犐犆犛犆犆犛犔犌犅犜犌犅犜犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔犜犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犪狀犱狋犲狊狋犻狀犵犪狀犱犲狏犪犾狌犪狋犻狅狀犪狆狆狉狅犪犮犺犲狊犳狅狉狀犲狋狑狅狉犽犫犪狊犲犱犻狀狋狉狌狊犻狅狀犱犲狋犲犮狋犻狅狀狊狔狊狋犲犿犌犅犜目次前言范围规范性引用文件术语和定义缩略语网络入侵检测系统安全技术要求要求分类与分级基本级安全要求增强级安全要求测试评价方法测试环境测试工具基本级增强级参考文献犌犅犜前言本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定起草本文件代替信息安全技术网络入侵检测系统技术要求和测试评价方法与相比除结构调整和编辑性改动外主要技术变化如下修改了安全事件的定义见年版的修改了告警的定义见年版的增加了网络入侵检测系统描述章节的内容见第章调整了网络入侵检测系统的分级见年版的修改了攻击行为监测的要求见和年版的和增加了时钟同步的要求见和增加了鉴别信息的要求见和增加了管理地址限制的要求见和增加了数据外发的要求见和增加对环境适应性要求章节的内容其中主要是明确了网络入侵检测系统对的支持能力包括支持纯网络环境网络环境下自身管理能力和双协议栈见和删除了双机热备的要求见年版的删除了控制台鉴别的要求见年版的增加了安全策略备份的要求见修改了各级的安全保证要求为安全保障要求见和年版的和请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任本文件由全国信息安全标准化技术委员会提出并归口本文件起草单位公安部第三研究所北京天融信网络安全技术有限公司奇安信科技集团股份有限公司北京神州绿盟科技有限公司启明星辰信息技术集团股份有限公司上海国际技贸联合有限公司网神信息技术北京股份有限公司中国网络安全审查技术与认证中心中国电子科技集团公司第十五研究所信息产业信息安全测评中心上海市信息安全测评认证中心北京山石网科信息技术有限公司西安交大捷普网络科技有限公司新华三技术有限公司北京安博通科技股份有限公司北京中科网威信息技术有限公司深信服科技股份有限公司深圳市腾讯计算机系统有限公司中国信息通信研究院工业和信息化部计算机与微电子发展研究中心中国软件评测中心华信咨询设计研究院有限公司中国科学院信息工程研究所中国电力科学研究院有限公司信息通信研究所陕西省网络与信息安全测评中心上海工业控制安全创新科技有限公司国网新疆电力有限公司电力科学研究院本文件主要起草人宋好好顾建新沈亮陆臻顾健赖静陈妍曹宁陈华平刘彤焦玉峰刘志远魏向杰付海涛申永波刘健刘艺翔徐佟海李宇何建锋杨洪起曾祥禄宋伟杨柳黄超许子先王榕郭永振孙小平闫兆腾严敏辉赵少飞倪华李峰舒斐王少杰张凯悦顾欣任帅肖颖本文件及其所代替文件的历次版本发布情况为年首次发布为年第一次修订本次为第二次修订提供库七七犌犅犜信息安全技术网络入侵检测系统技术要求和测试评价方法范围本文件规定了网络入侵检测系统的安全技术要求和测试评价方法本文件适用于网络入侵检测系统的设计开发与测评规范性引用文件供提下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于本文件信息安全技术术语安全事件狊犲犮狌狉犻狋狔犻狀犮犻犱犲狀狋对网络和信息系统或者其中的数据造成危害的事件告警犪犾犲狉狋当攻击或入侵发生时网络入侵检测系统向授权管理员发出的信息支撑系统狊狌狆狆狅狉狋犻狀犵狊狔狊狋犲犿支撑网络入侵检测系统运行的操作系统库七七界定的以及下列术语和定义适用于本文件术语和定义缩略语下列缩略语适用于本文件文件传输协议超文本置标语言超文本传输协议网际控制报文协议网际协议邮局协议的第三个版本简单邮件传送协议简单网络管理协议犌犅犜传输控制协议远程登陆用户数据报协议网络入侵检测系统网络入侵检测系统是以网络上的数据包作为数据源监听所保护网络节点的所有数据包并进行分析从而发现异常行为的产品安全技术要求要求分类与分级要求分类本文件将网络入侵检测系统安全技术要求分为安全功能自身安全保护环境适应性和安全保障要求四个大类其中安全功能要求针对网络入侵检测系统应具备的安全功能提出具体要求主要包括数据探测功能要求入侵分析功能要求入侵响应功能要求管理控制功能要求检测结果处理要求产品灵活性要求性能要求等自身安全保护要求针对网络入侵检测系统的身份鉴别管理员管理安全审计数据安全通信安全升级安全运行安全等提出具体要求环境适应性要求支持纯网络环境网络环境下自身管理能力和双协议栈等安全保障要求针对网络入侵检测系统的生命周期过程提出具体要求包括开发指导性文档生命周期支持测试和脆弱性评定等安全等级本文件将网络入侵检测系统的安全等级分为基本级和增强级应符合表表表和表的要求安全功能与自身安全保护的强弱以及安全保障要求的高低是等级划分的具体依据安全等级突出安全特性提供七库七注与基本级内容相比增强级中要求有所增加或变更的内容在正文中通过加粗表示数据探测功能要求入侵分析功能要求表网络入侵检测系统安全功能要求等级划分表安全功能要求数据收集协议分析攻击行为监测流量监测数据分析事件合并防躲避能力事件关联基本级增强级犌犅犜表网络入侵检测系统安全功能要求等级划分表续安全功能要求提供库七七增强级定制响应安全告警告警方式阻断能力入侵响应功能要求排除响应防火墙联动全局预警其他设备联动图形界面安全事件库事件分级策略配置事件库升级系统升级管理控制功能要求硬件失效处理端口分离时钟同步分布式部署集中管理统一升级分级管理事件记录事件可视化检测结果处理要求报告生成报告查阅报告输出报告定制产品灵活性要求事件定义协议定义误报率漏报率高流量背景入侵检测能力性能要求高并发连接背景入侵检测能力高新建连接速率背景入侵检测能力还原能力注表示具有该要求表示不适用基本级犌犅犜表网络入侵检测系统自身安全保护要求等级划分表提供基本级库七七增强级自身安全保护要求管理员鉴别鉴别信息要求鉴别失败的处理鉴别数据保护身份鉴别超时设置管理地址限制多重鉴别机制会话锁定标识唯一性管理员属性定义安全行为管理管理员管理管理员角色安全属性管理审计日志生成审计日志可理解性安全审计审计日志查阅受限的审计日志查阅可选审计查阅安全管理数据存储告警数据安全数据外发安全策略备份通信保密性通信安全通信完整性升级安全自我隐藏运行安全自我监测支撑系统安全注表示具有该要求表示不适用犌犅犜表网络入侵检测系统环境适应性要求等级划分表环境适应性要求支持纯网络环境网络环境下自身管理双协议栈注表示具有该要求表示不适用基本级增强级基本级增强级提安全保障要求安全架构功能规范开发实现表示产品设计操作用户指南指导性文档准备程序配置管理能力配置管理范围交付程序生命周期支持开发安全生命周期定义工具和技术测试覆盖测试深度测试功能测试独立测试脆弱性评定注表示具有该要求表示要求有所增强表示不适用供表网络入侵检测系统安全保障要求等级划分表库七七基本级安全要求安全功能要求数据探测功能要求数据收集系统在进行检测分析时应具有实时获取受保护网段内数据包的能力犌犅犜协议分析系统应对收集的数据包进行协议分析攻击行为监测系统至少应监视以下攻击行为端口扫描强力攻击恶意代码攻击拒绝服务攻击缓冲区溢出攻击和弱性漏洞攻击等流量监测系统应监视整个网络或者某一特定协议地址端口的报文流量和字节流量入侵分析功能要求数据分析系统应对收集的数据包进行分析发现安全事件事件合并系统应具有对高频度发生的相同安全事件进行合并告警避免出现告警风暴的能力高频度阈值应由授权管理员设置入侵响应功能要求定制响应系统应允许管理员对被检测网段中指定的目的主机定制不同的响应方式安全告警当系统检测到入侵时应自动采取相应动作以发出安全警告告警方式告警应采取屏幕实时提示告警等一种或几种方式管理控制功能要求图形界面系统应提供管理员图形化界面用于管理配置入侵检测系统管理配置界面应包含配置和管理系统所需的所有功能安全事件库系统安全事件库中的内容应包括事件的定义和分析详细的漏洞修补方案和可采取的对策等事件分级系统应按照事件的严重程度将事件分级以使授权管理员能从大量的信息中捕捉到危险的事件提供库七七犌犅犜策略配置系统应提供方便快捷的入侵检测系统策略配置方法和手段具备策略模板支持策略的导入和导出事件库升级系统应具有升级事件库的能力系统升级系统应具有升级系统程序的能力硬件失效处理对于硬件产品硬件失效时应及时向管理员报警端口分离系统的探测器应配备不同的端口分别用于系统管理和网络数据监听时钟同步系统应提供时钟同步功能保证系统各组件与时钟服务器之间时间的一致性检测结果处理要求事件记录系统应保存检测到的安全事件并记录安全事件信息安全事件信息应至少包含以下内容事件发生时间源地址目的地址事件等级事件类型事件名称事件定义和详细事件过程分析以及解决方案建议等事件可视化管理员应能通过管理界面实时清晰地查看安全事件报告生成系统应能生成详尽的检测结果报告报告查阅系统应具有浏览检测结果报告的功能报告输出检测结果报告应可输出成方便管理员阅读的文本格式包括但不限于文件文件文件文件或文件等性能要求误报率系统应将误报率控制在内不能对正常使用系统产生较大影响支持在网络环境下工提供库七七犌犅犜作的系统的误报率应满足上述指标漏报率系统应将漏报率控制在内不能对正常使用系统产生较大影响支持在网络环境下工作的系统的漏报率应满足上述指标高流量背景入侵检测能力百兆系统单口监控流量千兆系统单口监控流量万兆系统单口监控流量支持在网络环境下工作的系统的流量监控能力应满足上述指标高并发连接背景入侵检测能力百兆系统单口监控并发连接数万个千兆系统单口监控并发连接数万个万兆系统单口监控并发连接数万个支持在网络环境下工作的系统的并发连接数监控能力应满足上述指标高新建犜犆犘连接速率背景入侵检测能力百兆系统单口监控每秒新建连接数万个千兆系统单口监控每秒新建连接数万个万兆系统单口监控每秒新建连接数万个支持在网络环境下工作的系统的新建连接速率监控能力应满足上述指标自身安全保护要求身份鉴别管理员鉴别系统应在管理员执行任何与安全功能相关的操作之前对管理员进行鉴别鉴别信息要求在采用基于口令的鉴别信息时系统应对管理员设置的口令进行复杂度检查确保管理员口令满足复杂度要求当存在默认口令时系统应提示管理员对默认口令进行修改以减少用户身份被冒用的风险系统应提供鉴别信息定期更换功能当鉴别信息使用时间达到使用期限阈值前应提示管理员进行修改鉴别失败的处理当管理员鉴别尝试失败连续达到指定次数后系统应阻止管理员进一步的鉴别请求并将有关信息生成审计事件最多失败次数仅由管理员设定鉴别数据保护系统应保护鉴别数据不被未授权查阅和修改超时设置系统应具有管理员登录超时重新鉴别功能在设定的时间段内没有任何操作的情况下锁定或终犌犅犜止会话需要再次进行身份鉴别才能够重新管理系统最大超时时间仅由授权管理员设定管理地址限制系统应对管理员登录的网络地址进行限制管理员管理标识