信息安全技术 网络型入侵防御产品技术要求和测试评价方法编制说明

国家标准《信息安全技术

网络型入侵防御产品技术要求和测试评价方法》（草稿）编制说明工作简况任务来源国家标准《信息安全技术

网络型入侵防御产品技术要求和测试评价方法》修订工作由全国信息安全标准化技术委员会秘书处下达，主要承担单位为公安部第三研究所等。主要起草单位和工作组成员本标准由公安部第三研究所牵头并主要负责编制，西安交大捷普网络科技有限公司、北京神州绿盟科技有限公司、北京启明星辰信息安全技术有限公司、蓝盾信息安全技术股份有限公司、北京天融信网络安全技术有限公司、中国网络安全审查技术与认证中心等单位共同参与了该标准的起草工作。主要参与编制人员包括：顾建新、武腾、宋好好、何建锋、陈宏伟、焦玉峰、王庆会、杨辰钟、安高峰、申永波、徐佟海、严敏辉、万晓兰、叶润国。主要工作过程草稿按照项目进度要求，编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，查阅有关资料，编写标准编制提纲，在完成对提纲进行交流和修改的基础上，开始具体的编制工作。2020年4月至2020年8月，对国内外网络型入侵防御产品的相关技术文档以及有关标准进行前期基础调研。在调研期间，主要对公安部计算机信息系统安全产品质量监督检验中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析，对国内外网络型入侵防御产品的发展动向进行了研究，以及进行了对国内外相关产品的技术文档和标准分析理解等工作，对原标准的内容进行了修订，形成了本标准的草稿（第一稿）。2020年10月12日，公安部第三研究所检测中心在互联网线上组织召开了本标准的启动会，各成员单位代表共同参与，明确了标准修订的工作方向，各单位的工作任务和责任，并对标准草稿进行第一次集中讨论。工作组讨论稿2020年10月27日，标委会通过线上线下方式组织召开了对标准内容的预评审会议，与会专家有来自于国家信息技术安全研究中心、中国信息安全测评中心、解放军信息安全测评认证中心、北京江南天安科技有限公司、中国信息安全研究院有限公司等多家单位。经过评审，对标准草稿提出了修改意见，形成了标准工作组讨论稿（第一稿）。2020年11月2日，编制组通过线上会议的方式，组织了一次申请参与编制单位的集中讨论会，共计有10多家单位的技术负责人和代表参会，对标准内容进行了集中讨论，通过这次讨论，明确了产品性能要求和环境适应性的具体要求，并最终形成标准通过组讨论稿（第二稿）。2020年11月9-11日，全国信息安全标准化技术委员会在北京组织了2020年第二次工作组“会议周”活动。11月10日下午，WG5工作组专家和成员单位对该标准“工作组讨论稿”进行了评审讨论，与会专家建议该标准形成征求意见稿，并提出了修改意见。会后，根据专家意见，标准编制组对标准内容进行了修订，主要包括将协议分析修改为流量分析，统一了躲避、欺骗、逃避等多种不同的用词，增加了入侵事件日志记录保存时间的要求，调整了第五章内容，将产品描述放到了定义中，形成了标准征求意见稿（第一稿）。征求意见稿2020年12月15日，WG5工作组通过线上线下的方式组织了本标准的研讨会，与会专家来自于中国信息安全测评中心、中国安防协会、国家信息技术安全研究中心、电子政务云国家工程实验室、360公司、国家信息技术安全研究中心等多家单位。经过评审，对标准征求意见稿（第一稿）提出了修改意见，主要包括编制说明的细化，日志外发格式的统一等，根据专家意见完成修订后，形成了征求意见稿（第二稿）。标准编制原则和确定主要内容的论据及解决的主要问题编制原则为了使网络型入侵防御产品国标一开始就与现有其他国家标准保持一致，本标准的修订参考了现行的其他国家标准，主要有GB/T22239-2019、GB/T18336-2015。本标准符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与要求如下：实用性原则标准必须是可用的，才有实际意义，本标准在修订过程中严格按照流程对产品的现状、技术等相关领域展开系统的、全面的调研工作，注重与相关产品生产单位的交流，使得标准更贴近产品实际情况，保证操作性。先进性原则标准是先进经验的总结，同时也是技术的发展趋势。要制定出先进的行业标准，必须广泛了解市场上主流产品的功能，吸收其精华，制定出具有先进水平的标准。本标准的编写始终遵循这一原则。兼容性原则本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。编制思路GB/T18336对应国际标准《信息技术安全评估通用准则》（即CC），为信息安全产品领域国际上普遍遵循的标准。本标准引用了其第三部分安全保障要求，并参考了其PP的生成要求；标准格式上依据GB/T1.1-2020进行编制；广泛征集网络型入侵防御产品厂商、信息安全厂商及用户单位意见。编制背景2017年，《网络安全法》正式施行，对关键信息基础设施的运营者应尽的安全义务提出了法律层面的要求。保障信息安全除了完善的法律规章、严格的管理制度等要素外，网络安全产品的有效部署则是关键手段，这些产品的质量问题直接影响到国计民生的方方面面。网络入侵防御产品提供了针对网络应用层攻击的深度检测与智能防护能力，通过集成专业的特征库，结合语义分析和动态行为分析技术，实现对不同攻击的识别和拦截，提供对信息系统的全面保护。该类产品在政府及企事业单位中得到了广泛的应用，是网络安全中的一个大类产品，而这类产品相关标准的指导意义就显得非常重要了。《GB/T28451-2012》是2012年发布的、适用于网络入侵防御系统产品的国家标准，该标准主要包括入侵防御产品技术要求和测评方法两部分，划分了三个等级，以第一至三级和性能要求的方式分别进行了描述。为配合网络安全法的落地实施，2017年6月1日，网信办、公安部、工信部和认监委联合发布公告《关于发布<网络关键设备和网络安全专用产品目录（第一批）>的公告》，其中就网络入侵防御产品的性能提出了要求；此外，在《关于印发<2020年网络安全国家标准项目申报指南>的通知》中提出，将GB/T28451-2012作为拟支持修订的国家标准。编制目的本标准的目标是根据网络型入侵防御产品的新技术和新特性、最新版的GB/T18336-2015《信息技术安全技术信息技术安全性评估准则》，从安全功能要求和安全保障要求等方面，研究修订网络型入侵防御产品的安全技术要求、测试评价方法和等级划分，形成相应的国家标准。修订的国家标准可以给开发厂商进行指导，研发出更贴近市场需要、功能更为完善的网络型入侵防御产品；同时，也能指导产品测评机构、用户单位，在选择评估产品时具备切实可行的方法；通过对产品的合理分级，进一步区分产品的安全功能强度和安全保障能力。标准主要修订依据修改入侵防御技术要求随着网络攻击行为的不断变种、防御方式的不断更新，网络入侵防御产品的安全功能要求和自身安全功能也都在不断提高。例如，需要研究CC攻击、DDOS攻击、新型挖矿勒索等攻击行为的识别防御方法，以及如何实现对攻击行为的取证功能；研究与其他网络安全设备之间的联动分析能力；研究千兆、万兆等不同型号产品的性能处理能力。在标准中都应该提出具体的规范化要求，修改后的标准内容才能更加实用和完整，进而支撑国家网络安全法的有效落地。增加IPv6网络环境要求对网络入侵防御产品的应用环境要求进行重新整理，可考虑产品支持IPv6的远程管理能力和业务处理能力两个方面，还要进一步研究针对IPv6的入侵行为分析能力，以满足产品能在下一代网络环境下的正常工作。性能要求本次标准修订工作，增加了产品性能部分的要求，包括“混合应用层吞吐量”、“TCP新建连接速率”、“TCP并发连接数”。这三条要求的提出，一方面参考了2020年发布的防火墙标准，作为在线部署的网络安全产品，对TCP新建连接速率和TCP并发连接数提出了提出了同样的要求，另外，IPS产品作为对应用层协议和数据进行分析，对攻击行行为进行识别和拦截的产品，对产品的混合应用层吞吐量提出了更高要求。对于“误拦截”、“漏拦截”这两条原标准就有的性能要求，提出了明确的误拦截率和漏拦截率的值的要求，使得性能要求更加明确，同时也说明了本文件中关于产品漏拦截的定义。调整安全等级的划分《GB/T28451-2012》是2012年发布的、适用于网络入侵防御系统产品的国家标准，该标准主要包括入侵防御产品技术要求和测评方法两部分，划分了三个等级，以第一至三级和性能要求的方式分别进行了描述。原标准对入侵防御产品的等级划定为一级到三级，而目前大部分网络安全产品的国家标准，都是将产品的技术要求划分为两个等级——基本级和增强级，分别对应网络安全等级保护体系中的非重要信息系统和重要信息系统的安全需求。因此，我们需要对产品安全技术要求的级别进行重新划分和调整，使其适应新的网络安全等级保护制度相关标准中“安全区域边界——入侵防范”的相关要求。更新参考标准原标准当时参考的GB/T18336-2008和GB/T22239-2008等标准都已更新。因此，需要根据最新的《GB/T18336-2015》等标准文件作为引用参考，对标准进行修订，使得修订后的《GB/T28451》标准在产品安全功能要求、自身安全要求和安全保障要求方面与现行安全标准体系要求相一致。标准主要内容标准结构本标准的编写格式和方法依照GB/T1.1-2020标准化工作导则第一部分：标准的结构和编写规则。本标准主要结构包括如下内容：范围规范性引用文件术语和定义缩略语网络入侵防御产品描述安全技术要求测评评价方法范围、规范性引用文件、术语和定义和缩略语该部分定义了本标准适应的范围，所引用的其它标准情况及以何种方式引用，术语和定义部分明确了该标准所涉及的一些术语。在术语中明确了“误拦截”、“漏拦截”等重要概念。缩略语部分主要列出本标准中用的缩略语全称及中文解释。入侵防御产品技术要求组成在要求组成中，对本标准的功能和安全要求等级划分等做出了描述。入侵防御产品的组成在产品描述中，对网络型入侵防御产品的组成单元做出了描述。入侵防御产品技术要求技术要求是对网络型入侵防御产品应具备的安全功能要求、自身安全保护要求、环境适应性要求、安全保障要求和性能要求所提出的具体要求。其中安全功能要求包括入侵事件分析要求、入侵响应功能要求、入侵事件审计功能、管理控制功能要求等；自身安全保护要求包括标识和鉴别、用户管理、安全功能保护、安全审计等；环境适应性要求包括支持纯IPv6网络环境、IPv6网络环境下自身管理能力和双协议栈等；安全保障要求针对网络型入侵防御产品的开发和使用文档的内容提出具体的要求，例如开发、指导性文档、生命周期支持、测试、脆弱性评定等；环境适应性要求包括吞吐量、误截和漏截、最大并发连接数等。入侵防御产品测评方法测试评价方法部分包括了测试环境、测试工具、基本级测试评价方法、增强级测试评价方法和性能测试，其内容是针对安全技术要求中的基本级安全要求和增强级安全要求逐项所制定的测试评价方法，可用于指导和规范产品的检测工作。新旧标准内容对比本标准代替GB/T28451-2012《信息安全技术网络型入侵防御产品技术要求和测试评价方法》，本标准与GB/T28451-2012的主要差异如下：增加了“网络入侵防御产品描述”章节的内容（见5）；增加了“攻击数据留存”要求（见6.3.1.3.6）；增加了“配置备份恢复”要求（见6.3.2.3.6）；增加了“混合应用层吞吐量”、“TCP新建连接速率”、“TCP并发连接数”等性能要求内容（见6.4）；增加了“环境适应性要求”章节的内容，其中主要是明确了产品对IPv6的支持能力，包括支持纯IPv6网络环境、IPv6网络环境下自身管理、双协议栈（见6.5）；删除了原标准中的“负载均衡”要求（见2012年版的7.3.1.4.9）；修改了入侵防御产品的等级划分，由“一级、二级和三级”修改为“基本级和增强级”；修改并明确了产品误拦截和漏拦截的比例要求（见6.4.4，6.4.5）以GB/T18336.3-2015作为规范性引用文件，修改原标准中各级的“入侵防御产品技术要求”为“安全功能要求”、“产品自身安全要求”为“自身安全防护要求”、“产品保证要求”为“安全保障要求”（见6和7，2012年版的7和8）。主要试验[或验证]情况分析公安部第三研究所为本标准的主要负责编制单位，单位下属的公安部计算机信息系统安全产品质量监督检验中心一直从事国内信息安全专用产品的销售许可检测工作，也包括了适用于网络型入侵防御的信息安全专用产品。在本标准的编制过程中，检测中心依据该标准的要求，对多家厂商所生产的网络型入侵防御产品进行了验证测试。根据验证测试结果，对标准中所提出的部分功能指标和性能指标进行了相应的调整。知识产权情况说明本标准不涉及专利。产业化情况、推广应用论证和预期达到的经济效果网络安全在我国处于快速发展阶段，根据统计，近2年通过销售许可检测的网络型入侵防御产品达到117款。网络型入侵防御产品是指以网桥或网关形式部署在网络通路上，通过分析网络流量发现具有入侵特征的网络行为，在其传入被保护网络前进行拦截的产品。提供了针对网络应用层攻击的深度检测与智能防护能力，通过集成专业的特征库，结合语义分析和动态行为分析技术，实现对不同攻击的识别和拦截，提供对信息系统的全面保护。修订后的国家标准能够更加有效的指导网络型入侵防御产品的研发、生产、选型和采购，更加有效的推动整个网络型入侵防御产品产业链的发展，更加有效的对国家的网络安全进行检测和提前预警，因此，产业化具有良好的前景。采用国际标准和国外先进标准情况该项目计划在现行国家标准GB/T28451-2012《信息安全技术

网络型入侵防御产品技术要求和测试评价方法》的基础上，对其进行修订。从整个信息安全产品体系上看，与现有国家其他标准一起支撑我们国家网络安全产品的标准体系。目前国际上没有和网络型入侵防御产品相关的标准。与现行相关法律、法规、规章及相关标准的协调性2017年，《网络安全法》正式施行，对关键信息基础设施的运营者应尽的安全义务提出了法律层面的要求；其中，第二十五条规定了“网络运