ICS35.030 CCS L 80 中华人民共和国国家标准 GB/T28451—2023 代替GB/T28451—2012 信息安全技术 网络入侵防御产品技术规范 Information security technology- Technical specification for network intrusion prevention system 2023-12-01实施 2023-05-23发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T 28451—2023 目 次 前言 1范围 规范性引用文件 2 3 术语和定义 4 缩略语 5 概述 6 安全技术要求 6.1 安全功能要求 6.2 自身安全要求 6.3 性能要求 6.4 环境适应性要求 6.5 安全保障要求 7 测评方法 10 7.1 测评环境 10 7.2 测评工具 7.3 安全功能测评 7.4 自身安全测评· 19 7.5 性能测评 22 7.6 环境适应性测评 24 7.7 安全保障评估· 25 8等级划分要求 31 附录A（规范性）网络人侵防御产品等级划分 32 A.1概述 32 A.2 安全技术要求等级划分 32 A.3测评方法等级划分 34 GB/T28451—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件代替GB/T28451一2012《信息安全技术网络型人侵防御产品技术要求和测试评价方 法》，与GB/T28451一2012相比，除结构调整和编辑性改动外，主要技术变化如下： a）增加了“流量控制”要求（见6.1.1.5）； b) 增加了“攻击数据留存”要求（见6.1.3.5）； 增加了“配置备份恢复”要求（见6.1.4.6）； d) 增加了“日志外发”要求（见6.1.4.12）； e） 要求的具体内容（见6.3.1，6.3.2，6.3.3和6.3.4）； f) 增加了产品误拦截率和漏拦截率的具体要求（见6.3.5、6.3.6，2012年版的7.4）； g) 应用环境适应性、IPv6管理环境适应性、双协议栈，以及虚拟化支持能力（见6.4）； h) 删除了“负载均衡”要求（见2012年版的7.3.1.4.9）； i) 将“入侵防御产品技术要求”更改为“安全功能要求”，“产品自身安全要求”更改为“自身安全要 求”，“产品保证要求”更改为安全保障要求”（见第6章，2012年版的7和8）； j) A，2012年版的7.1、7.2和7.3）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：公安部第三研究所、西安交大捷普网络科技有限公司、北京神州绿盟科技有限公 司、深信服科技股份有限公司、启明星辰信息技术集团股份有限公司、蓝盾信息安全技术股份有限公司、 北京天融信网络安全技术有限公司、中国网络安全审查技术与认证中心、上海市信息安全测评认证中 心、中国电力科学研究院有限公司、新华三技术有限公司、奇安信网神信息技术（北京）股份有限公司。 本文件主要起草人：顾建新、武腾、邓雨、赖静、章倩、李谦、何建锋、陈宏伟、叶建伟、叶润国、王庆会、 杨辰钟、雷晓峰、申永波、徐佟海、方帅、万晓兰、周飞虎 本文件及其所代替文件的历次版本发布情况为： 2012年首次发布为GB/T28451一2012； 一本次为第一次修订。 IⅢI GB/T28451—2023 信息安全技术 网络入侵防御产品技术规范 1范围 本文件规定了网络人侵防御产品的安全技术要求和测评方法，并进行了等级划分 本文件适用于网络人侵防御产品的设计、开发、测试和评价。 2规范性引用文件 下列文件中的内容通过文中的规范化引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件 GB/T25069信息安全技术术语 GB/T30279—2020信息安全技术网络安全漏洞分类分级指南 3术语和定义 GB/T18336.3一2015和GB/T25069界定的以及下列术语和定义适用于本文件。 3.1 网络入侵防御产品networkintrusionpreventionsystem 以网桥或网关形式部署在网络通路上，通过分析网络流量发现具有人侵特征的网络行为，在其传入 被保护网络前进行拦截的产品。 3.2 报文碎片 message fragmentation 攻击者将攻击数据隐藏在经过分段或者分片的TCP报文或者IP报文中发出，用于躲避检测的 行为。 3.3 代码变形codedeformation 攻击者重写已知攻击数据、代码，或者用其他代码替代原有攻击数据中的部分内容，用于躲避检测 的行为。 3.4 管理员administrator 具备管理、配置，操作网络人侵防御产品以及查看审计记录等权限的人员。 3.5 告警alert 当网络人侵防御产品发现有入侵行为时，通过一定的技术手段主动向管理员发出的警示类通知。 1 GB/T28451—2023 3.6 falseblocking 误拦截 网络入侵防御产品误将正常流量识别为攻击行为并进行错误拦截的行为。 3.7 漏拦截 skippedblocking 网络入侵防御产品无法正确识别出隐藏在网络流量中的网络攻击行为从而无法对其进行有效拦截 的行为。 4缩略语 下列缩略语适用于本文件。 FTP：文件传输协议（FileTransferProtocol) HTTP：超文本传输协议（HyperTextTransferProtocol） IP：网际协议（InternetProtocol) POP3：邮局协议3(PostOfficeProtocol3) P2P:点对点(Peer to Peer) SMB：服务器信息块（ServerMessageBlock） SMTP：简单邮件传输协议（SimpleMailTransferProtocol) SNMP：简单网络管理协议（SimpleNetworkManagementProtocol) TCP：传输控制协议(TransmissionControlProtocol) UDP：用户数据报协议（UserDatagramProtocol） 5概述 网络入侵防御产品（以下简称“产品”）一般以硬件形式呈现，采用网桥或网关形式部署在网络通路 上，通过浏览器方式实现配置管理；有些产品是以分布式方式部署，通过特定的客户端程序或者集中管 理平台进行配置管理。该产品作用于受保护网络边界，是一款具备应用安全防护功能的网络安全产品。 产品的安全技术要求分为安全功能要求、自身安全要求、性能要求、环境适应性要求和安全保障要 求五个大类。其中，安全功能要求对产品应具备的基本安全功能提出了具体要求，包括入侵事件分析、 入侵事件处理、入侵事件审计和管理控制四部分；自身安全要求针对产品的自身安全保护提出了具体的 要求，包括身份标识与鉴别、管理功能、管理方式、管理审计、存储安全、传输安全和支撑系统安全等要 求：性能要求针对产品应具备的性能提出了具体要求，包括网络层吞吐量、混合应用层吞吐量、TCP新 建连接速率、TCP并发连接数、误拦截率和漏拦截率六个方面；环境适应性要求提出产品支持在IPv6 过程提出了具体要求，包括开发、指导性文档、生命周期支持、测试和脆弱性评定。根据产品的安全技术 要求，制定了对应项目的测试评价方法。产品的等级分为基本级和增强级，安全功能与自身安全的强 弱，以及安全保障要求的高低是等级划分的依据，等级突出安全特性。 注：文中“黑色加粗”字体表示增强级较基本级有所增加的内容；对于不支持IPv6网络环境或者虚拟化环境部署的 产品，“6.4.1IPv6支持”或者“6.4.2虚拟化支持”不适用；对于不提供硬件形态的产品，“6.2.7支撑系统安全、 2 GB/T28451—2023 6 安全技术要求 6.1 安全功能要求 6.1.1入侵事件分析 6.1.1.1 数据收集 产品应具有实时收集进出目标网络内所有数据包的能力。 6.1.1.2流量分析 产品应具有对收集的数据包按不同协议进行流量分析的能力。这里的流量分析包括网络协议解析 和网络流量统计。 6.1.1.3入侵发现 产品应能识别网络流量中的入侵行为。这里的入侵行为应包括流量监听与劫持攻击、错误及弱配 置攻击、脆弱性利用攻击、木马攻击、拒绝服务攻击等类型。 6.1.1.4流量监测 产品应对目标网络的全部流量或者某一特定协议、地址、端口中的流量进行监测。 6.1.1.5 5流量控制 产品应具备对异常流量进行限流的功能。 6.1.2入侵事件处理 6.1.2.1拦截能力 产品应对识别的人侵行为进行拦截，防止人侵行为危害目标网络。 6.1.2.2 2入侵躲避拦截 产品应能发现并拦截经躲避处理的攻击行为，如IP报文碎片、TCP报文碎片、协议端口重定位、代 码变形等。 6.1.2.3安全告警 产品应在发现并拦截人侵行为时，采取指定的方式向管理员发出安全警告 6.1.2.4告警方式 产品的告警方式应支持屏幕实时提示、电子邮件、声音、短信、即时通信、SNMPTrap告警等其中的 一种或多种。 6.1.2.5 5事件合并 产品应具有对高频度发生的相同或相似入侵事件进行合并告警，避免出现告警风暴， 3 GB/T28451—2023 6.1.2.6拦截能力调整 产品应支持人工调整