中国标准英文版 数据库收录: 159759 更新: 2024-05-06

GB/T 20275-2013 相关标准英文版PDF, 自动发货

搜索结果: GB/T 20275-2013, GB/T20275-2013, GBT 20275-2013, GBT20275-2013
标准号码内文价格美元第2步(购买)交付天数标准名称详情状态
GB/T 20275-2021 英文版 1205 GB/T 20275-2021 3分钟内自动发货[PDF],有增值税发票。 信息安全技术 网络入侵检测系统技术要求和测试评价方法 GB/T 20275-2021 有效
GB/T 20275-2013 英文版 150 GB/T 20275-2013 3分钟内自动发货[PDF],有增值税发票。 信息安全技术 网络入侵检测系统技术要求和测试评价方法 GB/T 20275-2013 作废
GB/T 20275-2006 英文版 RFQ 询价 有增值税发票,[PDF]天数 <=9 信息安全技术 入侵检测系统技术要求和测试评价方法 GB/T 20275-2006 作废
   
基本信息
标准编号 GB/T 20275-2013 (GB/T20275-2013)
中文名称 信息安全技术 网络入侵检测系统技术要求和测试评价方法
英文名称 Information security technology - Technical requirements and testing and evaluation approaches for network-based intrusion detection system
行业 国家标准 (推荐)
中标分类 L80
国际标准分类 32.040
字数估计 150,125
旧标准 (被替代) GB/T 20275-2006
引用标准 GB/T 18336.1-2008; GB/T 25069-2010
起草单位 公安部计算机信息系统安全产品质量监督检验中心
归口单位 全国信息安全标准化技术委员会
标准依据 国家标准公告2013年第27号
提出机构 全国信息安全标准化技术委员会(SAC/TC 260)
发布机构 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会
范围 本标准规定了网络入侵检测系统的技术要求和测试评价方法, 要求包括安全功能要求、自身安全功能要求、安全保证要求和测试评价方法, 并提出了网络入侵检测系统的分级要求。本标准适用于网络入侵检测系统的设计、开发、测试和评价。

GB/T 20275-2013: 信息安全技术 网络入侵检测系统技术要求和测试评价方法
GB/T 20275-2013 英文名称: Information security technology -- Technical requirements and testing and evaluation approaches for network-based intrusion detection system
ICS 35.040
L80
中华人民共和国国家标准
代替 GB/T 20275-2006
信息安全技术 网络入侵检测系统
技术要求和测试评价方法
1 范围
本标准规定了网络入侵检测系统的技术要求和测试评价方法,要求包括安全功能要求、自身安全功
能要求、安全保证要求和测试评价方法,并提出了网络入侵检测系统的分级要求。
本标准适用于网络入侵检测系统的设计、开发、测试和评价。
5 网络入侵检测系统等级划分
5.1 等级划分
5.1.1 第一级
本级规定了网络入侵检测系统的最低安全要求。通过简单的管理员标识和鉴别来限制对系统的功
能配置和数据访问的控制,使管理员具备自主安全保护的能力,阻止非法用户危害系统,保护入侵检测
系统的正常运行。
5.1.2 第二级
本级划分了安全管理角色,以细化对入侵检测系统的管理。加入审计功能,使得授权管理员的行为
是可追踪的。本级还要求系统具有分布式部署、集中管理的能力。同时,还增加了保护系统数据、系统
自身安全运行的措施。
5.1.3 第三级
本级通过增强审计、访问控制、系统的自身保护等要求,对入侵检测系统的正常运行提供较强的保
护。本级还要求系统具有分级管理的能力。此外,还要求系统具有较强的抗攻击能力。
5.2 等级划分表
网络入侵检测系统的安全等级划分如表1、表2、表3所示。对网络入侵检测系统的等级评定是依
据下面三个表格的综合评定得出的,符合第一级的网络入侵检测系统应满足表1、表2、表3中所标明的
一级产品应满足的所有项目;符合第二级的网络入侵检测系统应满足表1、表2、表3中所标明的二级产
品应满足的所有项目;符合第三级的网络入侵检测系统应满足表1、表2、表3中所标明的三级产品应满足的所有项目。
6 网络入侵检测系统技术要求
6.1 第一级
6.1.1 安全功能要求
6.1.1.1 数据探测功能要求
6.1.1.1.1 数据收集
系统应具有实时获取受保护网段内的数据包的能力用于检测分析。
6.1.1.1.2 协议分析
6.1.1.1.3 行为监测
系统至少应监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻
击、IP碎片攻击、网络蠕虫攻击、文件脆弱性攻击、浏览器脆弱性攻击、应用层安全漏洞攻击等。
6.1.1.1.4 流量监测
系统应监视整个网络或者某一特定协议、地址、端口的报文流量和字节流量。
6.1.1.2 入侵分析功能要求
6.1.1.2.1 数据分析
系统应对收集的数据包进行分析,发现安全事件。
6.1.1.2.2 事件合并
系统应具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力。
6.1.1.3 入侵响应功能要求
6.1.1.3.1 定制响应
系统应允许管理员对被检测网段中指定的目的主机定制不同的响应方式。
6.1.1.3.2 安全告警
当系统检测到入侵时,应自动采取相应动作以发出安全警告。
6.1.1.3.3 告警方式
告警应采取屏幕实时提示、E-mail告警、Syslog告警等一种或几种方式。
6.1.1.4 管理控制功能要求
6.1.1.4.1 图形界面
系统应提供友好的管理员界面用于管理、配置入侵检测系统。管理配置界面应包含配置和管理产
品所需的所有功能。
6.1.1.4.2 事件数据库
系统事件数据库中的内容应包括事件的定义和分析内容、详细的漏洞修补方案、可采取的对策等。
6.1.1.4.3 事件分级
系统应按照事件的严重程度将事件分级,以使授权管理员能从大量的信息中捕捉到危险的事件。
6.1.1.4.4 策略配置
系统应提供方便、快捷的入侵检测系统策略配置方法和手段,具备策略模板、支持策略的导入和导出。
6.1.1.4.5 事件库升级系统应具有升级事件库的能力。
6.1.1.4.6 统一升级系统应提供由控制台对各探测器的事件库进行统一升级的功能。
6.1.1.4.7 硬件失效处理对于硬件产品,系统失效时应及时向管理员报警。
6.1.1.5 检测结果处理要求
6.1.1.5.1 事件记录系统应保存检测到的安全事件并记录安全事件信息。
安全事件信息应至少包含以下内容:事件发生时间、源地址、目的地址、事件等级、事件类型、事件名
称、事件详细描述以及解决方案建议等。
6.1.1.5.2 事件可视化
管理员应能通过管理界面实时清晰地查看安全事件。
6.1.1.5.3 报告生成系统应能生成详尽的检测结果报告。
6.1.1.5.4 报告查阅系统应具有浏览检测结果报告的功能。
6.1.1.5.5 报告输出
检测结果报告应可输出成方便管理员阅读的文本格式,如 WORD文件、HTML文件、文本文件等。
6.1.1.6 性能要求
6.1.1.6.1 误报率
产品应将误报率控制在应用许可的范围15%内,不能对正常使用产品产生较大影响。
6.1.1.6.2 漏报率
系统应将漏报率控制在应用许可的范围15%内,不能对正常使用产品产生较大影响。
6.1.1.6.3 流量监控能力
百兆系统单口监控流量≥90Mbit/s,千兆系统单口监控流量≥0.9Gbit/s,万兆系统单口监控流量≥9Gbit/s。
6.1.1.6.4 并发连接数监控能力
百兆系统单口监控并发连接数≥10万个,千兆系统单口监控并发连接数≥100万个,万兆系统单口
监控并发连接数≥150万个。
6.1.1.6.5 新建TCP连接速率监控能力
百兆系统单口监控每秒新建TCP连接数≥6万个,千兆系统单口监控每秒新建TCP连接数≥10
万个,万兆系统单口监控每秒新建TCP连接数≥15万个。
6.1.2 自身安全功能要求
6.1.2.1 身份鉴别
6.1.2.1.1 管理员鉴别
系统应在管理员执行任何与安全功能相关的操作之前对管理员进行鉴别。
6.1.2.1.2 鉴别失败的处理
当管理员鉴别尝试失败连续达到指定次数后,系统应阻止管理员进一步的鉴别请求,并将有关信息
生成审计事件。最多失败次数仅由授权管理员设定。
6.1.2.1.3 鉴别数据保护
系统应保护鉴别数据不被未授权查阅和修改。
6.1.2.2 管理员管理
6.1.2.2.1 标识唯一性
系统应保证所设置的管理员标识全局唯一。
6.1.2.2.2 管理员属性定义
系统应为每一个管理员保存安全属性表,属性应包括管理员标识、鉴别数据、授权信息或管理组信
息、其他安全属性等。
6.1.2.2.3 安全行为管理
系统应仅允许授权管理员对产品的功能具有禁止、修改的能力。
6.1.2.3 安全审计
6.1.2.3.1 审计日志生成
应能为下述可审计事件产生审计日志:审计级别以内的所有可审计事件(如鉴别失败等重大事件)
等。应在每个审计记录中至少记录如下信息:事件的日期和时间,事件类型,主体身份,事件的结果(成功或失败)等。
6.1.2.3.2 审计日志可理解性
审计数据的记录方式应便于管理员理解。
6.1.2.3.3 审计日志查阅
系统应为授权管理员提供提供审计日志查阅功能,方便管理员查看审计结果。
6.1.2.3.4 受限的审计日志查阅
除了具有明确的访问权限的授权管理员之外,系统应禁止所有其他用户对审计日志的访问。
6.1.2.3.5 可选审计查阅
应支持按照一定条件对审计日志进行检索或排序。
6.1.2.4 事件记录安全
6.1.2.4.1 安全管理
系统应仅允许授权管理员访问事件记录,禁止其他用户对事件记录的操作。
6.1.2.4.2 事件记录保护
在事件记录遭受攻击时,系统应能够及时通知管理员。
6.1.2.5 通信安全
系统应确保各组件之间传输的数据(如配置和控制信息、告警和事件数据等)不被泄漏。
6.1.2.6 运行安全
系统应采取隐藏探测器IP地址等措施使自身在网络上不可见,以降低被攻击的可能性。
6.1.3 安全保证要求
6.1.3.1 配置管理开发者应为系统的不同版本提供唯一的标识。
6.1.3.2 交付与运行开发者应提供文档说明系统的安装、生成和启动的过程。
6.1.3.3 开发
6.1.3.3.1 非形式化功能规范
开发者应提供一个功能规范,功能规范应满足以下要求:
a) 使用非形式化风格来描述系统安全功能及其外部接口;
b) 是内在一致的;
c) 描述所有外部接口的用途与使用方法,适当时应提供效果、例外情况和错误消息的细节;
d) 完备地表示系统安全功能。
6.1.3.3.2 非形式化对应性证实
开发者应提供系统安全功能表示的所有相邻对之间提供对应性分析。
对于系统安全功能所表示的每个相邻对,分析应阐明,较为抽象的安全功能表示的所有相关安全功
能,应在较具体的安全功能表示中得到正确且完备地细化。
6.1.3.4 文档要求
6.1.3.4.1 管理员指南
开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致。
管理员指南应说明以下内容:
a) 管理员可使用的管理功能和接口;
b) 怎样安全地管理系统;
c) 在安全处理环境中应被控制的功能和权限;
d) 所有对与产品的安全操作有关的用户行为的假设;
e) 所有受管理员控制的安全参数,如果可能,应指明安全值;
f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制实体的安全特性进行的改变;
g) 所有与管理员有关的IT环境安全要求。
6.1.3.4.2 用户指南
开发者应提供用户指南,用户指南应与为评估而提供的其他所有文档保持一致。
用户指南应说明以下内容:
a) 产品的非管理员用户可使用的安全功能和接口;
b) 产品提供给用户的安全功能和接口的使用方法;
c) 用户可获取但应受安全处理环境所控制的所有功能和权限;
d) 产品安全操作中用户所应承担的职责;
e) 与用户有关的IT环境的所有安全要求。
6.1.3.5 测试
开发者应提供适合测试的系统,提供的测试集合应与其自测系统功能时使用的测试集合相一致。
6.2 第二级
6.2.1 安全功能要求
6.2.1.1 数据探测功能要求
6.2.1.1.1 数据收集
系统应具有实时获取受保护网段内的数据包的能力用于检测分析。
6.2.1.1.2 协议分析
系统至少应分析基于以下协议的事件:IP、TCP、UDP、ICMP、ARP、RIP、RPC、HTTP、FTP、
TFTP、IMAP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS等。
6.2.1.1.3 行为监测
系统至少应监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻
击、IP碎片攻击、网络蠕虫攻击、文件脆弱性攻击、浏览器脆弱性攻击、应用层安全漏洞攻击等。
6.2.1.1.4 流量监测
系统应监视整个网络或者某一特定协议、地址、端口的报文流量和字节流量。
6.2.1.2 入侵分析功能要求
6.2.1.2.1 数据分析
系统应对收集的数据包进行分析,发现安全事件。
6.2.1.2.2 事件合并
系统应具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力。
6.2.1.2.3 防躲避能力
系统应能发现躲避或欺骗检测的行为,如IP碎片分片、TCP流分段、URL字符串变形、shel代码变形等。
6.2.1.2.4 事件关联
系统应具有把不同的事件关联起来,发现低危害事件中隐含的高危害攻击的能力。
6.2.1.3 入侵响应功能要求
6.2.1.3.1 定制响应
系统应允许管理员对被检测网段中指定的目的主机定制不同的响应方式。
6.2.1.3.2 安全告警
当系统检测到入侵时,应自动采取相应动作以发出安全警告。
6.2.1.3.3 告警方式
告警应采取屏幕实时提示、E-mail告警、Syslog告警等一种或几种方式。
6.2.1.3.4 阻断能力
系统在监测到网络上的非法连接时,可进行阻断。
6.2.1.3.5 排除响应
系统应允许管理员定义对被检测网段中指定的目的主机不予告警。
6.2.1.3.6 防火墙联动
系统应具有与防火墙进行联动的能力,可按照设定的联动策略自动调整防火墙配置。
6.2.1.4 管理控制功能要求
6.2.1.4.1 图形界面
系统应提供友好的管理员界面用于管理、配置入侵检测系统。......
   
       隐私   ·  优质产品   ·  退款政策   ·  公平交易   ·  关于我们
宁德梧三商贸有限公司 (营业执照期限:2019-2049年. 纳税人识别号:91350900MA32WE2Q2X)
对公账号开户银行:中国建设银行 | 账户名称:宁德梧三商贸有限公司 | 账户号码:35050168730700000955
本公司专职于中国国家标准行业标准英文版