首页 > 国家标准(GB) > 信息安全技术 入侵检测系统技术要求和测试评价方法
GB/T 20275-2006

基本信息

标准号: GB/T 20275-2006

中文名称:信息安全技术 入侵检测系统技术要求和测试评价方法

标准类别:国家标准(GB)

英文名称:Information security technology Techniques requirements and testing and evaluation approaches for intrusion detection system

标准状态:已作废

发布日期:2006-05-31

实施日期:2006-12-01

作废日期:2014-07-15

下载格式:pdf zip

相关标签: 信息安全 技术 检测 系统 要求 测试 评价 方法

标准分类号

标准ICS号: 信息技术、办公机械设备>>35.040字符集和信息编码

中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密

关联标准

替代情况:被GB/T 20275-2013替代;

出版信息

出版社:中国标准出版社

页数:48页

标准价格:68.0

出版日期:2006-12-01

相关单位信息

首发日期:2006-05-31

起草人:陈洪波、刘恒、严立

起草单位:启明星辰信息技术有限公司、公安部公共信息网络安全监察局

归口单位:全国信息安全标准化技术委员会

提出单位:全国信息安全标准化技术委员会

发布部门:中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会

主管部门:国家标准化管理委员会

标准简介

本标准规定了入侵检测系统的技术要求和测试评价方法 技术要求包括产品功能要求、产品安全要求、产品保证要求,并提出了入侵检测系统的分级要求。本标准适用于入侵检测系统的设计、开发、检测和实现。

标准图片预览






标准内容

ICS35.040
中华人民共和国国家标准
GB/T20275—2006
信息安全技术
入侵检测系统技术要求和测试评价方法Information securitytechnology-Techniques requirements and testing and evaluation approaches forintrusiondetectionsystem
2006-05-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员公
2006-12-01实施免费标准vv99.net
061205000027
规范性引用文件
术语和定义
缩略语
入侵检测系统等级划分
等级划分说明
第一级
第二级
第三级
安全等级划分
网络型人侵检测系统安全等级划分5.2.1
5.2.2主机型人侵检测系统安全等级划分6人侵检测系统技术要求
6.1第一级
产品功能要求
产品安全要求
产品保证要求
第二级·
产品功能要求
产品安全要求…
产品保证要求
第三级·
产品功能要求.
产品安全要求.
产品保证要求
人侵检测系统测评方法
测试环境
测试工具
产品功能测试
产品安全测试…·
产品保证测试…
第二级·
产品功能测试…·
产品安全测试…
产品保证测试
GB/T20275—2006
GB/T20275—2006
第三级
产品功能测试
7.5.2产品安全测试.
产品保证测试..
参考文献
本标准由全国信息安全标准化技术委员会提出并归口。GB/T20275—2006
本标准起草单位:启明星辰信息技术有限公司、公安部公共信息网络安全监察局本标准主要起草人:陈洪波、刘恒、严立。1范围
信息安全技术
入侵检测系统技术要求和测试评价方法GB/T20275-2006
本标准规定了人侵检测系统的技术要求和测试评价方法,技术要求包括产品功能要求、产品安全要求、产品保证要求,并提出了入侵检测系统的分级要求。本标准适用于人侵检测系统的设计、开发、测试和评价。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准GB17859一1999计算机信息系统安全保护等级划分准则GB/T5271.8—2001信息技术词汇第8部分:安全(idtISO2382-8:1998)GB/T18336.1一2001信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型(idtISO/IEC15408-1:1999)3术语和定义
GB17859一1999、GB/T5271.8—2001和GB/T18336.1-2001确立的以及下列术语和定义适用于本标准。
事件incident
信息系统中试图改变目标状态,并造成或可能造成损害的行为。3.2
intrusion
任何危害或可能危害资源完整性、保密性或可用性的行为。3.3
intrusiondetection
入侵检测
通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。3.4
入侵检测系统
intrusiondetectionsystem
用于监测信息系统中可能存在的影响信息系统资产的行为的软件或软硬件组合。它通常分为主机型和网络型两种,由控制台、探测器和/或主机代理组成。3.5
network-based intrusion detection system网络型入侵检测系统
以网络上的数据包作为数据源,监听所保护网络内的所有数据包并进行分析,从而发现异常行为的人侵检测系统。
GB/T20275—2006
主机型入侵检测系统host-basedintrusiondetectionsystem以系统日志、应用程序日志等作为数据源,或者通过其他手段(如监督系统调用)从所在的主机收集信息进行分析,从而发现异常行为的入侵检测系统。3.7
探测器sensor
用于收集可能指示出入侵行为或者滥用信息系统资源的实时事件,并对收集到的信息进行初步分析的人侵检测系统组件。
注:网络型人侵检测系统的探测器安装在网络的关键节点处,监听流经网络的数据;主机型人侵检测系统的探测器以主机代理的形式安装在主机系统上,收集主机的运行状态和主机情息3.8
IDS控制台IDSmanagenrentconsole用于探测器管理、策略配置、数据管理、告警管理、事件响应升级事件库以及其他管理工作,并对人侵行为进行深层次分析的侵检测系统组件。3.9
用户user
一个控制台可以管理多个探测器使用入侵检测系统的授权管理员、审计员的统称3.10
攻击特征
atfacksignature
人侵检测系
预先定义好的能够发现
发生的特定信息。
攻丰正在
告警alertP
当攻击或人侵发生时,入侵检测系统向授权管理员发出的紧急通知。3.12
response
当攻击或入侵发生时,针对信息系统及存储的数据采取的保护并恢复正常运行环境的行为。3.13
falsepositi
人侵检测系统在未发坐政击时告警,或者发出错误的告警信息。3.14
漏报falsenegative
当攻击发生时入侵检测系统未告警。3.15
强力攻击
bruteforce
-种利用合法字符的各种组合序列,通过应用程序反复尝试各种可能的组合来试图破解加密信息(如密码、密钥)的方法。强力攻击通过穷举法而非智能策略来达到目的,是一种有效而耗时的攻击手法。
4缩略语
下列缩略语适用于本标准:
地址解析协议
域名系统
AddressResolutionProtocol
DomainNameSystem
TELNET
文件传输协议
超文本标记语言
超文本传送协议
网际控制报文协议
入侵检测系统
因特网消息访问协议
网际协议
网络文件系统
网络新闻传送协议
邮局协设
路由选择信息协议
远程通程调用
简单部件传送协议
简单网络管理协议
传输控制协议
远程登陆
普通文件传送协议
用户数据报协议
5入侵检测系统筹级划分
5.1等级划分说明
5.1.1第一级P
FileTransfer Protocol
GB/T20275—2006
Hypertext Markup Language
Hypertext Transfer Protocol
Internet Control MessageProtocolIntrusion detection system
Internet Message Access ProtocalInternetProtocol
Network File System
NetworkNewsTransferProtocol
Post Office Protocol
Routing Information ProtocolRemote Procedur
reCall
SimpleMalTransferProtocol
SimpleNetworkManagementProtocolTransportControlPrptocol
Telnet
Trivial
File Transer Protocol
User Datagram Protoco
本级规定人侵检测系统的最低安全要求。通过简单的用户标识和鉴别来限制对系统的功能配置和数据访问的控制使用户具备自主安全保护的能力,阻止非法用户危害系统,保护入侵检测系统的正常运行。
5.1.2第二级
本级划分了安全管理鱼色,以细化对入侵检测系统的管理。加人审计功能,便得授权管理员的行为是可追踪的。同时,还净场保护系统数据、系统自身安全运行的措施5.1.3第三级
本级通过增强审计、访问轻制系统的自身保护等要求,对入段检测系统的正常运行提供更强的保护。本级还要求系统具有分布式部署、多级管理、集中管理、以及支持要全管理中心的能力。此外,还要求系统具有较强的抗攻击能力。5.2安全等级划分
5.2.1网络型入侵检测系统安全等级划分网络型入侵检测系统的安全等级划分如表1、表2所示。对网络型入侵检测系统的等级评定是依据下面两个表格,结合产品保证要求的综合评定得出的,符合第一级的网络型人侵检测系统应满足表1、表2中所标明的一级产品应满足的所有项目,以及对第一级产品的相关保证要求;符合第二级的网络型人侵检测系统应满足表1、表2中所标明的二级产品应满足的所有项目,以及对第二级产品的相关保证要求;符合第三级的网络型入侵检测系统应满足表1、表2中所标明的三级产品应满足的所有项目,以及对第三级产品的相关保证要求。3
GB/T20275—2006
产品功能要求
数据探测功能要求
人侵分析功能要求
人侵响应功能要求
管理控制功能要求
检测结果处理要求
网络型入侵检测系统产品功能要求等级划分表功能组件
数据收集
协议分析
行为监测
流量监测
数据分析
分析方式
防躲避能力
事件合并
事件关联
安全告警
告警方式
排除响应
定制响应
全局预警
阻断能力
防火墙联动
人侵管理
其他设备联动
图形界面
分布式部署
多级管理
集中管理
同台管理
端口分离
事件数据库
事件分级
策略配置
产品升级
统一升级
事件记录
事件可视化
报告生成
报告查阅
报告输出
产品功能要求
产品灵活性要求
性能指标要求
注:“*”表示具有该要求,
安全功能要求
身份鉴别
用户管理
安全审计
事件数据安全
通信安全
产品自身安全
注;“*\表示具有该要求。
窗口定义
报告定制
事件定义
协议定义
通用接口
漏报率
误报率
还原能力
表1(续)
功能组件
网络型入侵检测系统产品安全要求等级划分表功能组件
用户鉴别
多鉴别机制
鉴别失败的处理
超时设置
会话锁定
鉴别数据保护
用户角色
用户属性定义
安全行为管理
安全属性管理
审计数据生成
审计数据可用性
审计查阅
受限的审计查阅
安全数据管理
数据保护
数据存储告警
通信完整性
通信稳定性
升级安全
自我隐藏
自我保护
自我监测
GB/T20275—2006
GB/T20275—2006
主机型入侵检测系统安全等级划分主机型入侵检测系统的安全等级划分如表3、表4所示。对主机型入侵检测系统的等级评定是依据下面两个表格,结合产品保证要求的综合评定得出的,符合第一级的主机型入侵检测系统应满足表3、表4中所标明的一级产品应满足的所有项目,以及对第一级产品的相关保证要求;符合第二级的主机型人侵检测系统应满足表3、表4中所标明的二级产品应满足的所有项目,以及对第二级产品的相关保证要求;符合第三级的主机型人侵检测系统应满足表3、表4中所标明的三级产品应满足的所有项目,以及对第三级产品的相关保证要求。表3主机型入侵检测系统产品功能要求等级划分表产品功能要求
数据探测功能要求
入侵分析功能要求
人侵响应功能要求
管理控制功能
检测结果处理要工
数据收集
行为监测
款据公析
全告警
告警方式
阻断能力
图形界面
集中管理
同台管理
事件数据库
事件分级
策略配置
产品升级
事件记录
事件可视化
报告生成
报告查阅
报告输出
产品灵活性要求
事性定义
通用接口
稳定性
功能组件
CPU资源占用量
性能指标要求
注:“”表示具有该要求。
内存占用量
用户登录和资源访间
网络通信
安全功能要求
身份鉴别
用户管理
安全审计
事件数据告
通信安
产品自身安
注:““表示具有求费惑
入侵检测系统技术要求
注:第6、7两章对每
出现。
6.1第一级
6.1.1产品功能要求
主机型入侵检测系统产品安全要求等级划分表功能组件
用户鉴别
多鉴别机制
鉴别失败的处理
超时设置
会话锁定
鉴别数据保护
用户角色
用户属性定义
安全行为管理
专全属性管理
审计数据生成
审计数据可用性
审计查阅
受限的审计查闻
安全数据管理
数据保护
数据存储告警
通信完整性
通信稳定性
升级安全
自我保护
GB/T20275—2006
等级的体要求分别进行描述。其中“加粗宋体字\费示所搞还的内容在该级中第一次6.1.1.1数据探测功能要求
6.1.1.1.1数据收集
网络型人侵检测系统应具有实时获取受保护网段内的数据包的能力。获取的数据包应足以进行检测分析。
主机型入侵检测系统应具有实时获取一种或多种操作系统下主机的各种状态信息的能力。6.1.1.1.2协议分析
网络型人侵检测系统至少应监视基于以下协议的事件:IP、ICMP、ARP、RIP、TCP、UDP、RPC、HTTP、FTP、TFTP、IMAP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS、NNTP等。6.1.1.1.3行为监测
网络型入侵检测系统至少应监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。