本文件规定了网络入侵防御产品的安全技术要求和测评方法，并进行了等级划分。本文件适用于网络入侵防御产品的设计、开发、测试和评价。

ICS35. 030
ccs L 80
中华人民共和国国家标准
GB/T28451—2023
代替GB/T
28451—2012
信息安全技术
网络入侵防御产品技术规范
Information security technology-Technical specification for network intrusion prevention system2023-05-23发布
国家市场监督管理总局
国家标准化管理委员会
2023-12-01实施
规范性引用文件
术语和定义
缩略语
安全技术要求
安全功能要求
自身安全要求
性能要求
环境适应性要求
安全保障要求
测评方法，
测评环境.
测评工具.
安全功能测评
自身安全测评．
性能测评.
环境适应性测评。
安全保障评估.
等级划分要求.
附录A（规范性）网络入侵防御产品等级划分A.1
安全技术要求等级划分
测评方法等级划分
GB/T28451—2023
GB/T28451—2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。
本文件代替GB/T28451一2012《信息安全技术网络型入侵防御产品技术要求和测试评价方法》，与GB/T28451一2012相比，除结构调整和编辑性改动外，主要技术变化如下：a）增加了“流量控制”要求（见6.1.1.5)；增加了“攻击数据留存”要求（见6.1.3.5）；b)
增加了“配置备份恢复”要求（见6.1.4.6)；c)
增加了“日志外发”要求（见6.1.4.12）；d)
增加了“网络层吞吐量””混合应用层吞吐量”\TCP新建连接速率”\TCP并发连接数”等性能要求的具体内容（见6.3.1,6.3.2,6.3.3和6.3.4)；f)
增加了产品误拦截率和漏拦截率的具体要求（见6.3.5、6.3.6，2012年版的7.4）；g）
增加了“环境适应性要求”章节的内容，其中主要是明确了产品对IPv6的支持能力，包括IPv6应用环境适应性、IPv6管理环境适应性、双协议栈，以及虚拟化支持能力（见6.4）；删除了“负载均衡”要求（见2012年版的7.3.1.4.9）；h)
将“入侵防御产品技术要求”更改为“安全功能要求”，“产品自身安全要求”更改为“自身安全要i
求”，“产品保证要求”更改为“安全保障要求”（见第6章，2012年版的7和8）；i）更改了入侵防御产品的等级划分，由“一级、二级和三级”修改为“基本级和增强级”（见附录A,2012年版的7.1、7.2和7.3）。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位：公安部第三研究所、西安交大捷普网络科技有限公司、北京神州绿盟科技有限公司、深信服科技股份有限公司、启明星辰信息技术集团股份有限公司、蓝盾信息安全技术股份有限公司、北京天融信网络安全技术有限公司、中国网络安全审查技术与认证中心、上海市信息安全测评认证中心、中国电力科学研究院有限公司、新华三技术有限公司、奇安信网神信息技术（北京）股份有限公司。本文件主要起草人：顾建新、武腾、邓雨、赖静、章倩、李谦、何建锋、陈宏伟、叶建伟、叶润国、王庆会、杨辰钟、雷晓峰、申永波、徐佟海、方帅、万晓兰、周飞虎。本文件及其所代替文件的历次版本发布情况为：—2012年首次发布为GB/T28451—2012；一本次为第一次修订。
1范围
信息安全技术
网络入侵防御产品技术规范
GB/T28451—2023
本文件规定了网络入侵防御产品的安全技术要求和测评方法，并进行了等级划分。本文件适用于网络入侵防御产品的设计、开发、测试和评价。2规范性引用文件
下列文件中的内容通过文中的规范化引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。
GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件GB/T25069信息安全技术术语
GB/T30279—2020信息安全技术网络安全漏洞分类分级指南3术语和定义
GB/T18336.3—2015
和GB/T25069界定的以及下列术语和定义适用于本文件。网络入侵防御产品networkintrusionpreventionsystem以网桥或网关形式部署在网络通路上，通过分析网络流量发现具有入侵特征的网络行为，在其传入被保护网络前进行拦截的产品。3.2
报文碎片
message fragmentation
攻击者将攻击数据隐藏在经过分段或者分片的TCP报文或者IP报文中发出，用于躲避检测的行为。
codedeformation
代码变形
攻击者重写已知攻击数据、代码，或者用其他代码替代原有攻击数据中的部分内容，用于躲避检测的行为。
administrator
管理员
具备管理、配置、操作网络入侵防御产品以及查看审计记录等权限的人员。3.5
告警alert
当网络入侵防御产品发现有入侵行为时，通过一定的技术手段主动向管理员发出的警示类通知。GB/T28451—2023
误拦截
falseblocking
网络入侵防御产品误将正常流量识别为攻击行为并进行错误拦截的行为。3.7
skippedblocking
漏拦截
网络入侵防御产品无法正确识别出隐藏在网络流量中的网络攻击行为从而无法对其进行有效拦截的行为。
4缩略语
下列缩略语适用于本文件。
FTP：文件传输协议(FileTransferProtocol)HTTP：超文本传输协议(HyperTextProtocol)
Transfer
IP：网际协议(Internet Protocol)POP3：邮局协议3(Post OfficeProtocol 3)P2P:点对点(PeertoPeer)
SMB：服务器信息块(ServerMessageBlock)SMTP：简单邮件传输协议(SimpleMailTransferProtocol)SNMP：简单网络管理协议(SimpleNetworkManagementProtocol)TCP：传输控制协议(TransmissionControlProtocol)
UDP：用户数据报协议(UserDatagramProtocol)5概述
网络入侵防御产品（以下简称“产品”）一般以硬件形式呈现，采用网桥或网关形式部署在网络通路上，通过浏览器方式实现配置管理；有些产品是以分布式方式部署，通过特定的客户端程序或者集中管理平台进行配置管理。该产品作用于受保护网络边界，是一款具备应用安全防护功能的网络安全产品。产品的安全技术要求分为安全功能要求、自身安全要求、性能要求、环境适应性要求和安全保障要求五个大类。其中，安全功能要求对产品应具备的基本安全功能提出了具体要求，包括入侵事件分析、入侵事件处理、入侵事件审计和管理控制四部分；自身安全要求针对产品的自身安全保护提出了具体的要求，包括身份标识与鉴别、管理功能、管理方式、管理审计、存储安全、传输安全和支撑系统安全等要求；性能要求针对产品应具备的性能提出了具体要求，包括网络层吞吐量、混合应用层吞吐量、TCP新建连接速率、TCP并发连接数、误拦截率和漏拦截率六个方面；环境适应性要求提出产品支持在IPv6网络环境下正常工作和管理的要求，以及虚拟化环境下的部署要求；安全保障要求针对产品的生命周期过程提出了具体要求，包括开发、指导性文档、生命周期支持、测试和脆弱性评定。根据产品的安全技术要求，制定了对应项目的测试评价方法。产品的等级分为基本级和增强级，安全功能与自身安全的强弱，以及安全保障要求的高低是等级划分的依据，等级突出安全特性。注：文中“黑色加粗”字体表示增强级较基本级有所增加的内容；对于不支持IPv6网络环境或者虚拟化环境部署的产品，“6.4.1IPv6支持”或者“6.4.2虚拟化支持”不适用；对于不提供硬件形态的产品，“6.2.7支撑系统安全6.3.1网络层吞吐量、6.3.2混合应用层吞吐量、6.3.3TCP新建连接速率、6.3.4TCP并发连接数”不适用。2
6安全技术要求
6.1安全功能要求
6.1.1入侵事件分析下载标准就来标准下载网
6.1.1.1数据收集
产品应具有实时收集进出目标网络内所有数据包的能力。6.1.1.2
流量分析
GB/T28451—2023
产品应具有对收集的数据包按不同协议进行流量分析的能力。这里的流量分析包括网络协议解析和网络流量统计。
6.1.1.3入侵发现
产品应能识别网络流量中的入侵行为。这里的入侵行为应包括流量监听与劫持攻击、错误及弱配置攻击、脆弱性利用攻击、木马攻击、拒绝服务攻击等类型6.1.1.4流量监测
产品应对目标网络的全部流量或者某一特定协议、地址、端口中的流量进行监测。6.1.1.5流量控制
产品应具备对异常流量进行限流的功能。6.1.2入侵事件处理
6.1.2.1拦截能力
产品应对识别的入侵行为进行拦截，防止入侵行为危害目标网络，6.1.2.2入侵躲避拦截
产品应能发现并拦截经躲避处理的攻击行为，如IP报文碎片、TCP报文碎片、协议端口重定位、代码变形等。
6.1.2.3安全告警
产品应在发现并拦截入侵行为时，采取指定的方式向管理员发出安全警告6.1.2.4告警方式
产品的告警方式应支持屏幕实时提示、电子邮件、声音、短信、即时通信、SNMPTrap告警等其中的一种或多种。
6.1.2.5事件合并
产品应具有对高频度发生的相同或相似入侵事件进行合并告警，避免出现告警风暴。3
GB/T28451—2023
5拦截能力调整
产品应支持人工调整或者自学习调整的方式，能对产品的拦截能力进行合理调整。6.1.3入侵事件审计
6.1.3.1事件生成
产品应能对拦截的入侵行为生成入侵事件。6.1.3.2事件记录
产品应能以审计日志方式记录并保存拦截到的入侵事件。入侵事件日志的信息应至少包含以下内容：攻击种类描述、事件名称、事件发生日期时间、源IP地址、源端口、目的IP地址、目的端口、事件级别等。
6.1.3.3报表生成
产品应能生成入侵事件审计结果报表。6.1.3.4报表输出
产品应支持按照管理员需求修改和定制报表内容，并能按照DOC、PDF、XLS、WPS、UOF等中的种或者多种文件格式输出。
6.1.3.5攻击数据留存
产品在检测到入侵行为时，应能捕获该入侵行为所对应的原始攻击报文并且以通用格式留存，便于对入侵行为进行取证和溯源。
6.1.4管理控制
6.1.4.1管理接口独立
产品应具备独立的管理网络接口，以实现与业务网络的隔离。6.1.4.2管理界面
产品应提供产品管理配置界面。管理配置界面应包含配置和管理产品所需的所有功能6.1.4.3入侵事件特征库
产品应提供入侵事件特征库，事件特征库应包括事件名称、通用漏洞编号、详细描述定义、处置建议等。
6.1.4.4事件级别
产品应按照入侵事件的严重程度对事件进行分级，以使授权管理员能从大量的告警信息中捕提到不同危险级别的事件。
6.1.4.5策略配置
产品应提供对入侵防御策略、响应措施进行配置的功能。6.1.4.6配置备份恢复
产品应具备对配置文件的备份恢复功能。6.1.4.7产品升级
GB/T28451—2023
产品应具备更新、升级产品版本和事件特征库的能力，并能通过完整性校验机制保证升级包的安全性。
6.1.4.8硬件失效处理
产品应提供硬件失效处理机制，当设备硬件无法正常工作的时候，能保证网络连通。6.1.4.9事件规则自定义
产品授权管理员能自定义攻击事件防御规则，包括行为特征、协议或端口等。6.1.4.10第三方接口
产品应提供对外的第三方接口，以便与其他安全设备共享信息或规范化管理。6.1.4.11双机热备
产品应支持主主或者主备等双机余模式部署，以保障入侵防御功能的可靠性。6.1.4.12
日志外发
产品应至少采用一个标准的、开放的接口，能将自身日志信息或者攻击事件记录信息外发至指定系统，供其他系统进一步进行分析使用。6.2自身安全要求
身份标识与鉴别
产品的身份标识与鉴别安全要求包括但不限于：对管理员身份进行标识和鉴别，身份标识具有唯一性；a)
在采用基于口令的身份鉴别时，能对用户设置的口令进行复杂度检查，确保用户口令满足复杂度要求，如口令为数字、字母和特殊字符组合，口令长度不低于8位；c)
采取安全措施对鉴别信息的存储和传输进行安全保护；具有登录失败处理功能，如限制连续非法登录尝试的次数等相关措施；具有登录超时处理功能，当登录连接超时自动退出：当产品存在默认口令时，提示用户对默认口令进行修改：g）支持采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。6.2.2管理功能
产品的管理功能包括但不限于：区分管理员角色，能设置不同管理员权限；a）
授权管理员能实现对入侵防御策略的设置、配置的备份恢复、产品升级等运维操作；b）
28451—2023
c）授权管理员能查阅入侵防御事件记录、审计日志等；d)
能设置NTP服务器，实现产品系统时间的同步。6.2.3
3管理方式
产品的管理方式安全要求包括但不限于：a）支持远程管理，并能限定进行远程管理的IP地址；b）产品若支持分布式部署，应提供集中管理功能，能通过管理中心实现对下属设备运行状态的集中监测、下发入侵防御策略、收集审计日志等。6.2.4管理审计
产品的管理审计安全要求包括但不限于：能对管理员身份鉴别成功和失败、注销、策略变更、用户和权限管理、时间同步、入侵事件记录a
的操作、存储空间达到阈值告警等事件进行记录：b)
审计日志包含：主体用户所在主机IP地址、事件发生的日期时间、事件主体、事件描述、事件结果等；
仅授权管理员能访问审计日志。6.2.5
5存储安全
产品的存储安全要求包括但不限于：将入侵事件记录和自身审计日志存储于掉电非易失性存储介质中；a)
若提供入侵事件记录和自身审计日志保存时限设置功能，设定值应不小于6个月；c)
能对自身审计日志进行备份；
非授权用户不能删除入侵事件记录和自身审计日志；当存储空间不足时进行告警，并能确保审计功能的正常运行。6.2.6
传输安全
产品若支持远程管理，应对管理数据的远程传输进行安全保护。6.2.7支撑系统安全
产品的支撑系统安全要求包括但不限于：a）不提供多余的组件或网络服务；b）重启过程中，安全策略和日志信息不丢失：c）
不含已知中危及以上风险漏洞
6.3性能要求
6.3.1网络层吞吐量
产品的网络层吞吐量视不同速率的产品有所不同，在开启入侵防御功能满足攻击拦截能力的前提下，具体指标要求如下：
a）一对相应速率的接口应达到的双向吞吐率指标：对于1518byte长包，百兆产品不低于线速的85%，千兆和万兆产品不小于线速的90%；针对高性能的万兆产品，对于1518byte长包，整机吞吐量至少达到80Gbit/sb）
6.3.2混合应用层吞吐量
GB/T28451—2023
产品的应用层吞吐量视不同速率的产品有所不同，在开启入侵防御功能满足攻击拦截能力的前提下，具体指标要求如下：
a）百兆产品一对口混合应用层吞吐量应不小于80Mbit/s；b）千兆产品一对口混合应用层吞吐量应不小于800Mbit/s；c)
万兆产品一对口混合应用层吞吐量应不小于7500Mbit/s；针对高性能的万兆产品，整机混合应用层吞吐量至少达到20Gbit/s。d)
TCP新建连接速率
产品的TCP新建连接速率视不同速率的产品有所不同，在开启入侵防御功能满足攻击拦截能力的前提下，具体指标要求如下：
百兆产品一对口的TCP新建连接速率应不小于1500个/sb）
千兆产品一对口的TCP新建连接速率应不小于5000个/s；万兆产品一对口的TCP新建连接速率应不小于50000个/s;c）
针对高性能的万兆产品，整机TCP新建连接速率应不小于250000个/s。6.3.4TCP并发连接数
产品的TCP并发连接数视不同速率的产品有所不同，在开启入侵防御功能满足攻击拦截能力的前提下，具体指标要求如下：
百兆产品一对口的并发连接数应不小于50000个：a）
千兆产品一对口的并发连接数应不小于200000个：c)
万兆产品一对口的并发连接数应不小于2000000个；针对高性能的万兆产品，整机并发连接数不小于5000000个。d）4
6.3.5误拦截率
在开启入侵防御功能满足攻击拦截能力的前提下，产品对于正常流量的误拦截率应不超过5%。6.3.6漏拦截率
产品在不同比例的正常背景流量下，对于能拦截的入侵行为所出现的漏拦截率应不超过15%。6.4环境适应性要求
6.4.1IPv6支持
6.4.1.1IPv6应用环境适应性
产品若支持IPv6网络环境，应能在纯IPv6网络环境下正常工作，实现在IPv6网络环境下的入侵攻击识别和拦截。
6.4.1.2IPv6管理环境适应性
产品若支持IPv6，应支持在IPv6网络环境下正常自身管理，实现对产品的管理操作。GB/T28451—2023
6.4.1.3双协议栈
产品若支持IPv4/IPv6双栈网络环境，应能在IPv4/IPv6双栈网络环境下正常工作，实现在IPv4/IPv6双栈网络环境下的入侵攻击识别和拦截。6.4.2虚拟化支持
对于虚拟化形态的产品，应支持部署于虚拟化平台并接受平台统一管理，包括但不限于a）支持部署于一种虚拟化平台；b）结合虚拟化平台实现产品资源弹性伸缩，根据虚拟化产品的负载情况动态调整资源。6.5安全保障要求
6.5.1开发
6.5.1.1安全架构
开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：a）与产品设计文档中对安全功能的描述范围相一致；b）充分描述产品采取的自我保护、不可旁路的安全机制。6.5.1.2功能规范
开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：a)
清晰描述6.1、6.2中定义的安全功能；b)
标识和描述产品所有安全功能接口的目的、使用方法及相关参数：c)
描述安全功能实施过程中，与安全功能接口相关的所有行为；d)
描述可能由安全功能接口的调用而引起的所有直接错误消息。6.5.1.3产品设计
开发者应提供产品设计文档，产品设计文档应满足以下要求：通过子系统描述产品结构，标识和描述产品安全功能的所有子系统，并描述子系统间的相互a
作用；
提供子系统和安全功能接口间的对应关系，通过实现模块描述安全功能，标识和描述实现模块的目的、相关接口及返回值等，并描述实现e)
模块间的相互作用及调用的接口；d）提供实现模块和子系统间的对应关系。6.5.1.4实现表示
开发者应提供产品安全功能的实现表示，实现表示应满足以下要求：a）详细定义产品安全功能，包括软件代码、设计数据等实例；b）提供实现表示与产品设计描述间的对应关系。6.5.2指导性文档
6.5.2.1操作用户指南
开发者应提供明确和合理的操作用户指南，对每一种用户角色的描述应满足以下要求：8
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。