标准搜索结果: 'GB/T 20275-2013'
| 标准编号 | GB/T 20275-2013 (GB/T20275-2013) | | 中文名称 | 信息安全技术 网络入侵检测系统技术要求和测试评价方法 | | 英文名称 | Information security technology -- Technical requirements and testing and evaluation approaches for network-based intrusion detection system | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 32.040 | | 字数估计 | 150,144 | | 旧标准 (被替代) | GB/T 20275-2006 | | 引用标准 | GB/T 18336.1-2008; GB/T 25069-2010 | | 标准依据 | 国家标准公告2013年第27号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准规定了网络入侵检测系统的技术要求和测试评价方法, 要求包括安全功能要求、自身安全功能要求、安全保证要求和测试评价方法, 并提出了网络入侵检测系统的分级要求。本标准适用于网络入侵检测系统的设计、开发、测试和评价。 | GB/T 20275-2013
Information security technology - Technical requirements and testing and evaluation approaches for network-based intrusion detection system
ICS 35.040
L80
中华人民共和国国家标准
代替 GB/T 20275-2006
信息安全技术 网络入侵检测系统
技术要求和测试评价方法
2013-12-31发布
2014-07-15实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 网络入侵检测系统等级划分 2
5.1 等级划分 2
5.2 等级划分表 3
6 网络入侵检测系统技术要求 6
6.1 第一级 6
6.2 第二级 11
6.3 第三级 19
7 网络入侵检测系统测评方法 28
7.1 测试环境 28
7.2 测试工具 29
7.3 第一级 29
7.4 第二级 42
7.5 第三级 61
参考文献 85
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准代替GB/T 20275-2006《信息安全技术 入侵检测系统技术要求和测试评价方法》。
本标准与GB/T 20275-2006的主要差异如下:
---标准名称修改为《信息安全技术 网络入侵检测系统技术要求和测试评价方法》;
---删除了GB/T 20275-2006中对主机入侵检测系统的技术要求和测试评价方法;
---删除了GB/T 20275-2006中的“分析方式”(见2006版的6.1.1.2.2);
---删除了GB/T 20275-2006中的“窗口定义”(见2006版的6.2.1.4.1);
---增加了“最大监控流量”“最大监控并发连接数”“最大监控新建TCP连接速率”的性能要求;
---增加了“硬件失效处理”“双机热备”的安全功能要求和测试评价方法;
---增加了“控制台鉴别”“标识唯一性”的自身安全功能要求和测试评价方法;
---调整了GB/T 20275-2006中“阻断能力”“系统升级”“报告定制”和“定制响应”的级别。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本文件某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、北京启明星辰信息安全技术
有限公司、公安部网络安全保卫局。
本标准主要起草人:宋好好、顾健、张笑笑、李毅、吴其聪、张艳。
信息安全技术 网络入侵检测系统
技术要求和测试评价方法
1 范围
本标准规定了网络入侵检测系统的技术要求和测试评价方法,要求包括安全功能要求、自身安全功
能要求、安全保证要求和测试评价方法,并提出了网络入侵检测系统的分级要求。
本标准适用于网络入侵检测系统的设计、开发、测试和评价。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.1-2008 信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般
模型
GB/T 25069-2010 信息安全技术 术语
3 术语和定义
GB/T 18336.1-2008和GB/T 25069-2010中界定的以及下列术语和定义适用于本文件。
3.1
事件 event
一种系统、服务或网络状态的发生或者改变的记录信息,可作为分析安全事件的基础。
3.2
安全事件 incident
通过对事件的分析处理,从而识别出一种系统、服务或网络状态的发生,表明一次可能的违反安全
规则或某些防护措施失效,或者一种可能与安全相关但以前不为人知的一种情况,极有可能危害业务运
行和威胁信息安全。
3.3
入侵 intrusion
任何危害或可能危害资源完整性、保密性或可用性的行为。
3.4
入侵检测 intrusiondetection
通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统
中是否有违反安全策略的行为和被攻击的迹象。
3.5
以网络上的数据包作为数据源,监听所保护网络内的所有数据包并进行分析,从而发现异常行为的
入侵检测系统。
3.6
探测器 sensor
用于收集可能指示出入侵行为或者滥用信息系统资源的实时事件,并对收集到的信息进行初步分
析的入侵检测系统组件。
3.7
告警 alert
当攻击或入侵发生时,网络入侵检测系统向授权管理员发出的紧急通知。
3.8
响应 response
当攻击或入侵发生时,针对信息系统及存储的数据采取的保护并恢复正常运行环境的行为。
3.9
误报 falsepositives
网络入侵检测系统在未发生攻击时告警,或者发出错误的告警信息。
3.10
漏报 falsenegative
当攻击发生时网络入侵检测系统未告警。
4 缩略语
下列缩略语适用于本文件。
DNS:域名系统(DomainNameSystem)
IP:网际协议(InternetProtocol)
RPC:远程过程调用(RemoteProcedureCal)
5.1 等级划分
5.1.1 第一级
本级规定了网络入侵检测系统的最低安全要求。通过简单的管理员标识和鉴别来限制对系统的功
能配置和数据访问的控制,使管理员具备自主安全保护的能力,阻止非法用户危害系统,保护入侵检测
系统的正常运行。
5.1.2 第二级
本级划分了安全管理角色,以细化对入侵检测系统的管理。加入审计功能,使得授权管理员的行为
是可追踪的。本级还要求系统具有分布式部署、集中管理的能力。同时,还增加了保护系统数据、系统
自身安全运行的措施。
5.1.3 第三级
本级通过增强审计、访问控制、系统的自身保护等要求,对入侵检测系统的正常运行提供较强的保
护。本级还要求系统具有分级管理的能力。此外,还要求系统具有较强的抗攻击能力。
5.2 等级划分表
网络入侵检测系统的安全等级划分如表1、表2、表3所示。对网络入侵检测系统的等级评定是依
据下面三个表格的综合评定得出的,符合第一级的网络入侵检测系统应满足表1、表2、表3中所标明的
一级产品应满足的所有项目;符合第二级的网络入侵检测系统应满足表1、表2、表3中所标明的二级产
品应满足的所有项目;符合第三级的网络入侵检测系统应满足表1、表2、表3中所标明的三级产品应满
足的所有项目。
表1 网络入侵检测系统安全功能要求等级划分表
安全功能要求 一级 二级 三级
数据探测
功能要求
数据收集
协议分析
行为监测
流量监测
入侵分析
功能要求
数据分析 * * *
事件合并 * * *
防躲避能力 - * *
事件关联 - * *
入侵响应
功能要求
安全告警 * * *
告警方式 * * *
定制响应 * * *
排除响应 - * *
全局预警 - - *
阻断能力 - * *
防火墙联动 - * *
入侵管理 - - *
其他设备联动 - - *
表1(续)
安全功能要求 一级 二级 三级
管理控制
功能要求
图形界面 * * *
分布式部署 - * *
分级管理 - - *
集中管理 - * *
同台管理 - * *
端口分离 - * *
硬件失效处理 * * *
双机热备 - * *
事件数据库 * * *
事件分级 * * *
策略配置 * * *
事件库升级 * * *
统一升级 * * *
系统升级 - * *
检测结果
处理要求
事件记录 * * *
事件可视化 * * *
报告生成 * * *
报告查阅 * * *
报告输出 * * *
产品灵
活性要求
报告定制 - * *
事件定义 - * *
协议定义 - * *
性能要求
误报率 * * *
漏报率 * * *
流量监控能力 * * *
并发连接数监控能力 * * *
性能要求
新建TCP连接速率监控能力 * * *
还原能力 - - *
注:“-”表示不具有该要求;“*”表示具有该要求。本标准对网络入侵检测系统每一等级的具体要求和测试
评价方法分别进行描述,“加粗宋体”表示第二级、第三级增加的内容,“系统”表示网络入侵检测系统。
表2 网络入侵检测系统自身安全功能要求等级划分表
自身安全功能要求 一级 二级 三级
身份鉴别
管理员鉴别
多重鉴别机制
鉴别失败的处理
超时设置
控制台鉴别
会话锁定
鉴别数据保护
管理员管理
标识唯一性
管理员角色
管理员属性定义
安全行为管理
安全属性管理
安全审计
审计日志生成
审计日志可理解性
审计日志查阅
受限的审计日志查阅
可选审计查阅
事件记录安全
安全管理
事件记录保护
事件记录存储安全
数据存储告警
通信安全
通信保密性
通信完整性
升级安全 - * *
运行安全
自我隐藏 * * *
自我监测 - * *
注:“-”表示不具有该要求;“*”表示具有该要求。本标准对网络入侵检测系统每一等级的具体要求和测试
评价方法分别进行描述,“加粗宋体”表示第二级、第三级增加的内容,“系统”表示网络入侵检测系统。
表3 网络入侵检测系统安全保证要求等级划分表
安全保证要求 一级 二级 三级
配置管理
配置管
理能力
版本号
配置项
授权控制
配置管理覆盖
交付与运行
交付程序
安装、生成和启动程序
开发
非形式化功能规范
高层设计
描述性高层设计
安全加强的高层设计
非形式化对应性证实
指导性文档
管理员指南
用户指南
生命周期支持 - - *
测试
测试覆盖
覆盖证据
覆盖分析
测试深度
功能测试
独立测试
一致性
抽样
脆弱性分析保证
指南审查 - - *
产品安全功能强度评估 - * *
开发者脆弱性分析 - * *
注:“-”表示不具有该要求;“*”表示具有该要求。本标准对网络入侵检测系统每一等级的具体要求和测试
评价方法分别进行描述,“加粗宋体”表示第二级、第三级增加的内容,“系统”表示网络入侵检测系统。
6 网络入侵检测系统技术要求
6.1 第一级
6.1.1 安全功能要求
6.1.1.1 数据探测功能要求
6.1.1.1.1 数据收集
系统应具有实时获取受保护网段内的数据包的能力用于检测分析。
6.1.1.1.2 协议分析
系统至少应分析基于以下协议的事件:IP、TCP、UDP、ICMP、ARP、RIP、、RPC、HTTP、FTP、
TFTP、IMAP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS等。
6.1.1.1.3 行为监测
系统至少应监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻
击、IP碎片攻击、网络蠕虫攻击、文件脆弱性攻击、浏览器脆弱性攻击、应用层安全漏洞攻击等。
6.1.1.1.4 流量监测
系统应监视整个网络或者某一特定协议、地址、端口的报文流量和字节流量。
6.1.1.2 入侵分析功能要求
6.1.1.2.1 数据分析
系统应对收集的数据包进行分析,发现安全事件。
6.1.1.2.2 事件合并
系统应具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力。
6.1.1.3 入侵响应功能要求
6.1.1.3.1 定制响应
系统应允许管理员对被检测网段中指定的目的主机定制不同的响应方式。
6.1.1.3.2 安全告警
当系统检测到入侵时,应自动采取相应动作以发出安全警告。
6.1.1.3.3 告警方式
告警应采取屏幕实时提示、E-mail告警、Syslog告警等一种或几种方式。
6.1.1.4 管理控制功能要求
6.1.1.4.1 图形界面
系统应提供友好的管理员界面用于管理、配置入侵检测系统。管理配置界面应包含配置和管理产
品所需的所有功能。
6.1.1.4.2 事件数据库
系统事件数据库中的内容应包括事件的定义和分析内容、详细的漏洞修补方案、可采取的对策等。
6.1.1.4.3 事件分级
系统应按照事件的严重程度将事件分级,以使授权管理员能从大量的信息中捕捉到危险的事件。
6.1.1.4.4 策略配置
系统应提供方便、快捷的入侵检测系统策略配置方法和手段,具备策略模板、支持策略的导入和
导出。
6.1.1.4.5 事件库升级
系统应具有升级事件库的能力。
6.1.1.4.6 统一升级
系统应提供由控制台对各探测器的事件库进行统一升级的功能。
6.1.1.4.7 硬件失效处理
对于硬件产品,系统失效时应及时向管理员报警。
6.1.1.5 检测结果处理要求
6.1.1.5.1 事件记录
系统应保存检测到的安全事件并记录安全事件信息。
安全事件信息应至少包含以下内容:事件发生时间、源地址、目的地址、事件等级、事件类型、事件名
称、事件详细描述以及解决方案建议等。
6.1.1.5.2 事件可视化
管理员应能通过管理界面实时清晰地查看安全事件。
6.1.1.5.3 报告生成
系统应能生成详尽的检测结果报告。
6.1.1.5.4 报告查阅
系统应具有浏览检测结果报告的功能。
6.1.1.5.5 报告输出
检测结果报告应可输出成方便管理员阅读的文本格式,如 WORD文件、HTML文件、文本文件等。
6.1.1.6 性能要求
6.1.1.6.1 误报率
产品应将误报率控制在应用许可的范围15%内,不能对正常使用产品产生较大影响。
6.1.1.6.2 漏报率
系统应将漏报率控制在应用许可的范围15%内,不能对正常使用产品产生较大影响。
6.1.1.6.3 流量监控能力
百兆系统单口监控流量≥90Mbit/s,千兆系统单口监控流量≥0.9Gbit/s,万兆系统单口监控流量
≥9Gbit/s。
6.1.1.6.4 并发连接数监控能力
百兆系统单口监控并发连接数≥10万个,千兆系统单口监控并发连接数≥100万个,万兆系统单口
监控并发连接数≥150万个。
6.1.1.6.5 新建TCP连接速率监控能力
百兆系统单口监控每秒新建TCP连接数≥6万个,千兆系统单口监控每秒新建TCP连接数≥10
万个,万兆系统单口监控每秒新建TCP连接数≥15万个。
6.1.2 自身安全功能要求
6.1.2.1 身份鉴别
6.1.2.1.1 管理员鉴别
系统应在管理员执行任何与安全功能相关的操作之前对管理员进行鉴别。
6.1.2.1.2 鉴别失败的处理
当管理员鉴别尝试失败连续达到指定次数后,系统应阻止管理员进一步的鉴别请求,并将有关信息
生成审计事件。最多失败次数仅由授权管理员设定。
6.1.2.1.3 鉴别数据保护
系统应保护鉴别数据不被未授权查阅和修改。
6.1.2.2 管理员管理
6.1.2.2.1 标识唯一性
系统应保证所设置的管理员标识全局唯一。
6.1.2.2.2 管理员属性定义
系统应为每一个管理员保存安全属性表,属性应包括管理员标识、鉴别数据、授权信息或管理组信
息、其他安全属性等。
6.1.2.2.3 安全行为管理
系统应仅允许授权管理员对产品的功能具有禁止、修改的能力。
6.1.2.3 安全审计
6.1.2.3.1 审计日志生成
应能为下述可审计事件产生审计日志:审计级别以内的所有可审计事件(如鉴别失败等重大事件)
等。应在每个审计记录中至少记录如下信息:事件的日期和时间,事件类型,主体身份,事件的结果(成
功或失败)等。
6.1.2.3.2 审计日志可理解性
审计数据的记录方式应便于管理员理解。
6.1.2.3.3 审计日志查阅
系统应为授权管理员提供提供审计日志查阅功能,方便管理员查看审计结果。
6.1.2.3.4 受限的审计日志查阅
除了具有明确的访问权限的授权管理员之外,系统应禁止所有其他用户对审计日志的访问。
6.1.2.3.5 可选审计查阅
应支持按照一定条件对审计日志进行检索或排序。
6.1.2.4 事件记录安全
6.1.2.4.1 安全管理
系统应仅允许授权管理员访问事件记录,禁止其他用户对事件记录的操作。
6.1.2.4.2 事件记录保护
在事件记录遭受攻击时,系统应能够及时通知管理员。
6.1.2.5 通信安全
系统应确保各组件之间传输的数据(如配置和控制信息、告警和事件数据等)不被泄漏。
6.1.2.6 运行安全
系统应采取隐藏探测器IP地址等措施使自身在网络上不可见,以降低被攻击的可能性。
6.1.3 安全保证要求
6.1.3.1 配置管理
开发者应为系统的不同版本提供唯一的标识。
6.1.3.2 交付与运行
开发者应提供文档说明系统的安装、生成和启动的过程。
6.1.3.3 开发
6.1.3.3.1 非形式化功能规范
开发者应提供一个功能规范,功能规范应满足以下要求:
a) 使用非形式化风格来描述系统安全功能及其外部接口;
b) 是内在一致的;
c) 描述所有外部接口的用途与使用方法,适当时应提供效果、例外情况和错误消息的细节;
d) 完备地表示系统安全功能。
6.1.3.3.2 非形式化对应性证实
开发者应提供系统安全功能表示的所有相邻对之间提供对应性分析。
对于系统安全功能所表示的每个相邻对,分析应阐明,较为抽象的安全功能表示的所有相关安全功
能,应在较具体的安全功能表示中得到正确且完备地细化。
6.1.3.4 文档要求
6.1.3.4.1 管理员指南
开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致。
管理员指南应说明以下内容:
a) 管理员可使用的管理功能和接口;
b) 怎样安全地管理系统;
c) 在安全处理环境中应被控制的功能和权限;
d) 所有对与产品的安全操作有关的用户行为的假设;
e) 所有受管理员控制的安全参数,如果可能,应......
|