信息安全技术 网络入侵检测系统技术要求和测试评价方法 编制说明

国家标准《信息安全技术网络入侵检测系统技术要求和测试评价方法》（工作组讨论稿）编制说明

1.工作简况

1.1.任务来源

2019年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究修订GB/T 20275-2013《信息安全技术网络入侵检测系统技术要求和测试评价方法》国家标准,国标计划号：待定。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部第三研究所负责主编。

1.2.主要起草单位和工作组成员

上海国际技贸联合有限公司牵头、公安部第三研究所主要负责编制，中国网络安全审查技术与认证中心、北京神州绿盟科技有限公司、网神信息技术（北京）股份有限公司、启明星辰信息技术集团股份有限公司等单位共同参与了该标准的起草工作。

1.3.主要工作过程

按照项目进度要求，编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，查阅有关资料，编写标准编制提纲，在完成对提纲进行交流和修改的基础上，开始具体的编制工作。

2019年09月，完成了对网络入侵检测系统的相关技术文档和有关标准的前期基础调研。在调研期间，主要对公安部检测中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析，对国内外相关产品的发展动向进行了研究，对相关产品的技术文档和标准进行了分析理解。

2019年10月完成了标准草稿的编制工作。以编制组人员收集的资料为基础，在不断的讨论和研究中，完善内容，最终形成了本标准草案（第一稿）。

2019年10月09日，编制组在北京召开标准编制工作启动会，会后，收集整

理参编单位的建议或意见，在公安部检测中心内部对标准草案（第一稿）进行了讨论。修改了协议分析、硬件失效处理等技术要求和测试评价方法，形成了标准草稿（第二稿）。

2019年10月12日，WG5工作组在北京召开国家标准研讨会，与会专家对标准草稿（第二稿）进行评审讨论。会后，编制组根据专家的建议，修改了范围、网络入侵检测系统描述等章节的描述，对审计日志生成等标准要求和测试评价方法进行了调整，并在编制说明中增加了“标准主要修订依据”等说明，形成了标准工作组讨论稿（第一稿）。

2019年10月27日，全国信息安全标准化技术委员会2019年第二次工作组“会议周”全体会议在重庆召开。编制组在WG5组会议上对标准的工作内容进行了汇报。与会专家对标准工作组讨论稿（第一稿）进行评审讨论。会后，编制组根据专家的建议，增加了产品在IPv6网络环境下工作的性能要求，补充增加了“高频度阈值应由授权管理员设置”等技术要求，形成了标准工作组讨论稿（第二稿）。

2019年11月19日，编制组在上海召开标准研讨会。中国电子科技集团公司第十五研究所（信息产业信息安全测评中心）等编制参与单位出席了该次标准研讨会。会后，编制组收集整理参编单位的建议或意见，在标准工作组讨论稿（第二稿）的基础上，修改了事件数据库、其他设备联动、防躲避能力等技术要求和测试评价方法，形成了标准征求意见稿（第一稿）。

2.标准编制原则和确定主要内容的论据及解决的主要问题

2.1.编制原则

为了使网络入侵检测系统标准的内容从一开始就与国家标准保持一致，本标准的编写参考了其他国家有关标准，主要有GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2019和GB/T 18336-2015。

本标准符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与要求如下：

1）先进性

标准是先进经验的总结，同时也是技术的发展趋势。目前，国家管理机构及

用户单位网络入侵检测系统信息安全越来越重视，我国网络入侵检测系统处于快速发展阶段，要制定出先进的产品国家标准，必须参考国内外先进技术和标准，吸收其精华，才能制定出具有先进水平的标准。本标准的编写始终遵循这一原则。

2）实用性

标准必须是可用的，才有实际意义，因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上，结合我国的实际情况，广泛了解了市场上主流产品的功能，吸收其精华，制定出符合我国国情的、可操作性强的标准。

3）兼容性

本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。

2.2.编制思路

1)GB17859为我国信息安全工作的纲领性文件，据此对产品进行分等级要

求；

2)GB/T18336对应国际标准《信息技术安全评估通用准则》（即CC），为信

息安全产品领域国际上普遍遵循的标准。本标准引用了其第三部分安全

保证要求，并参考了其PP的生成要求；

3)标准格式上依据GB/T1.1进行编制；

4)广泛征集网络入侵检测系统厂商、信息安全厂商及用户单位意见。

2.3.编制的背景

2014年，由习总书记亲自担任组长的中央网络安全和信息化建设领导小组的成立将网络安全上升到国家战略高度，2017年，《网络安全法》正式施行，明确规定了个人信息受保护，并对关键信息基础设施的运营者应尽的安全义务提出了法律层面的要求，这使得网络安全防护由自发自觉行为上升为应尽的义务范畴，也为信息安全行业的发展带来了极大的机遇和挑战。

保障信息安全除了完善的法律规章、严格的管理制度等要素外，网络安全产品则是站在了直接与网络犯罪行为针锋相对的前沿阵地，常见的网络安全产品有

防火墙、网络入侵检测产品、病毒防治产品、安全审计产品等，这些产品如果存在质量问题，不但起不到应有的保护作用，反而可能成为攻击者的帮凶，直接影响到国计民生的方方面面。

在这些关键的网络安全产品中，网络入侵检测产品提供针对网络应用层攻击的深度检测与智能防护能力，通过集成专业的漏洞库、病毒库和应用协议库，实现针对系统漏洞攻击、病毒蠕虫、 DDoS 攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的应用层深度防护，提供对网络基础设施、服务器等用户关键设施的全面保护。该类产品在政府及企事业单位中得到了广泛的应用，是网络安全中的一个大类产品。而这类产品的相关标准的指导、指引意义就显得非常重要了。

2013年，国标委出台了国家标准GB/T 20275-2013《信息安全技术网络入侵检测系统技术要求和测试评价方法》（以下简称GB/T 20275-2013）用以统一整个国家对该类产品的设计、开发、测试和评价。

但由于GB/T 20275-2013的颁布时间较早，随着网络技术的不断发展，攻击行为和攻击方式不断变种，对网络、主机和系统资源安全的威胁不断增加，对网络入侵检测系统产品功能和安全功能的要求不断提高。当前的网络入侵检测系统在检测攻击行为的技术方面不再局限于特征匹配和模式识别，而且探索和致力于动态行为分析和语义感知。该编制时参考的 GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》（以下简称GB/T 18336-2008）和GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》（以下简称GB/T 22239-2008）等标准都已更新。此外，标准分级原则不够清晰。基于上述多方面的原因，GB/T 20275-2013已不能适用于现在的网络安全等级保护制度和国家安全标准体系的要求，我们需要对6年前颁布执行的国家标准GB/T 20275-2013进行修订、更新，才能够有效的保障信息网络的安全，进而支撑国家网络安全等级保护工作的全面开展和网络安全法的有效落地。

2.4.编制的目的

本标准的目标是根据网络入侵检测系统产品的新技术和新特性、最新版的GB/T 18336-2015《信息技术安全技术信息技术安全性评估准则》（以下简称GB/T 18336-2015），从安全功能要求和安全保障要求等方面，研究修订网络入侵