ICS35.040 L 80 中华人民共和国国家标准 GB/T 20275—2006 信息安全技术 入侵检测系统技术要求和测试评价方法 Information security technologyTechniques requirements and testing and evaluation approaches for intrusion detection system 2006-05-31 发布 中华人民共和国国家质量监督检验检疫总局 中 国 国 家 标 准 化 管 理 委 员 会 2006-12-01 实施 发布 GB/T 20275—2006 目 前 次 言 ............................................................................ III 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 缩略语 .............................................................................. 2 5 入侵检测系统等级划分 ................................................................ 3 5.1 等级划分说明 ....................................................................... 3 5.1.1 第一级 ........................................................................... 3 5.1.2 第二级 ........................................................................... 3 5.1.3 第三级 ........................................................................... 3 5.2 安全等级划分 ....................................................................... 3 5.2.1 网络型入侵检测系统安全等级划分 ................................................... 3 5.2.2 主机型入侵检测系统安全等级划分 ................................................... 6 6 入侵检测系统技术要求 ................................................................ 7 6.1 第一级 ............................................................................. 7 6.1.1 产品功能要求 ..................................................................... 7 6.1.2 产品安全要求 ..................................................................... 9 6.1.3 产品保证要求 .................................................................... 10 6.2 第二级 ............................................................................ 11 6.2.1 产品功能要求 .................................................................... 11 6.2.2 产品安全要求 .................................................................... 12 6.2.3 产品保证要求 .................................................................... 13 6.3 第三级 ............................................................................ 15 6.3.1 产品功能要求 .................................................................... 15 6.3.2 产品安全要求 .................................................................... 15 6.3.3 产品保证要求 .................................................................... 16 7 入侵检测系统测评方法 ............................................................... 18 7.1 测试环境 .......................................................................... 18 7.2 测试工具 .......................................................................... 19 7.3 第一级 ............................................................................ 19 7.3.1 产品功能测试 .................................................................... 19 7.3.2 产品安全测试 .................................................................... 25 7.3.3 产品保证测试 .................................................................... 27 7.4 第二级 ............................................................................ 29 7.4.1 产品功能测试 .................................................................... 29 7.4.2 产品安全测试 .................................................................... 31 I GB/T ××××—200× 7.4.3 产品保证测试 .................................................................... 33 7.5 第三级 ............................................................................ 37 7.5.1 产品功能测试 .................................................................... 37 7.5.2 产品安全测试 .................................................................... 38 7.5.3 产品保证测试 .................................................................... 39 参考文献 ............................................................................. 44 II GB/T 20275—2006 前 言 （略） III GB/T 20275—2006 信息安全技术 入侵检测系统技术要求和测试评价方法 1 范围 本标准规定了入侵检测系统的技术要求和测试评价方法，技术要求包括产品功能要求、产品安全要 求、产品保证要求，并提出了入侵检测系统的分级要求。 本标准适用于入侵检测系统的设计、开发、测试和评价。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的 修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 5271.8-2001 信息技术 词汇 第8部分：安全（idt ISO 2382-8:1998） GB/T 18336.1-2001 信息技术 安全技术 信息技术安全性评估准则 第一部分：简介和一般模型 （idt ISO 15408-1:1999） 3 术语和定义 GB 17859-1999、 GB/T 5271.8-2001和 GB/T 18336.1-2001 确立的以及下列术语和定义适用于本 标准。 3.1 事件 incident 信息系统中试图改变目标状态，并造成或可能造成损害的行为。