检测系统在IPv6环境下的工作需求已提上日程,但原国标GB/T 20275-2013中并没有提出对在IPv6环境下工作的技术要求。因此,编制组在GB/T 20275-2013中增加有关IPv6应用环境支持能力的要求,以满足产品能在下一代网络环境下正常工作的需求。 2.5.4. 安全保障要求修订
由于GB/T 20275-2013的颁布时间较早,其编制时参考的GB/T 18336-2008已更新。这样以来,使得产品的安全保障要求与最新版的GB/T 18336-2015不一致(2015版将“保证”(assurance)改为“保障”、将“6 安全保证要求”改为“6 安全保障组件”、增加了“6.3 组合保障包结构”等)。因此,编制组根据最新的GB/T 18336-2015作为引用参考,对GB/T 20275-2013的安全保障要求进行修订,以使修订后的GB/T 20275在产品安全保障要求方面与现行安全标准体系要求相统一。 2.6. 标准主要内容 2.6.1. 标准结构
本标准的编写格式和方法依照GB/T1.1-2009 标准化工作导则 第一部分:标准的结构和编写规则。
本标准主要结构包括如下内容:
1. 2. 3. 4. 5. 6. 7.
范围 规范性引用文件
术语和定义 缩略语
网络入侵检测系统概述 安全技术要求 测试评价方法
2.6.2. 范围、规范性引用文件、术语和定义和缩略语
该部分定义了本标准适应的范围,所引用的其它标准情况,及以何种方式引
6
用,术语和定义部分明确了该标准所涉及的一些术语。
在术语中明确了“安全事件”、“入侵检测”等重要概念。 缩略语部分主要列出本标准中用的缩略语全称及中文解释。 2.6.3. 网络入侵检测系统概述
产品概述中,对网络入侵检测系统的工作原理、典型架构及部署方式等做出了描述。
2.6.4. 安全技术要求
安全技术要求是对网络入侵检测系统应具备的安全功能要求、自身安全保护要求、环境适应性要求和安全保障要求提出具体要求。其中安全功能要求包括数据探测功能要求、入侵分析功能要求、入侵响应功能要求、管理控制功能要求、检测结果处理要求、产品灵活性要求、性能要求等;自身安全保护要求包括身份鉴别、管理员管理、安全审计、事件记录安全、通信安全、升级安全、运行安全等;环境适应性要求支持纯IPv6网络环境、IPv6网络环境下自身管理能力和双协议栈等;安全保障要求针对网络入侵检测系统的开发和使用文档的内容提出具体的要求,例如开发、指导性文档、生命周期支持、测试、脆弱性评定等。 3. 主要试验[或验证]情况分析
公安部第三研究所为本标准的牵头编制单位,单位下属的公安部计算机信息系统安全产品质量监督检验中心一直从事国内信息安全专用产品的销售许可检测工作,也包括了适用于网络入侵检测系统的信息安全专用产品。在本标准的编制过程中,检测中心依据该标准的要求,对多家厂商所生产的网络入侵检测系统进行了验证测试。根据验证测试结果,对标准中所提出部分功能指标和性能指标进行了相应的调整。 4. 知识产权情况说明
本标准不涉及专利。
5. 产业化情况、推广应用论证和预期达到的经济效果
网络安全在我国处于快速发展阶段,根据统计,近2年通过销售许可检测的网络入侵检测系统94款。
7
网络入侵检测系统是以网络上的数据包作为数据源,监听所保护网络内的所有数据包并进行分析,从而发现异常行为的入侵检测系统。因为这类产品在网络安全中发挥着及时发现入侵行为、有效保护网络安全的重要作用。该类产品在政府及企事业单位中得到了广泛的应用,是网络安全中的一个大类产品。
修订后的国家标准能够更加有效的指导网络入侵检测系统的研发、生产、选型和采购,更加有效的推动整个网络入侵检测系统产业链的发展,更加有效的对国家的网络安全进行检测和防护,因此,产业化具有良好的前景。 6. 采用国际标准和国外先进标准情况
该项目计划在现行国家标准GB/T 20275-2013《信息安全技术 网络入侵检测系统技术要求和测试评价方法》的基础上,对其进行修订。该标准可以支撑GB/T 25066《信息安全技术 信息安全产品类别与代码》(修订报批稿)中关于网络监测与控制类(B2)中网络入侵检测类(B201)产品的安全检测和认证工作。从整个信息安全产品体系上看,与现有国家其他标准一起支撑我们国家网络安全产品的标准体系。
目前国际上没有和网络入侵检测系统产品相关的标准。 7. 与现行相关法律、法规、规章及相关标准的协调性
该项目计划对现行国家标准GB/T 20275-2013《信息安全技术 网络入侵检测系统技术要求和测试评价方法》进行修订。2017年,《网络安全法》正式施行,对关键信息基础设施的运营者应尽的安全义务提出了法律层面的要求;其中,第二十一条规定了网络运营者应履行的安全保护义务就包括“采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”、第二十六条也规定了向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的相关要求。这些要求中关于“网络入侵”行为的发现,就需要依靠网络入侵检测系统。此外,2017年6月1日,网信办、公安部、工信部和认监委联合发布公告《关于发布<网络关键设备和网络安全专用产品目录(第一批)>的公告》,其中,就网络入侵检测系统(IDS)的性能提出了要求。在GB/T 25066《信息安全技术 信息安全产品类别与代码》(修订报批稿)中,关于网络监测与控制类(B2)中也有网络入侵检测(B201)这一大类产品的定义。此外,公安部的32号令,国务院的147号令中都会网络入侵的及时检测等进行了相关要求。
8
8. 重大分歧意见的处理经过和依据
本标准编制过程中,如标准编制组内部出现重大意见分歧时,由标准编制组组长组织召开内部调解会解决;如标准编制单位之间出现重大意见分歧,由标准编制承担单位公安部计算机信息系统安全产品质量监督检验中心组织召开参编单位调解会解决。如征求意见过程中,各厂家,特别是各部委意见与标准编制组之间出现重大意见分歧,由全国信息安全标准化技术委员会组织召开协调会解决,并认真听取专家意见进行修改。 9. 标准性质的建议
建议将本标准作为推荐性国家标准在全国实施。 10. 贯彻国家标准的要求和措施建议
该国标为生产、测试和评估网络入侵检测系统提供指导性意见,建议在全国推荐性实施。在具体贯彻实施该标准时,首先可要求不同的产品测试机构使用该标准作为网络入侵检测系统的测试依据,例如,可使用在产品的销售许可测试、政府采购设备的准入测试、不同需求单位的招标选型测试等,由此可以进一步推动产品的生产厂商以该标准为依据,更全面地应用到产品的研发生产过程中,达到业界内全面使用该标准的局面。 11. 废止现行有关标准的建议 无。
12. 其他应予说明的事项。 无。
《信息安全技术 网络入侵检测系统技术要求和测试评价方法》
标准编制组 2019年11月
9
信息安全技术 网络入侵检测系统技术要求和测试评价方法 编制说明
