信息安全技術(shù) 網(wǎng)絡(luò)型入侵防御產(chǎn)品技術(shù)要求和測試評價方法

GB/T28451—XXXXGB/T28451—XXXX信息安全技術(shù)網(wǎng)絡(luò)型入侵防御產(chǎn)品技術(shù)要求和測試評價方法范圍本文件規(guī)定了網(wǎng)絡(luò)入侵防御產(chǎn)品的安全技術(shù)要求和測試評價方法。本文件適用于網(wǎng)絡(luò)入侵防御產(chǎn)品的設(shè)計、開發(fā)、測試和評價。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范化引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2010信息安全技術(shù)術(shù)語術(shù)語和定義GB/T25069-2010中界定的以及下列術(shù)語和定義適用于本文件。網(wǎng)絡(luò)入侵防御產(chǎn)品network-basedintrusionpreventionsystemproducts網(wǎng)絡(luò)入侵防御產(chǎn)品是指以網(wǎng)橋或網(wǎng)關(guān)形式部署在網(wǎng)絡(luò)通路上，通過分析網(wǎng)絡(luò)流量發(fā)現(xiàn)具有入侵特征的網(wǎng)絡(luò)行為，在其傳入被保護網(wǎng)絡(luò)前進行攔截的產(chǎn)品。TCP流重組TCPreassembly攻擊者將發(fā)送的攻擊數(shù)據(jù)分別在一個會話連接中的多個數(shù)據(jù)包發(fā)出，用來躲避入侵防御系統(tǒng)的檢測行為。代碼變形codedeformation攻擊者用其他方式替代原有程序指令并以一種偽隨機的方式結(jié)合到一起，用來躲避入侵防御系統(tǒng)的檢測行為。管理員administrator對使用入侵防御產(chǎn)品的授權(quán)操作員、安全員、審計員等的統(tǒng)稱。報警alert當(dāng)入侵防御產(chǎn)品發(fā)現(xiàn)有入侵行為時，向用戶發(fā)出的緊急通知。誤攔截falseblocking網(wǎng)絡(luò)流量中未發(fā)生攻擊行為時，網(wǎng)絡(luò)入侵防御產(chǎn)品對會話進行攔截的情況。漏攔截missblocking當(dāng)網(wǎng)絡(luò)流量中發(fā)生了產(chǎn)品支持的攻擊行為時，入侵防御產(chǎn)品可以實現(xiàn)發(fā)現(xiàn)和有效的攔截，但是在一定的背景流量下，卻未實現(xiàn)攔截攻擊的情況?？s略語下列縮略語適用于本文件。ARP地址解析協(xié)議 AddressResolutionProtocolDNS域名系統(tǒng)DomainNameSystemFTP文件傳輸協(xié)議FileTransferProtocolHTTP超文本傳輸協(xié)議HyperTextTransferProtocolICMP網(wǎng)間控制報文協(xié)議InternetControlMessageProtocolIP網(wǎng)際協(xié)議InternetProtocolNFS網(wǎng)絡(luò)文件系統(tǒng)NetworkFileSystemPOP3郵局協(xié)議3PostOfficeProtocol3P2P點對點PeertoPeerRPC遠(yuǎn)程過程調(diào)用RemoteProcedureCallSMB服務(wù)器信息塊ServerMessageBlockSMTP簡單郵件傳輸協(xié)議SimpleMailTransferProtocolSNMP簡單網(wǎng)絡(luò)管理協(xié)議SimpleNetworkManagementProtocolTCP傳輸控制協(xié)議TransmissionControlProtocolTFTP簡單文件傳輸協(xié)議TrivialFileTransferProtocolUDP用戶數(shù)據(jù)報協(xié)議UserDatagramProtocolURL統(tǒng)一資源定位器UniformResourceLocator安全技術(shù)要求概述要求分類本文件將網(wǎng)絡(luò)入侵防御產(chǎn)品的安全技術(shù)要求分為安全功能要求、自身安全保護要求、環(huán)境適應(yīng)性要求和安全保障要求四方面。其中安全功能要求是對產(chǎn)品應(yīng)具備的安全功能提出的具體要求，包括入侵事件分析功能要求、入侵事件響應(yīng)功能要求、入侵事件審計功能要求、管理控制功能要求四部分；自身安全保護要求包括標(biāo)識和鑒別、用戶管理、安全功能保護和安全審計四部分；環(huán)境適應(yīng)性要求提出了產(chǎn)品支持IPv6網(wǎng)絡(luò)環(huán)境進行工作和管理的要求；安全保障要求針對產(chǎn)品的生命周期過程提出具體的要求，包括開發(fā)、指導(dǎo)性文檔、生命周期支持和測試等。安全等級本文件將網(wǎng)絡(luò)入侵防御產(chǎn)品的安全等級分為基本級和增強級，如表1、表2、表3、表4、表5所示。安全功能與自身安全保護的強弱、以及安全保障要求的高低是等級劃分的具體依據(jù)，安全等級突出安全特性。與基本級內(nèi)容相比，增強級中要求有所增加或變更的內(nèi)容在正文中通過“宋體加粗”表示。環(huán)境適應(yīng)性要求和性能要求覆蓋兩個等級，不做區(qū)分。安全功能要求等級劃分表安全功能要求基本級增強級入侵事件分析功能要求數(shù)據(jù)收集**流量分析**入侵發(fā)現(xiàn)**入侵躲避發(fā)現(xiàn)**流量監(jiān)測**流量控制——*入侵事件處理功能要求攔截能力**安全告警**告警方式**事件合并——*入侵事件審計功能要求事件生成**事件記錄**報表生成——*報表查閱——*報表輸出——*報表模板定制——*攻擊數(shù)據(jù)留存——*管理控制功能要求管理界面**入侵事件庫**事件級別**事件自定義——*協(xié)議自定義——*通用接口——*硬件失效處理**設(shè)備冗余——*策略配置**產(chǎn)品升級**管理接口獨立**日志外發(fā)——*“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用。自身安全保護要求等級劃分表自身安全保護要求基本級增強級標(biāo)識和鑒別用戶鑒別**鑒別失敗的處理***鑒別數(shù)據(jù)保護**超時鎖定——*多鑒別機制——*用戶管理標(biāo)識唯一性**用戶屬性定義**角色分級——*安全功能保護安全數(shù)據(jù)管理**升級安全**數(shù)據(jù)存儲告警——*自我隱藏——*配置備份恢復(fù)——*安全審計審計數(shù)據(jù)生成——*審計查閱——*受限的審計查閱——*“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用。性能要求等級劃分表性能要求基本級增強級混合應(yīng)用層吞吐量**TCP新建連接速率**TCP并發(fā)連接速**誤攔截**漏攔截**“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用。環(huán)境適應(yīng)性要求等級劃分表環(huán)境適應(yīng)性要求基本級增強級支持純IPv6網(wǎng)絡(luò)環(huán)境**IPv6網(wǎng)絡(luò)環(huán)境下自身管理**雙協(xié)議棧**“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用。安全保障要求等級劃分表安全保障要求基本級增強級開發(fā)安全架構(gòu)**功能規(guī)范***實現(xiàn)表示——*產(chǎn)品設(shè)計***指導(dǎo)性文檔操作用戶指南**準(zhǔn)備程序**生命周期支持配置管理能力***配置管理范圍***交付程序**開發(fā)安全——*生命周期定義——*工具和技術(shù)——*測試測試覆蓋***測試深度——*功能測試**獨立測試**脆弱性評定***“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用?；炯壈踩蟀踩δ芤笕肭质录治龉δ芤髷?shù)據(jù)收集入侵防御產(chǎn)品應(yīng)具有實時收集流入目標(biāo)網(wǎng)絡(luò)內(nèi)所有數(shù)據(jù)包的能力。流量分析入侵防御產(chǎn)品應(yīng)對收集的數(shù)據(jù)包按不同協(xié)議進行流量分析。入侵發(fā)現(xiàn)入侵防御產(chǎn)品應(yīng)能發(fā)現(xiàn)網(wǎng)絡(luò)流量中的入侵行為，支持的入侵行為類型應(yīng)包括流量監(jiān)聽與劫持攻擊、錯誤及弱配置攻擊、緩沖區(qū)溢出攻擊、木馬攻擊、拒絕服務(wù)攻擊等。入侵躲避發(fā)現(xiàn)入侵防御產(chǎn)品應(yīng)能發(fā)現(xiàn)躲避檢測的行為，如IP碎片重組，TCP流重組，協(xié)議端口重定位，URL字符串變形，shell代碼變形等。流量監(jiān)測入侵防御產(chǎn)品應(yīng)對目標(biāo)環(huán)境中的流量進行監(jiān)測。入侵事件處理功能要求攔截能力入侵防御產(chǎn)品應(yīng)對發(fā)現(xiàn)的入侵行為進行攔截，防止入侵行為進入目標(biāo)網(wǎng)絡(luò)。安全告警入侵防御產(chǎn)品應(yīng)在發(fā)現(xiàn)并攔截入侵行為時，采取相應(yīng)動作發(fā)出安全警告。告警方式入侵防御產(chǎn)品的告警方式宜采取屏幕實時提示、E-mail告警、聲音告警等一種或多種方式。入侵事件審計功能要求事件生成入侵防御產(chǎn)品應(yīng)能對攔截行為生成審計記錄。事件記錄入侵防御產(chǎn)品應(yīng)記錄并保存攔截到的入侵事件日志。入侵事件日志的信息應(yīng)至少包含以下內(nèi)容：攻擊種類描述、事件名稱、事件發(fā)生日期時間、源IP地址、源端口、目的IP地址、目的端口、危害等級，攻擊者的地理位置信息等。管理控制功能要求管理界面入侵防御產(chǎn)品應(yīng)提供用戶界面用于管理、配置入侵防御產(chǎn)品。管理配置界面應(yīng)包含配置和管理產(chǎn)品所需的所有功能。入侵事件庫入侵防御產(chǎn)品應(yīng)提供入侵事件庫，事件庫應(yīng)包括事件名稱、通用漏洞編號、詳細(xì)描述定義（例如：特征定義、觸發(fā)機制）、處置建議等。事件級別入侵防御產(chǎn)品應(yīng)按照事件的嚴(yán)重程度對事件進行分級，以使授權(quán)管理員能從大量的信息中捕捉到危險的事件。硬件失效處理入侵防御產(chǎn)品應(yīng)提供硬件失效處理機制，當(dāng)設(shè)備硬件無法正常工作的時候，能保證網(wǎng)絡(luò)聯(lián)通。策略配置入侵防御產(chǎn)品應(yīng)提供對入侵防御策略、響應(yīng)措施進行配置的功能。產(chǎn)品升級入侵防御產(chǎn)品應(yīng)具備更新、升級產(chǎn)品版本和事件庫的功能，可不斷拓展對新型威脅類型、惡意代碼等支持。管理接口獨立入侵防御產(chǎn)品應(yīng)具備獨立的管理接口。自身安全保護要求標(biāo)識和鑒別用戶鑒別入侵防御產(chǎn)品應(yīng)在用戶執(zhí)行任何與安全功能相關(guān)的操作之前對用戶進行鑒別。鑒別失敗的處理入侵防御產(chǎn)品應(yīng)在用戶鑒別嘗試失敗連續(xù)達到指定次數(shù)后，阻止用戶進一步進行嘗試。鑒別數(shù)據(jù)保護入侵防御產(chǎn)品應(yīng)保護鑒別數(shù)據(jù)不被未授權(quán)查閱和修改。用戶管理標(biāo)識唯一性入侵防御產(chǎn)品應(yīng)保證所設(shè)置的用戶標(biāo)識全局唯一。用戶屬性定義入侵防御產(chǎn)品應(yīng)為每一個用戶保存安全屬性表，屬性應(yīng)包括：用戶標(biāo)識、鑒別數(shù)據(jù)、授權(quán)信息或用戶組信息、其它安全屬性等。安全功能保護安全數(shù)據(jù)管理入侵防御產(chǎn)品應(yīng)僅限于指定的授權(quán)用戶訪問事件數(shù)據(jù)，禁止其他用戶對事件數(shù)據(jù)的操作。升級安全入侵防御產(chǎn)品應(yīng)確保事件庫和版本升級時的安全，通過完整性校驗機制保證升級包的安全性。安全保障要求開發(fā)安全架構(gòu)開發(fā)者應(yīng)提供產(chǎn)品安全功能和自身安全保護的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求：與產(chǎn)品設(shè)計文檔中對安全功能和自身安全保護實施抽象描述的級別一致；描述與安全功能和自身安全保護要求一致的產(chǎn)品安全功能和自身安全保護的安全域；描述產(chǎn)品安全功能和自身安全保護初始化過程為何是安全的；證實產(chǎn)品安全功能和自身安全保護能夠防止被破壞；證實產(chǎn)品安全功能和自身安全保護能夠防止安全特性被旁路。功能規(guī)范開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求：完全描述產(chǎn)品的安全功能和自身安全保護；描述所有安全功能和自身安全保護接口的目的與使用方法；標(biāo)識和描述每個安全功能和自身安全保護接口相關(guān)的所有參數(shù)；描述安全功能和自身安全保護接口相關(guān)的安全功能和自身安全保護實施行為；描述由安全功能和自身安全保護實施行為處理而引起的直接錯誤消息；證實安全功能和自身安全保護要求到安全功能和自身安全保護接口的追溯。產(chǎn)品設(shè)計開發(fā)者應(yīng)提供產(chǎn)品設(shè)計文檔，產(chǎn)品設(shè)計文檔應(yīng)滿足以下要求：根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；標(biāo)識和描述產(chǎn)品安全功能和自身安全保護的所有子系統(tǒng)；描述安全功能和自身安全保護所有子系統(tǒng)間的相互作用；提供的映射關(guān)系能夠證實設(shè)計中描述的所有行為能夠映射到調(diào)用它的安全功能和自身安全保護接口。指導(dǎo)性文檔操作用戶指南開發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致，對每一種用戶角色的描述應(yīng)滿足以下要求：描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔?；描述如何以安全的方式使用產(chǎn)品提供的可用接口；描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)；明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能和自身安全保護所控制實體的安全特性；標(biāo)識產(chǎn)品運行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯誤），以及它們與維持安全運行之間的因果關(guān)系和聯(lián)系；充分實現(xiàn)安全目的所執(zhí)行的安全策略。準(zhǔn)備程序開發(fā)者應(yīng)提供產(chǎn)品及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿足以下要求：描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。生命周期支持配置管理能力開發(fā)者的配置管理能力應(yīng)滿足以下要求：為產(chǎn)品的不同版本提供唯一的標(biāo)識；使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進行維護，并唯一標(biāo)識配置項；提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識配置項的方法。配置管理范圍開發(fā)者應(yīng)提供產(chǎn)品配置項列表，并說明配置項的開發(fā)者。配置項列表至少包含產(chǎn)品、安全保障要求的評估證據(jù)和產(chǎn)品的組成部分。交付程序開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時，交付文檔應(yīng)描述為維護安全所必需的所有程序。測試測試覆蓋開發(fā)者應(yīng)提供測試覆蓋文檔，測試覆蓋描述應(yīng)表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能和自身安全保護間的對應(yīng)性。功能測試開發(fā)者應(yīng)測試產(chǎn)品安全功能和自身安全保護，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括以下內(nèi)容：測試計劃，標(biāo)識要執(zhí)行的測試，并描述執(zhí)行每個測試的方案，這些方案包括對于其它測試結(jié)果的任何順序依賴性；預(yù)期的測試結(jié)果，表明測試成功后的預(yù)期輸出；實際測試結(jié)果和預(yù)期的測試結(jié)果的對比。獨立測試開發(fā)者應(yīng)提供一組與其自測安全功能和自身安全保護時使用的同等資源，以用于安全功能和自身安全保護的抽樣測試。脆弱性評定基于已標(biāo)識的潛在脆弱性，產(chǎn)品應(yīng)能抵抗具有基本攻擊潛力的攻擊者的攻擊。增強級安全要求安全功能要求入侵事件分析功能要求數(shù)據(jù)收集入侵防御產(chǎn)品應(yīng)具有實時收集流入目標(biāo)網(wǎng)絡(luò)內(nèi)所有數(shù)據(jù)包的能力。流量分析入侵防御產(chǎn)品應(yīng)對收集的數(shù)據(jù)包按不同協(xié)議進行流量分析。入侵發(fā)現(xiàn)入侵防御產(chǎn)品應(yīng)能發(fā)現(xiàn)網(wǎng)絡(luò)流量中的入侵行為，支持的入侵行為類型應(yīng)包括流量監(jiān)聽與劫持攻擊、錯誤及弱配置攻擊、緩沖區(qū)溢出攻擊、木馬攻擊、拒絕服務(wù)攻擊等。入侵躲避發(fā)現(xiàn)入侵防御產(chǎn)品應(yīng)能發(fā)現(xiàn)躲避檢測的行為，如IP碎片重組，TCP流重組，協(xié)議端口重定位，URL字符串變形，shell代碼變形等。流量監(jiān)測入侵防御產(chǎn)品應(yīng)對目標(biāo)環(huán)境中的流量進行監(jiān)測。流量控制入侵防御產(chǎn)品應(yīng)具備對流量進行控制的功能。入侵事件處理功能要求攔截能力入侵防御產(chǎn)品應(yīng)對發(fā)現(xiàn)的入侵行為進行攔截，防止入侵行為進入目標(biāo)網(wǎng)絡(luò)。安全告警入侵防御產(chǎn)品應(yīng)在發(fā)現(xiàn)并攔截入侵行為時，采取相應(yīng)動作發(fā)出安全警告。告警方式入侵防御產(chǎn)品的告警方式宜采取屏幕實時提示、E-mail告警、聲音告警等一種或多種方式。事件合并入侵防御產(chǎn)品應(yīng)具有對高頻度發(fā)生的相同安全事件進行合并告警，避免出現(xiàn)告警風(fēng)暴的能力。入侵事件審計功能要求事件生成入侵防御產(chǎn)品應(yīng)能對攔截行為生成審計記錄。事件記錄入侵防御產(chǎn)品應(yīng)記錄并保存攔截到的入侵事件日志。入侵事件日志的信息應(yīng)至少包含以下內(nèi)容：攻擊種類描述、事件名稱、事件發(fā)生日期時間、源IP地址、源端口、目的IP地址、目的端口、危害等級，攻擊者的地理位置信息等。報表生成入侵防御產(chǎn)品應(yīng)能生成入侵事件審計結(jié)果報表。報表輸出入侵防御產(chǎn)品應(yīng)支持管理員按照自己的要求修改和定制報表內(nèi)容，并輸出成方便閱讀的文件格式，至少支持以下報表文件格式中的一種或多種：DOC，PDF，HTML，XLS等。報表模板定制入侵防御產(chǎn)品應(yīng)提供結(jié)果報表模板的定制功能。攻擊數(shù)據(jù)留存入侵防御產(chǎn)品在檢測到攻擊行為的同時，應(yīng)能夠成功捕獲攻擊報文并且以一定通用格式存儲，便于對攻擊行為進行取證和溯源。管理控制功能要求管理界面入侵防御產(chǎn)品應(yīng)提供用戶界面用于管理、配置入侵防御產(chǎn)品。管理配置界面應(yīng)包含配置和管理產(chǎn)品所需的所有功能。入侵事件庫入侵防御產(chǎn)品應(yīng)提供入侵事件庫，事件庫應(yīng)包括事件名稱、通用漏洞編號、詳細(xì)描述定義（例如：特征定義、觸發(fā)機制）、處置建議等。事件級別入侵防御產(chǎn)品應(yīng)按照事件的嚴(yán)重程度對事件進行分級，以使授權(quán)管理員能從大量的信息中捕捉到危險的事件。事件自定義入侵防御產(chǎn)品應(yīng)允許授權(quán)管理員自定義事件。協(xié)議自定義入侵防御產(chǎn)品除支持默認(rèn)的網(wǎng)絡(luò)協(xié)議集外，還應(yīng)允許授權(quán)管理員定義新的協(xié)議，或?qū)f(xié)議的端口進行重新定位。通用接口入侵防御產(chǎn)品應(yīng)提供對外的通用接口，以便與其它安全設(shè)備共享信息或規(guī)范化管理。硬件失效處理入侵防御產(chǎn)品應(yīng)提供硬件失效處理機制，當(dāng)設(shè)備硬件無法正常工作的時候，能保證網(wǎng)絡(luò)聯(lián)通。設(shè)備冗余入侵防御產(chǎn)品應(yīng)支持雙機熱備的能力。策略配置入侵防御產(chǎn)品應(yīng)提供對入侵防御策略、響應(yīng)措施進行配置的功能。產(chǎn)品升級入侵防御產(chǎn)品應(yīng)具備更新、升級產(chǎn)品版本和事件庫的功能，可不斷拓展對新型威脅類型、惡意代碼等支持。管理接口獨立入侵防御產(chǎn)品應(yīng)具備獨立的管理接口。日志外發(fā)產(chǎn)品應(yīng)至少采用一個標(biāo)準(zhǔn)的、開放的接口，可將日志信息和攻擊防御信息外發(fā)至指定系統(tǒng)或者產(chǎn)品，供其他系統(tǒng)或者產(chǎn)品進一步進行分析使用。自身安全保護要求標(biāo)識和鑒別用戶鑒別入侵防御產(chǎn)品應(yīng)在用戶執(zhí)行任何與安全功能相關(guān)的操作之前對用戶進行鑒別。鑒別失敗的處理入侵防御產(chǎn)品應(yīng)在用戶鑒別嘗試失敗連續(xù)達到指定次數(shù)后，阻止用戶進一步進行嘗試，并將有關(guān)信息生成審計事件。最多失敗次數(shù)僅由授權(quán)管理員設(shè)定。鑒別數(shù)據(jù)保護入侵防御產(chǎn)品應(yīng)保護鑒別數(shù)據(jù)不被未授權(quán)查閱和修改。超時鎖定入侵防御產(chǎn)品應(yīng)具有管理員登錄超時重新鑒別功能。在設(shè)定的時間段內(nèi)沒有任何操作的情況下，中止或者鎖定會話，需要再次進行身份鑒別才能夠重新管理產(chǎn)品。最大超時時間僅由授權(quán)管理員設(shè)定。多鑒別機制入侵防御產(chǎn)品應(yīng)提供多種鑒別方式，或者允許授權(quán)管理員執(zhí)行自定義的鑒別措施，以實現(xiàn)多重身份鑒別措施。多鑒別機制應(yīng)同時使用。用戶管理標(biāo)識唯一性入侵防御產(chǎn)品應(yīng)保證所設(shè)置的用戶標(biāo)識全局唯一。用戶屬性定義入侵防御產(chǎn)品應(yīng)為每一個用戶保存安全屬性表，屬性應(yīng)包括：用戶標(biāo)識、鑒別數(shù)據(jù)、授權(quán)信息或用戶組信息、其它安全屬性等。角色分級入侵防御產(chǎn)品應(yīng)為管理角色進行分級，不同級別的管理角色具有不同的管理權(quán)限，以增加入侵防御產(chǎn)品管理的安全性。安全功能保護安全數(shù)據(jù)管理入侵防御產(chǎn)品應(yīng)僅限于指定的授權(quán)用戶訪問事件數(shù)據(jù)，禁止其他用戶對事件數(shù)據(jù)的操作。升級安全入侵防御產(chǎn)品應(yīng)確保事件庫和版本升級時的安全，通過完整性校驗機制保證升級包的安全性。遠(yuǎn)程管理安全入侵防御產(chǎn)品若采用遠(yuǎn)程管理，應(yīng)采用一定的安全技術(shù)措施保證管理端與產(chǎn)品之間的通訊數(shù)據(jù)安全。非明文傳輸。數(shù)據(jù)存儲告警入侵防御產(chǎn)品應(yīng)提供足夠的存儲空間，至少可保存六個月以上的入侵事件日志記錄；當(dāng)發(fā)生數(shù)據(jù)存儲器空間將耗盡等情況時，自動產(chǎn)生告警，并采取措施避免事件數(shù)據(jù)丟失。產(chǎn)生告警的剩余存儲空間大小應(yīng)由管理員自主設(shè)定。自我隱藏入侵防御產(chǎn)品應(yīng)至少提供網(wǎng)橋方式的接入方式，采取隱藏IP地址等措施使自身在網(wǎng)絡(luò)上不可見，以降低被攻擊的可能性。配置備份恢復(fù)入侵防御產(chǎn)品應(yīng)具備對配置文件的備份恢復(fù)功能。安全審計審計數(shù)據(jù)生成入侵防御產(chǎn)品應(yīng)至少為下述可審計事件產(chǎn)生審計記錄：試圖登錄入侵防御產(chǎn)品管理端口和管理身份鑒別請求；所有對安全策略更改的操作；修改安全屬性的所有嘗試。應(yīng)在每個審計記錄中至少記錄如下信息：事件的日期和時間，事件類型，主體身份，事件的結(jié)果（成功或失?。┑?。審計查閱入侵防御產(chǎn)品應(yīng)為授權(quán)管理員提供從審計記錄中讀取全部審計信息的功能，并可對審計記錄進行排序。受限的審計查閱除了具有明確的讀訪問權(quán)限的授權(quán)管理員之外，入侵防御產(chǎn)品應(yīng)禁止非授權(quán)用戶對審計記錄的讀訪問。安全保障要求開發(fā)安全架構(gòu)開發(fā)者應(yīng)提供產(chǎn)品安全功能和自身安全保護的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求：與產(chǎn)品設(shè)計文檔中對安全功能和自身安全保護實施抽象描述的級別一致；描述與安全功能和自身安全保護要求一致的產(chǎn)品安全功能和自身安全保護的安全域；描述產(chǎn)品安全功能和自身安全保護初始化過程為何是安全的；證實產(chǎn)品安全功能和自身安全保護能夠防止被破壞；證實產(chǎn)品安全功能和自身安全保護能夠防止安全特性被旁路。功能規(guī)范開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求：完全描述產(chǎn)品的安全功能和自身安全保護；描述所有安全功能和自身安全保護接口的目的與使用方法；標(biāo)識和描述每個安全功能和自身安全保護接口相關(guān)的所有參數(shù)；描述安全功能和自身安全保護接口相關(guān)的安全功能和自身安全保護實施行為；描述由安全功能和自身安全保護實施行為處理而引起的直接錯誤消息；證實安全功能和自身安全保護要求到安全功能和自身安全保護接口的追溯；描述安全功能和自身安全保護實施過程中，與安全功能和自身安全保護接口相關(guān)的所有行為；描述可能由安全功能和自身安全保護接口的調(diào)用而引起的所有直接錯誤消息。實現(xiàn)表示開發(fā)者應(yīng)提供全部安全功能和自身安全保護的實現(xiàn)表示，實現(xiàn)表示應(yīng)滿足以下要求：提供產(chǎn)品設(shè)計描述與實現(xiàn)表示實例之間的映射，并證明其一致性；按詳細(xì)級別定義產(chǎn)品安全功能和自身安全保護，詳細(xì)程度達到無須進一步設(shè)計就能生成安全功能和自身安全保護的程度；以開發(fā)人員使用的形式提供。產(chǎn)品設(shè)計開發(fā)者應(yīng)提供產(chǎn)品設(shè)計文檔，產(chǎn)品設(shè)計文檔應(yīng)滿足以下要求：根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；標(biāo)識和描述產(chǎn)品安全功能和自身安全保護的所有子系統(tǒng)；描述安全功能和自身安全保護所有子系統(tǒng)間的相互作用；提供的映射關(guān)系能夠證實設(shè)計中描述的所有行為能夠映射到調(diào)用它的安全功能和自身安全保護接口；根據(jù)模塊描述安全功能和自身安全保護；提供安全功能和自身安全保護子系統(tǒng)到模塊間的映射關(guān)系；描述所有安全功能和自身安全保護實現(xiàn)模塊，包括其目的及與其它模塊間的相互作用；描述所有實現(xiàn)模塊的安全功能和自身安全保護要求相關(guān)接口、其它接口的返回值、與其它模塊間的相互作用及調(diào)用的接口；描述所有安全功能和自身安全保護的支撐或相關(guān)模塊，包括其目的及與其它模塊間的相互作用。指導(dǎo)性文檔操作用戶指南開發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致，對每一種用戶角色的描述應(yīng)滿足以下要求：描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔?；描述如何以安全的方式使用產(chǎn)品提供的可用接口；描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)；明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能和自身安全保護所控制實體的安全特性；標(biāo)識產(chǎn)品運行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯誤），以及它們與維持安全運行之間的因果關(guān)系和聯(lián)系；充分實現(xiàn)安全目的所執(zhí)行的安全策略。準(zhǔn)備程序開發(fā)者應(yīng)提供產(chǎn)品及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿足以下要求：描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。生命周期支持配置管理能力開發(fā)者的配置管理能力應(yīng)滿足以下要求：為產(chǎn)品的不同版本提供唯一的標(biāo)識；使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進行維護，并唯一標(biāo)識配置項；提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識配置項的方法；配置管理系統(tǒng)提供一種自動方式來支持產(chǎn)品的生成，通過該方式確保只能對產(chǎn)品的實現(xiàn)表示進行已授權(quán)的改變；配置管理文檔包括一個配置管理計劃，配置管理計劃描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品。實施的配置管理與配置管理計劃相一致；配置管理計劃描述用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項的程序。配置管理范圍開發(fā)者應(yīng)提供產(chǎn)品配置項列表，并說明配置項的開發(fā)者。配置項列表應(yīng)包含以下內(nèi)容：產(chǎn)品、安全保障要求的評估證據(jù)和產(chǎn)品的組成部分；實現(xiàn)表示、安全缺陷報告及其解決狀態(tài)。交付程序開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時，交付文檔應(yīng)描述為維護安全所必需的所有程序。開發(fā)安全開發(fā)者應(yīng)提供開發(fā)安全文檔。開發(fā)安全文檔應(yīng)描述在產(chǎn)品的開發(fā)環(huán)境中，為保護產(chǎn)品設(shè)計和實現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。生命周期定義開發(fā)者應(yīng)建立一個生命周期模型對產(chǎn)品的開發(fā)和維護進行的必要控制，并提供生命周期定義文檔描述用于開發(fā)和維護產(chǎn)品的模型。工具和技術(shù)開發(fā)者應(yīng)明確定義用于開發(fā)產(chǎn)品的工具，并提供開發(fā)工具文檔無歧義地定義實現(xiàn)中每個語句的含義和所有依賴于實現(xiàn)的選項的含義。測試測試覆蓋開發(fā)者應(yīng)提供測試覆蓋文檔，測試覆蓋描述應(yīng)滿足以下要求：表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能和自身安全保護間的對應(yīng)性；表明上述對應(yīng)性是完備的，并證實功能規(guī)范中的所有安全功能和自身安全保護接口都進行了測試。測試深度開發(fā)者應(yīng)提供測試深度的分析。測試深度分析描述應(yīng)滿足以下要求：證實測試文檔中的測試與產(chǎn)品設(shè)計中的安全功能和自身安全保護子系統(tǒng)和實現(xiàn)模塊之間的一致性；證實產(chǎn)品設(shè)計中的所有安全功能和自身安全保護子系統(tǒng)、實現(xiàn)模塊都已經(jīng)進行過測試。功能測試開發(fā)者應(yīng)測試產(chǎn)品安全功能和自身安全保護，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括以下內(nèi)容：測試計劃，標(biāo)識要執(zhí)行的測試，并描述執(zhí)行每個測試的方案，這些方案包括對于其它測試結(jié)果的任何順序依賴性；預(yù)期的測試結(jié)果，表明測試成功后的預(yù)期輸出；實際測試結(jié)果和預(yù)期的測試結(jié)果的對比。獨立測試開發(fā)者應(yīng)提供一組與其自測安全功能和自身安全保護時使用的同等資源，以用于安全功能和自身安全保護的抽樣測試。脆弱性評定基于已標(biāo)識的潛在脆弱性，產(chǎn)品應(yīng)能抵抗具有中等攻擊潛力的攻擊者的攻擊。性能要求混合應(yīng)用層吞吐量網(wǎng)絡(luò)入侵防御產(chǎn)品的應(yīng)用層吞吐量視不同速率的產(chǎn)品有所不同，開啟入侵攻擊防護功能的情況下，具體指標(biāo)要求如下：百兆產(chǎn)品混合應(yīng)用層吞吐量應(yīng)不小于80Mbps；千兆產(chǎn)品混合應(yīng)用層吞吐量應(yīng)不小于800Mbps；萬兆產(chǎn)品混合應(yīng)用層吞吐量應(yīng)不小于8Gbps；針對高性能的萬兆產(chǎn)品，整機混合應(yīng)用層吞吐量至少達到20Gbps。TCP新建連接速率網(wǎng)絡(luò)入侵防御產(chǎn)品的TCP新建連接速率視不同速率的產(chǎn)品有所不同，具體指標(biāo)要求如下：百兆產(chǎn)品的TCP新建連接速率應(yīng)不小于1500個/s；千兆產(chǎn)品的TCP新建連接速率應(yīng)不小于5000個/s；萬兆產(chǎn)品的新建連接數(shù)速率應(yīng)不小于50000個/s；針對高性能的萬兆產(chǎn)品，整機新建連接數(shù)速率應(yīng)不小于250000個/s。TCP并發(fā)連接數(shù)網(wǎng)絡(luò)入侵防御產(chǎn)品的TCP并發(fā)連接數(shù)視不同速率的產(chǎn)品有所不同，具體指標(biāo)要求如下：百兆產(chǎn)品的并發(fā)連接數(shù)應(yīng)不小于50000個；千兆產(chǎn)品的并發(fā)連接數(shù)應(yīng)不小于200000個；萬兆產(chǎn)品的并發(fā)連接數(shù)應(yīng)不小于2000000個；針對高性能的萬兆產(chǎn)品，整機并發(fā)連接數(shù)至少達到5000000個。誤攔截在正常背景流量條件下，入侵防御產(chǎn)品的誤攔截率應(yīng)不超過5%。漏攔截在正常背景流量和可識別的入侵行為流量混合條件下，入侵防御產(chǎn)品的漏攔截率應(yīng)不超過20%。環(huán)境適應(yīng)性要求（有則適用）支持純IPv6網(wǎng)絡(luò)環(huán)境產(chǎn)品應(yīng)支持純IPv6網(wǎng)絡(luò)環(huán)境，能夠在純IPv6網(wǎng)絡(luò)環(huán)境下正常工作，實現(xiàn)在目標(biāo)網(wǎng)絡(luò)環(huán)境下的攻擊識別和攔截。IPv6網(wǎng)絡(luò)環(huán)境下自身管理產(chǎn)品應(yīng)支持在IPv6網(wǎng)絡(luò)環(huán)境下的自身管理，實現(xiàn)對產(chǎn)品的管理操作。雙協(xié)議棧產(chǎn)品應(yīng)支持IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境，能夠在IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境下正常工作，實現(xiàn)在目標(biāo)網(wǎng)絡(luò)環(huán)境下的攻擊識別和攔截。測試評價方法測試環(huán)境入侵防御產(chǎn)品測試的典型網(wǎng)絡(luò)環(huán)境示意圖如下圖1所示。入侵防御產(chǎn)品測試環(huán)境示意圖測試設(shè)備包括測試所需的交換機、入侵流量仿真設(shè)備、流量仿真設(shè)備以及入侵防御產(chǎn)品控制臺等。其中，入侵流量仿真設(shè)備、流量仿真設(shè)備可為多臺模擬正常流量計算機、模擬攻擊源計算機和被攻擊計算機，也可以是專用測試設(shè)備。測試工具可用的測試工具包括但不限于：專用的網(wǎng)絡(luò)性能分析儀生成網(wǎng)絡(luò)背景流量；網(wǎng)絡(luò)數(shù)據(jù)包獲取軟件進行包回放；掃描工具和攻擊工具包。基本級測試評價方法安全功能要求測試入侵事件分析功能測試數(shù)據(jù)收集數(shù)據(jù)收集測試：測試評價方法：檢測入侵防御產(chǎn)品是否能夠以網(wǎng)橋或網(wǎng)關(guān)方式正確接入網(wǎng)絡(luò)，具備實時收集流入受保護網(wǎng)段內(nèi)的數(shù)據(jù)包的能力。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)能夠以網(wǎng)橋或網(wǎng)關(guān)方式接入網(wǎng)絡(luò)；入侵防御產(chǎn)品應(yīng)能夠獲取足夠的網(wǎng)絡(luò)數(shù)據(jù)包以分析入侵事件。流量分析流量分析測試：測試評價方法：查看入侵防御產(chǎn)品的安全策略配置文檔，檢查安全事件的描述是否具有協(xié)議類型等屬性；檢查產(chǎn)品說明書，查找關(guān)于流量分析方法的說明，按照產(chǎn)品所聲明的流量分析類型，抽樣生成協(xié)議事件，組成攻擊事件測試集；配置產(chǎn)品的入侵防御策略為最大策略集；發(fā)送攻擊事件測試集中的所有事件，記錄產(chǎn)品的檢測結(jié)果。測試評價結(jié)果：記錄產(chǎn)品攔截入侵的相應(yīng)攻擊名稱和類型；產(chǎn)品說明書中聲稱能夠監(jiān)視的協(xié)議事件主要包括以下類型：ARP、ICMP、IP、TCP、UDP、RPC、HTTP、FTP、TFTP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS、SMB、P2P等，抽樣測試應(yīng)未發(fā)現(xiàn)矛盾之處；列舉產(chǎn)品支持的所有入侵分析方法。入侵發(fā)現(xiàn)入侵發(fā)現(xiàn)測試：測試評價方法：配置入侵防御產(chǎn)品的入侵防御策略為最大策略集；模擬發(fā)送覆蓋流量監(jiān)聽與劫持攻擊、錯誤及弱配置攻擊、緩沖區(qū)溢出攻擊、木馬攻擊、拒絕服務(wù)攻擊等多種不同類型的攻擊事件，檢查是否能夠發(fā)現(xiàn)攻擊事件。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)能發(fā)現(xiàn)所測入侵行為。入侵躲避發(fā)現(xiàn)入侵躲避發(fā)現(xiàn)測試：測試評價方法：利用入侵檢測躲避工具進行攻擊，測試入侵防御產(chǎn)品是否對入侵事件進行攔截；將入侵事件的協(xié)議端口進行重定位，檢查入侵防御產(chǎn)品是否對入侵事件進行攔截。測試評價結(jié)果：入侵防御產(chǎn)品能夠攔截經(jīng)過分片、亂序之后的入侵事件；入侵防御產(chǎn)品能夠正確地攔截經(jīng)過躲避處理的HTTP入侵事件；入侵防御產(chǎn)品能夠?qū)χ囟ㄎ粎f(xié)議端口之后的入侵事件進行攔截。流量監(jiān)測流量監(jiān)測測試：測試評價方法：開啟入侵防御產(chǎn)品的流量監(jiān)測功能，定義流量事件，查看流量顯示界面；對某一服務(wù)器發(fā)起大流量的訪問，如ftp；對特定的端口（如80端口）發(fā)起大流量訪問。測試評價結(jié)果：可以顯示出各種流量信息；可以顯示出大流量的服務(wù)器（如ftp流量）；列舉提供的流量監(jiān)測內(nèi)容。入侵事件處理功能測試攔截能力攔截能力測試：測試評價方法：選擇具有不同特征的多個事件組成攻擊事件測試集（不少于產(chǎn)品支持的攻擊事件庫的30%），測試入侵防御產(chǎn)品的防御能力。選取的事件應(yīng)包括：木馬后門類事件、拒絕服務(wù)類事件、緩沖區(qū)溢出類事件以及其它具有代表性的網(wǎng)絡(luò)攻擊事件，模擬入侵攻擊行為；配置入侵防御產(chǎn)品的入侵防御策略為最大策略集；發(fā)送攻擊事件測試集中的所有事件，記錄測試結(jié)果。測試評價結(jié)果：能夠?qū)θ肭中袨檫M行成功攔截；應(yīng)能記錄所攔截入侵的相應(yīng)攻擊。安全告警安全告警測試：測試評價方法：從已有的事件庫中選擇具有不同特征的多個事件，組成攻擊事件測試集。模擬入侵攻擊行為；觸發(fā)產(chǎn)品的入侵防御策略中特定的安全事件，查看是否有攔截告警信息；查看告警事件的信息。測試評價結(jié)果：可以顯示告警信息；事件的詳細(xì)解釋應(yīng)能便于理解。告警方式告警方式測試：測試評價方法：打開菜單，查看產(chǎn)品告警方式的選擇；依次選擇各種告警方式，測試是否能夠按照指定的方法告警。測試評價結(jié)果：可以采取屏幕實時提示、聲音告警、SNMPtrap消息、E-mail告警、運行指定應(yīng)用程序等告警方式中的一種或多種。記錄并列出所有告警方式。入侵事件審計功能測試事件生成事件生成測試：測試評價方法：登錄控制臺界面；檢查管理界面，是否可以清晰地查看到入侵事件的攔截情況；測試評價結(jié)果：具有查看入侵?jǐn)r截事件的顯示界面；顯示界面具備清晰的功能區(qū)域，可顯示所攔截事件的詳細(xì)信息。事件記錄事件記錄測試：測試評價方法：登錄控制臺界面；在顯示界面上查看所記錄的攔截事件的詳細(xì)信息；測試評價結(jié)果：顯示界面上顯示的攔截事件詳細(xì)信息應(yīng)包括事件名稱、事件發(fā)生日期時間、源IP地址、源端口、目的IP地址、目的端口、危害等級等。管理控制功能測試管理界面管理界面測試：測試評價方法：登錄控制臺管理界面；查看用戶界面的功能，包括管理配置界面、報警顯示界面等。測試評價結(jié)果：具備獨立的控制臺；具有配置和管理產(chǎn)品所有功能的管理界面和劃分清晰功能區(qū)域的報警顯示界面。入侵事件庫入侵事件庫測試：測試評價方法：檢查入侵防御產(chǎn)品是否對入侵事件進行系統(tǒng)陳述，對事件進行命名以及詳細(xì)描述定義。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)對所有支持的入侵事件具有命名和詳細(xì)的描述定義；詳細(xì)描述為人理解，不產(chǎn)生歧義。事件級別事件分級測試：測試評價方法：檢查入侵事件庫中是否對每個事件都有分級信息。測試評價結(jié)果：事件庫的所有事件都具有分級信息。硬件失效處理硬件失效處理測試：測試評價方法：檢查入侵防御產(chǎn)品具備何種硬件失效處理機制；測試評價結(jié)果：對于產(chǎn)品硬件失效時，應(yīng)不影響網(wǎng)絡(luò)的通暢；策略配置策略配置測試：測試評價方法：打開菜單，查看產(chǎn)品提供的默認(rèn)策略；查看是否允許編輯或修改生成新的策略；查看是否可以編輯或修改各策略的響應(yīng)措施。測試評價結(jié)果：產(chǎn)品應(yīng)提供默認(rèn)的策略，并可以直接應(yīng)用；應(yīng)允許用戶編輯策略；具有供用戶編輯策略的向?qū)Чδ埽恢С植呗缘膶?dǎo)入、導(dǎo)出；應(yīng)允許用戶編輯策略的不同響應(yīng)措施；記錄產(chǎn)品提供的策略種類和名稱。產(chǎn)品升級產(chǎn)品升級測試：測試評價方法：檢查入侵防御產(chǎn)品的版本和入侵特征庫的升級方式。測試評價結(jié)果：入侵防御產(chǎn)品程序版本和入侵特征庫可以進行手動或自動的在線升級；升級的過程中入侵防御產(chǎn)品仍可以正常攔截事件。管理接口獨立管理接口獨立測試：測試評價方法：檢查入侵防御產(chǎn)品是否配備進行產(chǎn)品管理和網(wǎng)絡(luò)數(shù)據(jù)通訊攔截的物理接口。測試評價結(jié)果：產(chǎn)品的管理接口和網(wǎng)絡(luò)數(shù)據(jù)通訊攔截接口是不同的接口，且均能正常工作。自身安全保護要求測試標(biāo)識和鑒別用戶鑒別用戶鑒別測試：測試評價方法：登錄入侵防御產(chǎn)品，檢查是否在執(zhí)行所有功能之前要求首先進行身份認(rèn)證。測試評價結(jié)果：在用戶執(zhí)行任何與安全功能相關(guān)的操作之前都應(yīng)對用戶進行鑒別；登錄之前允許做的操作，應(yīng)僅限于輸入登錄信息、查看登錄幫助等操作；允許用戶在登錄后執(zhí)行與其安全功能相關(guān)的各類操作時，不再重復(fù)認(rèn)證。鑒別失敗的處理鑒別失敗的處理測試：測試評價方法：檢查入侵防御產(chǎn)品的安全功能是否可定義用戶鑒別嘗試的最大允許失敗次數(shù)；檢查產(chǎn)品的安全功能是否可定義當(dāng)用戶鑒別嘗試失敗連續(xù)達到指定次數(shù)后，采取相應(yīng)的措施；嘗試多次失敗的用戶鑒別行為，檢查到達指定的鑒別失敗次數(shù)后，入侵防御產(chǎn)品是否采取了相應(yīng)的措施。檢查日志記錄中是否包括用戶或者登錄IP被鎖定等鑒別失敗處理措施的審計信息。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)具備定義用戶鑒別嘗試的最大允許失敗次數(shù)的功能；入侵防御產(chǎn)品應(yīng)定義當(dāng)用戶鑒別嘗試失敗連續(xù)達到指定次數(shù)后，采取相應(yīng)的措施；當(dāng)用戶鑒別嘗試失敗連續(xù)達到指定次數(shù)后，入侵防御產(chǎn)品應(yīng)阻止用戶進一步嘗試（如鎖定該用戶或者登錄IP）。最多失敗次數(shù)僅由授權(quán)管理員設(shè)定，日志記錄中應(yīng)包括鑒別失敗處理措施的審計信息。鑒別數(shù)據(jù)保護鑒別數(shù)據(jù)保護測試：測試評價方法：檢查入侵防御產(chǎn)品是否僅允許指定的授權(quán)用戶查閱或修改身份鑒別數(shù)據(jù)。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)僅允許指定的授權(quán)用戶查閱或修改身份鑒別數(shù)據(jù)。用戶管理標(biāo)識唯一性標(biāo)識唯一性測試：測試評價方法：檢查入侵防御產(chǎn)品的安全功能是否保證所定義的用戶標(biāo)識全局唯一。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)允許定義多個用戶；應(yīng)保證每一個用戶標(biāo)識是全局唯一的，不允許一個用戶標(biāo)識用于多個用戶。用戶屬性定義用戶屬性定義測試：測試評價方法：定義分屬于不同角色的多個用戶，檢查輸入的用戶信息是否都能被保存。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)為每一個用戶保存其安全屬性，包括：用戶標(biāo)識、鑒別數(shù)據(jù)（如密碼）、授權(quán)信息或用戶組信息、其它安全屬性等。輸入的用戶信息無丟失現(xiàn)象發(fā)生。安全功能保護安全數(shù)據(jù)管理安全數(shù)據(jù)管理測試：測試評價方法：模擬授權(quán)與非授權(quán)用戶訪問事件數(shù)據(jù)，入侵防御產(chǎn)品安全功能是否僅允許授權(quán)用戶訪問事件數(shù)據(jù)。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)限制對事件數(shù)據(jù)的訪問。除了具有明確的訪問權(quán)限的授權(quán)用戶之外，入侵防御產(chǎn)品應(yīng)禁止所有其它用戶對事件數(shù)據(jù)的訪問。升級安全升級安全測試：測試評價方法：嘗試用產(chǎn)品所允許的各種方法升級事件庫和產(chǎn)品軟件版本，檢查升級過程是否正常；檢查升級包的完整性保護措施，嘗試破壞其完整性；檢查經(jīng)過篡改后的審計包是否可以正常升級。測試評價結(jié)果：入侵防御產(chǎn)品能夠利用其提供的各種方法正常升級事件庫和產(chǎn)品軟件版本；開發(fā)者文檔中提供了為事件庫和版本升級安全所采取措施的詳細(xì)描述；列舉產(chǎn)品提供的事件庫和版本升級手段。安全保障測試開發(fā)安全架構(gòu)安全架構(gòu)的測試評價方法如下：測試方法：檢查開發(fā)者是否提供以下安全架構(gòu)的證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：與產(chǎn)品設(shè)計文檔中對安全功能和自身安全保護實施抽象描述的級別一致；描述與安全功能和自身安全保護要求一致的產(chǎn)品安全功能和自身安全保護的安全域；描述產(chǎn)品安全功能和自身安全保護初始化過程為何是安全的；證實產(chǎn)品安全功能和自身安全保護能夠防止被破壞；證實產(chǎn)品安全功能和自身安全保護能夠防止安全特性被旁路。預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。功能規(guī)范功能規(guī)范的測試評價方法如下：測試方法：檢查開發(fā)者是否提供以下功能規(guī)范的證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：完全描述產(chǎn)品的安全功能和自身安全保護；描述所有安全功能和自身安全保護接口的目的與使用方法；標(biāo)識和描述每個安全功能和自身安全保護接口相關(guān)的所有參數(shù)；描述安全功能和自身安全保護接口相關(guān)的安全功能和自身安全保護實施行為；描述由安全功能和自身安全保護實施行為處理而引起的直接錯誤消息；證實安全功能和自身安全保護要求到安全功能和自身安全保護接口的追溯。預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。產(chǎn)品設(shè)計產(chǎn)品設(shè)計的測試評價方法如下：測試方法：檢查開發(fā)者是否提供以下產(chǎn)品設(shè)計的證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；標(biāo)識和描述產(chǎn)品安全功能和自身安全保護的所有子系統(tǒng)；描述安全功能和自身安全保護所有子系統(tǒng)間的相互作用；提供的映射關(guān)系能夠證實設(shè)計中描述的所有行為能夠映射到調(diào)用它的安全功能和自身安全保護接口。預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。指導(dǎo)性文檔操作用戶指南操作用戶指南的測試評價方法如下：測試方法：檢查開發(fā)者是否提供明確和合理的操作用戶指南，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔?；描述如何以安全的方式使用產(chǎn)品提供的可用接口；描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)；明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能和自身安全保護所控制實體的安全特性；標(biāo)識產(chǎn)品運行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯誤），以及它們與維持安全運行之間的因果關(guān)系和聯(lián)系；充分實現(xiàn)安全目的所執(zhí)行的安全策略。預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。準(zhǔn)備程序準(zhǔn)備程序的測試評價方法如下：測試方法：檢查開發(fā)者是否提供以下準(zhǔn)備程序的證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。生命周期支持配置管理能力配置管理能力的測試評價方法如下：測試方法：檢查開發(fā)者是否提供以下配置管理能力的證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：檢查開發(fā)者是否為不同版本的產(chǎn)品提供唯一的標(biāo)識；現(xiàn)場檢查配置管理系統(tǒng)是否對所有的配置項作出唯一的標(biāo)識，且配置管理系統(tǒng)是否對配置項進行了維護；檢查開發(fā)者提供的配置管理文檔，是否描述了對配置項進行唯一標(biāo)識的方法。預(yù)期結(jié)果：開發(fā)者提供的信息和現(xiàn)場活動證據(jù)內(nèi)容應(yīng)滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。配置管理范圍配置管理范圍的測試評價方法如下：測試方法：檢查開發(fā)者是否提供以下配置管理范圍的證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：檢查開發(fā)者提供的配置項列表；配置項列表是否描述了組成產(chǎn)品的全部配置項及相應(yīng)的開發(fā)者。預(yù)期結(jié)果：開發(fā)者提供的信息和現(xiàn)場活動證據(jù)內(nèi)容應(yīng)滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。交付程序交付程序的測試評價方法如下：測試方法：檢查開發(fā)者是否提供以下交付程序的證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：現(xiàn)場檢查開發(fā)者是否使用一定的交付程序交付產(chǎn)品；檢查開發(fā)者是否使用文檔描述交付過程，文檔中是否包含以下內(nèi)容：在給用戶方交付系統(tǒng)的各版本時，為維護安全所必需的所有程序。預(yù)期結(jié)果：開發(fā)者提供的信息和現(xiàn)場活動證據(jù)內(nèi)容應(yīng)滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。測試測試覆蓋測試覆蓋證的測試評價方法如下：測試方法：檢查開發(fā)者提供的測試覆蓋文檔，在測試覆蓋證據(jù)中，是否表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能和自身安全保護是對應(yīng)的，檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求。預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。功能測試功能測試的測試評價方法如下：測試方法：檢查開發(fā)者是否提供的以下功能測試的證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：檢查開發(fā)者提供的測試文檔，是否包括測試計劃、預(yù)期的測試結(jié)果和實際測試結(jié)果；檢查測試計劃是否標(biāo)識了要測試的安全功能和自身安全保護，是否描述了每個安全功能和自身安全保護的測試方案（包括對其它測試結(jié)果的順序依賴性）；檢查期望的測試結(jié)果是否表明測試成功后的預(yù)期輸出；檢查實際測試結(jié)果是否表明每個被測試的安全功能和自身安全保護能按照規(guī)定進行運作。預(yù)期結(jié)果：開發(fā)者提供的信息應(yīng)滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。獨立測試獨立測試的測試評價方法如下：測試方法：檢查開發(fā)者提供的測試集合是否與其自測系統(tǒng)功能時使用的測試集合相一致，以用于安全功能和自身安全保護的抽樣測試，并檢查開發(fā)者提供的資源是否滿足內(nèi)容和形式的所有要求。預(yù)期結(jié)果：開發(fā)者提供的資源應(yīng)滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。脆弱性評定脆弱性評定的測試評價方法如下：測試方法：從用戶可能破壞安全策略的明顯途徑出發(fā)，按照安全機制定義的安全強度級別，對產(chǎn)品進行脆弱性分析；判斷產(chǎn)品是否能夠抵抗基本型攻擊。預(yù)期結(jié)果：滲透性測試結(jié)果應(yīng)表明產(chǎn)品能夠抵抗基本型攻擊。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。增強級測試評價方法安全功能要求測試入侵事件分析功能測試數(shù)據(jù)收集數(shù)據(jù)收集測試：測試評價方法：檢測入侵防御產(chǎn)品是否能夠以網(wǎng)橋或網(wǎng)關(guān)方式正確接入網(wǎng)絡(luò)，具備實時收集流入受保護網(wǎng)段內(nèi)的數(shù)據(jù)包的能力。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)能夠以網(wǎng)橋或網(wǎng)關(guān)方式接入網(wǎng)絡(luò)；入侵防御產(chǎn)品應(yīng)能夠獲取足夠的網(wǎng)絡(luò)數(shù)據(jù)包以分析入侵事件。流量分析流量分析測試：測試評價方法：查看入侵防御產(chǎn)品的安全策略配置文檔，檢查安全事件的描述是否具有協(xié)議類型等屬性；檢查產(chǎn)品說明書，查找關(guān)于流量分析方法的說明，按照產(chǎn)品所聲明的流量分析類型，抽樣生成協(xié)議事件，組成攻擊事件測試集；配置產(chǎn)品的入侵防御策略為最大策略集；發(fā)送攻擊事件測試集中的所有事件，記錄產(chǎn)品的檢測結(jié)果。測試評價結(jié)果：記錄產(chǎn)品攔截入侵的相應(yīng)攻擊名稱和類型；產(chǎn)品說明書中聲稱能夠監(jiān)視的協(xié)議事件主要包括以下類型：ARP、ICMP、IP、TCP、UDP、RPC、HTTP、FTP、TFTP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS、SMB、P2P等，抽樣測試應(yīng)未發(fā)現(xiàn)矛盾之處；列舉產(chǎn)品支持的所有入侵分析方法。入侵發(fā)現(xiàn)入侵發(fā)現(xiàn)測試：測試評價方法：配置入侵防御產(chǎn)品的入侵防御策略為最大策略集；模擬發(fā)送覆蓋流量監(jiān)聽與劫持攻擊、錯誤及弱配置攻擊、緩沖區(qū)溢出攻擊、木馬攻擊、拒絕服務(wù)攻擊等多種不同類型的攻擊事件，檢查是否能夠發(fā)現(xiàn)攻擊事件。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)能發(fā)現(xiàn)所測入侵行為。入侵躲避發(fā)現(xiàn)入侵躲避發(fā)現(xiàn)測試：測試評價方法：利用入侵檢測躲避工具進行攻擊，測試入侵防御產(chǎn)品是否對入侵事件進行攔截；將入侵事件的協(xié)議端口進行重定位，檢查入侵防御產(chǎn)品是否對入侵事件進行攔截。測試評價結(jié)果：入侵防御產(chǎn)品能夠攔截經(jīng)過分片、亂序之后的入侵事件；入侵防御產(chǎn)品能夠正確地攔截經(jīng)過躲避處理的HTTP入侵事件；入侵防御產(chǎn)品能夠?qū)χ囟ㄎ粎f(xié)議端口之后的入侵事件進行攔截。流量監(jiān)測流量監(jiān)測測試：測試評價方法：開啟入侵防御產(chǎn)品的流量監(jiān)測功能，定義流量事件，查看流量顯示界面；對某一服務(wù)器發(fā)起大流量的訪問，如ftp；對特定的端口（如80端口）發(fā)起大流量訪問。測試評價結(jié)果：可以顯示出各種流量信息；可以顯示出大流量的服務(wù)器（如ftp流量）；列舉提供的流量監(jiān)測內(nèi)容。流量控制流量控制測試：測試評價方法：開啟入侵防御產(chǎn)品的流量控制功能；對某一服務(wù)器發(fā)起大流量的訪問，如FTP；測試評價結(jié)果：入侵防御產(chǎn)品允許針對流量實現(xiàn)流量控制功能。入侵事件處理功能測試攔截能力攔截能力測試：測試評價方法：選擇具有不同特征的多個事件組成攻擊事件測試集（不少于產(chǎn)品支持的攻擊事件庫的30%），測試入侵防御產(chǎn)品的防御能力。選取的事件應(yīng)包括：木馬后門類事件、拒絕服務(wù)類事件、緩沖區(qū)溢出類事件以及其它具有代表性的網(wǎng)絡(luò)攻擊事件，模擬入侵攻擊行為；配置入侵防御產(chǎn)品的入侵防御策略為最大策略集；發(fā)送攻擊事件測試集中的所有事件，記錄測試結(jié)果。測試評價結(jié)果：能夠?qū)θ肭中袨檫M行成功攔截；應(yīng)能記錄所攔截入侵的相應(yīng)攻擊。安全告警安全告警測試：測試評價方法：從已有的事件庫中選擇具有不同特征的多個事件，組成攻擊事件測試集。模擬入侵攻擊行為；觸發(fā)產(chǎn)品的入侵防御策略中特定的安全事件，查看是否有攔截告警信息；查看告警事件的信息。測試評價結(jié)果：可以顯示告警信息；事件的詳細(xì)解釋應(yīng)能便于理解。告警方式告警方式測試：測試評價方法：打開菜單，查看產(chǎn)品告警方式的選擇；依次選擇各種告警方式，測試是否能夠按照指定的方法告警。測試評價結(jié)果：可以采取屏幕實時提示、聲音告警、SNMPtrap消息、E-mail告警、運行指定應(yīng)用程序等告警方式中的一種或多種。記錄并列出所有告警方式。事件合并事件合并測試：測試評價方法：連續(xù)觸發(fā)同一條事件，查看告警顯示的情況，是否能將同一事件進行合并顯示；設(shè)置事件合并的規(guī)則，將某些內(nèi)容進行合并，如只顯示報警信息的事件名稱、發(fā)生的次數(shù)、源IP（目的是查看某一事件在這個IP上發(fā)生了多少次）。測試評價結(jié)果：產(chǎn)品可以根據(jù)需要進行同類報警事件的合并。入侵事件審計功能測試事件生成事件生成測試：測試評價方法：登錄控制臺界面；檢查管理界面，是否可以清晰地查看到入侵?jǐn)r截情況；測試評價結(jié)果：具有查看入侵?jǐn)r截事件的顯示界面；顯示界面具備清晰的功能區(qū)域，可顯示所攔截事件的詳細(xì)信息。事件記錄事件記錄測試：測試評價方法：登錄控制臺界面；在顯示界面上查看所記錄的攔截事件的詳細(xì)信息；測試評價結(jié)果：顯示界面上顯示的攔截事件詳細(xì)信息應(yīng)包括事件名稱、事件發(fā)生日期時間、源IP地址、源端口、目的IP地址、目的端口、危害等級等。報表生成報表生成測試：測試評價方法：查看報表生成功能，查看報表的生成方式；查看生成報表的內(nèi)容。測試評價結(jié)果：具有生成報表的功能；提供默認(rèn)的模板以供快速生成報表；生成的報表宜包含表格形式、柱狀圖、餅圖等，并宜生成日報、周報等匯總報表。報表輸出報表輸出測試：測試評價方法：檢查管理員是否能夠按照自己的要求修改和定制報表內(nèi)容；檢查入侵防御產(chǎn)品支持的報表輸出格式。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)支持管理員按照自己的要求修改和定制報表內(nèi)容；報表應(yīng)可輸出成方便用戶閱讀的格式，如DOC、PDF、HTML、XLS等。報表模板定制報表模板定制測試：測試評價方法：檢查入侵防御產(chǎn)品是否提供報表模板的定制功能；測試評價結(jié)果：入侵防御產(chǎn)品提供定制報表模板的功能；定制新的報表模板，按照新的報表模板生成結(jié)果報表。攻擊數(shù)據(jù)留存攻擊數(shù)據(jù)留存測試：測試評價方法：開啟產(chǎn)品攻擊取證功能，當(dāng)發(fā)生入侵行為時，檢查產(chǎn)品是否可以將入侵行為的相關(guān)報文以一定的通用格式，例如PCAP包的格式存儲在設(shè)備本地。測試評價結(jié)果：入侵防御產(chǎn)品在識別攻擊行為的同時，可以將攻擊報文以PCAP包或者其他通用格式保存在設(shè)備本地。管理控制功能測試管理界面管理界面測試：測試評價方法：登錄控制臺管理界面；查看用戶界面的功能，包括管理配置界面、報警顯示界面等。測試評價結(jié)果：具備獨立的控制臺；具有配置和管理產(chǎn)品所有功能的管理界面和劃分清晰功能區(qū)域的報警顯示界面。入侵事件庫入侵事件庫測試：測試評價方法：檢查入侵防御產(chǎn)品是否對入侵事件進行系統(tǒng)陳述，對事件進行命名以及詳細(xì)描述定義。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)對所有支持的入侵事件具有命名和詳細(xì)的描述定義；詳細(xì)描述為人理解，不產(chǎn)生歧義。事件級別事件分級測試：測試評價方法：檢查入侵事件庫中是否對每個事件都有分級信息。測試評價結(jié)果：事件庫的所有事件都具有分級信息。事件自定義事件定義測試：測試評價方法：查看入侵防御產(chǎn)品設(shè)置，是否提供自定義事件界面，是否允許基于產(chǎn)品默認(rèn)事件修改生成新的事件；自定義生成新的入侵特征；按照新生成的入侵特征發(fā)送相應(yīng)的入侵事件，檢查產(chǎn)品能否攔截。測試評價結(jié)果：入侵防御產(chǎn)品允許用戶自定義事件，或者可基于產(chǎn)品默認(rèn)事件修改生成新的入侵事件；入侵防御產(chǎn)品能夠檢測到新定義的事件并攔截。協(xié)議自定義協(xié)議定義測試：測試評價方法：查看入侵防御產(chǎn)品設(shè)置，是否提供自定義協(xié)議的界面，是否允許基于已有協(xié)議修改生成新的協(xié)議，是否允許對協(xié)議的端口進行重新定位攔截；自定義生成新的協(xié)議；按照新生成的協(xié)議類型發(fā)送相應(yīng)的入侵事件，檢查產(chǎn)品能否攔截。測試評價結(jié)果：入侵防御產(chǎn)品允許用戶自定義協(xié)議，或者可基于產(chǎn)品提供的已有協(xié)議修改生成新的協(xié)議，或者允許對協(xié)議的端口進行重新定位；入侵防御產(chǎn)品能夠檢測到新定義的協(xié)議事件并攔截。通用接口通用接口測試：測試評價方法：查看入侵防御產(chǎn)品，是否支持與其他安全設(shè)備的信息共享或者規(guī)范化管理；可提供產(chǎn)品自己定義的對外開放通用接口，以支持與其它安全設(shè)備的共享信息或規(guī)范化管理。測試評價結(jié)果：入侵防御產(chǎn)品支持一個或多個信息共享或規(guī)范化管理接口協(xié)議，其中可包括產(chǎn)品自己定義的對外通用接口；入侵防御產(chǎn)品支持與其他安全設(shè)備的共享信息或規(guī)范化管理；列舉入侵防御產(chǎn)品支持的所有通用接口。硬件失效處理硬件失效處理測試：測試評價方法：檢查入侵防御產(chǎn)品具備何種硬件失效處理機制；測試評價結(jié)果：對于產(chǎn)品硬件失效時，應(yīng)不影響網(wǎng)絡(luò)的通暢；設(shè)備冗余設(shè)備冗余測試：測試評價方法：檢查入侵防御產(chǎn)品是否支持雙機冗余部署的能力；部署雙機熱備的環(huán)境，關(guān)閉其中一臺設(shè)備，查看另一設(shè)備是否可以及時正常工作。測試評價結(jié)果：對于雙機熱備進行部署的環(huán)境，當(dāng)出現(xiàn)一臺設(shè)備宕機的情況，應(yīng)不影響網(wǎng)絡(luò)的通暢和防御能力。策略配置策略配置測試：測試評價方法：打開菜單，查看產(chǎn)品提供的默認(rèn)策略；查看是否允許編輯或修改生成新的策略；查看是否可以編輯或修改各策略的響應(yīng)措施。測試評價結(jié)果：產(chǎn)品應(yīng)提供默認(rèn)的策略，并可以直接應(yīng)用；應(yīng)允許用戶編輯策略；具有供用戶編輯策略的向?qū)Чδ?；支持策略的?dǎo)入、導(dǎo)出；應(yīng)允許用戶編輯策略的不同響應(yīng)措施；記錄產(chǎn)品提供的策略種類和名稱。產(chǎn)品升級產(chǎn)品升級測試：測試評價方法：檢查入侵防御產(chǎn)品的版本和入侵特征庫的升級方式。測試評價結(jié)果：入侵防御產(chǎn)品程序版本和入侵特征庫可以進行手動或自動的在線升級；升級的過程中入侵防御產(chǎn)品仍可以正常攔截事件。管理接口獨立管理接口獨立測試：測試評價方法：檢查入侵防御產(chǎn)品是否配備進行產(chǎn)品管理和網(wǎng)絡(luò)數(shù)據(jù)通訊攔截的物理接口。測試評價結(jié)果：產(chǎn)品的管理接口和網(wǎng)絡(luò)數(shù)據(jù)通訊攔截接口是不同的接口，且均能正常工作。日志外發(fā)日志外發(fā)測試：測試評價方法：檢查入侵防御產(chǎn)品是否具備日志外發(fā)功能；通過抓包工具獲取外發(fā)日志，檢查其數(shù)據(jù)格式是否屬于標(biāo)準(zhǔn)的開放的格式，例如syslog；檢查其外發(fā)內(nèi)容是否包括產(chǎn)品日志信息和攻擊防御信息。測試評價結(jié)果：產(chǎn)品具備日志外發(fā)功能，可將產(chǎn)品日志信息和攻擊防御信息，按照標(biāo)準(zhǔn)的開放的接口格式外發(fā)至其他系統(tǒng)。自身安全保護要求測試標(biāo)識和鑒別用戶鑒別用戶鑒別測試：測試評價方法：登錄入侵防御產(chǎn)品，檢查是否在執(zhí)行所有功能之前要求首先進行身份認(rèn)證。測試評價結(jié)果：在用戶執(zhí)行任何與安全功能相關(guān)的操作之前都應(yīng)對用戶進行鑒別；登錄之前允許做的操作，應(yīng)僅限于輸入登錄信息、查看登錄幫助等操作；允許用戶在登錄后執(zhí)行與其安全功能相關(guān)的各類操作時，不再重復(fù)認(rèn)證。鑒別失敗的處理鑒別失敗的處理測試：測試評價方法：檢查入侵防御產(chǎn)品的安全功能是否可定義用戶鑒別嘗試的最大允許失敗次數(shù)；檢查產(chǎn)品的安全功能是否可定義當(dāng)用戶鑒別嘗試失敗連續(xù)達到指定次數(shù)后，采取相應(yīng)的措施；嘗試多次失敗的用戶鑒別行為，檢查到達指定的鑒別失敗次數(shù)后，入侵防御產(chǎn)品是否采取了相應(yīng)的措施。檢查日志記錄中是否包括用戶或者登錄IP被鎖定等鑒別失敗處理措施的審計信息。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)具備定義用戶鑒別嘗試的最大允許失敗次數(shù)的功能；入侵防御產(chǎn)品應(yīng)定義當(dāng)用戶鑒別嘗試失敗連續(xù)達到指定次數(shù)后，采取相應(yīng)的措施；當(dāng)用戶鑒別嘗試失敗連續(xù)達到指定次數(shù)后，入侵防御產(chǎn)品應(yīng)阻止用戶進一步嘗試（如鎖定該用戶或者登錄IP）。最多失敗次數(shù)僅由授權(quán)管理員設(shè)定，日志記錄中應(yīng)包括鑒別失敗處理措施的審計信息。鑒別數(shù)據(jù)保護鑒別數(shù)據(jù)保護測試：測試評價方法：檢查入侵防御產(chǎn)品是否僅允許指定的授權(quán)用戶查閱或修改身份鑒別數(shù)據(jù)。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)僅允許指定的授權(quán)用戶查閱或修改身份鑒別數(shù)據(jù)。超時鎖定超時鎖定測試：測試評價方法：檢查入侵防御產(chǎn)品是否具有管理員登錄超時重新鑒別功能；設(shè)定管理員登錄超時重新鑒別的時間段，檢查登錄用戶在設(shè)定的時間段內(nèi)沒有任何操作的情況下，入侵防御產(chǎn)品是否終止了會話，用戶是否需要再次進行身份鑒別才能夠重新管理和使用產(chǎn)品。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)具有登錄超時重新鑒別功能；任何登錄用戶在設(shè)定的時間段內(nèi)沒有任何操作的情況下，應(yīng)被終止了會話，用戶需要再次進行身份鑒別才能夠重新管理和使用入侵防御產(chǎn)品；最大超時時間僅由授權(quán)管理員設(shè)定。多鑒別機制多鑒別機制測試：測試評價方法：檢查入侵防御產(chǎn)品的安全功能是否提供多種鑒別方式；檢查入侵防御產(chǎn)品是否提供允許授權(quán)管理員執(zhí)行自定義鑒別措施的功能；檢查多鑒別機制是否可同時使用。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)提供至少2種鑒別方式。列舉入侵防御產(chǎn)品提供或支持的所有鑒別方式；入侵防御產(chǎn)品應(yīng)允許授權(quán)管理員執(zhí)行自定義的鑒別措施，以實現(xiàn)多重身份鑒別措施；多鑒別機制應(yīng)該能夠同時使用。用戶管理標(biāo)識唯一性標(biāo)識唯一性測試：測試評價方法：檢查入侵防御產(chǎn)品的安全功能是否保證所定義的用戶標(biāo)識全局唯一。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)允許定義多個用戶；應(yīng)保證每一個用戶標(biāo)識是全局唯一的，不允許一個用戶標(biāo)識用于多個用戶。用戶屬性定義用戶屬性定義測試：測試評價方法：定義分屬于不同角色的多個用戶，檢查輸入的用戶信息是否都能被保存。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)為每一個用戶保存其安全屬性，包括：用戶標(biāo)識、鑒別數(shù)據(jù)（如密碼）、授權(quán)信息或用戶組信息、其它安全屬性等。輸入的用戶信息無丟失現(xiàn)象發(fā)生。角色分級角色分級測試：測試評價方法：設(shè)置多個不同級別角色的用戶，進行不同級別內(nèi)容的操作請求；檢查入侵防御產(chǎn)品的安全功能是否提供角色分級的用戶。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)提供分級角色的用戶，分級角色覆蓋范圍互不相同。安全功能保護安全數(shù)據(jù)管理安全數(shù)據(jù)管理測試：測試評價方法：模擬授權(quán)與非授權(quán)用戶訪問事件數(shù)據(jù)，入侵防御產(chǎn)品安全功能是否僅允許授權(quán)用戶訪問事件數(shù)據(jù)。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)限制對事件數(shù)據(jù)的訪問。除了具有明確的訪問權(quán)限的授權(quán)用戶之外，入侵防御產(chǎn)品應(yīng)禁止所有其它用戶對事件數(shù)據(jù)的訪問。升級安全升級安全測試：測試評價方法：嘗試用產(chǎn)品所允許的各種方法升級事件庫和產(chǎn)品軟件版本，檢查升級過程是否正常；檢查升級包的完整性保護措施，嘗試破壞其完整性；檢查經(jīng)過篡改后的審計包是否可以正常升級。測試評價結(jié)果：入侵防御產(chǎn)品能夠利用其提供的各種方法正常升級事件庫和產(chǎn)品軟件版本；開發(fā)者文檔中提供了為事件庫和版本升級安全所采取措施的詳細(xì)描述；列舉產(chǎn)品提供的事件庫和版本升級手段。數(shù)據(jù)存儲告警數(shù)據(jù)存儲告警測試：測試評價方法：檢查入侵防御產(chǎn)品所提供的存儲空間大小，預(yù)估其是否可以保存至少六個月以上的入侵事件日志記錄；檢查入侵防御產(chǎn)品安全功能是否具有存儲器剩余空間將耗盡的告警功能；檢查入侵防御產(chǎn)品安全功能是否允許用戶設(shè)定產(chǎn)生告警的剩余存儲空間的大小；人為地將存儲產(chǎn)品的事件數(shù)據(jù)存儲器空間耗至設(shè)定的告警值以下，查看入侵防御產(chǎn)品是否告警。測試評價結(jié)果：入侵防御產(chǎn)品具備足夠的存儲空間，可保存至少六個月以上的入侵事件日志記錄；入侵防御產(chǎn)品在發(fā)生事件數(shù)據(jù)存儲器空間將耗盡的情況時，自動產(chǎn)生告警；入侵防御產(chǎn)品允許用戶設(shè)定產(chǎn)生告警的剩余存儲空間的大小；在發(fā)現(xiàn)事件數(shù)據(jù)存儲器空間將耗盡時，入侵防御產(chǎn)品還應(yīng)提醒用戶采取措施避免事件丟失，可選擇例如轉(zhuǎn)存已有事件數(shù)據(jù)、僅記錄重要的事件數(shù)據(jù)、或者不記錄新的事件數(shù)據(jù)等措施之一。自我隱藏自我隱藏測試：測試評價方法：檢查開發(fā)者文檔中對入侵防御產(chǎn)品自身安全的描述；將產(chǎn)品以網(wǎng)橋方式接入網(wǎng)絡(luò)，檢查IP隱藏情況。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)能采用網(wǎng)橋方式隱藏IP地址，使自身在網(wǎng)絡(luò)上不可見。配置備份恢復(fù)配置備份恢復(fù)測試：測試評價方法：嘗試對產(chǎn)品的配置文件進行備份導(dǎo)出，在修改產(chǎn)品的任意配置參數(shù)；將備份導(dǎo)出的配置文件再導(dǎo)入產(chǎn)品，檢查之前所修改的參數(shù)是否可以恢復(fù)，驗證產(chǎn)品的恢復(fù)功能是否正常。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)能實現(xiàn)對自身配置文件的備份和恢復(fù)。安全審計審計數(shù)據(jù)生成審計數(shù)據(jù)生成測試：測試評價方法：結(jié)合開發(fā)者文檔，使用不同角色用戶模擬對入侵防御產(chǎn)品不同模塊進行訪問、運行、修改、關(guān)閉以及重復(fù)失敗嘗試等相關(guān)操作，檢查入侵防御產(chǎn)品提供了對哪些事件的審計。審查審計記錄的正確性。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)至少為下述可審計事件產(chǎn)生審計記錄：身份鑒別的嘗試、安全策略更改的操作、修改安全屬性的嘗試；應(yīng)在每個審計記錄中至少記錄如下信息：事件的日期和時間，事件類型，主體身份，事件的結(jié)果（成功或失?。┑取徲嫴殚唽徲嫴殚啘y試：測試評價方法：審查產(chǎn)品安全功能是否為授權(quán)管理員提供從審計記錄中讀取全部審計信息的功能，是否能對審計記錄進行排序。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)為授權(quán)管理員提供從審計記錄中讀取全部審計信息的功能，并可以對審計記錄進行排序。受限的審計查閱受限的審計查閱測試：測試評價方法：模擬授權(quán)與非授權(quán)管理員訪問審計記錄，入侵防御產(chǎn)品安全功能是否僅允許授權(quán)管理員訪問審計記錄。測試評價結(jié)果：入侵防御產(chǎn)品應(yīng)限制審計記錄的訪問。除了具有明確的讀訪問權(quán)限的授權(quán)管理員之外，入侵防御產(chǎn)品應(yīng)禁止所有其它用戶對審計記錄的讀訪問。安全保障測試開發(fā)安全架構(gòu)安全架構(gòu)的測試評價方法如下：測試方法：檢查開發(fā)者是否提供以下安全架構(gòu)的證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：與產(chǎn)品設(shè)計文檔中對安全功能和自身安全保護實施抽象描述的級別一致；描述與安全功能和自身安全保護要求一致的產(chǎn)品安全功能和自身安全保護的安全域；描述產(chǎn)品安全功能和自身安全保護初始化過程為何是安全的；證實產(chǎn)品安全功能和自身安全保護能夠防止被破壞；證實產(chǎn)品安全功能和自身安全保護能夠防止安全特性被旁路。預(yù)期結(jié)果：開發(fā)者提供的信息滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。功能規(guī)范功能規(guī)范的測試評價方法如下：測試方法：檢查開發(fā)者是否提供以下功能規(guī)范的證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：完全描述產(chǎn)品的安全功能和自身安全保護；描述所有安全功能和自身安全保護接口的目的與使用方法；標(biāo)識和描述每個安全功能和自身安全保護接口相關(guān)的所有參數(shù)；描述安全功能和自身安全保護接口相關(guān)的安全功能和自身安全保護實施行為；描述由安全功能和自身安全保護實施行為處理而引起的直接錯誤消息；證實安全功能和自身安全保護要求到安全功能和自身安全保護接口的追溯；描述安全功能和自身安全保護實施過程中，與安全功能和自身安全保護接口相關(guān)的所有行為；描述可能由安全功能和自身安全保護接口的調(diào)用而引起的所有直接錯誤消息。預(yù)期結(jié)果：開發(fā)者提供的信息滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。實現(xiàn)表示實現(xiàn)表示的測試評價方法如下：測試方法：檢查開發(fā)者是否提供以下實現(xiàn)表示的證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：以開發(fā)人員使用的形式提供產(chǎn)品設(shè)計描述與實現(xiàn)表示實例之間的映射，并證明其一致性；按詳細(xì)級別定義產(chǎn)品安全功能和自身安全保護，詳細(xì)程度達到無須進一步設(shè)計就能生成安全功能和自身安全保護的程度。預(yù)期結(jié)果：開發(fā)者提供的信息滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。產(chǎn)品設(shè)計產(chǎn)品設(shè)計的測試評價方法如下：測試方法：檢查開發(fā)者是否提供以下產(chǎn)品設(shè)計的證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；標(biāo)識和描述產(chǎn)品安全功能和自身安全保護的所有子系統(tǒng)；描述安全功能和自身安全保護所有子系統(tǒng)間的相互作用；提供的映射關(guān)系能夠證實設(shè)計中描述的所有行為能夠映射到調(diào)用它的安全功能和自身安全保護接口；根據(jù)模塊描述安全功能和自身安全保護；提供安全功能和自身安全保護子系統(tǒng)到模塊間的映射關(guān)系；描述所有安全功能和自身安全保護實現(xiàn)模塊，包括其目的及與其它模塊間的相互作用；描述所有實現(xiàn)模塊的安全功能和自身安全保護要求相關(guān)接口、其它接口的返回值、與其它模塊間的相互作用及調(diào)用的接口；描述所有安全功能和自身安全保護的支撐或相關(guān)模塊，包括其目的及與其它模塊間的相互作用。預(yù)期結(jié)果：開發(fā)者提供的信息滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。指導(dǎo)性文檔操作用戶指南操作用戶指南的測試評價方法如下：測試方法：檢查開發(fā)者是否提供明確和合理的操作用戶指南，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔?；描述如何以安全的方式使用產(chǎn)品提供的可用接口；描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)；明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能和自身安全保護所控制實體的安全特性；標(biāo)識產(chǎn)品運行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯誤），以及它們與維持安全運行之間的因果關(guān)系和聯(lián)系；充分實現(xiàn)安全目的所執(zhí)行的安全策略。預(yù)期結(jié)果：開發(fā)者提供的信息滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。準(zhǔn)備程序用準(zhǔn)備程序的測試評價方法如下：測試方法：檢查開發(fā)者是否提供以下準(zhǔn)備程序的證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求：描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。預(yù)期結(jié)果：開發(fā)者提供的信息滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。生命周期支持配置管理能力配置管理能力的測試評價方法如下：測試方法：檢查開發(fā)者是否提供以下配置管理能力的證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：檢查開發(fā)者是否為不同版本的產(chǎn)品提供唯一的標(biāo)識；現(xiàn)場檢查配置管理系統(tǒng)是否對所有的配置項作出唯一的標(biāo)識，且配置管理系統(tǒng)是否對配置項進行了維護；檢查開發(fā)者提供的配置管理文檔，是否描述了對配置項進行唯一標(biāo)識的方法；現(xiàn)場檢查是否能夠通過自動化配置管理系統(tǒng)支持產(chǎn)品的生成，確保只能對產(chǎn)品的實現(xiàn)表示進行已授權(quán)的改變；檢查配置管理計劃是否描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品，現(xiàn)場核查活動是否與計劃一致；檢查配置管理計劃是否描述了用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項的程序。預(yù)期結(jié)果：開發(fā)者提供的信息和現(xiàn)場活動證據(jù)內(nèi)容滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。配置管理范圍配置管理范圍的測試評價方法如下：測試方法：檢查開發(fā)者是否提供以下配置管理范圍的證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：檢查開發(fā)者提供的配置項列表；配置項列表是否描述了組成產(chǎn)品的全部配置項及相應(yīng)的開發(fā)者；檢查開發(fā)者是否將實現(xiàn)表示、安全缺陷報告及其解決狀態(tài)納入配置管理范圍，是否對安全缺陷進行跟蹤。預(yù)期結(jié)果：開發(fā)者提供的文檔信息和現(xiàn)場活動證據(jù)內(nèi)容滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。交付程序交付程序的測試評價方法如下：測試方法：檢查開發(fā)者是否提供以下交付程序的證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：現(xiàn)場檢查開發(fā)者是否使用一定的交付程序交付產(chǎn)品；檢查開發(fā)者是否使用文檔描述交付過程，文檔中是否包含以下內(nèi)容：在給用戶方交付系統(tǒng)的各版本時，為維護安全所必需的所有程序。預(yù)期結(jié)果：開發(fā)者提供的信息和現(xiàn)場活動證據(jù)內(nèi)容滿足上述要求。結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。開發(fā)安全開發(fā)安全的測試評價方法如下：測試方法：檢查開發(fā)者是否提供以下開發(fā)安全的證據(jù)，并檢查開發(fā)者提供的信息是否滿足內(nèi)容和形式的所有要求：檢查開發(fā)者提供的開發(fā)安全文檔，該文檔是否描述了在系統(tǒng)的開發(fā)環(huán)境中，為保護系統(tǒng)設(shè)計和實現(xiàn)的保密性和完整性所必