信息安全技術(shù) 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法-編制說(shuō)明

工作簡(jiǎn)況任務(wù)來(lái)源2019年，經(jīng)國(guó)標(biāo)委批準(zhǔn)，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）主任辦公會(huì)討論通過(guò)，研究修訂GB/T20275-2013《信息安全技術(shù)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法》國(guó)家標(biāo)準(zhǔn),國(guó)標(biāo)計(jì)劃號(hào)：待定。該項(xiàng)目由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口，由公安部第三研究所負(fù)責(zé)主編。主要起草單位和工作組成員上海國(guó)際技貿(mào)聯(lián)合有限公司牽頭、公安部第三研究所主要負(fù)責(zé)編制，中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、北京神州綠盟科技有限公司、網(wǎng)神信息技術(shù)（北京）股份有限公司、啟明星辰信息技術(shù)集團(tuán)股份有限公司等單位共同參與了該標(biāo)準(zhǔn)的起草工作。主要工作過(guò)程按照項(xiàng)目進(jìn)度要求，編制組人員首先對(duì)所參閱的產(chǎn)品、文檔以及標(biāo)準(zhǔn)進(jìn)行反復(fù)閱讀與理解，查閱有關(guān)資料，編寫(xiě)標(biāo)準(zhǔn)編制提綱，在完成對(duì)提綱進(jìn)行交流和修改的基礎(chǔ)上，開(kāi)始具體的編制工作。2019年09月，完成了對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的相關(guān)技術(shù)文檔和有關(guān)標(biāo)準(zhǔn)的前期基礎(chǔ)調(diào)研。在調(diào)研期間，主要對(duì)公安部檢測(cè)中心歷年檢測(cè)產(chǎn)品的記錄、報(bào)告以及各產(chǎn)品的技術(shù)文檔材料進(jìn)行了篩選、匯總、分析，對(duì)國(guó)內(nèi)外相關(guān)產(chǎn)品的發(fā)展動(dòng)向進(jìn)行了研究，對(duì)相關(guān)產(chǎn)品的技術(shù)文檔和標(biāo)準(zhǔn)進(jìn)行了分析理解。2019年10月完成了標(biāo)準(zhǔn)草稿的編制工作。以編制組人員收集的資料為基礎(chǔ)，在不斷的討論和研究中，完善內(nèi)容，最終形成了本標(biāo)準(zhǔn)草案（第一稿）。2019年10月09日，編制組在北京召開(kāi)標(biāo)準(zhǔn)編制工作啟動(dòng)會(huì)，會(huì)后，收集整理參編單位的建議或意見(jiàn)，在公安部檢測(cè)中心內(nèi)部對(duì)標(biāo)準(zhǔn)草案（第一稿）進(jìn)行了討論。修改了協(xié)議分析、硬件失效處理等技術(shù)要求和測(cè)試評(píng)價(jià)方法，形成了標(biāo)準(zhǔn)草稿（第二稿）。2019年10月12日，WG5工作組在北京召開(kāi)國(guó)家標(biāo)準(zhǔn)研討會(huì)，與會(huì)專家對(duì)標(biāo)準(zhǔn)草稿（第二稿）進(jìn)行評(píng)審討論。會(huì)后，編制組根據(jù)專家的建議，修改了范圍、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)描述等章節(jié)的描述，對(duì)審計(jì)日志生成等標(biāo)準(zhǔn)要求和測(cè)試評(píng)價(jià)方法進(jìn)行了調(diào)整，并在編制說(shuō)明中增加了“標(biāo)準(zhǔn)主要修訂依據(jù)”等說(shuō)明，形成了標(biāo)準(zhǔn)工作組討論稿（第一稿）。2019年10月27日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2019年第二次工作組“會(huì)議周”全體會(huì)議在重慶召開(kāi)。編制組在WG5組會(huì)議上對(duì)標(biāo)準(zhǔn)的工作內(nèi)容進(jìn)行了匯報(bào)。與會(huì)專家對(duì)標(biāo)準(zhǔn)工作組討論稿（第一稿）進(jìn)行評(píng)審討論。會(huì)后，編制組根據(jù)專家的建議，增加了產(chǎn)品在IPv6網(wǎng)絡(luò)環(huán)境下工作的性能要求，補(bǔ)充增加了“高頻度閾值應(yīng)由授權(quán)管理員設(shè)置”等技術(shù)要求，形成了標(biāo)準(zhǔn)工作組討論稿（第二稿）。2019年11月19日，編制組在上海召開(kāi)標(biāo)準(zhǔn)研討會(huì)。中國(guó)電子科技集團(tuán)公司第十五研究所（信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心）等編制參與單位出席了該次標(biāo)準(zhǔn)研討會(huì)。會(huì)后，編制組收集整理參編單位的建議或意見(jiàn)，在標(biāo)準(zhǔn)工作組討論稿（第二稿）的基礎(chǔ)上，修改了事件數(shù)據(jù)庫(kù)、其他設(shè)備聯(lián)動(dòng)、防躲避能力等技術(shù)要求和測(cè)試評(píng)價(jià)方法，形成了標(biāo)準(zhǔn)征求意見(jiàn)稿（第一稿）。標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題編制原則為了使網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)標(biāo)準(zhǔn)的內(nèi)容從一開(kāi)始就與國(guó)家標(biāo)準(zhǔn)保持一致，本標(biāo)準(zhǔn)的編寫(xiě)參考了其他國(guó)家有關(guān)標(biāo)準(zhǔn)，主要有GB/T17859-1999、GB/T20271-2006、GB/T22239-2019和GB/T18336-2015。本標(biāo)準(zhǔn)符合我國(guó)的實(shí)際情況，遵從我國(guó)有關(guān)法律、法規(guī)的規(guī)定。具體原則與要求如下：1）先進(jìn)性標(biāo)準(zhǔn)是先進(jìn)經(jīng)驗(yàn)的總結(jié)，同時(shí)也是技術(shù)的發(fā)展趨勢(shì)。目前，國(guó)家管理機(jī)構(gòu)及用戶單位網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)信息安全越來(lái)越重視，我國(guó)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)處于快速發(fā)展階段，要制定出先進(jìn)的產(chǎn)品國(guó)家標(biāo)準(zhǔn)，必須參考國(guó)內(nèi)外先進(jìn)技術(shù)和標(biāo)準(zhǔn)，吸收其精華，才能制定出具有先進(jìn)水平的標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)的編寫(xiě)始終遵循這一原則。2）實(shí)用性標(biāo)準(zhǔn)必須是可用的，才有實(shí)際意義，因此本標(biāo)準(zhǔn)的編寫(xiě)是在對(duì)國(guó)內(nèi)外標(biāo)準(zhǔn)的相關(guān)技術(shù)內(nèi)容消化、吸收的基礎(chǔ)上，結(jié)合我國(guó)的實(shí)際情況，廣泛了解了市場(chǎng)上主流產(chǎn)品的功能，吸收其精華，制定出符合我國(guó)國(guó)情的、可操作性強(qiáng)的標(biāo)準(zhǔn)。3）兼容性本標(biāo)準(zhǔn)既要與國(guó)際接軌，更要與我國(guó)現(xiàn)有的政策、法規(guī)、標(biāo)準(zhǔn)、規(guī)范等相一致。編制組在對(duì)標(biāo)準(zhǔn)起草過(guò)程中始終遵循此原則，其內(nèi)容符合我國(guó)已經(jīng)發(fā)布的有關(guān)政策、法律和法規(guī)。編制思路GB17859為我國(guó)信息安全工作的綱領(lǐng)性文件，據(jù)此對(duì)產(chǎn)品進(jìn)行分等級(jí)要求；GB/T18336對(duì)應(yīng)國(guó)際標(biāo)準(zhǔn)《信息技術(shù)安全評(píng)估通用準(zhǔn)則》（即CC），為信息安全產(chǎn)品領(lǐng)域國(guó)際上普遍遵循的標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)引用了其第三部分安全保證要求，并參考了其PP的生成要求；標(biāo)準(zhǔn)格式上依據(jù)GB/T1.1進(jìn)行編制；廣泛征集網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)廠商、信息安全廠商及用戶單位意見(jiàn)。編制的背景2014年，由習(xí)總書(shū)記親自擔(dān)任組長(zhǎng)的中央網(wǎng)絡(luò)安全和信息化建設(shè)領(lǐng)導(dǎo)小組的成立將網(wǎng)絡(luò)安全上升到國(guó)家戰(zhàn)略高度，2017年，《網(wǎng)絡(luò)安全法》正式施行，明確規(guī)定了個(gè)人信息受保護(hù)，并對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)盡的安全義務(wù)提出了法律層面的要求，這使得網(wǎng)絡(luò)安全防護(hù)由自發(fā)自覺(jué)行為上升為應(yīng)盡的義務(wù)范疇，也為信息安全行業(yè)的發(fā)展帶來(lái)了極大的機(jī)遇和挑戰(zhàn)。保障信息安全除了完善的法律規(guī)章、嚴(yán)格的管理制度等要素外，網(wǎng)絡(luò)安全產(chǎn)品則是站在了直接與網(wǎng)絡(luò)犯罪行為針?shù)h相對(duì)的前沿陣地，常見(jiàn)的網(wǎng)絡(luò)安全產(chǎn)品有防火墻、網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品、病毒防治產(chǎn)品、安全審計(jì)產(chǎn)品等，這些產(chǎn)品如果存在質(zhì)量問(wèn)題，不但起不到應(yīng)有的保護(hù)作用，反而可能成為攻擊者的幫兇，直接影響到國(guó)計(jì)民生的方方面面。在這些關(guān)鍵的網(wǎng)絡(luò)安全產(chǎn)品中，網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品提供針對(duì)網(wǎng)絡(luò)應(yīng)用層攻擊的深度檢測(cè)與智能防護(hù)能力，通過(guò)集成專業(yè)的漏洞庫(kù)、病毒庫(kù)和應(yīng)用協(xié)議庫(kù)，實(shí)現(xiàn)針對(duì)系統(tǒng)漏洞攻擊、病毒蠕蟲(chóng)、DDoS攻擊、網(wǎng)頁(yè)篡改、間諜軟件、惡意攻擊、流量異常等威脅的應(yīng)用層深度防護(hù)，提供對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、服務(wù)器等用戶關(guān)鍵設(shè)施的全面保護(hù)。該類產(chǎn)品在政府及企事業(yè)單位中得到了廣泛的應(yīng)用，是網(wǎng)絡(luò)安全中的一個(gè)大類產(chǎn)品。而這類產(chǎn)品的相關(guān)標(biāo)準(zhǔn)的指導(dǎo)、指引意義就顯得非常重要了。2013年，國(guó)標(biāo)委出臺(tái)了國(guó)家標(biāo)準(zhǔn)GB/T20275-2013《信息安全技術(shù)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法》（以下簡(jiǎn)稱GB/T20275-2013）用以統(tǒng)一整個(gè)國(guó)家對(duì)該類產(chǎn)品的設(shè)計(jì)、開(kāi)發(fā)、測(cè)試和評(píng)價(jià)。但由于GB/T20275-2013的頒布時(shí)間較早，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，攻擊行為和攻擊方式不斷變種，對(duì)網(wǎng)絡(luò)、主機(jī)和系統(tǒng)資源安全的威脅不斷增加，對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)產(chǎn)品功能和安全功能的要求不斷提高。當(dāng)前的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在檢測(cè)攻擊行為的技術(shù)方面不再局限于特征匹配和模式識(shí)別，而且探索和致力于動(dòng)態(tài)行為分析和語(yǔ)義感知。該編制時(shí)參考的GB/T18336-2008《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》（以下簡(jiǎn)稱GB/T18336-2008）和GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱GB/T22239-2008）等標(biāo)準(zhǔn)都已更新。此外，標(biāo)準(zhǔn)分級(jí)原則不夠清晰。基于上述多方面的原因，GB/T20275-2013已不能適用于現(xiàn)在的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和國(guó)家安全標(biāo)準(zhǔn)體系的要求，我們需要對(duì)6年前頒布執(zhí)行的國(guó)家標(biāo)準(zhǔn)GB/T20275-2013進(jìn)行修訂、更新，才能夠有效的保障信息網(wǎng)絡(luò)的安全，進(jìn)而支撐國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的全面開(kāi)展和網(wǎng)絡(luò)安全法的有效落地。編制的目的本標(biāo)準(zhǔn)的目標(biāo)是根據(jù)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)產(chǎn)品的新技術(shù)和新特性、最新版的GB/T18336-2015《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》（以下簡(jiǎn)稱GB/T18336-2015），從安全功能要求和安全保障要求等方面，研究修訂網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)產(chǎn)品的安全技術(shù)要求和等級(jí)劃分，形成相應(yīng)的國(guó)家標(biāo)準(zhǔn)。修訂的國(guó)家標(biāo)準(zhǔn)可以給開(kāi)發(fā)廠商進(jìn)行指導(dǎo)，研發(fā)出更貼近市場(chǎng)需要、功能更為完善的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)產(chǎn)品。同時(shí)，通過(guò)對(duì)產(chǎn)品的分級(jí)，來(lái)區(qū)分產(chǎn)品的安全功能強(qiáng)度和安全保障能力。標(biāo)準(zhǔn)也可用于該類產(chǎn)品的研制、開(kāi)發(fā)、測(cè)試、評(píng)估和產(chǎn)品的采購(gòu)，有利于規(guī)范化、統(tǒng)一化。標(biāo)準(zhǔn)主要修訂依據(jù)產(chǎn)品級(jí)別調(diào)整根據(jù)編制組成員單位公安部第三研究所下屬公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心多年在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的銷售許可檢測(cè)工作中和對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)廠商的調(diào)研后獲得的對(duì)產(chǎn)品分級(jí)情況的了解，以及考慮到與網(wǎng)絡(luò)安全等級(jí)保護(hù)體系中的非重要信息系統(tǒng)和重要信息系統(tǒng)的安全需求相對(duì)應(yīng)的考慮，編制組對(duì)GB/T20275-2013中的產(chǎn)品技術(shù)要求的級(jí)別進(jìn)行重新的劃分和調(diào)整，使得新的安全要求和等級(jí)劃分適應(yīng)新的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度相關(guān)標(biāo)準(zhǔn)中“安全區(qū)域邊界——入侵防范”等相關(guān)技術(shù)要求。產(chǎn)品安全功能要求、自身安全保護(hù)要求的修訂隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，攻擊行為和攻擊方式不斷變種，對(duì)網(wǎng)絡(luò)、主機(jī)和系統(tǒng)資源安全的威脅不斷增加、攻擊技術(shù)更加隱蔽，對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)安全功能要求不斷提高，因此編制組增加了修訂GB/T20275-2013的部分安全功能要求。此外，網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0階段的GB/T22239-2019已正式發(fā)布，針對(duì)“安全計(jì)算環(huán)境”中對(duì)網(wǎng)絡(luò)安全設(shè)備自身安全保護(hù)要求的條款，編制組進(jìn)行了嚴(yán)格的梳理和對(duì)照，修訂了GB/T20275-2013的部分自身安全保護(hù)要求，以適應(yīng)于網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0中對(duì)網(wǎng)絡(luò)安全設(shè)備的最新要求。增加IPv6環(huán)境適應(yīng)性要求2017年，中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，隨著聯(lián)網(wǎng)技術(shù)的發(fā)展、尤其是IPv6技術(shù)的推廣，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在IPv6環(huán)境下的工作需求已提上日程，但原國(guó)標(biāo)GB/T20275-2013中并沒(méi)有提出對(duì)在IPv6環(huán)境下工作的技術(shù)要求。因此，編制組在GB/T20275-2013中增加有關(guān)IPv6應(yīng)用環(huán)境支持能力的要求，以滿足產(chǎn)品能在下一代網(wǎng)絡(luò)環(huán)境下正常工作的需求。安全保障要求修訂由于GB/T20275-2013的頒布時(shí)間較早，其編制時(shí)參考的GB/T18336-2008已更新。這樣以來(lái)，使得產(chǎn)品的安全保障要求與最新版的GB/T18336-2015不一致（2015版將“保證”(assurance)改為“保障”、將“6安全保證要求”改為“6安全保障組件”、增加了“6.3組合保障包結(jié)構(gòu)”等）。因此，編制組根據(jù)最新的GB/T18336-2015作為引用參考，對(duì)GB/T20275-2013的安全保障要求進(jìn)行修訂，以使修訂后的GB/T20275在產(chǎn)品安全保障要求方面與現(xiàn)行安全標(biāo)準(zhǔn)體系要求相統(tǒng)一。標(biāo)準(zhǔn)主要內(nèi)容標(biāo)準(zhǔn)結(jié)構(gòu)本標(biāo)準(zhǔn)的編寫(xiě)格式和方法依照GB/T1.1-2009標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫(xiě)規(guī)則。本標(biāo)準(zhǔn)主要結(jié)構(gòu)包括如下內(nèi)容：范圍規(guī)范性引用文件術(shù)語(yǔ)和定義縮略語(yǔ)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)概述安全技術(shù)要求測(cè)試評(píng)價(jià)方法范圍、規(guī)范性引用文件、術(shù)語(yǔ)和定義和縮略語(yǔ)該部分定義了本標(biāo)準(zhǔn)適應(yīng)的范圍，所引用的其它標(biāo)準(zhǔn)情況，及以何種方式引用，術(shù)語(yǔ)和定義部分明確了該標(biāo)準(zhǔn)所涉及的一些術(shù)語(yǔ)。在術(shù)語(yǔ)中明確了“安全事件”、“入侵檢測(cè)”等重要概念。縮略語(yǔ)部分主要列出本標(biāo)準(zhǔn)中用的縮略語(yǔ)全稱及中文解釋。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)概述產(chǎn)品概述中，對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的工作原理、典型架構(gòu)及部署方式等做出了描述。安全技術(shù)要求安全技術(shù)要求是對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)應(yīng)具備的安全功能要求、自身安全保護(hù)要求、環(huán)境適應(yīng)性要求和安全保障要求提出具體要求。其中安全功能要求包括數(shù)據(jù)探測(cè)功能要求、入侵分析功能要求、入侵響應(yīng)功能要求、管理控制功能要求、檢測(cè)結(jié)果處理要求、產(chǎn)品靈活性要求、性能要求等；自身安全保護(hù)要求包括身份鑒別、管理員管理、安全審計(jì)、事件記錄安全、通信安全、升級(jí)安全、運(yùn)行安全等；環(huán)境適應(yīng)性要求支持純IPv6網(wǎng)絡(luò)環(huán)境、IPv6網(wǎng)絡(luò)環(huán)境下自身管理能力和雙協(xié)議棧等；安全保障要求針對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的開(kāi)發(fā)和使用文檔的內(nèi)容提出具體的要求，例如開(kāi)發(fā)、指導(dǎo)性文檔、生命周期支持、測(cè)試、脆弱性評(píng)定等。主要試驗(yàn)[或驗(yàn)證]情況分析公安部第三研究所為本標(biāo)準(zhǔn)的牽頭編制單位，單位下屬的公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心一直從事國(guó)內(nèi)信息安全專用產(chǎn)品的銷售許可檢測(cè)工作，也包括了適用于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的信息安全專用產(chǎn)品。在本標(biāo)準(zhǔn)的編制過(guò)程中，檢測(cè)中心依據(jù)該標(biāo)準(zhǔn)的要求，對(duì)多家廠商所生產(chǎn)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行了驗(yàn)證測(cè)試。根據(jù)驗(yàn)證測(cè)試結(jié)果，對(duì)標(biāo)準(zhǔn)中所提出部分功能指標(biāo)和性能指標(biāo)進(jìn)行了相應(yīng)的調(diào)整。知識(shí)產(chǎn)權(quán)情況說(shuō)明本標(biāo)準(zhǔn)不涉及專利。產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果網(wǎng)絡(luò)安全在我國(guó)處于快速發(fā)展階段，根據(jù)統(tǒng)計(jì)，近2年通過(guò)銷售許可檢測(cè)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)94款。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是以網(wǎng)絡(luò)上的數(shù)據(jù)包作為數(shù)據(jù)源，監(jiān)聽(tīng)所保護(hù)網(wǎng)絡(luò)內(nèi)的所有數(shù)據(jù)包并進(jìn)行分析，從而發(fā)現(xiàn)異常行為的入侵檢測(cè)系統(tǒng)。因?yàn)檫@類產(chǎn)品在網(wǎng)絡(luò)安全中發(fā)揮著及時(shí)發(fā)現(xiàn)入侵行為、有效保護(hù)網(wǎng)絡(luò)安全的重要作用。該類產(chǎn)品在政府及企事業(yè)單位中得到了廣泛的應(yīng)用，是網(wǎng)絡(luò)安全中的一個(gè)大類產(chǎn)品。修訂后的國(guó)家標(biāo)準(zhǔn)能夠更加有效的指導(dǎo)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研發(fā)、生產(chǎn)、選型和采購(gòu)，更加有效的推動(dòng)整個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)產(chǎn)業(yè)鏈的發(fā)展，更加有效的對(duì)國(guó)家的網(wǎng)絡(luò)安全進(jìn)行檢測(cè)和防護(hù)，因此，產(chǎn)業(yè)化具有良好的前景。采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況該項(xiàng)目計(jì)劃在現(xiàn)行國(guó)家標(biāo)準(zhǔn)GB/T20275-2013《信息安全技術(shù)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法》的基礎(chǔ)上，對(duì)其進(jìn)行修訂。該標(biāo)準(zhǔn)可以支撐GB/T25066《信息安全技術(shù)信息安全產(chǎn)品類別與代碼》（修訂報(bào)批稿）中關(guān)于網(wǎng)絡(luò)監(jiān)測(cè)與控制類（B2）中網(wǎng)絡(luò)入侵檢測(cè)類（B201）產(chǎn)品的安全檢測(cè)和認(rèn)證工作。從整個(gè)信息安全產(chǎn)品體系上看，與現(xiàn)有國(guó)家其他標(biāo)準(zhǔn)一起支撐我們國(guó)家網(wǎng)絡(luò)安全產(chǎn)品的標(biāo)準(zhǔn)體系。目前國(guó)際上沒(méi)有和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)產(chǎn)品相關(guān)的標(biāo)準(zhǔn)。與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性該項(xiàng)目計(jì)劃對(duì)現(xiàn)行國(guó)家標(biāo)準(zhǔn)GB/T20275-2013《信息安全技術(shù)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法》進(jìn)行修訂。2017年，《網(wǎng)絡(luò)安全法》正式施行，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)盡的安全義務(wù)提出了法律層面的要求；其中，第二十一條規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)履行的安全保護(hù)義務(wù)就包括“采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施”、第二十六條也規(guī)定了向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息的相關(guān)要求。這些要求中關(guān)于“網(wǎng)絡(luò)入侵”行為的發(fā)現(xiàn)，就需要依靠網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。此外，2017年6月1日，網(wǎng)信辦、公安部、工信部和認(rèn)監(jiān)委聯(lián)合發(fā)布公告《關(guān)于發(fā)布<網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）>的公告》，其中，就網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（IDS）的性能提出了要求。在GB/T25066《信息安全技術(shù)信息安全產(chǎn)品類別與代碼》（修訂報(bào)批稿）中，關(guān)于網(wǎng)絡(luò)監(jiān)測(cè)與控制類（B2）中也有網(wǎng)絡(luò)入侵檢測(cè)（B201）這一大類產(chǎn)品的定義。此外，公安部的32號(hào)令，國(guó)務(wù)院的147號(hào)令中都會(huì)網(wǎng)絡(luò)入侵的及時(shí)檢測(cè)等進(jìn)行了相關(guān)要求。重