信息安全技术 网络入侵检测系统技术要求和测试评价方法-编制说明

工作简况任务来源2019年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究修订GB/T20275-2013《信息安全技术网络入侵检测系统技术要求和测试评价方法》国家标准,国标计划号：待定。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部第三研究所负责主编。主要起草单位和工作组成员上海国际技贸联合有限公司牵头、公安部第三研究所主要负责编制，中国网络安全审查技术与认证中心、北京神州绿盟科技有限公司、网神信息技术（北京）股份有限公司、启明星辰信息技术集团股份有限公司等单位共同参与了该标准的起草工作。主要工作过程按照项目进度要求，编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，查阅有关资料，编写标准编制提纲，在完成对提纲进行交流和修改的基础上，开始具体的编制工作。2019年09月，完成了对网络入侵检测系统的相关技术文档和有关标准的前期基础调研。在调研期间，主要对公安部检测中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析，对国内外相关产品的发展动向进行了研究，对相关产品的技术文档和标准进行了分析理解。2019年10月完成了标准草稿的编制工作。以编制组人员收集的资料为基础，在不断的讨论和研究中，完善内容，最终形成了本标准草案（第一稿）。2019年10月09日，编制组在北京召开标准编制工作启动会，会后，收集整理参编单位的建议或意见，在公安部检测中心内部对标准草案（第一稿）进行了讨论。修改了协议分析、硬件失效处理等技术要求和测试评价方法，形成了标准草稿（第二稿）。2019年10月12日，WG5工作组在北京召开国家标准研讨会，与会专家对标准草稿（第二稿）进行评审讨论。会后，编制组根据专家的建议，修改了范围、网络入侵检测系统描述等章节的描述，对审计日志生成等标准要求和测试评价方法进行了调整，并在编制说明中增加了“标准主要修订依据”等说明，形成了标准工作组讨论稿（第一稿）。2019年10月27日，全国信息安全标准化技术委员会2019年第二次工作组“会议周”全体会议在重庆召开。编制组在WG5组会议上对标准的工作内容进行了汇报。与会专家对标准工作组讨论稿（第一稿）进行评审讨论。会后，编制组根据专家的建议，增加了产品在IPv6网络环境下工作的性能要求，补充增加了“高频度阈值应由授权管理员设置”等技术要求，形成了标准工作组讨论稿（第二稿）。2019年11月19日，编制组在上海召开标准研讨会。中国电子科技集团公司第十五研究所（信息产业信息安全测评中心）等编制参与单位出席了该次标准研讨会。会后，编制组收集整理参编单位的建议或意见，在标准工作组讨论稿（第二稿）的基础上，修改了事件数据库、其他设备联动、防躲避能力等技术要求和测试评价方法，形成了标准征求意见稿（第一稿）。标准编制原则和确定主要内容的论据及解决的主要问题编制原则为了使网络入侵检测系统标准的内容从一开始就与国家标准保持一致，本标准的编写参考了其他国家有关标准，主要有GB/T17859-1999、GB/T20271-2006、GB/T22239-2019和GB/T18336-2015。本标准符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与要求如下：1）先进性标准是先进经验的总结，同时也是技术的发展趋势。目前，国家管理机构及用户单位网络入侵检测系统信息安全越来越重视，我国网络入侵检测系统处于快速发展阶段，要制定出先进的产品国家标准，必须参考国内外先进技术和标准，吸收其精华，才能制定出具有先进水平的标准。本标准的编写始终遵循这一原则。2）实用性标准必须是可用的，才有实际意义，因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上，结合我国的实际情况，广泛了解了市场上主流产品的功能，吸收其精华，制定出符合我国国情的、可操作性强的标准。3）兼容性本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。编制思路GB17859为我国信息安全工作的纲领性文件，据此对产品进行分等级要求；GB/T18336对应国际标准《信息技术安全评估通用准则》（即CC），为信息安全产品领域国际上普遍遵循的标准。本标准引用了其第三部分安全保证要求，并参考了其PP的生成要求；标准格式上依据GB/T1.1进行编制；广泛征集网络入侵检测系统厂商、信息安全厂商及用户单位意见。编制的背景2014年，由习总书记亲自担任组长的中央网络安全和信息化建设领导小组的成立将网络安全上升到国家战略高度，2017年，《网络安全法》正式施行，明确规定了个人信息受保护，并对关键信息基础设施的运营者应尽的安全义务提出了法律层面的要求，这使得网络安全防护由自发自觉行为上升为应尽的义务范畴，也为信息安全行业的发展带来了极大的机遇和挑战。保障信息安全除了完善的法律规章、严格的管理制度等要素外，网络安全产品则是站在了直接与网络犯罪行为针锋相对的前沿阵地，常见的网络安全产品有防火墙、网络入侵检测产品、病毒防治产品、安全审计产品等，这些产品如果存在质量问题，不但起不到应有的保护作用，反而可能成为攻击者的帮凶，直接影响到国计民生的方方面面。在这些关键的网络安全产品中，网络入侵检测产品提供针对网络应用层攻击的深度检测与智能防护能力，通过集成专业的漏洞库、病毒库和应用协议库，实现针对系统漏洞攻击、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的应用层深度防护，提供对网络基础设施、服务器等用户关键设施的全面保护。该类产品在政府及企事业单位中得到了广泛的应用，是网络安全中的一个大类产品。而这类产品的相关标准的指导、指引意义就显得非常重要了。2013年，国标委出台了国家标准GB/T20275-2013《信息安全技术网络入侵检测系统技术要求和测试评价方法》（以下简称GB/T20275-2013）用以统一整个国家对该类产品的设计、开发、测试和评价。但由于GB/T20275-2013的颁布时间较早，随着网络技术的不断发展，攻击行为和攻击方式不断变种，对网络、主机和系统资源安全的威胁不断增加，对网络入侵检测系统产品功能和安全功能的要求不断提高。当前的网络入侵检测系统在检测攻击行为的技术方面不再局限于特征匹配和模式识别，而且探索和致力于动态行为分析和语义感知。该编制时参考的GB/T18336-2008《信息技术安全技术信息技术安全性评估准则》（以下简称GB/T18336-2008）和GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》（以下简称GB/T22239-2008）等标准都已更新。此外，标准分级原则不够清晰。基于上述多方面的原因，GB/T20275-2013已不能适用于现在的网络安全等级保护制度和国家安全标准体系的要求，我们需要对6年前颁布执行的国家标准GB/T20275-2013进行修订、更新，才能够有效的保障信息网络的安全，进而支撑国家网络安全等级保护工作的全面开展和网络安全法的有效落地。编制的目的本标准的目标是根据网络入侵检测系统产品的新技术和新特性、最新版的GB/T18336-2015《信息技术安全技术信息技术安全性评估准则》（以下简称GB/T18336-2015），从安全功能要求和安全保障要求等方面，研究修订网络入侵检测系统产品的安全技术要求和等级划分，形成相应的国家标准。修订的国家标准可以给开发厂商进行指导，研发出更贴近市场需要、功能更为完善的网络入侵检测系统产品。同时，通过对产品的分级，来区分产品的安全功能强度和安全保障能力。标准也可用于该类产品的研制、开发、测试、评估和产品的采购，有利于规范化、统一化。标准主要修订依据产品级别调整根据编制组成员单位公安部第三研究所下属公安部计算机信息系统安全产品质量监督检验中心多年在网络入侵检测系统的销售许可检测工作中和对网络入侵检测系统厂商的调研后获得的对产品分级情况的了解，以及考虑到与网络安全等级保护体系中的非重要信息系统和重要信息系统的安全需求相对应的考虑，编制组对GB/T20275-2013中的产品技术要求的级别进行重新的划分和调整，使得新的安全要求和等级划分适应新的网络安全等级保护制度相关标准中“安全区域边界——入侵防范”等相关技术要求。产品安全功能要求、自身安全保护要求的修订随着网络技术的不断发展，攻击行为和攻击方式不断变种，对网络、主机和系统资源安全的威胁不断增加、攻击技术更加隐蔽，对网络入侵检测系统安全功能要求不断提高，因此编制组增加了修订GB/T20275-2013的部分安全功能要求。此外，网络安全等级保护2.0阶段的GB/T22239-2019已正式发布，针对“安全计算环境”中对网络安全设备自身安全保护要求的条款，编制组进行了严格的梳理和对照，修订了GB/T20275-2013的部分自身安全保护要求，以适应于网络安全等级保护2.0中对网络安全设备的最新要求。增加IPv6环境适应性要求2017年，中共中央办公厅、国务院办公厅印发《推进互联网协议第六版（IPv6）规模部署行动计划》，随着联网技术的发展、尤其是IPv6技术的推广，网络入侵检测系统在IPv6环境下的工作需求已提上日程，但原国标GB/T20275-2013中并没有提出对在IPv6环境下工作的技术要求。因此，编制组在GB/T20275-2013中增加有关IPv6应用环境支持能力的要求，以满足产品能在下一代网络环境下正常工作的需求。安全保障要求修订由于GB/T20275-2013的颁布时间较早，其编制时参考的GB/T18336-2008已更新。这样以来，使得产品的安全保障要求与最新版的GB/T18336-2015不一致（2015版将“保证”(assurance)改为“保障”、将“6安全保证要求”改为“6安全保障组件”、增加了“6.3组合保障包结构”等）。因此，编制组根据最新的GB/T18336-2015作为引用参考，对GB/T20275-2013的安全保障要求进行修订，以使修订后的GB/T20275在产品安全保障要求方面与现行安全标准体系要求相统一。标准主要内容标准结构本标准的编写格式和方法依照GB/T1.1-2009标准化工作导则第一部分：标准的结构和编写规则。本标准主要结构包括如下内容：范围规范性引用文件术语和定义缩略语网络入侵检测系统概述安全技术要求测试评价方法范围、规范性引用文件、术语和定义和缩略语该部分定义了本标准适应的范围，所引用的其它标准情况，及以何种方式引用，术语和定义部分明确了该标准所涉及的一些术语。在术语中明确了“安全事件”、“入侵检测”等重要概念。缩略语部分主要列出本标准中用的缩略语全称及中文解释。网络入侵检测系统概述产品概述中，对网络入侵检测系统的工作原理、典型架构及部署方式等做出了描述。安全技术要求安全技术要求是对网络入侵检测系统应具备的安全功能要求、自身安全保护要求、环境适应性要求和安全保障要求提出具体要求。其中安全功能要求包括数据探测功能要求、入侵分析功能要求、入侵响应功能要求、管理控制功能要求、检测结果处理要求、产品灵活性要求、性能要求等；自身安全保护要求包括身份鉴别、管理员管理、安全审计、事件记录安全、通信安全、升级安全、运行安全等；环境适应性要求支持纯IPv6网络环境、IPv6网络环境下自身管理能力和双协议栈等；安全保障要求针对网络入侵检测系统的开发和使用文档的内容提出具体的要求，例如开发、指导性文档、生命周期支持、测试、脆弱性评定等。主要试验[或验证]情况分析公安部第三研究所为本标准的牵头编制单位，单位下属的公安部计算机信息系统安全产品质量监督检验中心一直从事国内信息安全专用产品的销售许可检测工作，也包括了适用于网络入侵检测系统的信息安全专用产品。在本标准的编制过程中，检测中心依据该标准的要求，对多家厂商所生产的网络入侵检测系统进行了验证测试。根据验证测试结果，对标准中所提出部分功能指标和性能指标进行了相应的调整。知识产权情况说明本标准不涉及专利。产业化情况、推广应用论证和预期达到的经济效果网络安全在我国处于快速发展阶段，根据统计，近2年通过销售许可检测的网络入侵检测系统94款。网络入侵检测系统是以网络上的数据包作为数据源，监听所保护网络内的所有数据包并进行分析，从而发现异常行为的入侵检测系统。因为这类产品在网络安全中发挥着及时发现入侵行为、有效保护网络安全的重要作用。该类产品在政府及企事业单位中得到了广泛的应用，是网络安全中的一个大类产品。修订后的国家标准能够更加有效的指导网络入侵检测系统的研发、生产、选型和采购，更加有效的推动整个网络入侵检测系统产业链的发展，更加有效的对国家的网络安全进行检测和防护，因此，产业化具有良好的前景。采用国际标准和国外先进标准情况该项目计划在现行国家标准GB/T20275-2013《信息安全技术网络入侵检测系统技术要求和测试评价方法》的基础上，对其进行修订。该标准可以支撑GB/T25066《信息安全技术信息安全产品类别与代码》（修订报批稿）中关于网络监测与控制类（B2）中网络入侵检测类（B201）产品的安全检测和认证工作。从整个信息安全产品体系上看，与现有国家其他标准一起支撑我们国家网络安全产品的标准体系。目前国际上没有和网络入侵检测系统产品相关的标准。与现行相关法律、法规、规章及相关标准的协调性该项目计划对现行国家标准GB/T20275-2013《信息安全技术网络入侵检测系统技术要求和测试评价方法》进行修订。2017年，《网络安全法》正式施行，对关键信息基础设施的运营者应尽的安全义务提出了法律层面的要求；其中，第二十一条规定了网络运营者应履行的安全保护义务就包括“采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”、第二十六条也规定了向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的相关要求。这些要求中关于“网络入侵”行为的发现，就需要依靠网络入侵检测系统。此外，2017年6月1日，网信办、公安部、工信部和认监委联合发布公告《关于发布<网络关键设备和网络安全专用产品目录（第一批）>的公告》，其中，就网络入侵检测系统（IDS）的性能提出了要求。在GB/T25066《信息安全技术信息安全产品类别与代码》（修订报批稿）中，关于网络监测与控制类（B2）中也有网络入侵检测（B201）这一大类产品的定义。此外，公安部的32号令，国务院的147号令中都会网络入侵的及时检测等进行了相关要求。重