ICS 35.030 CCS L 80 GB 中华人民共和国国家标准 GB/T 20275—2021 代替GB/T20275—2013 信息安全技术 网络入侵检测系统 技术要求和测试评价方法 Information security technology- Technical requirements and testing and evaluation approaches for network-based intrusion detection system 2021-10-11 发布 2022-05-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T 20275—2021 目 次 前言 1 范围 2 规范性引用文件 3 术语和定义 4 缩略语 5 网络入侵检测系统 6 安全技术要求 6.1 要求分类与分级 6.2 基本级安全要求 6.3 增强级安全要求 12 测试评价方法 22 7.1 测试环境 22 7.2 测试工具 23 7.3 基本级 7.4 增强级· 参考文献 GB/T 20275—2021 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件代替GB/T20275一2013《信息安全技术网络入侵检测系统技术要求和测试评价方法》， 与GB/T20275一2013相比，除结构调整和编辑性改动外，主要技术变化如下： a） 修改了“安全事件”的定义（见3.1,2013年版的3.2）； b) 修改了“告警”的定义（见3.2，2013年版的3.7）； c） 增加了“网络入侵检测系统描述”章节的内容（见第5章）； d) 调整了网络入侵检测系统的分级（见6.1.2，2013年版的5.2）； e) 6.3.1.1.3); f) 增加了时钟同步的要求（见6.2.1.4.9和6.3.1.4.9）； g) 增加了鉴别信息的要求（见6.2.2.1.2和6.3.2.1.2）； h) 增加了管理地址限制的要求（见6.2.2.1.6和6.3.2.1.6）； i) 增加了数据外发的要求（见6.2.2.4.3和6.3.2.4.3）； j） 增加对“环境适应性要求”章节的内容，其中主要是明确了网络入侵检测系统对IPv6的支持能 力，包括支持纯IPv6网络环境、IPv6网络环境下自身管理能力和双协议栈（见6.2.3和6.3.3）； k) 删除了“双机热备”的要求（见2013年版的6.3.1.4.11）； 1) 删除了“控制台鉴别”的要求（见2013年版的6.3.2.1.5）； m): 增加了安全策略备份的要求（见6.3.2.4.4)； n） 和6.3.3）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任， 本文件由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。 本文件起草单位：公安部第三研究所、北京天融信网络安全技术有限公司、奇安信科技集团股份有 限公司、北京神州绿盟科技有限公司、启明星辰信息技术集团股份有限公司、上海国际技贸联合有限公 司、网神信息技术（北京）股份有限公司、中国网络安全审查技术与认证中心、中国电子科技集团公司第 十五研究所（信息产业信息安全测评中心）、上海市信息安全测评认证中心、北京山石网科信息技术有限 公司、西安交大捷普网络科技有限公司、新华三技术有限公司、北京安博通科技股份有限公司、北京中科 网威信息技术有限公司、深信服科技股份有限公司、深圳市腾讯计算机系统有限公司、中国信息通信研 究院、工业和信息化部计算机与微电子发展研究中心（中国软件评测中心）、华信咨询设计研究院有限公 司、中国科学院信息工程研究所、中国电力科学研究院有限公司信息通信研究所、陕西省网络与信息安 全测评中心、上海工业控制安全创新科技有限公司、国网新疆电力有限公司电力科学研究院。 本文件主要起草人：宋好好、顾建新、沈亮、陆臻、顾健、赖静、陈妍、曹宁、陈华平、刘彤、焦玉峰、 刘志远、魏向杰、付海涛、申永波、刘健、刘艺翔、徐佟海、李宇、何建锋、杨洪起、曾祥禄、宋伟、杨柳、黄超、 许子先、王榕、郭永振、孙小平、闫兆腾、严敏辉、赵少飞、倪华、李峰、舒斐、王少杰、张凯悦、顾欣、任帅、 肖颖。 本文件及其所代替文件的历次版本发布情况为 2006年首次发布为GB/T20275一2006，2013年第一次修订； 一本次为第二次修订。 GB/T 20275—2021 信息安全技术 网络入侵检测系统 技术要求和测试评价方法 1范围 本文件规定了网络入侵检测系统的安全技术要求和测试评价方法。 本文件适用于网络人侵检测系统的设计、开发与测评。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T25069 信息安全技术 术语 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件。 3.1 安全事件 securityincident 对网络和信息系统或者其中的数据造成危害的事件。 3.2 告警 alert 当攻击或入侵发生时，网络入侵检测系统向授权管理员发出的信息 3.3 支撑系统 supporting system 支撑网络入侵检测系统运行的操作系统。 4缩略语 下列缩略语适用于本文件。 FTP：文件传输协议(FileTransferProtocol) SAG HTML：超文本置标语言（Hyper Text MarkupLanguage) HTTP：超文本传输协议（HyperTextTransferProtocol) ICMP：网际控制报文协议(InternetControl MessageProtocol) IP：网际协议（InternetProtocol） POP3：邮局协议的第三个版本（PostOfficeProtocol3) SMTP：简单邮件传送协议（SimpleMailTransferProtocol) SNMP：简单网络管理协议（SimpleNetworkManagementProtocol) GB/T 20275—2021 TCP：传输控制协议(Transport Control Protocol) TELNET:远程登陆(Telecommunication Network) UDP：用户数据报协议（UserDatagramProtocol) 5网络入侵检测系统 网络入侵检测系统是以网络上的数据包作为数据源，监听所保护网络节点的所有数据包并进行分 析，从而发现异常行为的产品。 6安全技术要求 6.1要求分类与分级 6.1.1要求分类 本文件将网络人侵检测系统安全技术要求分为安全功能、自身安全保护、环境适应性和安全保障要 求四个大类。其中，安全功能要求针对网络入侵检测系统应具备的安全功能提出具体要求，主要包括数 据探测功能要求、人侵分析功能要求、人侵响应功能要求、管理控制功能要求、检测结果处理要求、产品 灵活性要求、性能要求等；自身安全保护要求针对网络入侵检测系统的身份鉴别、管理员管理、安全审 计、数据安全、通信安全、升级安全、运行安全等提出具体要求；环境适应性要求支持纯IPv6网络环境、 IPv6网络环境下自身管理能力和双协议栈等；安全保障要求针对网络入侵检测系统的生命周期过程提 出具体要求，包括开发、指导性文档、生命周期支持、测试和脆弱性评定等。 6.1.2安全等级 求。安全功能与自身安全保护的强弱、以及安全保障要求的高低是等级划分的具体依据，安全等级突出 安全特性 21 注：与基本级内容相比,增强级中要求有所增加或变更的内容在正文中通过"加粗”表示。 表1网络入侵检测系统安全功能要求等级划分表 安全功能要求 基本级 增强级 数据收集 * * 协议分析 * * 数据探测功能要求 攻击行为监测 * * 流量监测 * * 数据分析 * * 事件合并 入侵分析功能要求 防躲避能力 * 事件关联 2 GB/T 20275—2021 TCP：传输控制协议(Transport Control Protocol) TELNET:远程登陆(Telecommunication Network) UDP：用户数据报协议（UserDatagramProtocol) 5网络入侵检测系统 网络入侵检测系统是以网络上的数据包作为数据源，监听所保护网络节点的所有数据包并进行分 析，从而发现异常行为的产品。 6安全技术要求 6.1要求分类与分级 6.1.1要求分类 本文件将网络人侵检测系统安全技术要求分为安全功能、自身安全保护、环境适应性和安全保障要 求四个大类。其中，安全功能要求针对网络入侵检测系统应具备的安全功能提出具体要求，主要包括数 据探测功能要求、人侵分析功能要求、人侵响应功能要求、管理控制功能要求、检测结果处理要求、产品 灵活性要求、性能要求等；自身安全保护要求针对网络入侵检测系统的身份鉴别、管理员管理、安全审 计、数据安全、通信安全、升级安全、运行安全等提出具体要求；环境适应性要求支持纯IPv6网络环境、 IPv6网络环境下自身管理能力和双协议栈等；安全保障要求针对网络入侵检测系统的生命周期过程提 出具体要求，包括开发、指导性文档、生命周期支持、测试和脆弱性评定等。 6.1.2安全等级 求。安全功能与自身安全保护的强弱、以及安全保障要求的高低是等级划分的具体依据，安全等级突出 安全特性 21 注：与基本级内容相比,增强级中要求有所增加或变更的内容在正文中通过"加粗”表示。 表1网络入侵检测系统安全功能要