国家标准《信息安全技术网络入侵检测系统技术要求和测试评价方法》（工作组讨论稿）编制说明1.工作简况1.1.任务来源2019年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究修订GB/T 20275-2013《信息安全技术网络入侵检测系统技术要求和测试评价方法》国家标准,国标计划号：待定。

该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部第三研究所负责主编。

1.2.主要起草单位和工作组成员上海国际技贸联合有限公司牵头、公安部第三研究所主要负责编制，中国网络安全审查技术与认证中心、北京神州绿盟科技有限公司、网神信息技术（北京）股份有限公司、启明星辰信息技术集团股份有限公司等单位共同参与了该标准的起草工作。

1.3.主要工作过程按照项目进度要求，编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，查阅有关资料，编写标准编制提纲，在完成对提纲进行交流和修改的基础上，开始具体的编制工作。

2019年09月，完成了对网络入侵检测系统的相关技术文档和有关标准的前期基础调研。

在调研期间，主要对公安部检测中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析，对国内外相关产品的发展动向进行了研究，对相关产品的技术文档和标准进行了分析理解。

2019年10月完成了标准草稿的编制工作。

以编制组人员收集的资料为基础，在不断的讨论和研究中，完善内容，最终形成了本标准草案（第一稿）。

2019年10月09日，编制组在北京召开标准编制工作启动会，会后，收集整理参编单位的建议或意见，在公安部检测中心内部对标准草案（第一稿）进行了讨论。

修改了协议分析、硬件失效处理等技术要求和测试评价方法，形成了标准草稿（第二稿）。

2019年10月12日，WG5工作组在北京召开国家标准研讨会，与会专家对标准草稿（第二稿）进行评审讨论。

会后，编制组根据专家的建议，修改了范围、网络入侵检测系统描述等章节的描述，对审计日志生成等标准要求和测试评价方法进行了调整，并在编制说明中增加了“标准主要修订依据”等说明，形成了标准工作组讨论稿（第一稿）。

2019年10月27日，全国信息安全标准化技术委员会2019年第二次工作组“会议周”全体会议在重庆召开。

编制组在WG5组会议上对标准的工作内容进行了汇报。

与会专家对标准工作组讨论稿（第一稿）进行评审讨论。

会后，编制组根据专家的建议，增加了产品在IPv6网络环境下工作的性能要求，补充增加了“高频度阈值应由授权管理员设置”等技术要求，形成了标准工作组讨论稿（第二稿）。

2019年11月19日，编制组在上海召开标准研讨会。

中国电子科技集团公司第十五研究所（信息产业信息安全测评中心）等编制参与单位出席了该次标准研讨会。

会后，编制组收集整理参编单位的建议或意见，在标准工作组讨论稿（第二稿）的基础上，修改了事件数据库、其他设备联动、防躲避能力等技术要求和测试评价方法，形成了标准征求意见稿（第一稿）。

2.标准编制原则和确定主要内容的论据及解决的主要问题2.1.编制原则为了使网络入侵检测系统标准的内容从一开始就与国家标准保持一致，本标准的编写参考了其他国家有关标准，主要有GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2019和GB/T 18336-2015。

本标准符合我国的实际情况，遵从我国有关法律、法规的规定。

具体原则与要求如下：1）先进性标准是先进经验的总结，同时也是技术的发展趋势。

目前，国家管理机构及用户单位网络入侵检测系统信息安全越来越重视，我国网络入侵检测系统处于快速发展阶段，要制定出先进的产品国家标准，必须参考国内外先进技术和标准，吸收其精华，才能制定出具有先进水平的标准。

本标准的编写始终遵循这一原则。

2）实用性标准必须是可用的，才有实际意义，因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上，结合我国的实际情况，广泛了解了市场上主流产品的功能，吸收其精华，制定出符合我国国情的、可操作性强的标准。

3）兼容性本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。

编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。

2.2.编制思路1)GB17859为我国信息安全工作的纲领性文件，据此对产品进行分等级要求；2)GB/T18336对应国际标准《信息技术安全评估通用准则》（即CC），为信息安全产品领域国际上普遍遵循的标准。

本标准引用了其第三部分安全保证要求，并参考了其PP的生成要求；3)标准格式上依据GB/T1.1进行编制；4)广泛征集网络入侵检测系统厂商、信息安全厂商及用户单位意见。

2.3.编制的背景2014年，由习总书记亲自担任组长的中央网络安全和信息化建设领导小组的成立将网络安全上升到国家战略高度，2017年，《网络安全法》正式施行，明确规定了个人信息受保护，并对关键信息基础设施的运营者应尽的安全义务提出了法律层面的要求，这使得网络安全防护由自发自觉行为上升为应尽的义务范畴，也为信息安全行业的发展带来了极大的机遇和挑战。

保障信息安全除了完善的法律规章、严格的管理制度等要素外，网络安全产品则是站在了直接与网络犯罪行为针锋相对的前沿阵地，常见的网络安全产品有防火墙、网络入侵检测产品、病毒防治产品、安全审计产品等，这些产品如果存在质量问题，不但起不到应有的保护作用，反而可能成为攻击者的帮凶，直接影响到国计民生的方方面面。

在这些关键的网络安全产品中，网络入侵检测产品提供针对网络应用层攻击的深度检测与智能防护能力，通过集成专业的漏洞库、病毒库和应用协议库，实现针对系统漏洞攻击、病毒蠕虫、 DDoS 攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的应用层深度防护，提供对网络基础设施、服务器等用户关键设施的全面保护。

该类产品在政府及企事业单位中得到了广泛的应用，是网络安全中的一个大类产品。

而这类产品的相关标准的指导、指引意义就显得非常重要了。

2013年，国标委出台了国家标准GB/T 20275-2013《信息安全技术网络入侵检测系统技术要求和测试评价方法》（以下简称GB/T 20275-2013）用以统一整个国家对该类产品的设计、开发、测试和评价。

但由于GB/T 20275-2013的颁布时间较早，随着网络技术的不断发展，攻击行为和攻击方式不断变种，对网络、主机和系统资源安全的威胁不断增加，对网络入侵检测系统产品功能和安全功能的要求不断提高。

当前的网络入侵检测系统在检测攻击行为的技术方面不再局限于特征匹配和模式识别，而且探索和致力于动态行为分析和语义感知。

该编制时参考的 GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》（以下简称GB/T 18336-2008）和GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》（以下简称GB/T 22239-2008）等标准都已更新。

此外，标准分级原则不够清晰。

基于上述多方面的原因，GB/T 20275-2013已不能适用于现在的网络安全等级保护制度和国家安全标准体系的要求，我们需要对6年前颁布执行的国家标准GB/T 20275-2013进行修订、更新，才能够有效的保障信息网络的安全，进而支撑国家网络安全等级保护工作的全面开展和网络安全法的有效落地。

2.4.编制的目的本标准的目标是根据网络入侵检测系统产品的新技术和新特性、最新版的GB/T 18336-2015《信息技术安全技术信息技术安全性评估准则》（以下简称GB/T 18336-2015），从安全功能要求和安全保障要求等方面，研究修订网络入侵检测系统产品的安全技术要求和等级划分，形成相应的国家标准。

修订的国家标准可以给开发厂商进行指导，研发出更贴近市场需要、功能更为完善的网络入侵检测系统产品。

同时，通过对产品的分级，来区分产品的安全功能强度和安全保障能力。

标准也可用于该类产品的研制、开发、测试、评估和产品的采购，有利于规范化、统一化。

2.5.标准主要修订依据2.5.1.产品级别调整根据编制组成员单位公安部第三研究所下属公安部计算机信息系统安全产品质量监督检验中心多年在网络入侵检测系统的销售许可检测工作中和对网络入侵检测系统厂商的调研后获得的对产品分级情况的了解，以及考虑到与网络安全等级保护体系中的非重要信息系统和重要信息系统的安全需求相对应的考虑，编制组对GB/T 20275-2013中的产品技术要求的级别进行重新的划分和调整，使得新的安全要求和等级划分适应新的网络安全等级保护制度相关标准中“安全区域边界——入侵防范”等相关技术要求。

2.5.2.产品安全功能要求、自身安全保护要求的修订随着网络技术的不断发展，攻击行为和攻击方式不断变种，对网络、主机和系统资源安全的威胁不断增加、攻击技术更加隐蔽，对网络入侵检测系统安全功能要求不断提高，因此编制组增加了修订GB/T 20275-2013的部分安全功能要求。

此外，网络安全等级保护2.0阶段的GB/T22239-2019已正式发布，针对“安全计算环境”中对网络安全设备自身安全保护要求的条款，编制组进行了严格的梳理和对照，修订了GB/T 20275-2013的部分自身安全保护要求，以适应于网络安全等级保护2.0中对网络安全设备的最新要求。

2.5.3.增加IPv6环境适应性要求2017年，中共中央办公厅、国务院办公厅印发《推进互联网协议第六版（IPv6）规模部署行动计划》，随着联网技术的发展、尤其是IPv6技术的推广，网络入侵检测系统在IPv6环境下的工作需求已提上日程，但原国标GB/T 20275-2013中并没有提出对在IPv6环境下工作的技术要求。

因此，编制组在GB/T 20275-2013中增加有关IPv6应用环境支持能力的要求，以满足产品能在下一代网络环境下正常工作的需求。

2.5.4.安全保障要求修订由于GB/T 20275-2013的颁布时间较早，其编制时参考的GB/T 18336-2008已更新。

这样以来，使得产品的安全保障要求与最新版的GB/T 18336-2015不一致（2015版将“保证”(assurance)改为“保障”、将“6 安全保证要求”改为“6 安全保障组件”、增加了“6.3 组合保障包结构”等）。

因此，编制组根据最新的GB/T 18336-2015作为引用参考，对GB/T 20275-2013的安全保障要求进行修订，以使修订后的GB/T 20275在产品安全保障要求方面与现行安全标准体系要求相统一。

2.6.标准主要内容2.6.1.标准结构本标准的编写格式和方法依照GB/T1.1-2009 标准化工作导则第一部分：标准的结构和编写规则。