　7 . 3 . 1 . 4 . 5 事件库升级

　　对事件库升级的测试评价方法如下。

　　GB/T 20275—202 1

　　a) 测试方法：

　　1) 检查产品说明书，查看事件特征库的升级方式;

　　2) 对特征库进行手动或自动的在线升级。

　　b ) 预期结果：

　　1) 特征库可以进行手动或自动的在线升级;

　　2) 升级的过程中探测器可以正常检测事件;

　　3) 列举事件库升级的方式、承诺的升级频率。

　　c) 结果判定：

　　上述预期结果均满足判定为符合，其他情况判定为不符合。

　　7 . 3 . 1 . 4 . 6 系统升级

　　对系统升级的测试评价方法如下。

　　a) 测试方法：

　　1) 检查控制台的升级方式;

　　2) 尝试对控制台进行升级;

　　3) 检查探测器的升级方式;

　　4) 尝试通过控制台对探测器下发升级程序。

　　b ) 预期结果：

　　1) 升级的过程中探测器可以正常检测事件;

　　2) 可以通过控制台来下发探测器的升级程序。

　　c) 结果判定：

　　上述预期结果均满足判定为符合，其他情况判定为不符合。

　　7 . 3 . 1 . 4 . 7 硬件失效处理

　　对硬件失效处理的测试评价方法如下。

　　a) 测试方法：检查系统具备何种硬件失效处理机制，如硬件失效后，系统具有相应的报警措施。

　　b) 预期结果：系统应提供硬件失效处理机制，如硬件失效(如电源故障、风扇转速、电源电压、硬件温度等)后，系统具有相应的报警措施。

　　c) 结果判定：

　　上述预期结果均满足判定为符合，其他情况判定为不符合。

　　7 . 3 . 1 . 4 . 8 端口分离

　　对端口分离的测试评价方法如下。

　　a) 测试方法：检查系统是否配备进行系统管理和网络数据监听的端口。

　　b ) 预期结果：系统的系统管理端口和网络数据监听端口是不同的端口，且均能正常工作。

　　c) 结果判定：

　　上述预期结果均满足判定为符合，其他情况判定为不符合。

　　7 . 3 . 1 . 4 . 9 时钟同步

　　对时钟同步的测试评价方