信息安全技术 网络入侵检测系统技术要求和测试评价方法 GBT 20275-2021.pdf

GB/T20275-2021信息安全技术网络入侵检测系统技术要求和测试评价方法1范围本文件规定了网络人侵检测系统的安全技术要求和测试评价方法。本文件适用于网络入侵检测系统的设计、开发与测评。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069信息安全技术术语3术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。3.1安全事件security incident对网络和信息系统或者其中的数据造成危害的事件。3.2告警alert当攻击或入侵发生时，网铬人侵检测系统向授权管理员发出的信息。3.3支撑系统supporting system支撑网络入侵检测系统运行的操作系统。4缩略语下列缩咯语适用于本文件。FTP:文件传输协议(File Transfer Protocol)HTML:超文本置标语言(Hyper Text Markup Language)HTTP:超文本传输协议(Hyper Text Transfer Protocol)ICMP:网际控制报文协议(Internet Control Message Protocol).IP:网际协议(Internet Protocol)POP3:邮局协议的第三个版本(Post Office Protocol3)SMTP:简单邯件传送协议(Simple Mail Transfer Protocol)SNMP:简单网络管理协议(Simple Network Management Protocol)1GB/T20275-2021TCP:传输控制协议(Transport Control Protocol)TELNET:远程登陆(Telecommunication Network)UDP:用户数据报协议(User Datagram Protocol)5网络入侵检测系统网络人侵检测系统是以网络上的数据包作为数据源，监听所保护网络节点的所有数据包并进行分析，从而发现异常行为的产品。6安全技术要求6.1要求分类与分级6.1.1要求分类本文件将网络入侵检测系统安全技术要求分为安全功能、自身安全保护、环境适应性和安全保障要求四个大类。其中，安全功能要求针对网络人侵检测系统应具备的安全功能提出具体要求，主要包括数据探测功能要求、入侵分析功能要求、入侵响应功能要求、管理控制功能要求、检测结果处理要求、产品灵活性要求、性能要求等；自身安全保护要求针对网络入侵检测系统的身份鉴别、管理员管理、安全审计、数据安全、通信安全、升级安全、运行安全等提出具体要求；环境适应性要求支持纯P6网络环境、P6网络环境下自身管理能力和双协议栈等：安全保障要求针对网络入侵检测系统的生命周期过程提出具体要求，包括开发、指导性文档、生命周期支持、测试和脆弱性评定等。6.1.2安全等级本文件将网络人侵检测系统的安全等级分为基本级和增强级，应符合表1、表2、表3和表4的要求。安全功能与自身安全保护的强弱、以及安全保障要求的高低是等级划分的具体依据，安全等级突出安全特性。注：与基本级内容相比，增强级中要求有所增加或变更的内容在正文中通过“加粗”表示。表1网络入侵检测系统安全功能要求等级划分表安全功能要求基本级增强级数据收集协议分析数据探测功能要求攻击行为监测流量监测数据分析事件合并人侵分析功能要求防躲迸能力事件关联一