GB/T28451—XXXXGB/T28451—XXXX信息安全技術網絡型入侵防御產品技術要求和測試評價方法范圍本文件規定了網絡入侵防御產品的安全技術要求和測試評價方法。本文件適用于網絡入侵防御產品的設計、開發、測試和評價。規范性引用文件下列文件中的內容通過文中的規范化引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2010信息安全技術術語術語和定義GB/T25069-2010中界定的以及下列術語和定義適用于本文件。網絡入侵防御產品network-basedintrusionpreventionsystemproducts網絡入侵防御產品是指以網橋或網關形式部署在網絡通路上，通過分析網絡流量發現具有入侵特征的網絡行為，在其傳入被保護網絡前進行攔截的產品。TCP流重組TCPreassembly攻擊者將發送的攻擊數據分別在一個會話連接中的多個數據包發出，用來躲避入侵防御系統的檢測行為。代碼變形codedeformation攻擊者用其他方式替代原有程序指令并以一種偽隨機的方式結合到一起，用來躲避入侵防御系統的檢測行為。管理員administrator對使用入侵防御產品的授權操作員、安全員、審計員等的統稱。報警alert當入侵防御產品發現有入侵行為時，向用戶發出的緊急通知。誤攔截falseblocking網絡流量中未發生攻擊行為時，網絡入侵防御產品對會話進行攔截的情況。漏攔截missblocking當網絡流量中發生了產品支持的攻擊行為時，入侵防御產品可以實現發現和有效的攔截，但是在一定的背景流量下，卻未實現攔截攻擊的情況。縮略語下列縮略語適用于本文件。ARP地址解析協議 AddressResolutionProtocolDNS域名系統DomainNameSystemFTP文件傳輸協議FileTransferProtocolHTTP超文本傳輸協議HyperTextTransferProtocolICMP網間控制報文協議InternetControlMessageProtocolIP網際協議InternetProtocolNFS網絡文件系統NetworkFileSystemPOP3郵局協議3PostOfficeProtocol3P2P點對點PeertoPeerRPC遠程過程調用RemoteProcedureCallSMB服務器信息塊ServerMessageBlockSMTP簡單郵件傳輸協議SimpleMailTransferProtocolSNMP簡單網絡管理協議SimpleNetworkManagementProtocolTCP傳輸控制協議TransmissionControlProtocolTFTP簡單文件傳輸協議TrivialFileTransferProtocolUDP用戶數據報協議UserDatagramProtocolURL統一資源定位器UniformResourceLocator安全技術要求概述要求分類本文件將網絡入侵防御產品的安全技術要求分為安全功能要求、自身安全保護要求、環境適應性要求和安全保障要求四方面。其中安全功能要求是對產品應具備的安全功能提出的具體要求，包括入侵事件分析功能要求、入侵事件響應功能要求、入侵事件審計功能要求、管理控制功能要求四部分；自身安全保護要求包括標識和鑒別、用戶管理、安全功能保護和安全審計四部分；環境適應性要求提出了產品支持IPv6網絡環境進行工作和管理的要求；安全保障要求針對產品的生命周期過程提出具體的要求，包括開發、指導性文檔、生命周期支持和測試等。安全等級本文件將網絡入侵防御產品的安全等級分為基本級和增強級，如表1、表2、表3、表4、表5所示。安全功能與自身安全保護的強弱、以及安全保障要求的高低是等級劃分的具體依據，安全等級突出安全特性。與基本級內容相比，增強級中要求有所增加或變更的內容在正文中通過“宋體加粗”表示。環境適應性要求和性能要求覆蓋兩個等級，不做區分。安全功能要求等級劃分表安全功能要求基本級增強級入侵事件分析功能要求數據收集**流量分析**入侵發現**入侵躲避發現**流量監測**流量控制——*入侵事件處理功能要求攔截能力**安全告警**告警方式**事件合并——*入侵事件審計功能要求事件生成**事件記錄**報表生成——*報表查閱——*報表輸出——*報表模板定制——*攻擊數據留存——*管理控制功能要求管理界面**入侵事件庫**事件級別**事件自定義——*協議自定義——*通用接口——*硬件失效處理**設備冗余——*策略配置**產品升級**管理接口獨立**日志外發——*“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用。自身安全保護要求等級劃分表自身安全保護要求基本級增強級標識和鑒別用戶鑒別**鑒別失敗的處理***鑒別數據保護**超時鎖定——*多鑒別機制——*用戶管理標識唯一性**用戶屬性定義**角色分級——*安全功能保護安全數據管理**升級安全**數據存儲告警——*自我隱藏——*配置備份恢復——*安全審計審計數據生成——*審計查閱——*受限的審計查閱——*“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用。性能要求等級劃分表性能要求基本級增強級混合應用層吞吐量**TCP新建連接速率**TCP并發連接速**誤攔截**漏攔截**“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用。環境適應性要求等級劃分表環境適應性要求基本級增強級支持純IPv6網絡環境**IPv6網絡環境下自身管理**雙協議棧**“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用。安全保障要求等級劃分表安全保障要求基本級增強級開發安全架構**功能規范***實現表示——*產品設計***指導性文檔操作用戶指南**準備程序**生命周期支持配置管理能力***配置管理范圍***交付程序**開發安全——*生命周期定義——*工具和技術——*測試測試覆蓋***測試深度——*功能測試**獨立測試**脆弱性評定***“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用。基本級安全要求安全功能要求入侵事件分析功能要求數據收集入侵防御產品應具有實時收集流入目標網絡內所有數據包的能力。流量分析入侵防御產品應對收集的數據包按不同協議進行流量分析。入侵發現入侵防御產品應能發現網絡流量中的入侵行為，支持的入侵行為類型應包括流量監聽與劫持攻擊、錯誤及弱配置攻擊、緩沖區溢出攻擊、木馬攻擊、拒絕服務攻擊等。入侵躲避發現入侵防御產品應能發現躲避檢測的行為，如IP碎片重組，TCP流重組，協議端口重定位，URL字符串變形，shell代碼變形等。流量監測入侵防御產品應對目標環境中的流量進行監測。入侵事件處理功能要求攔截能力入侵防御產品應對發現的入侵行為進行攔截，防止入侵行為進入目標網絡。安全告警入侵防御產品應在發現并攔截入侵行為時，采取相應動作發出安全警告。告警方式入侵防御產品的告警方式宜采取屏幕實時提示、E-mail告警、聲音告警等一種或多種方式。入侵事件審計功能要求事件生成入侵防御產品應能對攔截行為生成審計記錄。事件記錄入侵防御產品應記錄并保存攔截到的入侵事件日志。入侵事件日志的信息應至少包含以下內容：攻擊種類描述、事件名稱、事件發生日期時間、源IP地址、源端口、目的IP地址、目的端口、危害等級，攻擊者的地理位置信息等。管理控制功能要求管理界面入侵防御產品應提供用戶界面用于管理、配置入侵防御產品。管理配置界面應包含配置和管理產品所需的所有功能。入侵事件庫入侵防御產品應提供入侵事件庫，事件庫應包括事件名稱、通用漏洞編號、詳細描述定義（例如：特征定義、觸發機制）、處置建議等。事件級別入侵防御產品應按照事件的嚴重程度對事件進行分級，以使授權管理員能從大量的信息中捕捉到危險的事件。硬件失效處理入侵防御產品應提供硬件失效處理機制，當設備硬件無法正常工作的時候，能保證網絡聯通。策略配置入侵防御產品應提供對入侵防御策略、響應措施進行配置的功能。產品升級入侵防御產品應具備更新、升級產品版本和事件庫的功能，可不斷拓展對新型威脅類型、惡意代碼等支持。管理接口獨立入侵防御產品應具備獨立的管理接口。自身安全保護要求標識和鑒別用戶鑒別入侵防御產品應在用戶執行任何與安全功能相關的操作之前對用戶進行鑒別。鑒別失敗的處理入侵防御產品應在用戶鑒別嘗試失敗連續達到指定次數后，阻止用戶進一步進行嘗試。鑒別數據保護入侵防御產品應保護鑒別數據不被未授權查閱和修改。用戶管理標識唯一性入侵防御產品應保證所設置的用戶標識全局唯一。用戶屬性定義入侵防御產品應為每一個用戶保存安全屬性表，屬性應包括：用戶標識、鑒別數據、授權信息或用戶組信息、其它安全屬性等。安全功能保護安全數據管理入侵防御產品應僅限于指定的授權用戶訪問事件數據，禁止其他用戶對事件數據的操作。升級安全入侵防御產品應確保事件庫和版本升級時的安全，通過完整性校驗機制保證升級包的安全性。安全保障要求開發安全架構開發者應提供產品安全功能和自身安全保護的安全架構描述，安全架構描述應滿足以下要求：與產品設計文檔中對安全功能和自身安全保護實施抽象描述的級別一致；描述與安全功能和自身安全保護要求一致的產品安全功能和自身安全保護的安全域；描述產品安全功能和自身安全保護初始化過程為何是安全的；證實產品安全功能和自身安全保護能夠防止被破壞；證實產品安全功能和自身安全保護能夠防止安全特性被旁路。功能規范開發者應提供完備的功能規范說明，功能規范說明應滿足以下要求：完全描述產品的安全功能和自身安全保護；描述所有安全功能和自身安全保護接口的目的與使用方法；標識和描述每個安全功能和自身安全保護接口相關的所有參數；描述安全功能和自身安全保護接口相關的安全功能和自身安全保護實施行為；描述由安全功能和自身安全保護實施行為處理而引起的直接錯誤消息；證實安全功能和自身安全保護要求到安全功能和自身安全保護接口的追溯。產品設計開發者應提供產品設計文檔，產品設計文檔應滿足以下要求：根據子系統描述產品結構；標識和描述產品安全功能和自身安全保護的所有子系統；描述安全功能和自身安全保護所有子系統間的相互作用；提供的映射關系能夠證實設計中描述的所有行為能夠映射到調用它的安全功能和自身安全保護接口。指導性文檔操作用戶指南開發者應提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致，對每一種用戶角色的描述應滿足以下要求：描述在安全處理環境中被控制的用戶可訪問的功能和特權，包含適當的警示信息；描述如何以安全的方式使用產品提供的可用接口；描述可用功能和接口，尤其是受用戶控制的所有安全參數；明確說明與需要執行的用戶可訪問功能有關的每一種安全相關事件，包括改變安全功能和自身安全保護所控制實體的安全特性；標識產品運行的所有可能狀態（包括操作導致的失敗或者操作性錯誤），以及它們與維持安全運行之間的因果關系和聯系；充分實現安全目的所執行的安全策略。準備程序開發者應提供產品及其準備程序，準備程序描述應滿足以下要求：描述與開發者交付程序相一致的安全接收所交付產品必需的所有步驟；描述安全安裝產品及其運行環境必需的所有步驟。生命周期支持配置管理能力開發者的配置管理能力應滿足以下要求：為產品的不同版本提供唯一的標識；使用配置管理系統對組成產品的所有配置項進行維護，并唯一標識配置項；提供配置管理文檔，配置管理文檔描述用于唯一標識配置項的方法。配置管理范圍開發者應提供產品配置項列表，并說明配置項的開發者。配置項列表至少包含產品、安全保障要求的評估證據和產品的組成部分。交付程序開發者應使用一定的交付程序交付產品，并將交付過程文檔化。在給用戶方交付產品的各版本時，交付文檔應描述為維護安全所必需的所有程序。測試測試覆蓋開發者應提供測試覆蓋文檔，測試覆蓋描述應表明測試文檔中所標識的測試與功能規范中所描述的產品的安全功能和自身安全保護間的對應性。功能測試開發者應測試產品安全功能和自身安全保護，將結果文檔化并提供測試文檔。測試文檔應包括以下內容：測試計劃，標識要執行的測試，并描述執行每個測試的方案，這些方案包括對于其它測試結果的任何順序依賴性；預期的測試結果，表明測試成功后的預期輸出；實際測試結果和預期的測試結果的對比。獨立測試開發者應提供一組與其自測安全功能和自身安全保護時使用的同等資源，以用于安全功能和自身安全保護的抽樣測試。脆弱性評定基于已標識的潛在脆弱性，產品應能抵抗具有基本攻擊潛力的攻擊者的攻擊。增強級安全要求安全功能要求入侵事件分析功能要求數據收集入侵防御產品應具有實時收集流入目標網絡內所有數據包的能力。流量分析入侵防御產品應對收集的數據包按不同協議進行流量分析。入侵發現入侵防御產品應能發現網絡流量中的入侵行為，支持的入侵行為類型應包括流量監聽與劫持攻擊、錯誤及弱配置攻擊、緩沖區溢出攻擊、木馬攻擊、拒絕服務攻擊等。入侵躲避發現入侵防御產品應能發現躲避檢測的行為，如IP碎片重組，TCP流重組，協議端口重定位，URL字符串變形，shell代碼變形等。流量監測入侵防御產品應對目標環境中的流量進行監測。流量控制入侵防御產品應具備對流量進行控制的功能。入侵事件處理功能要求攔截能力入侵防御產品應對發現的入侵行為進行攔截，防止入侵行為進入目標網絡。安全告警入侵防御產品應在發現并攔截入侵行為時，采取相應動作發出安全警告。告警方式入侵防御產品的告警方式宜采取屏幕實時提示、E-mail告警、聲音告警等一種或多種方式。事件合并入侵防御產品應具有對高頻度發生的相同安全事件進行合并告警，避免出現告警風暴的能力。入侵事件審計功能要求事件生成入侵防御產品應能對攔截行為生成審計記錄。事件記錄入侵防御產品應記錄并保存攔截到的入侵事件日志。入侵事件日志的信息應至少包含以下內容：攻擊種類描述、事件名稱、事件發生日期時間、源IP地址、源端口、目的IP地址、目的端口、危害等級，攻擊者的地理位置信息等。報表生成入侵防御產品應能生成入侵事件審計結果報表。報表輸出入侵防御產品應支持管理員按照自己的要求修改和定制報表內容，并輸出成方便閱讀的文件格式，至少支持以下報表文件格式中的一種或多種：DOC，PDF，HTML，XLS等。報表模板定制入侵防御產品應提供結果報表模板的定制功能。攻擊數據留存入侵防御產品在檢測到攻擊行為的同時，應能夠成功捕獲攻擊報文并且以一定通用格式存儲，便于對攻擊行為進行取證和溯源。管理控制功能要求管理界面入侵防御產品應提供用戶界面用于管理、配置入侵防御產品。管理配置界面應包含配置和管理產品所需的所有功能。入侵事件庫入侵防御產品應提供入侵事件庫，事件庫應包括事件名稱、通用漏洞編號、詳細描述定義（例如：特征定義、觸發機制）、處置建議等。事件級別入侵防御產品應按照事件的嚴重程度對事件進行分級，以使授權管理員能從大量的信息中捕捉到危險的事件。事件自定義入侵防御產品應允許授權管理員自定義事件。協議自定義入侵防御產品除支持默認的網絡協議集外，還應允許授權管理員定義新的協議，或對協議的端口進行重新定位。通用接口入侵防御產品應提供對外的通用接口，以便與其它安全設備共享信息或規范化管理。硬件失效處理入侵防御產品應提供硬件失效處理機制，當設備硬件無法正常工作的時候，能保證網絡聯通。設備冗余入侵防御產品應支持雙機熱備的能力。策略配置入侵防御產品應提供對入侵防御策略、響應措施進行配置的功能。產品升級入侵防御產品應具備更新、升級產品版本和事件庫的功能，可不斷拓展對新型威脅類型、惡意代碼等支持。管理接口獨立入侵防御產品應具備獨立的管理接口。日志外發產品應至少采用一個標準的、開放的接口，可將日志信息和攻擊防御信息外發至指定系統或者產品，供其他系統或者產品進一步進行分析使用。自身安全保護要求標識和鑒別用戶鑒別入侵防御產品應在用戶執行任何與安全功能相關的操作之前對用戶進行鑒別。鑒別失敗的處理入侵防御產品應在用戶鑒別嘗試失敗連續達到指定次數后，阻止用戶進一步進行嘗試，并將有關信息生成審計事件。最多失敗次數僅由授權管理員設定。鑒別數據保護入侵防御產品應保護鑒別數據不被未授權查閱和修改。超時鎖定入侵防御產品應具有管理員登錄超時重新鑒別功能。在設定的時間段內沒有任何操作的情況下，中止或者鎖定會話，需要再次進行身份鑒別才能夠重新管理產品。最大超時時間僅由授權管理員設定。多鑒別機制入侵防御產品應提供多種鑒別方式，或者允許授權管理員執行自定義的鑒別措施，以實現多重身份鑒別措施。多鑒別機制應同時使用。用戶管理標識唯一性入侵防御產品應保證所設置的用戶標識全局唯一。用戶屬性定義入侵防御產品應為每一個用戶保存安全屬性表，屬性應包括：用戶標識、鑒別數據、授權信息或用戶組信息、其它安全屬性等。角色分級入侵防御產品應為管理角色進行分級，不同級別的管理角色具有不同的管理權限，以增加入侵防御產品管理的安全性。安全功能保護安全數據管理入侵防御產品應僅限于指定的授權用戶訪問事件數據，禁止其他用戶對事件數據的操作。升級安全入侵防御產品應確保事件庫和版本升級時的安全，通過完整性校驗機制保證升級包的安全性。遠程管理安全入侵防御產品若采用遠程管理，應采用一定的安全技術措施保證管理端與產品之間的通訊數據安全。非明文傳輸。數據存儲告警入侵防御產品應提供足夠的存儲空間，至少可保存六個月以上的入侵事件日志記錄；當發生數據存儲器空間將耗盡等情況時，自動產生告警，并采取措施避免事件數據丟失。產生告警的剩余存儲空間大小應由管理員自主設定。自我隱藏入侵防御產品應至少提供網橋方式的接入方式，采取隱藏IP地址等措施使自身在網絡上不可見，以降低被攻擊的可能性。配置備份恢復入侵防御產品應具備對配置文件的備份恢復功能。安全審計審計數據生成入侵防御產品應至少為下述可審計事件產生審計記錄：試圖登錄入侵防御產品管理端口和管理身份鑒別請求；所有對安全策略更改的操作；修改安全屬性的所有嘗試。應在每個審計記錄中至少記錄如下信息：事件的日期和時間，事件類型，主體身份，事件的結果（成功或失敗）等。審計查閱入侵防御產品應為授權管理員提供從審計記錄中讀取全部審計信息的功能，并可對審計記錄進行排序。受限的審計查閱除了具有明確的讀訪問權限的授權管理員之外，入侵防御產品應禁止非授權用戶對審計記錄的讀訪問。安全保障要求開發安全架構開發者應提供產品安全功能和自身安全保護的安全架構描述，安全架構描述應滿足以下要求：與產品設計文檔中對安全功能和自身安全保護實施抽象描述的級別一致；描述與安全功能和自身安全保護要求一致的產品安全功能和自身安全保護的安全域；描述產品安全功能和自身安全保護初始化過程為何是安全的；證實產品安全功能和自身安全保護能夠防止被破壞；證實產品安全功能和自身安全保護能夠防止安全特性被旁路。功能規范開發者應提供完備的功能規范說明，功能規范說明應滿足以下要求：完全描述產品的安全功能和自身安全保護；描述所有安全功能和自身安全保護接口的目的與使用方法；標識和描述每個安全功能和自身安全保護接口相關的所有參數；描述安全功能和自身安全保護接口相關的安全功能和自身安全保護實施行為；描述由安全功能和自身安全保護實施行為處理而引起的直接錯誤消息；證實安全功能和自身安全保護要求到安全功能和自身安全保護接口的追溯；描述安全功能和自身安全保護實施過程中，與安全功能和自身安全保護接口相關的所有行為；描述可能由安全功能和自身安全保護接口的調用而引起的所有直接錯誤消息。實現表示開發者應提供全部安全功能和自身安全保護的實現表示，實現表示應滿足以下要求：提供產品設計描述與實現表示實例之間的映射，并證明其一致性；按詳細級別定義產品安全功能和自身安全保護，詳細程度達到無須進一步設計就能生成安全功能和自身安全保護的程度；以開發人員使用的形式提供。產品設計開發者應提供產品設計文檔，產品設計文檔應滿足以下要求：根據子系統描述產品結構；標識和描述產品安全功能和自身安全保護的所有子系統；描述安全功能和自身安全保護所有子系統間的相互作用；提供的映射關系能夠證實設計中描述的所有行為能夠映射到調用它的安全功能和自身安全保護接口；根據模塊描述安全功能和自身安全保護；提供安全功能和自身安全保護子系統到模塊間的映射關系；描述所有安全功能和自身安全保護實現模塊，包括其目的及與其它模塊間的相互作用；描述所有實現模塊的安全功能和自身安全保護要求相關接口、其它接口的返回值、與其它模塊間的相互作用及調用的接口；描述所有安全功能和自身安全保護的支撐或相關模塊，包括其目的及與其它模塊間的相互作用。指導性文檔操作用戶指南開發者應提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致，對每一種用戶角色的描述應滿足以下要求：描述在安全處理環境中被控制的用戶可訪問的功能和特權，包含適當的警示信息；描述如何以安全的方式使用產品提供的可用接口；描述可用功能和接口，尤其是受用戶控制的所有安全參數；明確說明與需要執行的用戶可訪問功能有關的每一種安全相關事件，包括改變安全功能和自身安全保護所控制實體的安全特性；標識產品運行的所有可能狀態（包括操作導致的失敗或者操作性錯誤），以及它們與維持安全運行之間的因果關系和聯系；充分實現安全目的所執行的安全策略。準備程序開發者應提供產品及其準備程序，準備程序描述應滿足以下要求：描述與開發者交付程序相一致的安全接收所交付產品必需的所有步驟；描述安全安裝產品及其運行環境必需的所有步驟。生命周期支持配置管理能力開發者的配置管理能力應滿足以下要求：為產品的不同版本提供唯一的標識；使用配置管理系統對組成產品的所有配置項進行維護，并唯一標識配置項；提供配置管理文檔，配置管理文檔描述用于唯一標識配置項的方法；配置管理系統提供一種自動方式來支持產品的生成，通過該方式確保只能對產品的實現表示進行已授權的改變；配置管理文檔包括一個配置管理計劃，配置管理計劃描述如何使用配置管理系統開發產品。實施的配置管理與配置管理計劃相一致；配置管理計劃描述用來接受修改過的或新建的作為產品組成部分的配置項的程序。配置管理范圍開發者應提供產品配置項列表，并說明配置項的開發者。配置項列表應包含以下內容：產品、安全保障要求的評估證據和產品的組成部分；實現表示、安全缺陷報告及其解決狀態。交付程序開發者應使用一定的交付程序交付產品，并將交付過程文檔化。在給用戶方交付產品的各版本時，交付文檔應描述為維護安全所必需的所有程序。開發安全開發者應提供開發安全文檔。開發安全文檔應描述在產品的開發環境中，為保護產品設計和實現的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。生命周期定義開發者應建立一個生命周期模型對產品的開發和維護進行的必要控制，并提供生命周期定義文檔描述用于開發和維護產品的模型。工具和技術開發者應明確定義用于開發產品的工具，并提供開發工具文檔無歧義地定義實現中每個語句的含義和所有依賴于實現的選項的含義。測試測試覆蓋開發者應提供測試覆蓋文檔，測試覆蓋描述應滿足以下要求：表明測試文檔中所標識的測試與功能規范中所描述的產品的安全功能和自身安全保護間的對應性；表明上述對應性是完備的，并證實功能規范中的所有安全功能和自身安全保護接口都進行了測試。測試深度開發者應提供測試深度的分析。測試深度分析描述應滿足以下要求：證實測試文檔中的測試與產品設計中的安全功能和自身安全保護子系統和實現模塊之間的一致性；證實產品設計中的所有安全功能和自身安全保護子系統、實現模塊都已經進行過測試。功能測試開發者應測試產品安全功能和自身安全保護，將結果文檔化并提供測試文檔。測試文檔應包括以下內容：測試計劃，標識要執行的測試，并描述執行每個測試的方案，這些方案包括對于其它測試結果的任何順序依賴性；預期的測試結果，表明測試成功后的預期輸出；實際測試結果和預期的測試結果的對比。獨立測試開發者應提供一組與其自測安全功能和自身安全保護時使用的同等資源，以用于安全功能和自身安全保護的抽樣測試。脆弱性評定基于已標識的潛在脆弱性，產品應能抵抗具有中等攻擊潛力的攻擊者的攻擊。性能要求混合應用層吞吐量網絡入侵防御產品的應用層吞吐量視不同速率的產品有所不同，開啟入侵攻擊防護功能的情況下，具體指標要求如下：百兆產品混合應用層吞吐量應不小于80Mbps；千兆產品混合應用層吞吐量應不小于800Mbps；萬兆產品混合應用層吞吐量應不小于8Gbps；針對高性能的萬兆產品，整機混合應用層吞吐量至少達到20Gbps。TCP新建連接速率網絡入侵防御產品的TCP新建連接速率視不同速率的產品有所不同，具體指標要求如下：百兆產品的TCP新建連接速率應不小于1500個/s；千兆產品的TCP新建連接速率應不小于5000個/s；萬兆產品的新建連接數速率應不小于50000個/s；針對高性能的萬兆產品，整機新建連接數速率應不小于250000個/s。TCP并發連接數網絡入侵防御產品的TCP并發連接數視不同速率的產品有所不同，具體指標要求如下：百兆產品的并發連接數應不小于50000個；千兆產品的并發連接數應不小于200000個；萬兆產品的并發連接數應不小于2000000個；針對高性能的萬兆產品，整機并發連接數至少達到5000000個。誤攔截在正常背景流量條件下，入侵防御產品的誤攔截率應不超過5%。漏攔截在正常背景流量和可識別的入侵行為流量混合條件下，入侵防御產品的漏攔截率應不超過20%。環境適應性要求（有則適用）支持純IPv6網絡環境產品應支持純IPv6網絡環境，能夠在純IPv6網絡環境下正常工作，實現在目標網絡環境下的攻擊識別和攔截。IPv6網絡環境下自身管理產品應支持在IPv6網絡環境下的自身管理，實現對產品的管理操作。雙協議棧產品應支持IPv4/IPv6雙棧網絡環境，能夠在IPv4/IPv6雙棧網絡環境下正常工作，實現在目標網絡環境下的攻擊識別和攔截。測試評價方法測試環境入侵防御產品測試的典型網絡環境示意圖如下圖1所示。入侵防御產品測試環境示意圖測試設備包括測試所需的交換機、入侵流量仿真設備、流量仿真設備以及入侵防御產品控制臺等。其中，入侵流量仿真設備、流量仿真設備可為多臺模擬正常流量計算機、模擬攻擊源計算機和被攻擊計算機，也可以是專用測試設備。測試工具可用的測試工具包括但不限于：專用的網絡性能分析儀生成網絡背景流量；網絡數據包獲取軟件進行包回放；掃描工具和攻擊工具包。基本級測試評價方法安全功能要求測試入侵事件分析功能測試數據收集數據收集測試：測試評價方法：檢測入侵防御產品是否能夠以網橋或網關方式正確接入網絡，具備實時收集流入受保護網段內的數據包的能力。測試評價結果：入侵防御產品應能夠以網橋或網關方式接入網絡；入侵防御產品應能夠獲取足夠的網絡數據包以分析入侵事件。流量分析流量分析測試：測試評價方法：查看入侵防御產品的安全策略配置文檔，檢查安全事件的描述是否具有協議類型等屬性；檢查產品說明書，查找關于流量分析方法的說明，按照產品所聲明的流量分析類型，抽樣生成協議事件，組成攻擊事件測試集；配置產品的入侵防御策略為最大策略集；發送攻擊事件測試集中的所有事件，記錄產品的檢測結果。測試評價結果：記錄產品攔截入侵的相應攻擊名稱和類型；產品說明書中聲稱能夠監視的協議事件主要包括以下類型：ARP、ICMP、IP、TCP、UDP、RPC、HTTP、FTP、TFTP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS、SMB、P2P等，抽樣測試應未發現矛盾之處；列舉產品支持的所有入侵分析方法。入侵發現入侵發現測試：測試評價方法：配置入侵防御產品的入侵防御策略為最大策略集；模擬發送覆蓋流量監聽與劫持攻擊、錯誤及弱配置攻擊、緩沖區溢出攻擊、木馬攻擊、拒絕服務攻擊等多種不同類型的攻擊事件，檢查是否能夠發現攻擊事件。測試評價結果：入侵防御產品應能發現所測入侵行為。入侵躲避發現入侵躲避發現測試：測試評價方法：利用入侵檢測躲避工具進行攻擊，測試入侵防御產品是否對入侵事件進行攔截；將入侵事件的協議端口進行重定位，檢查入侵防御產品是否對入侵事件進行攔截。測試評價結果：入侵防御產品能夠攔截經過分片、亂序之后的入侵事件；入侵防御產品能夠正確地攔截經過躲避處理的HTTP入侵事件；入侵防御產品能夠對重定位協議端口之后的入侵事件進行攔截。流量監測流量監測測試：測試評價方法：開啟入侵防御產品的流量監測功能，定義流量事件，查看流量顯示界面；對某一服務器發起大流量的訪問，如ftp；對特定的端口（如80端口）發起大流量訪問。測試評價結果：可以顯示出各種流量信息；可以顯示出大流量的服務器（如ftp流量）；列舉提供的流量監測內容。入侵事件處理功能測試攔截能力攔截能力測試：測試評價方法：選擇具有不同特征的多個事件組成攻擊事件測試集（不少于產品支持的攻擊事件庫的30%），測試入侵防御產品的防御能力。選取的事件應包括：木馬后門類事件、拒絕服務類事件、緩沖區溢出類事件以及其它具有代表性的網絡攻擊事件，模擬入侵攻擊行為；配置入侵防御產品的入侵防御策略為最大策略集；發送攻擊事件測試集中的所有事件，記錄測試結果。測試評價結果：能夠對入侵行為進行成功攔截；應能記錄所攔截入侵的相應攻擊。安全告警安全告警測試：測試評價方法：從已有的事件庫中選擇具有不同特征的多個事件，組成攻擊事件測試集。模擬入侵攻擊行為；觸發產品的入侵防御策略中特定的安全事件，查看是否有攔截告警信息；查看告警事件的信息。測試評價結果：可以顯示告警信息；事件的詳細解釋應能便于理解。告警方式告警方式測試：測試評價方法：打開菜單，查看產品告警方式的選擇；依次選擇各種告警方式，測試是否能夠按照指定的方法告警。測試評價結果：可以采取屏幕實時提示、聲音告警、SNMPtrap消息、E-mail告警、運行指定應用程序等告警方式中的一種或多種。記錄并列出所有告警方式。入侵事件審計功能測試事件生成事件生成測試：測試評價方法：登錄控制臺界面；檢查管理界面，是否可以清晰地查看到入侵事件的攔截情況；測試評價結果：具有查看入侵攔截事件的顯示界面；顯示界面具備清晰的功能區域，可顯示所攔截事件的詳細信息。事件記錄事件記錄測試：測試評價方法：登錄控制臺界面；在顯示界面上查看所記錄的攔截事件的詳細信息；測試評價結果：顯示界面上顯示的攔截事件詳細信息應包括事件名稱、事件發生日期時間、源IP地址、源端口、目的IP地址、目的端口、危害等級等。管理控制功能測試管理界面管理界面測試：測試評價方法：登錄控制臺管理界面；查看用戶界面的功能，包括管理配置界面、報警顯示界面等。測試評價結果：具備獨立的控制臺；具有配置和管理產品所有功能的管理界面和劃分清晰功能區域的報警顯示界面。入侵事件庫入侵事件庫測試：測試評價方法：檢查入侵防御產品是否對入侵事件進行系統陳述，對事件進行命名以及詳細描述定義。測試評價結果：入侵防御產品應對所有支持的入侵事件具有命名和詳細的描述定義；詳細描述為人理解，不產生歧義。事件級別事件分級測試：測試評價方法：檢查入侵事件庫中是否對每個事件都有分級信息。測試評價結果：事件庫的所有事件都具有分級信息。硬件失效處理硬件失效處理測試：測試評價方法：檢查入侵防御產品具備何種硬件失效處理機制；測試評價結果：對于產品硬件失效時，應不影響網絡的通暢；策略配置策略配置測試：測試評價方法：打開菜單，查看產品提供的默認策略；查看是否允許編輯或修改生成新的策略；查看是否可以編輯或修改各策略的響應措施。測試評價結果：產品應提供默認的策略，并可以直接應用；應允許用戶編輯策略；具有供用戶編輯策略的向導功能；支持策略的導入、導出；應允許用戶編輯策略的不同響應措施；記錄產品提供的策略種類和名稱。產品升級產品升級測試：測試評價方法：檢查入侵防御產品的版本和入侵特征庫的升級方式。測試評價結果：入侵防御產品程序版本和入侵特征庫可以進行手動或自動的在線升級；升級的過程中入侵防御產品仍可以正常攔截事件。管理接口獨立管理接口獨立測試：測試評價方法：檢查入侵防御產品是否配備進行產品管理和網絡數據通訊攔截的物理接口。測試評價結果：產品的管理接口和網絡數據通訊攔截接口是不同的接口，且均能正常工作。自身安全保護要求測試標識和鑒別用戶鑒別用戶鑒別測試：測試評價方法：登錄入侵防御產品，檢查是否在執行所有功能之前要求首先進行身份認證。測試評價結果：在用戶執行任何與安全功能相關的操作之前都應對用戶進行鑒別；登錄之前允許做的操作，應僅限于輸入登錄信息、查看登錄幫助等操作；允許用戶在登錄后執行與其安全功能相關的各類操作時，不再重復認證。鑒別失敗的處理鑒別失敗的處理測試：測試評價方法：檢查入侵防御產品的安全功能是否可定義用戶鑒別嘗試的最大允許失敗次數；檢查產品的安全功能是否可定義當用戶鑒別嘗試失敗連續達到指定次數后，采取相應的措施；嘗試多次失敗的用戶鑒別行為，檢查到達指定的鑒別失敗次數后，入侵防御產品是否采取了相應的措施。檢查日志記錄中是否包括用戶或者登錄IP被鎖定等鑒別失敗處理措施的審計信息。測試評價結果：入侵防御產品應具備定義用戶鑒別嘗試的最大允許失敗次數的功能；入侵防御產品應定義當用戶鑒別嘗試失敗連續達到指定次數后，采取相應的措施；當用戶鑒別嘗試失敗連續達到指定次數后，入侵防御產品應阻止用戶進一步嘗試（如鎖定該用戶或者登錄IP）。最多失敗次數僅由授權管理員設定，日志記錄中應包括鑒別失敗處理措施的審計信息。鑒別數據保護鑒別數據保護測試：測試評價方法：檢查入侵防御產品是否僅允許指定的授權用戶查閱或修改身份鑒別數據。測試評價結果：入侵防御產品應僅允許指定的授權用戶查閱或修改身份鑒別數據。用戶管理標識唯一性標識唯一性測試：測試評價方法：檢查入侵防御產品的安全功能是否保證所定義的用戶標識全局唯一。測試評價結果：入侵防御產品應允許定義多個用戶；應保證每一個用戶標識是全局唯一的，不允許一個用戶標識用于多個用戶。用戶屬性定義用戶屬性定義測試：測試評價方法：定義分屬于不同角色的多個用戶，檢查輸入的用戶信息是否都能被保存。測試評價結果：入侵防御產品應為每一個用戶保存其安全屬性，包括：用戶標識、鑒別數據（如密碼）、授權信息或用戶組信息、其它安全屬性等。輸入的用戶信息無丟失現象發生。安全功能保護安全數據管理安全數據管理測試：測試評價方法：模擬授權與非授權用戶訪問事件數據，入侵防御產品安全功能是否僅允許授權用戶訪問事件數據。測試評價結果：入侵防御產品應限制對事件數據的訪問。除了具有明確的訪問權限的授權用戶之外，入侵防御產品應禁止所有其它用戶對事件數據的訪問。升級安全升級安全測試：測試評價方法：嘗試用產品所允許的各種方法升級事件庫和產品軟件版本，檢查升級過程是否正常；檢查升級包的完整性保護措施，嘗試破壞其完整性；檢查經過篡改后的審計包是否可以正常升級。測試評價結果：入侵防御產品能夠利用其提供的各種方法正常升級事件庫和產品軟件版本；開發者文檔中提供了為事件庫和版本升級安全所采取措施的詳細描述；列舉產品提供的事件庫和版本升級手段。安全保障測試開發安全架構安全架構的測試評價方法如下：測試方法：檢查開發者是否提供以下安全架構的證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：與產品設計文檔中對安全功能和自身安全保護實施抽象描述的級別一致；描述與安全功能和自身安全保護要求一致的產品安全功能和自身安全保護的安全域；描述產品安全功能和自身安全保護初始化過程為何是安全的；證實產品安全功能和自身安全保護能夠防止被破壞；證實產品安全功能和自身安全保護能夠防止安全特性被旁路。預期結果：開發者提供的信息應滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。功能規范功能規范的測試評價方法如下：測試方法：檢查開發者是否提供以下功能規范的證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：完全描述產品的安全功能和自身安全保護；描述所有安全功能和自身安全保護接口的目的與使用方法；標識和描述每個安全功能和自身安全保護接口相關的所有參數；描述安全功能和自身安全保護接口相關的安全功能和自身安全保護實施行為；描述由安全功能和自身安全保護實施行為處理而引起的直接錯誤消息；證實安全功能和自身安全保護要求到安全功能和自身安全保護接口的追溯。預期結果：開發者提供的信息應滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。產品設計產品設計的測試評價方法如下：測試方法：檢查開發者是否提供以下產品設計的證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：根據子系統描述產品結構；標識和描述產品安全功能和自身安全保護的所有子系統；描述安全功能和自身安全保護所有子系統間的相互作用；提供的映射關系能夠證實設計中描述的所有行為能夠映射到調用它的安全功能和自身安全保護接口。預期結果：開發者提供的信息應滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。指導性文檔操作用戶指南操作用戶指南的測試評價方法如下：測試方法：檢查開發者是否提供明確和合理的操作用戶指南，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：描述在安全處理環境中被控制的用戶可訪問的功能和特權，包含適當的警示信息；描述如何以安全的方式使用產品提供的可用接口；描述可用功能和接口，尤其是受用戶控制的所有安全參數；明確說明與需要執行的用戶可訪問功能有關的每一種安全相關事件，包括改變安全功能和自身安全保護所控制實體的安全特性；標識產品運行的所有可能狀態（包括操作導致的失敗或者操作性錯誤），以及它們與維持安全運行之間的因果關系和聯系；充分實現安全目的所執行的安全策略。預期結果：開發者提供的信息應滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。準備程序準備程序的測試評價方法如下：測試方法：檢查開發者是否提供以下準備程序的證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：描述與開發者交付程序相一致的安全接收所交付產品必需的所有步驟；描述安全安裝產品及其運行環境必需的所有步驟。預期結果：開發者提供的信息應滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。生命周期支持配置管理能力配置管理能力的測試評價方法如下：測試方法：檢查開發者是否提供以下配置管理能力的證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：檢查開發者是否為不同版本的產品提供唯一的標識；現場檢查配置管理系統是否對所有的配置項作出唯一的標識，且配置管理系統是否對配置項進行了維護；檢查開發者提供的配置管理文檔，是否描述了對配置項進行唯一標識的方法。預期結果：開發者提供的信息和現場活動證據內容應滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。配置管理范圍配置管理范圍的測試評價方法如下：測試方法：檢查開發者是否提供以下配置管理范圍的證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：檢查開發者提供的配置項列表；配置項列表是否描述了組成產品的全部配置項及相應的開發者。預期結果：開發者提供的信息和現場活動證據內容應滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。交付程序交付程序的測試評價方法如下：測試方法：檢查開發者是否提供以下交付程序的證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：現場檢查開發者是否使用一定的交付程序交付產品；檢查開發者是否使用文檔描述交付過程，文檔中是否包含以下內容：在給用戶方交付系統的各版本時，為維護安全所必需的所有程序。預期結果：開發者提供的信息和現場活動證據內容應滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。測試測試覆蓋測試覆蓋證的測試評價方法如下：測試方法：檢查開發者提供的測試覆蓋文檔，在測試覆蓋證據中，是否表明測試文檔中所標識的測試與功能規范中所描述的產品的安全功能和自身安全保護是對應的，檢查開發者提供的信息是否滿足內容和形式的所有要求。預期結果：開發者提供的信息應滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。功能測試功能測試的測試評價方法如下：測試方法：檢查開發者是否提供的以下功能測試的證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：檢查開發者提供的測試文檔，是否包括測試計劃、預期的測試結果和實際測試結果；檢查測試計劃是否標識了要測試的安全功能和自身安全保護，是否描述了每個安全功能和自身安全保護的測試方案（包括對其它測試結果的順序依賴性）；檢查期望的測試結果是否表明測試成功后的預期輸出；檢查實際測試結果是否表明每個被測試的安全功能和自身安全保護能按照規定進行運作。預期結果：開發者提供的信息應滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。獨立測試獨立測試的測試評價方法如下：測試方法：檢查開發者提供的測試集合是否與其自測系統功能時使用的測試集合相一致，以用于安全功能和自身安全保護的抽樣測試，并檢查開發者提供的資源是否滿足內容和形式的所有要求。預期結果：開發者提供的資源應滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。脆弱性評定脆弱性評定的測試評價方法如下：測試方法：從用戶可能破壞安全策略的明顯途徑出發，按照安全機制定義的安全強度級別，對產品進行脆弱性分析；判斷產品是否能夠抵抗基本型攻擊。預期結果：滲透性測試結果應表明產品能夠抵抗基本型攻擊。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。增強級測試評價方法安全功能要求測試入侵事件分析功能測試數據收集數據收集測試：測試評價方法：檢測入侵防御產品是否能夠以網橋或網關方式正確接入網絡，具備實時收集流入受保護網段內的數據包的能力。測試評價結果：入侵防御產品應能夠以網橋或網關方式接入網絡；入侵防御產品應能夠獲取足夠的網絡數據包以分析入侵事件。流量分析流量分析測試：測試評價方法：查看入侵防御產品的安全策略配置文檔，檢查安全事件的描述是否具有協議類型等屬性；檢查產品說明書，查找關于流量分析方法的說明，按照產品所聲明的流量分析類型，抽樣生成協議事件，組成攻擊事件測試集；配置產品的入侵防御策略為最大策略集；發送攻擊事件測試集中的所有事件，記錄產品的檢測結果。測試評價結果：記錄產品攔截入侵的相應攻擊名稱和類型；產品說明書中聲稱能夠監視的協議事件主要包括以下類型：ARP、ICMP、IP、TCP、UDP、RPC、HTTP、FTP、TFTP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS、SMB、P2P等，抽樣測試應未發現矛盾之處；列舉產品支持的所有入侵分析方法。入侵發現入侵發現測試：測試評價方法：配置入侵防御產品的入侵防御策略為最大策略集；模擬發送覆蓋流量監聽與劫持攻擊、錯誤及弱配置攻擊、緩沖區溢出攻擊、木馬攻擊、拒絕服務攻擊等多種不同類型的攻擊事件，檢查是否能夠發現攻擊事件。測試評價結果：入侵防御產品應能發現所測入侵行為。入侵躲避發現入侵躲避發現測試：測試評價方法：利用入侵檢測躲避工具進行攻擊，測試入侵防御產品是否對入侵事件進行攔截；將入侵事件的協議端口進行重定位，檢查入侵防御產品是否對入侵事件進行攔截。測試評價結果：入侵防御產品能夠攔截經過分片、亂序之后的入侵事件；入侵防御產品能夠正確地攔截經過躲避處理的HTTP入侵事件；入侵防御產品能夠對重定位協議端口之后的入侵事件進行攔截。流量監測流量監測測試：測試評價方法：開啟入侵防御產品的流量監測功能，定義流量事件，查看流量顯示界面；對某一服務器發起大流量的訪問，如ftp；對特定的端口（如80端口）發起大流量訪問。測試評價結果：可以顯示出各種流量信息；可以顯示出大流量的服務器（如ftp流量）；列舉提供的流量監測內容。流量控制流量控制測試：測試評價方法：開啟入侵防御產品的流量控制功能；對某一服務器發起大流量的訪問，如FTP；測試評價結果：入侵防御產品允許針對流量實現流量控制功能。入侵事件處理功能測試攔截能力攔截能力測試：測試評價方法：選擇具有不同特征的多個事件組成攻擊事件測試集（不少于產品支持的攻擊事件庫的30%），測試入侵防御產品的防御能力。選取的事件應包括：木馬后門類事件、拒絕服務類事件、緩沖區溢出類事件以及其它具有代表性的網絡攻擊事件，模擬入侵攻擊行為；配置入侵防御產品的入侵防御策略為最大策略集；發送攻擊事件測試集中的所有事件，記錄測試結果。測試評價結果：能夠對入侵行為進行成功攔截；應能記錄所攔截入侵的相應攻擊。安全告警安全告警測試：測試評價方法：從已有的事件庫中選擇具有不同特征的多個事件，組成攻擊事件測試集。模擬入侵攻擊行為；觸發產品的入侵防御策略中特定的安全事件，查看是否有攔截告警信息；查看告警事件的信息。測試評價結果：可以顯示告警信息；事件的詳細解釋應能便于理解。告警方式告警方式測試：測試評價方法：打開菜單，查看產品告警方式的選擇；依次選擇各種告警方式，測試是否能夠按照指定的方法告警。測試評價結果：可以采取屏幕實時提示、聲音告警、SNMPtrap消息、E-mail告警、運行指定應用程序等告警方式中的一種或多種。記錄并列出所有告警方式。事件合并事件合并測試：測試評價方法：連續觸發同一條事件，查看告警顯示的情況，是否能將同一事件進行合并顯示；設置事件合并的規則，將某些內容進行合并，如只顯示報警信息的事件名稱、發生的次數、源IP（目的是查看某一事件在這個IP上發生了多少次）。測試評價結果：產品可以根據需要進行同類報警事件的合并。入侵事件審計功能測試事件生成事件生成測試：測試評價方法：登錄控制臺界面；檢查管理界面，是否可以清晰地查看到入侵攔截情況；測試評價結果：具有查看入侵攔截事件的顯示界面；顯示界面具備清晰的功能區域，可顯示所攔截事件的詳細信息。事件記錄事件記錄測試：測試評價方法：登錄控制臺界面；在顯示界面上查看所記錄的攔截事件的詳細信息；測試評價結果：顯示界面上顯示的攔截事件詳細信息應包括事件名稱、事件發生日期時間、源IP地址、源端口、目的IP地址、目的端口、危害等級等。報表生成報表生成測試：測試評價方法：查看報表生成功能，查看報表的生成方式；查看生成報表的內容。測試評價結果：具有生成報表的功能；提供默認的模板以供快速生成報表；生成的報表宜包含表格形式、柱狀圖、餅圖等，并宜生成日報、周報等匯總報表。報表輸出報表輸出測試：測試評價方法：檢查管理員是否能夠按照自己的要求修改和定制報表內容；檢查入侵防御產品支持的報表輸出格式。測試評價結果：入侵防御產品應支持管理員按照自己的要求修改和定制報表內容；報表應可輸出成方便用戶閱讀的格式，如DOC、PDF、HTML、XLS等。報表模板定制報表模板定制測試：測試評價方法：檢查入侵防御產品是否提供報表模板的定制功能；測試評價結果：入侵防御產品提供定制報表模板的功能；定制新的報表模板，按照新的報表模板生成結果報表。攻擊數據留存攻擊數據留存測試：測試評價方法：開啟產品攻擊取證功能，當發生入侵行為時，檢查產品是否可以將入侵行為的相關報文以一定的通用格式，例如PCAP包的格式存儲在設備本地。測試評價結果：入侵防御產品在識別攻擊行為的同時，可以將攻擊報文以PCAP包或者其他通用格式保存在設備本地。管理控制功能測試管理界面管理界面測試：測試評價方法：登錄控制臺管理界面；查看用戶界面的功能，包括管理配置界面、報警顯示界面等。測試評價結果：具備獨立的控制臺；具有配置和管理產品所有功能的管理界面和劃分清晰功能區域的報警顯示界面。入侵事件庫入侵事件庫測試：測試評價方法：檢查入侵防御產品是否對入侵事件進行系統陳述，對事件進行命名以及詳細描述定義。測試評價結果：入侵防御產品應對所有支持的入侵事件具有命名和詳細的描述定義；詳細描述為人理解，不產生歧義。事件級別事件分級測試：測試評價方法：檢查入侵事件庫中是否對每個事件都有分級信息。測試評價結果：事件庫的所有事件都具有分級信息。事件自定義事件定義測試：測試評價方法：查看入侵防御產品設置，是否提供自定義事件界面，是否允許基于產品默認事件修改生成新的事件；自定義生成新的入侵特征；按照新生成的入侵特征發送相應的入侵事件，檢查產品能否攔截。測試評價結果：入侵防御產品允許用戶自定義事件，或者可基于產品默認事件修改生成新的入侵事件；入侵防御產品能夠檢測到新定義的事件并攔截。協議自定義協議定義測試：測試評價方法：查看入侵防御產品設置，是否提供自定義協議的界面，是否允許基于已有協議修改生成新的協議，是否允許對協議的端口進行重新定位攔截；自定義生成新的協議；按照新生成的協議類型發送相應的入侵事件，檢查產品能否攔截。測試評價結果：入侵防御產品允許用戶自定義協議，或者可基于產品提供的已有協議修改生成新的協議，或者允許對協議的端口進行重新定位；入侵防御產品能夠檢測到新定義的協議事件并攔截。通用接口通用接口測試：測試評價方法：查看入侵防御產品，是否支持與其他安全設備的信息共享或者規范化管理；可提供產品自己定義的對外開放通用接口，以支持與其它安全設備的共享信息或規范化管理。測試評價結果：入侵防御產品支持一個或多個信息共享或規范化管理接口協議，其中可包括產品自己定義的對外通用接口；入侵防御產品支持與其他安全設備的共享信息或規范化管理；列舉入侵防御產品支持的所有通用接口。硬件失效處理硬件失效處理測試：測試評價方法：檢查入侵防御產品具備何種硬件失效處理機制；測試評價結果：對于產品硬件失效時，應不影響網絡的通暢；設備冗余設備冗余測試：測試評價方法：檢查入侵防御產品是否支持雙機冗余部署的能力；部署雙機熱備的環境，關閉其中一臺設備，查看另一設備是否可以及時正常工作。測試評價結果：對于雙機熱備進行部署的環境，當出現一臺設備宕機的情況，應不影響網絡的通暢和防御能力。策略配置策略配置測試：測試評價方法：打開菜單，查看產品提供的默認策略；查看是否允許編輯或修改生成新的策略；查看是否可以編輯或修改各策略的響應措施。測試評價結果：產品應提供默認的策略，并可以直接應用；應允許用戶編輯策略；具有供用戶編輯策略的向導功能；支持策略的導入、導出；應允許用戶編輯策略的不同響應措施；記錄產品提供的策略種類和名稱。產品升級產品升級測試：測試評價方法：檢查入侵防御產品的版本和入侵特征庫的升級方式。測試評價結果：入侵防御產品程序版本和入侵特征庫可以進行手動或自動的在線升級；升級的過程中入侵防御產品仍可以正常攔截事件。管理接口獨立管理接口獨立測試：測試評價方法：檢查入侵防御產品是否配備進行產品管理和網絡數據通訊攔截的物理接口。測試評價結果：產品的管理接口和網絡數據通訊攔截接口是不同的接口，且均能正常工作。日志外發日志外發測試：測試評價方法：檢查入侵防御產品是否具備日志外發功能；通過抓包工具獲取外發日志，檢查其數據格式是否屬于標準的開放的格式，例如syslog；檢查其外發內容是否包括產品日志信息和攻擊防御信息。測試評價結果：產品具備日志外發功能，可將產品日志信息和攻擊防御信息，按照標準的開放的接口格式外發至其他系統。自身安全保護要求測試標識和鑒別用戶鑒別用戶鑒別測試：測試評價方法：登錄入侵防御產品，檢查是否在執行所有功能之前要求首先進行身份認證。測試評價結果：在用戶執行任何與安全功能相關的操作之前都應對用戶進行鑒別；登錄之前允許做的操作，應僅限于輸入登錄信息、查看登錄幫助等操作；允許用戶在登錄后執行與其安全功能相關的各類操作時，不再重復認證。鑒別失敗的處理鑒別失敗的處理測試：測試評價方法：檢查入侵防御產品的安全功能是否可定義用戶鑒別嘗試的最大允許失敗次數；檢查產品的安全功能是否可定義當用戶鑒別嘗試失敗連續達到指定次數后，采取相應的措施；嘗試多次失敗的用戶鑒別行為，檢查到達指定的鑒別失敗次數后，入侵防御產品是否采取了相應的措施。檢查日志記錄中是否包括用戶或者登錄IP被鎖定等鑒別失敗處理措施的審計信息。測試評價結果：入侵防御產品應具備定義用戶鑒別嘗試的最大允許失敗次數的功能；入侵防御產品應定義當用戶鑒別嘗試失敗連續達到指定次數后，采取相應的措施；當用戶鑒別嘗試失敗連續達到指定次數后，入侵防御產品應阻止用戶進一步嘗試（如鎖定該用戶或者登錄IP）。最多失敗次數僅由授權管理員設定，日志記錄中應包括鑒別失敗處理措施的審計信息。鑒別數據保護鑒別數據保護測試：測試評價方法：檢查入侵防御產品是否僅允許指定的授權用戶查閱或修改身份鑒別數據。測試評價結果：入侵防御產品應僅允許指定的授權用戶查閱或修改身份鑒別數據。超時鎖定超時鎖定測試：測試評價方法：檢查入侵防御產品是否具有管理員登錄超時重新鑒別功能；設定管理員登錄超時重新鑒別的時間段，檢查登錄用戶在設定的時間段內沒有任何操作的情況下，入侵防御產品是否終止了會話，用戶是否需要再次進行身份鑒別才能夠重新管理和使用產品。測試評價結果：入侵防御產品應具有登錄超時重新鑒別功能；任何登錄用戶在設定的時間段內沒有任何操作的情況下，應被終止了會話，用戶需要再次進行身份鑒別才能夠重新管理和使用入侵防御產品；最大超時時間僅由授權管理員設定。多鑒別機制多鑒別機制測試：測試評價方法：檢查入侵防御產品的安全功能是否提供多種鑒別方式；檢查入侵防御產品是否提供允許授權管理員執行自定義鑒別措施的功能；檢查多鑒別機制是否可同時使用。測試評價結果：入侵防御產品應提供至少2種鑒別方式。列舉入侵防御產品提供或支持的所有鑒別方式；入侵防御產品應允許授權管理員執行自定義的鑒別措施，以實現多重身份鑒別措施；多鑒別機制應該能夠同時使用。用戶管理標識唯一性標識唯一性測試：測試評價方法：檢查入侵防御產品的安全功能是否保證所定義的用戶標識全局唯一。測試評價結果：入侵防御產品應允許定義多個用戶；應保證每一個用戶標識是全局唯一的，不允許一個用戶標識用于多個用戶。用戶屬性定義用戶屬性定義測試：測試評價方法：定義分屬于不同角色的多個用戶，檢查輸入的用戶信息是否都能被保存。測試評價結果：入侵防御產品應為每一個用戶保存其安全屬性，包括：用戶標識、鑒別數據（如密碼）、授權信息或用戶組信息、其它安全屬性等。輸入的用戶信息無丟失現象發生。角色分級角色分級測試：測試評價方法：設置多個不同級別角色的用戶，進行不同級別內容的操作請求；檢查入侵防御產品的安全功能是否提供角色分級的用戶。測試評價結果：入侵防御產品應提供分級角色的用戶，分級角色覆蓋范圍互不相同。安全功能保護安全數據管理安全數據管理測試：測試評價方法：模擬授權與非授權用戶訪問事件數據，入侵防御產品安全功能是否僅允許授權用戶訪問事件數據。測試評價結果：入侵防御產品應限制對事件數據的訪問。除了具有明確的訪問權限的授權用戶之外，入侵防御產品應禁止所有其它用戶對事件數據的訪問。升級安全升級安全測試：測試評價方法：嘗試用產品所允許的各種方法升級事件庫和產品軟件版本，檢查升級過程是否正常；檢查升級包的完整性保護措施，嘗試破壞其完整性；檢查經過篡改后的審計包是否可以正常升級。測試評價結果：入侵防御產品能夠利用其提供的各種方法正常升級事件庫和產品軟件版本；開發者文檔中提供了為事件庫和版本升級安全所采取措施的詳細描述；列舉產品提供的事件庫和版本升級手段。數據存儲告警數據存儲告警測試：測試評價方法：檢查入侵防御產品所提供的存儲空間大小，預估其是否可以保存至少六個月以上的入侵事件日志記錄；檢查入侵防御產品安全功能是否具有存儲器剩余空間將耗盡的告警功能；檢查入侵防御產品安全功能是否允許用戶設定產生告警的剩余存儲空間的大小；人為地將存儲產品的事件數據存儲器空間耗至設定的告警值以下，查看入侵防御產品是否告警。測試評價結果：入侵防御產品具備足夠的存儲空間，可保存至少六個月以上的入侵事件日志記錄；入侵防御產品在發生事件數據存儲器空間將耗盡的情況時，自動產生告警；入侵防御產品允許用戶設定產生告警的剩余存儲空間的大小；在發現事件數據存儲器空間將耗盡時，入侵防御產品還應提醒用戶采取措施避免事件丟失，可選擇例如轉存已有事件數據、僅記錄重要的事件數據、或者不記錄新的事件數據等措施之一。自我隱藏自我隱藏測試：測試評價方法：檢查開發者文檔中對入侵防御產品自身安全的描述；將產品以網橋方式接入網絡，檢查IP隱藏情況。測試評價結果：入侵防御產品應能采用網橋方式隱藏IP地址，使自身在網絡上不可見。配置備份恢復配置備份恢復測試：測試評價方法：嘗試對產品的配置文件進行備份導出，在修改產品的任意配置參數；將備份導出的配置文件再導入產品，檢查之前所修改的參數是否可以恢復，驗證產品的恢復功能是否正常。測試評價結果：入侵防御產品應能實現對自身配置文件的備份和恢復。安全審計審計數據生成審計數據生成測試：測試評價方法：結合開發者文檔，使用不同角色用戶模擬對入侵防御產品不同模塊進行訪問、運行、修改、關閉以及重復失敗嘗試等相關操作，檢查入侵防御產品提供了對哪些事件的審計。審查審計記錄的正確性。測試評價結果：入侵防御產品應至少為下述可審計事件產生審計記錄：身份鑒別的嘗試、安全策略更改的操作、修改安全屬性的嘗試；應在每個審計記錄中至少記錄如下信息：事件的日期和時間，事件類型，主體身份，事件的結果（成功或失敗）等。審計查閱審計查閱測試：測試評價方法：審查產品安全功能是否為授權管理員提供從審計記錄中讀取全部審計信息的功能，是否能對審計記錄進行排序。測試評價結果：入侵防御產品應為授權管理員提供從審計記錄中讀取全部審計信息的功能，并可以對審計記錄進行排序。受限的審計查閱受限的審計查閱測試：測試評價方法：模擬授權與非授權管理員訪問審計記錄，入侵防御產品安全功能是否僅允許授權管理員訪問審計記錄。測試評價結果：入侵防御產品應限制審計記錄的訪問。除了具有明確的讀訪問權限的授權管理員之外，入侵防御產品應禁止所有其它用戶對審計記錄的讀訪問。安全保障測試開發安全架構安全架構的測試評價方法如下：測試方法：檢查開發者是否提供以下安全架構的證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：與產品設計文檔中對安全功能和自身安全保護實施抽象描述的級別一致；描述與安全功能和自身安全保護要求一致的產品安全功能和自身安全保護的安全域；描述產品安全功能和自身安全保護初始化過程為何是安全的；證實產品安全功能和自身安全保護能夠防止被破壞；證實產品安全功能和自身安全保護能夠防止安全特性被旁路。預期結果：開發者提供的信息滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。功能規范功能規范的測試評價方法如下：測試方法：檢查開發者是否提供以下功能規范的證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：完全描述產品的安全功能和自身安全保護；描述所有安全功能和自身安全保護接口的目的與使用方法；標識和描述每個安全功能和自身安全保護接口相關的所有參數；描述安全功能和自身安全保護接口相關的安全功能和自身安全保護實施行為；描述由安全功能和自身安全保護實施行為處理而引起的直接錯誤消息；證實安全功能和自身安全保護要求到安全功能和自身安全保護接口的追溯；描述安全功能和自身安全保護實施過程中，與安全功能和自身安全保護接口相關的所有行為；描述可能由安全功能和自身安全保護接口的調用而引起的所有直接錯誤消息。預期結果：開發者提供的信息滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。實現表示實現表示的測試評價方法如下：測試方法：檢查開發者是否提供以下實現表示的證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：以開發人員使用的形式提供產品設計描述與實現表示實例之間的映射，并證明其一致性；按詳細級別定義產品安全功能和自身安全保護，詳細程度達到無須進一步設計就能生成安全功能和自身安全保護的程度。預期結果：開發者提供的信息滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。產品設計產品設計的測試評價方法如下：測試方法：檢查開發者是否提供以下產品設計的證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：根據子系統描述產品結構；標識和描述產品安全功能和自身安全保護的所有子系統；描述安全功能和自身安全保護所有子系統間的相互作用；提供的映射關系能夠證實設計中描述的所有行為能夠映射到調用它的安全功能和自身安全保護接口；根據模塊描述安全功能和自身安全保護；提供安全功能和自身安全保護子系統到模塊間的映射關系；描述所有安全功能和自身安全保護實現模塊，包括其目的及與其它模塊間的相互作用；描述所有實現模塊的安全功能和自身安全保護要求相關接口、其它接口的返回值、與其它模塊間的相互作用及調用的接口；描述所有安全功能和自身安全保護的支撐或相關模塊，包括其目的及與其它模塊間的相互作用。預期結果：開發者提供的信息滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。指導性文檔操作用戶指南操作用戶指南的測試評價方法如下：測試方法：檢查開發者是否提供明確和合理的操作用戶指南，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：描述在安全處理環境中被控制的用戶可訪問的功能和特權，包含適當的警示信息；描述如何以安全的方式使用產品提供的可用接口；描述可用功能和接口，尤其是受用戶控制的所有安全參數；明確說明與需要執行的用戶可訪問功能有關的每一種安全相關事件，包括改變安全功能和自身安全保護所控制實體的安全特性；標識產品運行的所有可能狀態（包括操作導致的失敗或者操作性錯誤），以及它們與維持安全運行之間的因果關系和聯系；充分實現安全目的所執行的安全策略。預期結果：開發者提供的信息滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。準備程序用準備程序的測試評價方法如下：測試方法：檢查開發者是否提供以下準備程序的證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：描述與開發者交付程序相一致的安全接收所交付產品必需的所有步驟；描述安全安裝產品及其運行環境必需的所有步驟。預期結果：開發者提供的信息滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。生命周期支持配置管理能力配置管理能力的測試評價方法如下：測試方法：檢查開發者是否提供以下配置管理能力的證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：檢查開發者是否為不同版本的產品提供唯一的標識；現場檢查配置管理系統是否對所有的配置項作出唯一的標識，且配置管理系統是否對配置項進行了維護；檢查開發者提供的配置管理文檔，是否描述了對配置項進行唯一標識的方法；現場檢查是否能夠通過自動化配置管理系統支持產品的生成，確保只能對產品的實現表示進行已授權的改變；檢查配置管理計劃是否描述如何使用配置管理系統開發產品，現場核查活動是否與計劃一致；檢查配置管理計劃是否描述了用來接受修改過的或新建的作為產品組成部分的配置項的程序。預期結果：開發者提供的信息和現場活動證據內容滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。配置管理范圍配置管理范圍的測試評價方法如下：測試方法：檢查開發者是否提供以下配置管理范圍的證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：檢查開發者提供的配置項列表；配置項列表是否描述了組成產品的全部配置項及相應的開發者；檢查開發者是否將實現表示、安全缺陷報告及其解決狀態納入配置管理范圍，是否對安全缺陷進行跟蹤。預期結果：開發者提供的文檔信息和現場活動證據內容滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。交付程序交付程序的測試評價方法如下：測試方法：檢查開發者是否提供以下交付程序的證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：現場檢查開發者是否使用一定的交付程序交付產品；檢查開發者是否使用文檔描述交付過程，文檔中是否包含以下內容：在給用戶方交付系統的各版本時，為維護安全所必需的所有程序。預期結果：開發者提供的信息和現場活動證據內容滿足上述要求。結果判定：上述預期結果均滿足判定為符合，其他情況判定為不符合。開發安全開發安全的測試評價方法如下：測試方法：檢查開發者是否提供以下開發安全的證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：檢查開發者提供的開發安全文檔，該文檔是否描述了在系統的開發環境中，為保護系統設計和實現的保密性和完整性所必