GB/T 20275-2013信息安全技术网络入侵检测系统技术要求和测试评价方法

ICS35040

L80.

中华人民共和国国家标准

GB/T20275—2013

代替

GB/T20275—2006

信息安全技术网络入侵检测系统

技术要求和测试评价方法

Informationsecuritytechnology—Technicalrequirementsand

testingandevaluationapproachesfornetwork-basedintrusiondetectionsystem

2013-12-31发布2014-07-15实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T20275—2013

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

网络入侵检测系统等级划分

5……………2

等级划分

5.1……………2

等级划分表

5.2…………………………3

网络入侵检测系统技术要求

6……………6

第一级

6.1………………6

第二级

6.2………………11

第三级

6.3………………19

网络入侵检测系统测评方法

7……………28

测试环境

7.1……………28

测试工具

7.2……………29

第一级

7.3………………29

第二级

7.4………………42

第三级

7.5………………61

参考文献

……………………85

Ⅰ

GB/T20275—2013

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术入侵检测系统技术要求和测试评价方法

GB/T20275—2006《》。

本标准与的主要差异如下

GB/T20275—2006:

标准名称修改为信息安全技术网络入侵检测系统技术要求和测试评价方法

———《》;

删除了中对主机入侵检测系统的技术要求和测试评价方法

———GB/T20275—2006;

删除了中的分析方式见版的

———GB/T20275—2006“”(20066.1.1.2.2);

删除了中的窗口定义见版的

———GB/T20275—2006“”(20066.2.1.4.1);

增加了最大监控流量最大监控并发连接数最大监控新建连接速率的性能要求

———“”“”“TCP”;

增加了硬件失效处理双机热备的安全功能要求和测试评价方法

———“”“”;

增加了控制台鉴别标识唯一性的自身安全功能要求和测试评价方法

———“”“”;

调整了中阻断能力系统升级报告定制和定制响应的级别

———GB/T20275—2006“”“”“”“”。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

,。

本标准起草单位公安部计算机信息系统安全产品质量监督检验中心北京启明星辰信息安全技术

:、

有限公司公安部网络安全保卫局

、。

本标准主要起草人宋好好顾健张笑笑李毅吴其聪张艳

:、、、、、。

Ⅲ

GB/T20275—2013

信息安全技术网络入侵检测系统

技术要求和测试评价方法

1范围

本标准规定了网络入侵检测系统的技术要求和测试评价方法要求包括安全功能要求自身安全功

,、

能要求安全保证要求和测试评价方法并提出了网络入侵检测系统的分级要求

、,。

本标准适用于网络入侵检测系统的设计开发测试和评价

、、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息技术安全性评估准则第部分简介和一般

GB/T18336.1—20081:

模型

信息安全技术术语

GB/T25069—2010

3术语和定义

和中界定的以及下列术语和定义适用于本文件

GB/T18336.1—2008GB/T25069—2010。

31

.

事件event

一种系统服务或网络状态的发生或者改变的记录信息可作为分析安全事件的基础

、,。

32

.

安全事件incident

通过对事件的分析处理从而识别出一种系统服务或网络状态的发生表明一次可能的违反安全

,、,

规则或某些防护措施失效或者一种可能与安全相关但以前不为人知的一种情况极有可能危害业务运

,,

行和威胁信息安全