《GB∕T 20275-2021 信息安全技术 网络入侵检测系统技术要求和测试评价方法.pdf》由会员分享,可在线阅读,更多相关《GB∕T 20275-2021 信息安全技术 网络入侵检测系统技术要求和测试评价方法.pdf(74页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、书 书 书犐 犆犛 犆犆犛犔?犌犅犜?犌犅犜?犐 狀 犳 狅 狉犿犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔狋 犲 犮 犺 狀 狅 犾 狅 犵 狔犜 犲 犮 犺 狀 犻 犮 犪 犾狉 犲 狇 狌 犻 狉 犲犿犲 狀 狋 狊犪 狀 犱狋 犲 狊 狋 犻 狀 犵犪 狀 犱犲 狏 犪 犾 狌 犪 狋 犻 狅 狀犪 狆 狆 狉 狅 犪 犮 犺 犲 狊犳 狅 狉狀 犲 狋 狑狅 狉 犽 犫 犪 狊 犲 犱犻 狀 狋 狉 狌 狊 犻 狅 狀犱 犲 狋 犲 犮 狋 犻 狅 狀狊 狔 狊 狋 犲犿?目次前言范围规范性引用文件术语和定义缩略语网络入侵检测系统安全技术要求 要求分类与分级 基本级安全要求 增
2、强级安全要求 测试评价方法 测试环境 测试工具 基本级 增强级 参考文献 犌犅犜 前言本文件按照 标准化工作导则第部分:标准化文件的结构和起草规则的规定起草。本文件代替 信息安全技术网络入侵检测系统技术要求和测试评价方法,与 相比,除结构调整和编辑性改动外,主要技术变化如下:)修改了“安全事件”的定义(见,年版的);)修改了“告警”的定义(见,年版的);)增加了“网络入侵检测系统描述”章节的内容(见第章);)调整了网络入侵检测系统的分级(见 ,年版的);)修改了“攻击行为监测”的要求(见 和 ,年版的 、和 );)增加了时钟同步的要求(见 和 );)增加了鉴别信息的要求(见 和 );)增加了管
3、理地址限制的要求(见 和 );)增加了数据外发的要求(见 和 );)增加对“环境适应性要求”章节的内容,其中主要是明确了网络入侵检测系统对 的支持能力,包括支持纯 网络环境、网络环境下自身管理能力和双协议栈(见 和 );)删除了“双机热备”的要求(见 年版的 );)删除了“控制台鉴别”的要求(见 年版的 );)增加了安全策略备份的要求(见 );)修改了各级的“安全保证要求”为“安全保障要求”(见 和 ,年版的 、和 )。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会()提出并归口。本文件起草单位:公安部第三研究所、北京天融信网络安
4、全技术有限公司、奇安信科技集团股份有限公司、北京神州绿盟科技有限公司、启明星辰信息技术集团股份有限公司、上海国际技贸联合有限公司、网神信息技术(北京)股份有限公司、中国网络安全审查技术与认证中心、中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、上海市信息安全测评认证中心、北京山石网科信息技术有限公司、西安交大捷普网络科技有限公司、新华三技术有限公司、北京安博通科技股份有限公司、北京中科网威信息技术有限公司、深信服科技股份有限公司、深圳市腾讯计算机系统有限公司、中国信息通信研究院、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、华信咨询设计研究院有限公司、中国科学院信
5、息工程研究所、中国电力科学研究院有限公司信息通信研究所、陕西省网络与信息安全测评中心、上海工业控制安全创新科技有限公司、国网新疆电力有限公司电力科学研究院。本文件主要起草人:宋好好、顾建新、沈亮、陆臻、顾健、赖静、陈妍、曹宁、陈华平、刘彤、焦玉峰、刘志远、魏向杰、付海涛、申永波、刘健、刘艺翔、徐佟海、李宇、何建锋、杨洪起、曾祥禄、宋伟、杨柳、黄超、许子先、王榕、郭永振、孙小平、闫兆腾、严敏辉、赵少飞、倪华、李峰、舒斐、王少杰、张凯悦、顾欣、任帅、肖颖。本文件及其所代替文件的历次版本发布情况为:年首次发布为 ,年第一次修订;本次为第二次修订。犌犅犜 信息安全技术网络入侵检测系统技术要求和测试评价
6、方法范围本文件规定了网络入侵检测系统的安全技术要求和测试评价方法。本文件适用于网络入侵检测系统的设计、开发与测评。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。信息安全技术术语术语和定义 界定的以及下列术语和定义适用于本文件。安全事件狊 犲 犮 狌 狉 犻 狋 狔犻 狀 犮 犻 犱 犲 狀 狋对网络和信息系统或者其中的数据造成危害的事件。告警犪 犾 犲 狉 狋当攻击或入侵发生时,网络入侵检测系统向授权管理员发出的信息。支撑系统狊 狌 狆 狆 狅
7、 狉 狋 犻 狀 犵狊 狔 狊 狋 犲犿支撑网络入侵检测系统运行的操作系统。缩略语下列缩略语适用于本文件。:文件传输协议():超文本置标语言():超文本传输协议():网际控制报文协议():网际协议():邮局协议的第三个版本():简单邮件传送协议():简单网络管理协议()犌犅犜 :传输控制协议():远程登陆():用户数据报协议()网络入侵检测系统网络入侵检测系统是以网络上的数据包作为数据源,监听所保护网络节点的所有数据包并进行分析,从而发现异常行为的产品。安全技术要求 要求分类与分级 要求分类本文件将网络入侵检测系统安全技术要求分为安全功能、自身安全保护、环境适应性和安全保障要求四个大类。其中,
8、安全功能要求针对网络入侵检测系统应具备的安全功能提出具体要求,主要包括数据探测功能要求、入侵分析功能要求、入侵响应功能要求、管理控制功能要求、检测结果处理要求、产品灵活性要求、性能要求等;自身安全保护要求针对网络入侵检测系统的身份鉴别、管理员管理、安全审计、数据安全、通信安全、升级安全、运行安全等提出具体要求;环境适应性要求支持纯 网络环境、网络环境下自身管理能力和双协议栈等;安全保障要求针对网络入侵检测系统的生命周期过程提出具体要求,包括开发、指导性文档、生命周期支持、测试和脆弱性评定等。安全等级本文件将网络入侵检测系统的安全等级分为基本级和增强级,应符合表、表、表和表的要求。安全功能与自身
9、安全保护的强弱、以及安全保障要求的高低是等级划分的具体依据,安全等级突出安全特性。注:与基本级内容相比,增强级中要求有所增加或变更的内容在正文中通过“加粗”表示。表网络入侵检测系统安全功能要求等级划分表安全功能要求基本级增强级数据探测功能要求数据收集协议分析攻击行为监测流量监测入侵分析功能要求数据分析事件合并防躲避能力事件关联犌犅犜 表网络入侵检测系统安全功能要求等级划分表(续)安全功能要求基本级增强级入侵响应功能要求定制响应安全告警告警方式阻断能力排除响应防火墙联动全局预警其他设备联动管理控制功能要求图形界面安全事件库事件分级策略配置事件库升级系统升级硬件失效处理端口分离时钟同步分布式部署集
10、中管理统一升级分级管理检测结果处理要求事件记录事件可视化报告生成报告查阅报告输出产品灵活性要求报告定制事件定义协议定义性能要求误报率漏报率高流量背景入侵检测能力高并发连接背景入侵检测能力高新建连接速率背景入侵检测能力还原能力注:“”表示具有该要求,“”表示不适用。犌犅犜 表网络入侵检测系统自身安全保护要求等级划分表自身安全保护要求基本级增强级身份鉴别管理员鉴别鉴别信息要求鉴别失败的处理鉴别数据保护超时设置管理地址限制多重鉴别机制会话锁定管理员管理标识唯一性管理员属性定义安全行为管理管理员角色安全属性管理安全审计审计日志生成审计日志可理解性审计日志查阅受限的审计日志查阅可选审计查阅数据安全安全管
11、理数据存储告警数据外发安全策略备份通信安全通信保密性通信完整性升级安全运行安全自我隐藏自我监测支撑系统安全注:“”表示具有该要求,“”表示不适用。犌犅犜 表网络入侵检测系统环境适应性要求等级划分表环境适应性要求基本级增强级支持纯 网络环境 网络环境下自身管理双协议栈注:“”表示具有该要求,“”表示不适用。表网络入侵检测系统安全保障要求等级划分表安全保障要求基本级增强级开发安全架构功能规范实现表示产品设计指导性文档操作用户指南准备程序生命周期支持配置管理能力配置管理范围交付程序开发安全生命周期定义工具和技术测试测试覆盖测试深度功能测试独立测试脆弱性评定注:“”表示具有该要求,“”表示要求有所增强
12、,“”表示不适用。基本级安全要求 安全功能要求 数据探测功能要求 数据收集系统在进行检测分析时,应具有实时获取受保护网段内数据包的能力。犌犅犜 协议分析系统应对收集的数据包进行协议分析。攻击行为监测系统至少应监视以下攻击行为:端口扫描、强力攻击、恶意代码攻击、拒绝服务攻击、缓冲区溢出攻击和弱性漏洞攻击等。流量监测系统应监视整个网络或者某一特定协议、地址、端口的报文流量和字节流量。入侵分析功能要求 数据分析系统应对收集的数据包进行分析,发现安全事件。事件合并系统应具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力。高频度阈值应由授权管理员设置。入侵响应功能要求 定制响应系统应允许
13、管理员对被检测网段中指定的目的主机定制不同的响应方式。安全告警当系统检测到入侵时,应自动采取相应动作以发出安全警告。告警方式告警应采取屏幕实时提示、告警等一种或几种方式。管理控制功能要求 图形界面系统应提供管理员图形化界面用于管理、配置入侵检测系统。管理配置界面应包含配置和管理系统所需的所有功能。安全事件库系统安全事件库中的内容应包括事件的定义和分析、详细的漏洞修补方案和可采取的对策等。事件分级系统应按照事件的严重程度将事件分级,以使授权管理员能从大量的信息中捕捉到危险的事件。犌犅犜 策略配置系统应提供方便、快捷的入侵检测系统策略配置方法和手段,具备策略模板、支持策略的导入和导出。事件库升级系
14、统应具有升级事件库的能力。系统升级系统应具有升级系统程序的能力。硬件失效处理对于硬件产品,硬件失效时应及时向管理员报警。端口分离系统的探测器应配备不同的端口分别用于系统管理和网络数据监听。时钟同步系统应提供时钟同步功能,保证系统各组件与时钟服务器之间时间的一致性。检测结果处理要求 事件记录系统应保存检测到的安全事件并记录安全事件信息。安全事件信息应至少包含以下内容:事件发生时间、源地址、目的地址、事件等级、事件类型、事件名称、事件定义和详细事件过程分析以及解决方案建议等。事件可视化管理员应能通过管理界面实时清晰地查看安全事件。报告生成系统应能生成详尽的检测结果报告。报告查阅系统应具有浏览检测结
15、果报告的功能。报告输出检测结果报告应可输出成方便管理员阅读的文本格式,包括但不限于文件、文件、文件、文件或文件等。性能要求 误报率系统应将误报率控制在 内,不能对正常使用系统产生较大影响。支持在 网络环境下工犌犅犜 作的系统的误报率应满足上述指标。漏报率系统应将漏报率控制在 内,不能对正常使用系统产生较大影响。支持在 网络环境下工作的系统的漏报率应满足上述指标。高流量背景入侵检测能力百兆系统单口监控流量 ,千兆系统单口监控流量 ,万兆系统单口监控流量 。支持在 网络环境下工作的系统的流量监控能力应满足上述指标。高并发连接背景入侵检测能力百兆系统单口监控并发连接数 万个,千兆系统单口监控并发连接
16、数 万个,万兆系统单口监控并发连接数 万个。支持在 网络环境下工作的系统的并发连接数监控能力应满足上述指标。高新建犜犆犘连接速率背景入侵检测能力百兆系统单口监控每秒新建连接数万个,千兆系统单口监控每秒新建连接数 万个,万兆系统单口监控每秒新建连接数 万个。支持在 网络环境下工作的系统的新建连接速率监控能力应满足上述指标。自身安全保护要求 身份鉴别 管理员鉴别系统应在管理员执行任何与安全功能相关的操作之前对管理员进行鉴别。鉴别信息要求在采用基于口令的鉴别信息时,系统应对管理员设置的口令进行复杂度检查,确保管理员口令满足复杂度要求。当存在默认口令时,系统应提示管理员对默认口令进行修改,以减少用户身
17、份被冒用的风险。系统应提供鉴别信息定期更换功能,当鉴别信息使用时间达到使用期限阈值前,应提示管理员进行修改。鉴别失败的处理当管理员鉴别尝试失败连续达到指定次数后,系统应阻止管理员进一步的鉴别请求,并将有关信息生成审计事件。最多失败次数仅由管理员设定。鉴别数据保护系统应保护鉴别数据不被未授权查阅和修改。超时设置系统应具有管理员登录超时重新鉴别功能。在设定的时间段内没有任何操作的情况下,锁定或终犌犅犜 止会话,需要再次进行身份鉴别才能够重新管理系统。最大超时时间仅由授权管理员设定。管理地址限制系统应对管理员登录的网络地址进行限制。管理员管理 标识唯一性系统应保证所设置的管理员标识全局唯一。管理员属
18、性定义系统应为每一个管理员保存安全属性表,属性应包括:管理员标识、鉴别数据、授权信息或管理组信息、其他安全属性等。安全行为管理系统应仅限于授权管理员具有禁止、修改系统功能的能力。安全审计 审计日志生成系统应生成以下事件的审计日志:)管理员账户的登录和注销、系统启动、系统升级、重要配置变更、增加删除修改管理员、保存删除审计日志等;)系统及其模块异常状态的告警。系统应在每一个审计日志记录中记录事件发生的日期、时间、用户标识、事件描述和结果。若采用远程登录方式还应记录管理主机的 地址。审计日志可理解性审计数据的记录方式应便于管理员理解,以便对审计日志进行分析。审计日志查阅系统应为授权管理员提供审计日
19、志查阅功能,方便管理员查看审计结果。受限的审计日志查阅除具有明确的访问权限的授权管理员之外,系统应禁止所有其他用户对审计日志的访问。可选审计查阅应支持按照一定条件对审计日志进行检索或排序。数据安全 安全管理系统应仅允许授权管理员访问安全事件记录和审计日志,禁止其他用户对安全事件记录和审计日犌犅犜 志的操作。数据存储告警系统应在数据存储空间将耗尽等情况时,自动产生告警,产生告警的剩余存储空间大小应由管理员自主设定。数据外发系统应支持将安全事件记录和审计日志外发,便于对安全事件记录和审计日志的进一步分析。通信安全系统应确保各组件之间传输的数据(包括但不限于配置和控制信息、告警和事件数据等)不被泄露
20、。运行安全系统应采取隐藏探测器 地址等措施使自身在网络上不可见,以降低被攻击的可能性。支撑系统安全系统的支撑系统应:)进行必要的裁剪,不提供多余的组件或网络服务;)在重启过程中,安全策略和日志信息不丢失;)不含已知中、高、超危安全漏洞。环境适应性要求(有则适用)支持纯犐 犘 狏 网络环境系统应支持纯 网络环境,能够在纯 网络环境下正常工作,实现对目标网络入侵的检测。犐 犘 狏 网络环境下自身管理系统应支持在 网络环境下自身管理,实现对产品的管理操作。双协议栈系统应支持 双栈网络环境,能够在 双栈网络环境下正常工作,实现对目标网络入侵的检测。安全保障要求 开发 安全架构开发者应提供产品安全功能和
21、自身安全保护的安全架构描述,安全架构描述应满足以下要求:)与产品设计文档中对安全功能和自身安全保护实施抽象描述的级别一致;)描述与安全功能和自身安全保护要求一致的产品安全功能和自身安全保护的安全域;)描述产品安全功能和自身安全保护初始化过程为何是安全的;)证实产品安全功能和自身安全保护能够防止被破坏;犌犅犜 )证实产品安全功能和自身安全保护能够防止安全特性被旁路。功能规范开发者应提供完备的功能规范说明,功能规范说明应满足以下要求:)完全描述产品的安全功能和自身安全保护;)描述所有安全功能和自身安全保护接口的目的与使用方法;)标识和描述每个安全功能和自身安全保护接口相关的所有参数;)描述安全功能
22、和自身安全保护接口相关的安全功能和自身安全保护实施行为;)描述由安全功能和自身安全保护实施行为处理而引起的直接错误消息;)证实安全功能和自身安全保护要求到安全功能和自身安全保护接口的追溯。产品设计开发者应提供产品设计文档,产品设计文档应满足以下要求:)根据子系统描述产品结构;)标识和描述产品安全功能和自身安全保护的所有子系统;)描述安全功能和自身安全保护所有子系统间的相互作用;)提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能和自身安全保护接口。指导性文档 操作用户指南开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一致,对每一种用户角色的
23、描述应满足以下要求:)描述在安全处理环境中被控制的用户可访问的功能和特权,包含适当的警示信息;)描述如何以安全的方式使用产品提供的可用接口;)描述可用功能和接口,尤其是受用户控制的所有安全参数;)明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能和自身安全保护所控制实体的安全特性;)标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全运行之间的因果关系和联系;)充分实现安全目的所执行的安全策略。准备程序开发者应提供产品及其准备程序,准备程序描述应满足以下要求:)描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤;)描述安全安装产
24、品及其运行环境必需的所有步骤。生命周期支持 配置管理能力开发者的配置管理能力应满足以下要求:犌犅犜 )为产品的不同版本提供唯一的标识;)使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识配置项;)提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法。配置管理范围开发者应提供产品配置项列表,并说明配置项的开发者。配置项列表至少包含产品、安全保障要求的评估证据和产品的组成部分。交付程序开发者应使用一定的交付程序交付产品,并将交付过程文档化。在给用户方交付产品的各版本时,交付文档应描述为维护安全所必需的所有程序。测试 测试覆盖开发者应提供测试覆盖文档,测试覆盖描述应表明测试文档中所标识
25、的测试与功能规范中所描述的产品的安全功能和自身安全保护间的对应性。功能测试开发者应测试产品安全功能和自身安全保护,将结果文档化并提供测试文档。测试文档应包括以下内容:)测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果的任何顺序依赖性;)预期的测试结果,表明测试成功后的预期输出;)实际测试结果和预期的测试结果的对比。独立测试开发者应提供一组与其自测安全功能和自身安全保护时使用的同等资源,以用于安全功能和自身安全保护的抽样测试。脆弱性评定基于已标识的潜在脆弱性,产品能够抵抗具有基本攻击潜力的攻击者的攻击。增强级安全要求 安全功能要求 数据探测功能要求 数据收集系统
26、在进行检测分析时,应具有实时获取受保护网段内数据包的能力。协议分析系统应对收集的数据包进行协议分析。犌犅犜 攻击行为监测系统至少应监视以下攻击行为:端口扫描、强力攻击、恶意代码攻击、拒绝服务攻击、缓冲区溢出攻击和弱性漏洞攻击等。流量监测系统应监视整个网络或者某一特定协议、地址、端口的报文流量和字节流量。入侵分析功能要求 数据分析系统应对收集的数据包进行分析,发现安全事件。事件合并系统应具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力。高频度阈值应由授权管理员设置。防躲避能力系统应能发现躲避或欺骗检测的行为,包括但不限于犐 犘碎片分片、犜犆犘流分段、犝犚犔字符串变形、狊 犺 犲
27、 犾 犾代码变形、协议端口重定向等。事件关联系统应具有把不同的事件关联起来,发现低危害事件中隐含的高危害攻击的能力。入侵响应功能要求 定制响应系统应允许管理员对被检测网段中指定的目的主机定制不同的响应方式。安全告警当系统检测到入侵时,应自动采取相应动作以发出安全警告。告警方式告警应采取屏幕实时提示、告警等一种或几种方式。阻断能力系统在监测到网络上的非法连接时,可进行阻断。排除响应系统应允许管理员定义对被检测网段中指定的目的主机不予告警。防火墙联动系统应具有与防火墙进行联动的能力,可按照设定的联动策略自动调整防火墙配置。犌犅犜 全局预警系统应具有全局预警功能,控制台可在设定全局预警的策略后,将局
28、部出现的重大安全事件通知其上级控制台或者下级控制台。其他设备联动系统应具有与其他网络设备或网络安全部件(包括但不限于沙箱、漏洞扫描、交换机等)按照设定的策略进行联动的能力。管理控制功能要求 图形界面系统应提供管理员图形化界面用于管理、配置入侵检测系统。管理配置界面应包含配置和管理系统所需的所有功能。安全事件库系统安全事件库中的内容应包括事件的定义和分析、详细的漏洞修补方案和可采取的对策等。事件分级系统应按照事件的严重程度将事件分级,以使授权管理员能从大量的信息中捕捉到危险的事件。策略配置系统应提供方便、快捷的入侵检测系统策略配置方法和手段,具备策略模板、支持策略的导入和导出。事件库升级系统应具
29、有升级事件库的能力。系统升级系统应具有升级系统程序的能力。硬件失效处理对于硬件产品,硬件失效时应及时向管理员报警。端口分离系统的探测器应配备不同的端口分别用于系统管理和网络数据监听。时钟同步系统应提供时钟同步功能,保证系统各组件与时钟服务器之间时间的一致性。分布式部署系统应具有分布式部署的能力。犌犅犜 集中管理系统应设置集中管理中心,对分布式的入侵检测系统进行统一集中管理。统一升级系统应提供由集中管理中心对各探测器及其事件库进行统一升级的功能。分级管理系统应具有分级管理的能力,支持可选择、可配置多级之间需要同步的数据类型。检测结果处理要求 事件记录系统应保存检测到的安全事件并记录安全事件信息。
30、安全事件信息应至少包含以下内容:事件发生时间、源地址、目的地址、事件等级、事件类型、事件名称、事件定义和详细事件过程分析以及解决方案建议等。事件可视化管理员应能通过管理界面实时清晰地查看安全事件。报告生成系统应能生成详尽的检测结果报告。报告查阅系统应具有浏览检测结果报告的功能。报告输出检测结果报告应可输出成方便管理员阅读的文本格式,包括但不限于文件、文件、文件、文件或文件等。产品灵活性要求 报告定制系统应支持授权管理员定制报告内容。事件定义系统应允许授权管理员自定义事件,并应提供方便、快捷的定义方法。协议定义系统除支持默认的网络协议集外,还应允许授权管理员定义新的协议,或对协议的端口进行重新定
31、位。性能要求 误报率系统应将误报率控制在 内,不能对正常使用系统产生较大影响。支持在 网络环境下工 犌犅犜 作的系统的误报率应满足上述指标。漏报率系统应将漏报率控制在 内,不能对正常使用系统产生较大影响。支持在 网络环境下工作的系统的漏报率应满足上述指标。高流量背景入侵检测能力百兆系统单口监控流量 ,千兆系统单口监控流量 ,万兆系统单口监控流量 。支持在 网络环境下工作的系统的流量监控能力应满足上述指标。高并发连接背景入侵检测能力百兆系统单口监控并发连接数 万个,千兆系统单口监控并发连接数 万个,万兆系统单口监控并发连接数 万个。支持在 网络环境下工作的系统的并发连接数监控能力应满足上述指标。
32、高新建犜犆犘连接速率背景入侵检测能力百兆系统单口监控每秒新建连接数万个,千兆系统单口监控每秒新建连接数 万个,万兆系统单口监控每秒新建连接数 万个。支持在 网络环境下工作的系统的新建连接速率监控能力应满足上述指标。还原能力系统应对入侵行为进行内容恢复和还原,当背景数据流低于网络有效带宽的 时,系统应保证入侵行为的获取和能够正确还原 的入侵行为。支持在犐 犘 狏 网络环境下工作的系统的还原能力应满足上述指标。自身安全保护要求 身份鉴别 管理员鉴别系统应在管理员执行任何与安全功能相关的操作之前对管理员进行鉴别。鉴别信息要求在采用基于口令的鉴别信息时,系统应对管理员设置的口令进行复杂度检查,确保管理
33、员口令满足复杂度要求。当存在默认口令时,系统应提示管理员对默认口令进行修改,以减少用户身份被冒用的风险。系统应提供鉴别信息定期更换功能,当鉴别信息使用时间达到使用期限阈值前,应提示管理员进行修改。鉴别失败的处理当管理员鉴别尝试失败连续达到指定次数后,系统应阻止管理员进一步的鉴别请求,并将有关信息生成审计事件。最多失败次数仅由管理员设定。鉴别数据保护系统应保护鉴别数据不被未授权查阅和修改。犌犅犜 超时设置系统应具有管理员登录超时重新鉴别功能。在设定的时间段内没有任何操作的情况下,锁定或终止会话,需要再次进行身份鉴别才能够重新管理系统。最大超时时间仅由授权管理员设定。管理地址限制系统应对管理员登录
34、的网络地址进行限制。多重鉴别机制系统应提供多种鉴别方式,以实现多重身份鉴别措施。会话锁定系统应允许管理员锁定当前的交互会话,锁定后需要再次进行身份鉴别才能够重新管理系统。管理员管理 标识唯一性系统应保证所设置的管理员标识全局唯一。管理员属性定义系统应为每一个管理员保存安全属性表,属性应包括:管理员标识、鉴别数据、授权信息或管理组信息、其他安全属性等。安全行为管理系统应仅限于授权管理员具有禁止、修改系统功能的能力。管理员角色系统应设置多个角色,并应保证每一个角色标识是全局唯一的。安全属性管理系统应仅允许授权角色可以对指定的安全属性进行查询、修改、删除、改变其默认值等操作。安全审计 审计日志生成系
35、统应生成以下事件的审计日志:)管理员账户的登录和注销、系统启动、系统升级、重要系统参数修改、安全策略变更、增加删除修改管理员、保存删除审计日志等;)系统及其模块异常状态的告警。系统应在每一个审计日志记录中记录事件发生的日期、时间、用户标识、事件描述和结果。若采用远程登录方式还应记录管理主机的 地址。审计日志可理解性审计数据的记录方式应便于管理员理解,以便对审计日志进行分析。犌犅犜 审计日志查阅系统应为授权管理员提供审计日志查阅功能,方便管理员查看审计结果。受限的审计日志查阅除具有明确的访问权限的授权管理员之外,系统应禁止所有其他用户对审计日志的访问。可选审计查阅应支持按照一定条件对审计日志进行
36、检索或排序。数据安全 安全管理系统应仅允许授权管理员访问安全事件记录和审计日志,禁止其他用户对安全事件记录和审计日志的操作。数据存储告警系统应在数据存储空间将耗尽等情况时,自动产生告警,产生告警的剩余存储空间大小应由管理员自主设定。数据外发系统应支持将安全事件记录和审计日志外发,便于对安全事件记录和审计日志的进一步分析。安全策略备份系统应支持对安全策略进行备份和恢复,并在恢复时校验备份文件的完整性。通信安全 通信保密性系统应确保各组件之间传输的数据(包括但不限于配置和控制信息、告警和事件数据等)不被泄露。通信完整性各组件之间传输的数据(包括但不限于配置和控制信息、告警和事件数据等)被篡改后,系
37、统应确保及时发现、并通知管理员。升级安全系统应确保事件库和系统升级时的安全,避免得到错误的或伪造的升级包。运行安全 自我隐藏系统应采取隐藏探测器 地址等措施使自身在网络上不可见,以降低被攻击的可能性。自我监测系统在启动和正常工作时,应周期性地、或者按照授权管理员的要求执行自检,包括硬件工作状态 犌犅犜 监测、组件连接状态监测等,以验证系统自身执行的正确性。当系统自检发现异常时,应及时通知授权管理员。支撑系统安全系统的支撑系统应:)进行必要的裁剪,不提供多余的组件或网络服务;)在重启过程中,安全策略和日志信息不丢失;)不含已知中、高、超危安全漏洞。环境适应性要求(有则适用)支持纯犐 犘 狏 网络
38、环境系统应支持纯 网络环境,能够在纯 网络环境下正常工作,实现对目标网络入侵的检测。犐 犘 狏 网络环境下自身管理系统应支持在 网络环境下自身管理,实现对产品的管理操作。双协议栈系统应支持 双栈网络环境,能够在 双栈网络环境下正常工作,实现对目标网络入侵的检测。安全保障要求 开发 安全架构开发者应提供产品安全功能和自身安全保护的安全架构描述,安全架构描述应满足以下要求:)与产品设计文档中对安全功能和自身安全保护实施抽象描述的级别一致;)描述与安全功能和自身安全保护要求一致的产品安全功能和自身安全保护的安全域;)描述产品安全功能和自身安全保护初始化过程为何是安全的;)证实产品安全功能和自身安全保
39、护能够防止被破坏;)证实产品安全功能和自身安全保护能够防止安全特性被旁路。功能规范开发者应提供完备的功能规范说明,功能规范说明应满足以下要求:)完全描述产品的安全功能和自身安全保护;)描述所有安全功能和自身安全保护接口的目的与使用方法;)标识和描述每个安全功能和自身安全保护接口相关的所有参数;)描述安全功能和自身安全保护接口相关的安全功能和自身安全保护实施行为;)描述由安全功能和自身安全保护实施行为处理而引起的直接错误消息;)证实安全功能和自身安全保护要求到安全功能和自身安全保护接口的追溯;)描述安全功能和自身安全保护实施过程中,与安全功能和自身安全保护接口相关的所有行为;)描述可能由安全功能
40、和自身安全保护接口的调用而引起的所有直接错误消息。犌犅犜 实现表示开发者应提供全部安全功能和自身安全保护的实现表示,实现表示应满足以下要求:)提供产品设计描述与实现表示实例之间的映射,并证明其一致性;)按详细级别定义产品安全功能和自身安全保护,详细程度达到无须进一步设计就能生成安全功能和自身安全保护的程度;)以开发人员使用的形式提供。产品设计开发者应提供产品设计文档,产品设计文档应满足以下要求:)根据子系统描述产品结构;)标识和描述产品安全功能和自身安全保护的所有子系统;)描述安全功能和自身安全保护所有子系统间的相互作用;)提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能和
41、自身安全保护接口;)根据模块描述安全功能和自身安全保护;)提供安全功能和自身安全保护子系统到模块间的映射关系;)描述所有安全功能和自身安全保护实现模块,包括其目的及与其他模块间的相互作用;)描述所有实现模块的安全功能和自身安全保护要求相关接口、其他接口的返回值、与其他模块间的相互作用及调用的接口;)描述所有安全功能和自身安全保护的支撑或相关模块,包括其目的及与其他模块间的相互作用。指导性文档 操作用户指南开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一致,对每一种用户角色的描述应满足以下要求:)描述在安全处理环境中被控制的用户可访问的功能和特权,包含适当的警
42、示信息;)描述如何以安全的方式使用产品提供的可用接口;)描述可用功能和接口,尤其是受用户控制的所有安全参数;)明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能和自身安全保护所控制实体的安全特性;)标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全运行之间的因果关系和联系;)充分实现安全目的所执行的安全策略。准备程序开发者应提供产品及其准备程序,准备程序描述应满足以下要求:)描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤;)描述安全安装产品及其运行环境必需的所有步骤。犌犅犜 生命周期支持 配置管理能力开发者的配置管理能力应
43、满足以下要求:)为产品的不同版本提供唯一的标识;)使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识配置项;)提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法;)配置管理系统提供一种自动方式来支持产品的生成,通过该方式确保只能对产品的实现表示进行已授权的改变;)配置管理文档包括一个配置管理计划,配置管理计划描述如何使用配置管理系统开发产品,实施的配置管理与配置管理计划相一致;)配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。配置管理范围开发者应提供产品配置项列表,并说明配置项的开发者。配置项列表应包含以下内容:)产品、安全保障要求的评估证据和产品的组成
44、部分;)实现表示、安全缺陷报告及其解决状态。交付程序开发者应使用一定的交付程序交付产品,并将交付过程文档化。在给用户方交付产品的各版本时,交付文档应描述为维护安全所必需的所有程序。开发安全开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。生命周期定义开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制,并提供生命周期定义文档描述用于开发和维护产品的模型。工具和技术开发者应明确定义用于开发产品的工具,并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义。测试
45、 测试覆盖开发者应提供测试覆盖文档,测试覆盖描述应满足以下要求:)表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能和自身安全保护间的对应性;)表明上述对应性是完备的,并证实功能规范中的所有安全功能和自身安全保护接口都进行了测试。犌犅犜 测试深度开发者应提供测试深度的分析。测试深度分析描述应满足以下要求:)证实测试文档中的测试与产品设计中的安全功能和自身安全保护子系统和实现模块之间的一致性;)证实产品设计中的所有安全功能和自身安全保护子系统、实现模块都已经进行过测试。功能测试开发者应测试产品安全功能和自身安全保护,将结果文档化并提供测试文档。测试文档应包括以下内容:)测试计划,标识要
46、执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果的任何顺序依赖性;)预期的测试结果,表明测试成功后的预期输出;)实际测试结果和预期的测试结果的对比。独立测试开发者应提供一组与其自测安全功能和自身安全保护时使用的同等资源,以用于安全功能和自身安全保护的抽样测试。脆弱性评定基于已标识的潜在脆弱性,产品能够抵抗具有中等攻击潜力的攻击者的攻击。测试评价方法 测试环境网络入侵检测系统功能测试的典型网络拓扑结构如图所示。犌犅犜 图网络入侵检测系统功能测试典型网络拓扑图测试设备包括测试所需的交换机、测试工具集、模拟攻击源计算机、模拟被攻击计算机、以及网络入侵检测系统控制台、网络入侵检测系统
47、探测器等。其中,模拟攻击源计算机和模拟被攻击计算机可以为多台,并可安装不同的操作系统和应用软件。测试工具可用的测试工具包括但不限于:生成网络背景流量的专用网络性能分析仪;进行包回放的网络数据包获取软件;测试产品报警能力的扫描和攻击工具包。可采取多种测试工具和测试方法对系统进行测试。基本级 安全功能测试 数据探测功能测试 数据收集对数据收集的测试评价方法如下。)测试方法:)打开系统的安全策略配置,配置受保护网段;)对受保护网段发起攻击;)检查是否具有实时获取受保护网段内的数据包的能力。)预期结果:系统应能够实时获取足够的网络数据包以分析安全事件。犌犅犜 百兆/千兆/万兆网模拟被攻击主机1网络入侵
48、检测系统探测器c1台或多台)网络入侵检测系统控制台网络入侵检测系统控制台测试工具集模拟被攻击主机n)结果判定:上述预期结果均满足判定为符合,其他情况判定为不符合。协议分析对协议分析的测试评价方法如下。)测试方法:)打开系统的安全策略配置,检查安全事件的描述是否具有协议类型等属性;)检查产品说明书,查找关于协议分析方法的说明,按照系统所声明的协议分析类型,抽样生成协议事件,组成安全事件测试集;)配置系统的检测策略为最大策略集;)发送安全事件测试集中的所有事件,记录系统的检测结果。)预期结果:)记录系统报告的攻击名称和类型;)产品说明书中声称能够分析的协议事件,抽样测试应未发现矛盾之处;)列举系统
49、支持的所有协议分析方法。)结果判定:上述预期结果均满足判定为符合,其他情况判定为不符合。攻击行为监测对攻击行为监测的测试评价方法如下。)测试方法:)从已有的事件库中选择具有不同特征的多个事件,组成安全事件测试集,选取的事件应包括:端口扫描类事件(包括但不限于端口扫描、端口扫描、分布式主机扫描等)、强力攻击类事件(包括但不限于、弱口令、弱口令等)、恶意代码类事件(包括但不限于、红色代码、冲击波、振荡波等)、拒绝服务类事件(包括但不限于、拒绝服务等)、缓冲区溢出类事件(包括但不限于 命令溢出、缓冲区溢出、缓冲区溢出、缓冲区溢出、漏洞、远程溢出等)、脆弱性漏洞攻击类事件(包括但不限于 文件脆弱性、浏
50、览器脆弱性、应用层安全漏洞攻击等)以及其他具有代表性的网络安全事件,测试系统;)配置系统的检测策略为最大策略集;)发送安全事件测试集中的所有事件,记录系统的检测结果。)预期结果:)对安全事件测试集的攻击,系统应报告相应的安全事件,包括事件名称、事件类型、攻击源地址、目的地址、事件发生时间、重要级别等信息;)记录系统报告的攻击名称和类型。)结果判定:上述预期结果均满足判定为符合,其他情况判定为不符合。流量监测对流量监控的测试评价方法如下。)测试方法:犌犅犜 )开启流量显示功能,定义流量事件,查看流量显示界面,显示流量变化;)对某一服务器发起大流量的攻击,如 ;)对特定的端口(如 端口)发起拒绝服