1、ICS 35.040 L 80 gB 中华人民共和国国家标准GB/T 20275-2006 信息安全技术入侵检测系统技术要求和测试评价方法Information security technology一Techniques requirements and testing and evaluation approaches for intrusion detection system 2006-05-31发布中华人民共和国国家质量监督检验检妓总局中国国家标准化管理委员产2006-12-01实施GB/T 20275-2006 目次前言.田1 范围-2 规范性引用文件3 术语和定义.4 缩略语5
2、入侵检测系统等级划分5. 1 等级划分说明5. 1. 1 第一级.5. 1. 2 第二级-5. 1. 3 第三级5. 2 安全等级划分.5.2. 1 网络型入侵检测系统安全等摄划分.5.2.2 主机型入侵检测系统安全等级划分6 入侵检测系统技术要求76. 1 第一级6. 1. 1 产品功能要求76. l. 2 产品安全要求6. 1. 3 产品保证要求106. 2 第二级.6.2.1 产品功能要求116.2.2 产品安全要求126.2.3 产品保证要求.6. 3 第二级.6.3. 1 产品功能要求6.3.2 产品安全要求156.3.3 产品保证要求7 入侵检测系统测评方法187.1 测试环境四7
3、.2 测试工具197.3 第一级.四7.3. 1 产品功能测试.7.3.2 产品安全测试257.3.3 产品保证测试277.4 第二级297.4.1 产品功能测试297.4.2 产品安全测试317.4.3 产品保证测试GB/T 20275-2006 7.5 第三级377. 5. 1 产品功能测试377.5.2 产品安全测试387. 5. :3 产品保证测试39参考文献. . . . . . . . . . . . . . 44 11 GB/T 20275-2006 目。昌本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位:启明星辰信息技术有限公司、公安部公共信息网络安全监察局。本标
4、准主要起草人:陈洪波、刘恒、严立。而且GB/T 20275一2006信息安全技术入侵检测系统技术要求和测试评价方法1 范围本标准规定了入侵检测系统的技术要求和测试评价方法,技术要求包括产品功能要求、产品安全要求、产品保证要求,并提出了入侵检测系统的分级要求。本标准适用于入侵检测系统的设计、开发、测试和评价。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB 17859 1
5、999 计算机信息系统安全保护等级划分准则GB/T 527 1. 82001信息技术词汇第8部分:安全CidtISO 2382-8: 1998) GB/T 18336. 1 2001 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型CidtISO/IEC 15408-1: 1999) 3 术语和定义GB 17859 1999、GB/T527 1. 82001和GB/T18336. 1 2001确立的以及下列术语和定义适用于本标准。3.1 事件incident 信息系统中试图改变目标状态,并造成或可能造成损害的行为。3.2 入侵intrusion 任何危害或可能危害资源完整性、保密
6、性或可用性的行为。3.3 入侵检测intrusion detection 通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。3.4 入侵检测系统intrusion detection system 用于监测信息系统中可能存在的影响信息系统资产的行为的软件或软硬件组合。它通常分为主机型和网络型两种,由控制台、探测器和/或主机代理组成。3.5 网络型入侵检测系统network-based intrusion detection system 以网络上的数据包作为数据源,监昕所保护网络内的所有数据包并进行分析,从而发现异常行
7、为的入侵检测系统。GB/ T 20275-2006 3. 6 主机型入僵检测系统host-based intrusion detection system 以系统日志、应用程序日志等作为数据源,或者通过其他手段(如监督系统调用)从所在的主机收集信息进行分析,从而发现异常行为的入侵检测系统。3. 7 探测器sensor 用于收集可能指示出入侵行为或者槛用信息系统资源的实时事件,并对收集到的信息进行初步分析的入侵检测系统组件。以主机代理的形式安装在3.8 IDS控制台IDS 用于探测器管理、侵行为进行深层次3. 9 3. 10 3. 11 3.12 3. 13 3. 14 3. 15 用户user
8、 攻击特征入侵检测当攻击漏报false negative 当攻击发生时入侵检测系强力攻击brute fo rce 网络的数据;主机型入侵检测系统的探测器及其他管理工作,并对入一种利用合法字符的各种组合序列,通过应用程序反复尝试各种可能的组合来试图破解加密信息(如密码、密钥)的方法。强力攻击通过穷举法而非智能策略来达到目的,是一种有效而耗时的攻击手法。4 缩略语下列缩略语适用于本标准:2 ARP DNS 地址解析协议域名系统Address Resolution Protocol Domain Name System FTP 文件传输协议HTML 超文本标记语言HTTP 超文本传送协议ICMP 网
9、际控制报文协议IDS 入侵检测系统IMAP 因特网消息访问协议IP 网际协议NFS 网络文件系统NNTP 网络新吆时POP RIP RPC S岛1TPSNMP UDP 5 入侵检测z常运行。5. 1. 2 第二级本级划分了安5. 1. 3 第三级本级通过增强审计、叫队,护。本级还要求系统具有3女布与部署、求系统具有较强的抗攻击能力。5. 2 安全等级划分5. 2.1 网络型入侵检测系统安全等级划分GB/T 20275-2006 File Transfer Protocol H ypertext Markup Language H ypertext Transfer Protocol Inter
10、net Control Message Protocol Intrusion detection system Internet Message Access Protocal Internet Protocol 得授权管理员的行为网络型入侵检测系统的安全等级划分如表1、表2所示。对网络型入侵检测系统的等级评定是依据下面两个表格,结合产品保证要求的综合评定得出的,符合第一级的网络型入侵检测系统应满足表1、表2中所标明的一级产品应满足的所有项目,以及对第一级产品的相关保证要求;符合第二级的网络型入侵检测系统应满足表1、表2中所标明的二级产品应满足的所有项目,以及对第二级产品的相关保证要求;符合第
11、三级的网络型入侵检测系统应满足表1、表2中所标明的三级产品应满足的所有项目,以及对第三级产品的相关保证要求。3 GB/T 20275-2006 表1网络型入侵检测系统产晶功能要求等级划分表产品功能要求功能组件一级二级三级数据收集当悔9唔9导协议分析当陪唔并数据探测功能要求行为监测3峙9唔* 流量监测9咛9峰9导数据分析9峰9峰装分析方式9峰9峰争等入侵分析功能要求防躲避能力关长事件合并9毛* 事件关联并安全告警9导并9峰告警方式争4* 争等排除响应争奇并定制响应争等争等入侵响应功能要求全局预警9峰阻断能力兴等争舍防火墙联动争奇争奇入侵管理关其他设备联动* 图形界面提祷争等分布式部署长9峰多级管
12、理9略集中管理9唔奇峰同台管理9峰9峰管理控制功能要求端口分离9峰9峰事件数据库当k峰9峰事件分级每9晤9峰策略配置当&* 并产品升级当k关9咛统一升级关头祷事件记录关头9唔事件可视化当k9峰9晤检测结果处理要求报告生成司公祷拎报告查阅当最9峰9峰报告输出法9唔头4 表1(续)产品功能要求功能组件一级窗口定义报告定制当&产品灵活性要求事件定义协议定义通用接口漏报率并性能指标要求误报率与良还原能力注.祷表示具有该要求。表2网络型入僵检测系统产晶安全要求等级划分表安全功能要求功能组件一级用户鉴别9峰多鉴别机制鉴别失败的处理头身份鉴别超时设置会话锁定鉴别数据保护用户角色当6用户属性定义用户管理安全行
13、为管理安全属性管理审计数据生成审计数据可用性安全审计审计查阅受限的审计查阅安全数据管理争峰事件数据安全数据保护9玲数据存储告警通信完整性头通信安全通信稳定性当陪升级安全* 自我隐藏9峰产品自身安全自我保护头自我监测注并表示具有该要求。GB/T 20275-2006 二级抉兴并长当陆9峰当陪二级* 头诀拎拎习比争夺关9峰今毛9导9峰当告关书号与良9导X 关三级长并9岭将拎头9咛舍三级* * 争夺关并关3峰可k头* 奇峰法今传拎与&拎句比:是* 9咛* 长法d GB/T 20275-2006 5. 2. 2 主机型入侵检测系统安全等级划分主机型入侵检测系统的安全等级划分如表3、表4所示。对主机型入
14、侵检测系统的等级评定是依据下面两个表格,结合产品保证要求的综合评定得出的,符合第一级的主机型入侵检测系统应满足表3、表4中所标明的一级产品应满足的所有项目,以及对第一级产品的相关保证要求;符合第二级的主机型入侵检测系统应满足表3、表4中所标明的二级产品应满足的所有项目,以及对第二级产品的相关保证要求;符合第三级的主机型入侵检测系统应满足表3、表4中所标明的三级产品应满足的所有项曰,以及对第三级产品的相关保证要求。6 表3主机型入侵检测系统产品功能要求等级划分表产品功能要求数据探测功能要求入侵分析功能要求管理控制功产品灵活性要求性能指标要求注祷表示具有该要求。稳定性CPU资源占用量内存占用量用户
15、登录和资源访问网络通信一级争晤* 导司k9导二级三级*祷峰l养晤峰赞|铃晤峰9峰峰峰晤当峙9峰祷峰9晤 暗|提*祷祷l赞头|铸9峰9导9峰* 9峰* 9峰* 峰* 表4主机型入侵检测系统产品安全要求等级划分表安全功能要求身份鉴别用户管理注怜表示注:第6、7两章对每一出现。6. 1第-级6. 1. 1 产品功能要求6. 1. 1. 1 数据探测功能要求6. 1.1.1. 1 数据收集用户鉴别多鉴别机制功能组件鉴别失败的处理超时设置会话锁定一级 GB/T 20275-2006 二级三级* 并峰导峰9导晤头4 养l铃头|头峰|铃* 华导* 9导争6导导* .祷非* 争等的内容在该级中第一次网络型入侵
16、检测系统应具有实时获取受保护网段内的数据包的能力。获取的数据包应足以进行检测分析。主机型入侵检测系统应具有实时获取一种或多种操作系统下主机的各种状态信息的能力。6. 1. 1. 1. 2 协议分析网络型人侵检测系统至少应监视基于以下协议的事件:IP、ICMP、ARP、RIP、TCP、UDP、RPC、HTTP、FTP、TFTP、IMAP、SNMP、TELNET、DNS、SMTP、POP3,NETBIOS、NFS、NNTP等。6.1. 1.1. 3 行为监测网络型入侵检测系统至少应监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻7 GB/T 20275-2006 击、缓冲区溢出攻击、
17、IP碎片攻击、网络蠕虫攻击等。主机型入侵检测系统至少应监视以下行为:端口扫描、强力攻击、缓冲区溢出攻击、可疑连接等。6. 1. 1. 1. 4 流量监测网络型入侵检测系统应监视整个网络或者某一特定协议、地址、端口的报文流量和字节流量。6. 1. 1. 2 入侵分析功能要求6. 1. 1. 2. 1 数据分析网络型人侵检测系统应对收集的数据包进行分析,发现攻击事件。主机型入侵检测系统应将收集到的信息进行分析,发现违反安全策略的行为,或者可能存在的入侵行为。6. 1. 1. 2. 2 分析方式网络型入侵检测系统应以模式匹配、协议分析、人工智能等一种或多种方式进行入侵分析。6. 1. 1. 3 入侵
18、晌应功能要求6. 1. 1. 3. 1 安全告警当系统检测到入侵时,应自动采取相应动作以发出安全警告。6. 1. 1. 3. 2 告警方式告警可以采取屏幕实时提示、E-mail告警、声音告警等几种方式。6. 1. 1. 3. 3 阻断能力系统在监测到网络上的非法连接时,可进行阻断。6. 1. 1.4 管理控制功能要求6. 1. 1. 4. 1 图形界面系统应提供友好的用户界面用于管理、配置入侵检测系统。管理配置界面应包含配置和管理产品所需的所有功能。6. 1. 1. 4. 2 事件数据库系统的事件数据库应包括事件定义和分析、详细的漏洞修补方案、可采取的对策等。6. 1. 1. 4. 3 事件分
19、级系统应按照事件的严重程度将事件分级,以使授权管理员能从大量的信息中捕捉到危险的事件。6. 1. 1. 4. 4 策略配置应提供方便、快捷的入侵检测系统策略配置方法和手段。6. 1. 1. 4. 5 产品升级系统应具有及时更新、升级产品和事件库的能力。6. 1. 1. 4. 6 统一升级网络型入侵检测系统应提供由控制台对各探测器的事件库进行统一升级的功能。6.1. 1. 5 检测结果处理要求6. 1. 1. 5. 1 事件记录系统应记录并保存检测到的入侵事件。人侵事件信息应至少包含以下内容:事件发生时间、源地址、目的地址、危害等级、事件详细描述以及解决方案建议等。6. 1. 1. 5. 2 事
20、件可视化用户应能通过管理界面实时清晰地查看入侵事件。6. 1. 1. 5. 3 报告生成系统应能生成详尽的检测结果报告。6. 1. 1. 5. 4 报告查阅系统应具有全面、灵活地浏览检测结果报告的功能。8 GB/T 20275-2006 6. 1. 1. 5. 5 报告输出检测结果报告应可输出成方便用户阅读的文本格式,如字处理文件、HTML文件、文本文件等。6. 1. 1. 6 产晶灵活性要求6. 1. 1. 6. 1 报告定制系统应支持授权管理员按照自己的要求修改和定制报告内容。6. 1. 1. 7 主机型入侵检测系统性能要求6. 1.1. 7.1 稳定性主机型入侵检测系统在主机正常工作状态
21、下都应该工作稳定,不应造成被检测主机停机或死机现象。6. 1. 1. 7.2 CPU资源占用量主机型人侵检测系统的CPU占有率不应明显影响主机的正常工作。6. 1. 1. 7. 3 内存占用量主机型入侵检测系统占用内存空间不应影响主机的正常工作。6. 1. 1. 7. 4 用户登录和资源访问主机型入侵检测系统不应影响所在目标主机上的合法用户登录及文件资源访问。6. 1. 1.7.5 网络通信主机型入侵检测系统不应影响所在目标主机的正常网络通信。6. 1. 1. 8 网络型入侵检测系统性能要求6. 1. 1. 8. 1 误报率网络型入侵检测系统应按照指定的测试方法、测试工具、测试环境和测试步骤测
22、试产品的误报率。产品应将误报率控制在应用许可的范围,不能对正常使用产品产生较大影响。6. 1. 1. 8. 2 漏报率网络型入侵检测系统应按照指定的测试方法、测试工具、测试环境和测试步骤,在正常网络流量下和各种指定的网络背景流量下,分别测试产品未能对指定的入侵行为进行告警的数据。系统应将漏报率控制在应用许可的范围,不能对正常使用产品产生较大影响。6.1.2 产品安全要求6. 1. 2. 1 身份鉴别6. 1. 2. 1. 1 用户鉴别应在用户执行任何与安全功能相关的操作之前对用户进行鉴别。6. 1. 2. 1. 2 鉴别失败的处理当用户鉴别尝试失败连续达到指定次数后,系统应锁定该帐号,并将有关
23、信息生成审计事件。最多失败次数仅由授权管理员设定。6. 1. 2. 2 用户管理6. 1. 2. 2. 1 用户角色系统应设置多个角色,并应保证每一个用户标识是全局唯一的。6.1.2.3 事件数据安全6. 1. 2.3. 1 安全数据管理系统应仅限于指定的授权角色访问事件数据,禁止其他用户对事件数据的操作。6. 1. 2.3.2 数据保护系统应在遭受攻击时,能够完整保留已经保存的事件数据。6. 1. 2.4 通信安全6. 1. 2. 4. 1 通信完整性系统应确保各组件之间传输的数据(如配置和控制信息、告警和事件数据等)不被泄漏或篡改。GB/ T 20275 2006 6. 1. 2. 4.
24、2 通信稳定性应采取点到点协议等保证通信稳定性的方法,保证各部件和控制台之间传递的信息不因网络故障而丢失或延迟。6. 1. 2. 4. 3 升级安全系统应确保事件库和版本升级时的通信安全,应确保升级包是由开发商提供的。6. 1. 2. 5 产品自身安全6. 1. 2. 5. 1 自我隐藏网络型入侵检测系统应采取隐藏探测器IP地址等措施使自身在网络上不可见,以降低被攻击的可能性。6. 1. 2. 5. 2 自我保护主机型入侵检测系6. 1.3 产品保证要求6.1.3.1 配置管理开发者应为系统系统的每个6. 1. 3. 2 交付与开发者应6. 1. 3. 3. 1功开发者应功能设计方法,在需要的
25、6. 1. 3. 4. 1管开发者应提管理员指南应a) 系统可以b ) 怎样安全地c) 在安全处理环d ) 所有对与系统的e) 所有受管理员控制的f) 每一种与管理功能有关的改变;g ) 所有与授权管理员有关的IT环境的安全要求。管理员指南应与为评价而提供的其他所有文件保持一致。6.1.3. 4.2 用户指南10 开发者应提供用户指南。用户指南应说明以下内容:a ) 系统的非管理用户可使用的安全功能和接口;b ) 系统提供给用户的安全功能和接口的用法;c) 用户可获取但应受安全处理环境控制的所有功能和权限;能接口的目的与能所控制的实体的安全特性进行的GB/ T 20275-2006 d ) 系
26、统安全操作中用户所应承担的职责;e) 与用户有关的IT环境的所有安全要求。用户指南应与为评价而提供的其他所有文件保持一致。6. 1. 3. 5 开发安全要求开发者应提供开发安全文件。开发安全文件应描述在系统的开发环境中,为保护系统设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施。开发安全文件还应提供在系统的开发和维护过程中执行安全措施的证据。6. 1. 3. 6测i式6.1.3.6.1 范围开发者应提供测试覆盖测试覆盖的分析结应的。6. 1. 3. 6. 2 功能测开发者应测试测试文档应安全功能,概况包括对其他果应表明每个6. 2 第二级6. 2. 1.
27、 1. 2 事件网络型入侵能力。6. 2. 1. 2. 1 排除晌应网络型入侵检测系误报。6. 2. 1. 2. 2 定制晌应网络型入侵检测系统应允许用户以对特定的事件突出告警。6. 2. 1. 2. 3 防火墙联动中所描述的安全功能是对的测试概况,这些出。实际测试结组,协议端口重免出现告警风暴的定的事件不予告警,降低网络型入侵检测系统应具有与防火墙进行联动的能力,可按照设定的联动策略自动调整防火墙配置。6. 2. 1. 3 管理控制功能要求6. 2. 1. 3. 1 分布式部署网络型入侵检测系统应具有本地或异地分布式部署、远程管理的能力。6. 2. 1. 3. 2 集中管理系统应设置集中管理
28、中心,对分布式、多级部署的人侵检测系统进行统一集中管理,形成多级11 GB/T 20275-2006 管理结构。6.2. 1.3.3 同台管理对同一个厂家生成的产品,如果同时具有网络型入侵检测系统和主机型入侵检测系统,二者可被同一个控制台统一进行管理。6.2. 1.3.4 端口分离网络型入侵检测系统的探测器应配备不同的端口分别用于产品管理和网络数据监昕。6.2. 1. 4 产品灵活性要求6.2. 1. 4. 1 窗口定义系统应支持用户自定义窗口显示的内容和显示方式。6.2. 1. 4. 2 事件定义系统应允许授权管理员自定义事件,或者对开发商提供的事件做修改,并应提供方便、快捷的定义方法。6.
29、2. 1.4.3 协议定义网络型人侵检测系统除支持默认的网络协议集外,还应允许授权管理员定义新的协议,或对协议的端口进行重新定位。6.2. 1. 4. 4 通用接口系统应提供对外的通用接口,以便与其他安全设备(如网络管理软件、防火墙等)共享信息或规范化联动。6.2.2 产品安全要求6.2.2.1 身份鉴别6.2.2. 1. 1 起时设置应具有管理员登录超时重新鉴别功能。在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新管理产品。最大超时时间仅由授权管理员设定。6.2.2. 1. 2 会话锁定系统应允许用户锁定自己的交互会话,锁定后需要再次进行身份鉴别才能够重新管理产
30、品。6.2.2.2 用户管理6.2.2.2.1 用户属性定义系统应为每一个用户保存安全属性表,属性应包括:用户标识、鉴别数据(如密码)、授权信息或用户组信息、其他安全属性等。6.2.2.2.2 安全行为管理系统应仅限于已识别了的指定的授权角色对产品的功能具有禁止、修改的能力。6.2.2.3 安全审计6.2.2.3.1 审计数据生成应能为下述可审计事件产生审计记录:审计功能的启动和关闭,审计级别以内的所有可审计事件(如鉴别失败等重大事件)等。应在每个审计记录中至少记录如下信息:事件的日期和时间,事件类型,主体身份,事件的结果(成功或失败)等。6.2.2.3.2 审计数据可用性审计数据的记录方式应
31、便于用户理解。6.2.2.3.3 审计查阅系统应为授权管理员提供从审计记录中读取全部审计信息的功能。6.2.2.3.4 受限的审计查阅除了具有明确的读访问权限的授权管理员之外,系统应禁止所有其他用户对审计记录的读访问。12 GB/T 20275-2006 6.2.2.4 产晶自身安全6.2.2.4. 1 自我监测网络型入侵检测系统在启动和正常工作时,应周期性地、或者按照授权管理员的要求执行自检,以验证产品自身执行的正确性。6.2.3 产品保证要求6.2.3.1 配置管理6. 2. 3. 1. 1 配置管理能力开发者应使用配置管理系统并提供配置管理文档,以及为产品的不同版本提供唯一的标识。配置管
32、理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配置项。配置管理文档应包括配置清单和配置管理计划。在配置清单中,应对每一配置项给出相应的描述;在配置管理计划中,应描述配置管理系统是如何使用的。实施的配置管理应与配置管理计划相一致。配置管理文档还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效地维护的证据。6.2.3. 1. 2 配置管理范围开发者应提供配置管理文档。配置管理文档应说明配置管理系统至少能跟踪:产品实现表示、设计文档、测试文档、用户文档、管理员文档和配置管理文档,并描述配置管理系统是如何眼踪配置项的。6.2.3.2 交付与运行6.2.3.2.1 交付开发
33、者应使用一定的交付程序交付产品,并将交付过程文档化。交付文档应描述在给用户方交付产品的各版本时,为维护安全所必需的所有程序。6.2.3.2.2 安装生成开发者应提供文档说明系统的安装、生成和启动的文档。6.2.3.3 安全功能开发6.2.3.3.1 功能设计开发者应提供系统的安全功能设计文档。功能设计应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和出错信息的细节。6.2.3.3.2 高层设计开发者应提供产品安全功能的高层设计。高层设计应以非形式方法表述并且是内在一致的。为说明安全功能的结构,高层设计应将安全功能分解为各个安全功能
34、子系统进行描述,并阐明如何将有助于加强产品安全功能的子系统和其他子系统分开。对于每一个安全功能子系统,高层设计应描述其提供的安全功能,标识其所有接口以及哪些接口是外部可见的,描述其所有接口的使用目的与方法,并提供安全功能子系统的作用、例外情况和出错信息的细节。高层设计还应标识系统安全要求的所有基础性的硬件、固件和软件,并且支持由这些硬件、固件或软件所实现的保护机制。6.2.3.3.3 表示对应性开发者应在产品安全功能表示的所有相邻对之间提供对应性分析。6.2.3.4 丈档要求6.2.3.4. 1 管理员指南开发者应提供授权管理员使用的管理员指南。管理员指南应说明以下内容:a) 产品管理员可以使
35、用的管理功能和接口;13 G/ T 20275-2006 b) 怎样安全地管理系统;c) 在安全处理环境中应进行控制的功能和权限;d) 所有对与系统的安全操作有关的用户行为的假设;的所有受管理员控制的安全参数,如果可能,应指明安全值;f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变;g) 所有与授权管理员有关的IT环境的安全要求。管理员指南应与为评价而提供的其他所有文件保持一致。6.2.3. 4.2 用户指南开发者应提供用户指南。用户指南应与6. 2. 3.5 开发安开发者应提户f用月理用但管给取操非供获全的提可安统统户统系系用系asOCJU 整性,而在
36、物理测试覆盖的的,且该对应是完6.2.3.6.2 测试深开发者应提供测在深度分析中,应、一致的。坏测试结果。测试计划应标识要测试的安全功能,并描述测试的目标。测试规程应标识安。l1丁的测试,并描述每个安全功能的测试概况,这些概况包括对其他测试结果的顺序依赖性。期望的测试结果应表明测试成功后的预期输出。实际测试结果应表明每个被测试的安全功能能按照规定进行运作。6. 2. 3. 6.4 独立性测试开发者应提供证据证明,开发者提供的系统经过独立的第三方测试并通过。6. 2.3.7 脆弱性评定6.2.3. 7.1 指南检查开发者应提供文档。在文档中,应确定对系统的所有可能的操作方式(包括失败和操作失误
37、后的操作)、它们的后果以及14 GB/ T 20275-2006 对于保持安全操作的意义。文档中还应列出所有目标环境的假设以及所有外部安全措施(包括外部程序的、物理的或人员的控制)的要求。文档应是完整的、清晰的、一致的、合理的。6.2.3. 7.2 脆弱性分析开发者应从用户可能破坏安全策略的明显途径出发,对系统的各种功能进行分析并形成文档。对被确定的脆弱性,开发者应明确记录采取的措施。对每一条脆弱性,应能够显示在使用系统的环境中该脆弱性不能被利用。6. 3 第三级6.3. 1 产品功能要求6.3. 1. 1 入僵分析功能要求6.3. 1. 1. 1 事件关联网络型入侵检测系统应6.3. 1.2
38、. 1 全局预警网络型入侵检测.,安全事件通知其上6. 3. 1. 2. 2 入侵雷理网络型入侵联动。6.3. 1. 2. 3其网络型入略进行联动的6.3.2. 1. 2 鉴别数据保护应保护鉴别数据不被未授权查阅和修改。6.3.2.2 用户管理6.3.2. 2. 1 安全属性管理后,将局部出现的重大)按照设定的策络勘议通信进行内容恢和还原能够正常进行。施,以实现多重身份鉴别措系统应仅限于的已识别了的指定的授权角色可以对指定的安全属性进行查询、修改、删除、改变其默认值等操作。6.3.2. 3 事件数据安全6. 3.2.3. 1 数据存储告警系统应在发生事件数据存储器空间将耗尽等情况时,自动产生告
39、警,并采取措施避免事件数据丢失。产生告警的剩余存储空间大小应由用户自主设定。15 GB/T 20275-2006 6.3.3 产品保证要求6.3.3.1 配置管理6. 3. 3. 1. 1 配置管理能力开发者应使用配置管理系统并提供配置管理文档,以及为系统的不同版本提供唯一的标识。配置管理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配置项,还应支持系统基本配置项的生成。配置管理文档应包括配置清单、配置管理计划以及接受计划。配置清单用来描述组成系统的配置工页。在配置管理计划中,应描述配置管理系统是如何使用的。实施的配置管理应与配置管理计划相一致。在接受计划中,应描述对修改过或新
40、建的配置项进行接受的程序。配置管理文档还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效地维护的证据。6.3.3. 1. 2 配置管理范围开发者应提供配置管理文档。配置管理文档应说明配置管理系统至少能跟踪:系统实现表示、设计文档、测试文档、用户文档、管理员文档、配置管理文档和安全缺陷,并描述配置管理系统是如何跟踪配置项的。6.3.3.2 交付与运行6.3.3.2.1 交付开发者应使用一定的交付程序交付系统,并将交付过程文档化。交付文档应包括以下内容:a) 在给用户方交付系统的各版本时,为维护安全所必需的所有程序;b) 开发者的向用户提供的产品版本和用户收到的版本之间的差异以及如何监
41、测对产品的修改pd 如何发现他人伪装成开发者修改用户的产品。6.3.3.2.2 安装生成开发者应提供文档说明系统的安装、生成和启动的文档。6.3.3.3 安全功能开发6.3.3.3. 1 功能设计开发者应提供系统的安全功能设计文档。安全功能设计应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和出错信息的细节。6.3.3.3.2 高层设计开发者应提供产品安全功能的高层设计。高层设计应以非形式方法表述并且是内在一致的。为说明安全功能的结构,高层设计应将安全功能分解为各个安全功能子系统进行描述,井阐明如何将有助于加强产品安全功能的子系统
42、和其他子系统分开。对于每一个安全功能子系统,高层设计应描述其提供的安全功能,标识其所有接口以及哪些接口是外部可见的,描述其所有接口的使用目的与方法,并提供安全功能子系统的作用、例外情况和出错信息的细节。高层设计还应标识系统安全要求的所有基础性的硬件、固件和软件,并且支持由这些硬件、固件或软件所实现的保护机制。6.3.3.3.3 安全功能的实现开发者应为选定的产品安全功能子集提供实现表示。实现表示应无歧义而且详细地定义产品安全功能,使得不需要进一步的设计就能生成该安全功能的子集。实现表示应是内在一致的。6.3.3.3.4 低层设计开发者应提供产品安全功能的低层设计。16 GB/T 20275-2
43、006 低层设计应是非形式化、内在一致的。在描述产品安全功能时,低层设计应采用模块术语,说明每一个安全功能模块的目的,并标识安全功能模块的所有接口和安全功能模块可为外部所见的接口,以及安全功能模块所有接口的目的与方法,适当时,还应提供接口的作用、例外情况和出错信息的细节。低层设计还应包括以下内容:a) 以安全功能性术语及模块的依赖性术语,定义模块间的相互关系pb) 说明如何提供每一个安全策略的强化功能;c) 说明如何将系统加强安全策略的模块和其他模块分离开。6.3.3.3.5 表示对应性开发者应在产品安全功能表示的所有相邻对之间提供对应性分析。6.3.3.4 文档要求6.3.3.4. 1 管理
44、员指南开发者应提供授权管理员使用的管理员指南。管理员指南应说明以下内容:a) 产品管理员可以使用的管理功能和接口;b) 怎样安全地管理系统;c) 在安全处理环境中应进行控制的功能和权限;d) 所有对与系统的安全操作有关的用户行为的假设;e) 所有受管理员控制的安全参数,如果可能,应指明安全值;f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变;g) 所有与授权管理员有关的IT环境的安全要求。管理员指南应与为评价而提供的其他所有文件保持一致。6.3.3.4.2 用户指南开发者应提供用户指南。用户指南应说明以下内容:a) 系统的非管理用户可使用的安全功能和接口
45、;b) 系统提供给用户的安全功能和接口的用法;c) 用户可获取但应受安全处理环境控制的所有功能和权限;d) 系统安全操作中用户所应承担的职责:e) 与用户有关的IT环境的所有安全要求。用户指南应与为评价而提供的其他所有文件保持一致。6.3.3.5 开发安全要求开发者应提供开发安全文件。开发安全文件应描述在系统的开发环境中,为保护系统设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施。开发安全文件还应提供在系统的开发和维护过程中执行安全措施的证据。6.3.3.6 测试6.3.3.6.1 范围开发者应提供测试覆盖的分析结果。测试覆盖的分析结果应表明测试文档中所
46、标识的测试与安全功能设计中所描述的安全功能是对应的,且该对应是完整的。6.3.3.6.2 测试深度开发者应提供测试探度的分析。17 GB/ T 20275-2006 在深度分析中,应说明测试文档中所标识的对安全功能的测试,足以表明该安全功能和高层设计是一致的。6.3.3.6. 3 功能测试开发者应测试安全功能,并提供相应的测试文档。测试文档应包括测试计划、测试规程、预期的测试结果和实际测试结果。测试计划应标识要测试的安全功能,并描述测试的目标。测试规程应标识要执行的测试,并描述每个安全功能的测试概况,这些概况包括对其他测试结果的顺序依赖性。期望的测试结果应表明测试成功后的预期输出。实际测试结果应表明每个被测试的安全功能能按照规定进行运作。6.3.3.6.4 独立性测试开发者应提供证据证明,开发者提供的系统经过独立的第三方测试并通过。6. 3. 3. 7 脆弱性评定6. 3. 3. 7. 1 指南检查开发者应提供文档。在文档中,应确定对系统的所有可能的操作方式(包括失败和操作失误后的操作)、它们的后果以及对于保持安全操作的意义。文档中还应列出所有目标
