ICS35040

L80.

中華人民共和國國家標準

GB/T20275—2013

代替

GB/T20275—2006

信息安全技術網絡入侵檢測系統

技術要求和測試評價方法

Informationsecuritytechnology—Technicalrequirementsand

testingandevaluationapproachesfornetwork-basedintrusiondetectionsystem

2013-12-31發布2014-07-15實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T20275—2013

目次

前言

…………………………Ⅲ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………2

網絡入侵檢測系統等級劃分

5……………2

等級劃分

5.1……………2

等級劃分表

5.2…………………………3

網絡入侵檢測系統技術要求

6……………6

第一級

6.1………………6

第二級

6.2………………11

第三級

6.3………………19

網絡入侵檢測系統測評方法

7……………28

測試環境

7.1……………28

測試工具

7.2……………29

第一級

7.3………………29

第二級

7.4………………42

第三級

7.5………………61

參考文獻

……………………85

Ⅰ

GB/T20275—2013

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準代替信息安全技術入侵檢測系統技術要求和測試評價方法

GB/T20275—2006《》。

本標準與的主要差異如下

GB/T20275—2006:

標準名稱修改為信息安全技術網絡入侵檢測系統技術要求和測試評價方法

———《》;

刪除了中對主機入侵檢測系統的技術要求和測試評價方法

———GB/T20275—2006;

刪除了中的分析方式見版的

———GB/T20275—2006“”(20066.1.1.2.2);

刪除了中的窗口定義見版的

———GB/T20275—2006“”(20066.2.1.4.1);

增加了最大監控流量最大監控并發連接數最大監控新建連接速率的性能要求

———“”“”“TCP”;

增加了硬件失效處理雙機熱備的安全功能要求和測試評價方法

———“”“”;

增加了控制臺鑒別標識唯一性的自身安全功能要求和測試評價方法

———“”“”;

調整了中阻斷能力系統升級報告定制和定制響應的級別

———GB/T20275—2006“”“”“”“”。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

,。

本標準起草單位公安部計算機信息系統安全產品質量監督檢驗中心北京啟明星辰信息安全技術

:、

有限公司公安部網絡安全保衛局

、。

本標準主要起草人宋好好顧健張笑笑李毅吳其聰張艷

:、、、、、。

Ⅲ

GB/T20275—2013

信息安全技術網絡入侵檢測系統

技術要求和測試評價方法

1范圍

本標準規定了網絡入侵檢測系統的技術要求和測試評價方法要求包括安全功能要求自身安全功

,、

能要求安全保證要求和測試評價方法并提出了網絡入侵檢測系統的分級要求

、,。

本標準適用于網絡入侵檢測系統的設計開發測試和評價

、、。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術安全技術信息技術安全性評估準則第部分簡介和一般

GB/T18336.1—20081:

模型

信息安全技術術語

GB/T25069—2010

3術語和定義

和中界定的以及下列術語和定義適用于本文件

GB/T18336.1—2008GB/T25069—2010。

31

.

事件event

一種系統服務或網絡狀態的發生或者改變的記錄信息可作為分析安全事件的基礎

、,。

32

.

安全事件incident

通過對事件的分析處理從而識別出一種系統服務或網絡狀態的發生表明一次可能的違反安全

,、,

規則或某些防護措施失效或者一種可能與安全相關但以前不為人知的一種情況極有可能危害業務運

,,

行和威脅信息安全