系统应具有对高频度发生的相同安全事件进行合并告警，避免出现告警风暴的能力。高频度值 应由授权管理员设置，

6.2.1.3入侵响应功能要求

同轴电缆标准6.2. 1,3. 1定制响应

6.2.1.3.2安全告警

6.2.1.3.3告警方式

6.2.1.4管理控制功能要求

6.2.1.4. 1图形界面

系统应提供管理员图形化界面用于管理、配置人侵检测系统。管理配置界面应包含配置和管理系 统所需的所有功能。

6.2.1.4.2安全事件库

系统安全事件库中的内容应包括事件的定义和分析 详细的漏洞修补方案和可采取的对策等。

6.2.1.4.3事件分级

6.2.1.4.4策略配置

GB/T 20275—2021

系统应提供方便、快捷的入侵检测系统策略配置方法和手段，具备策略模板、支持策略的导 出。

6.2.1.4.5事件库升级

统应具有升级事件库的能

6.2.1.4.6系统升级

系统应具有升级系统程序的能力

系统应具有升级系统程序的能力

.2.1.4.7硬件失效处理

对于硬件产品，硬件失效时应及时向管理员报警

6.2.1.4.8端口分离

6.2.1.4.9时钟同步

系统应提供时钟同步功能，保证系统 服务器之间时间的一致

6.2.1.5检测结果处理要求

6.2.1.5.1事件记录

系统应保存检测到的安全事件并记录安全事件信息 安全事件信息应至少包含以下内容：事件发生时间、源地址、目的地址、事件等级、事件类型、事件 事件定义和详细事件过程分析以及解决方案建议等

6.2.1.5.2事件可视化

6.2.1.5.3报告生成

系统应能生成详尽的检测结果报告。

6.2.1.5.4报告查阅

系统应具有浏览检测结果报告的功能。

6.2.1.5.5报告输出

检测结果报告应可输出成方便管理员阅读的文本格式，包括但不限于WORD文件、HTML文 DF文件、WPS文件或OFD文件等

6.2.1.6性能要求

6.2.1.6.1误报率

系统应将误报率控制在15%内，不能对正常使用系统产生较大影响。支持在IPv6网络环境下工

GB/T 20275—2021

GB/T 20275—2021

作的系统的误报率应满足上述指标。

6.2.1.6.2漏报率

系统应将漏报率控制在15%内，不能对正常使用系统产生较大影响。支持在IPv6网络环境下工 作的系统的漏报率应满足上述指标

6.2.1.6.3高流量背景入侵检测能力

百兆系统单口监控流量 Gbps，方兆系统单口监控流

6.2.1.6.4高并发连接背景入侵检测能力

百兆系统单口监控并发连接数≥10万个，千兆系统单口监控并发连接数≥100万个，万兆系统单口 监控并发连接数≥150万个。支持在IPv6网络环境下工作的系统的并发连接数监控能力应满足上述 指标。

2.1.6.5高新建TCP连接速率背景入侵检测能

百兆系统单口监控每秒新建TCP连接数≥6万个，千兆系统单口监控每秒新建TCP连接 数≥10万个，万兆系统单口监控每秒新建TCP连接数≥15万个。支持在IPv6网络环境下工作的系统 的新建TCP连接速率监控能力应满足上述指标

6.2.2自身安全保护要求

6.2.2.1身份鉴别

6.2.2.1.1管理员鉴别

6.2.2.1.2鉴别信息要求

员执行任何与安全功能相关的操作之前对管理员

在采用基于口令的鉴别信息时，系统应对管理员设置的口令进行复杂度检查，确保管理员口令满足 复杂度要求。当存在默认口令时，系统应提示管理员对默认口令进行修改，以减少用户身份被冒用的风 验。系统应提供鉴别信息定期更换功能，当鉴别信息使用时间达到使用期限阈值前，应提示管理员进行 修改。

6.2.2.1.3鉴别失败的处理

当管理员鉴别尝试失败连续达到指定次数后，系统应阻止管理员进一步的鉴别请求，并将有关信 审计事件。最多失败次数仅由管理员设定

6.2.2.1.4鉴别数据保护

系统应保护鉴别数据不被未授权查阅和修改。

6.2.2.1.5超时设置

系统应具有管理员登录超时重新鉴别功能。在设定的时间段内没有任何操作的情况下，锁定或终

GB/T 20275—2021

止会话，需要再次进行身份鉴别才能够重新管理系统。最大超时时间仅由授权管理员设定

6.2.2.1.6管理地址限制

系统应对管理员登录的网络地址进行限制

6.2.2.2管理员管理

6.2.2.2.1标识唯一性

系统应保证所设置的管理员标识全局唯一

6.2.2.2.2管理员属性定义

系统应为每一个管理员保存安全属性表，属性应包括：管理员标识、鉴别数据、授权信息或管理 、其他安全属性等，

6.2.2.2.3安全行为管理

应仅限于授权管理员具有禁止、修改系统功能的能

6.2.2.3安全审计

6.2.2.3.1审计日志生成

系统应生成以下事件的审计日志： a 管理员账户的登录和注销、系统启动、系统升级、重要配置变更、增加/删除/修改管理员、保存 删除审计日志等； b）系统及其模块异常状态的告警。 系统应在每一个审计日志记录中记录事件发生的日期、时间、用户标识、事件描述和结果。若采用 程登录方式还应记录管理主机的IP地址。

6.2.2.3.2审计且志可理解性

的记录方式应便于管理员理解，以便对审计日志

6.2.2.3.3审计日志查阅

系统应为授权管理员提供审计日志查阅功能，方便管理员查看审计结果。

6.2.2.3.4受限的审计且志查阅

除具有明确的访问权限的授权管理员之外，系统应禁止所有其他用户对审计日

6.2.2.3.5可选审计查阅

应支持按照一定条件对审计日志进行检索或排序。

6.2.2.4数据安全

6.2.2.4.1安全管理

GB/T 20275—2021

6.2.2.4.2数据存储告警

系统应在数据存储空间将耗尽等情况时，自动产生告警，产生告警的剩余存储空间大小应由管理员 自主设定

6.2.2.4.3数据外发

系统应支持将安全事件记录和审计日志外发 便于对安全事件记录和审计日志的进一步分析。

6.2.2.5通信安全

6.2.2.6运行安全

系统应采取隐藏探测器IP地址 以降低被攻的可能性

6.2.2.7支撑系统安全

系统的支撑系统应： a）进行必要的裁剪，不提供多余的组件或网络服务 b）在重启过程中，安全策略和日志信息不丢失； c）不含已知中、高、超危安全漏洞

6.2.3环境适应性要求（有则适用）

6.2.3.1支持纯IPv6网络环境

系统应支持纯IPv6网络环境，能够在纯IPv6网络环境下正常工作，实现对目标网络入侵的检测

6.2.3.2IPv6网络环境下自身管理

6.2.3.3双协议栈

系统应支持IPv4/IPv6双栈网络环境，能够在IPv4/IPv6双栈网络环境下正常工作，实现 络人侵的检测

6.2.4安全保障要求

6.2.4.1.1安全架构

开发者应提供产品安全功能和自身安全保护的安全架构描述，安全架构描述应满足以下要求： a）与产品设计文档中对安全功能和自身安全保护实施抽象描述的级别一致： b） 描述与安全功能和自身安全保护要求一致的产品安全功能和自身安全保护的安全域 c）描述产品安全功能和自身安全保护初始化过程为何是安全的； d）证实产品安全功能和自身安全保护能够防止被破坏；

）证实产品安全功能和自身安全保护能够防止安全特性被旁路

6.2.4. 1.2功能规范

GB/T 202752021

开发者应提供完备的功能规范说明，功能规范说明应满足以下要求： 完全描述产品的安全功能和自身安全保护： b） 描述所有安全功能和自身安全保护接口的目的与使用方法； C 标识和描述每个安全功能和自身安全保护接口相关的所有参数： 描述安全功能和自身安全保护接口相关的安全功能和自身安全保护实施行为： e 描述由安全功能和自身安全保护实施行为处理而引起的直接错误消息； f 证实安全功能和自身安全保护要求到安全功能和自身安全保护接口的追溯

6.2.4.1.3产品设计

开发者应提供产品设计文档，产品设计文档应满足以下要求： a） 根据子系统描述产品结构； b 标识和描述产品安全功能和自身安全保护的所有子系统； C） 描述安全功能和自身安全保护所有子系统间的相互作用； d) 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能和自身安全保 护接口

6.2.4.2指导性文档

6.2.4.2.1操作用户指南

开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持 致，对每一种用户角色的描述应满足以下要求： a 描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息： b 描述如何以安全的方式使用产品提供的可用接口； C 描述可用功能和接口，尤其是受用户控制的所有安全参数； d 明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能和自 身安全保护所控制实体的安全特性； e 标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全 运行之间的因果关系和联系； f）充分实现安全目的所执行的安全策略

6.2.4.2.2准备程序

开发者应提供产品及其准备程序，准备程序描述应满足以下要求 a）描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤； b）描述安全安装产品及其运行环境必需的所有步骤

6.2.4.3生命周期支持

.2.4.3.1配置管理能力

开发者的配置管理能力应满足以下要求：

GB/T 20275—2021

a）为产品的不同版本提供唯一的标识； b）使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项；

6.2.4.3.2配置管理范围

开发者应提供产品配置项列表，并说明配置项的开发者。配置项列表至少包含产品、安全保障要 估证据和产品的组成部分

6.2.4.3.3交付程序

开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时 文档应描述为维护安全所必需的所有程序

6.2.4.4.1测试覆盖

开发者应提供测试覆盖文档，测试覆盖描述应表明测试文档中所标识的测试与功能规范中所描 品的安全功能和自身安全保护间的对应性

6.2.4.4.2功能测试

开发者应测试产品安全功能和自身安全保护，将结果文档化并提供测试文档。测试文档应包括以 下内容： a） 测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其他测试结果 的任何顺序依赖性； b）预期的测试结果，表明测试成功后的预期输出； 吉果的对比

6.2.4.4.3独立测试

6.2.4.5脆弱性评定

标识的潜在脆弱性，产品能够抵抗具有基本攻击

6.3.1安全功能要求

6.3.1.1数据探测功能要求

6.3.1.1.1数据收集

进行检测分析时，应具有实时获取受保护网段内

6.3.1.1.2协议分析

系统应对收集的数据包进行协议分析

系统应对收集的数据包进行协议分析

6.3.1.1.3攻击行为监测

GB/T 20275—2021

系统至少应监视以下攻击行为：端口扫描、强力攻击、恶意代码攻击、拒绝服务攻击、缓冲区溢 和弱性漏洞攻击等

6.3.1.1.4 流量监测

6.3.1.2入侵分析功能要求

6.3.1.2.1数据分析

统应对收集的数据包进行分析，发现安全事件。

6.3.1.2.2事件合并

系统应具有对高频度发生的相同安全事件进行合并告警，避免出现告警风暴的能力。高频度 由授权管理员设置。

6.3.1.2.3防躲避能力

系统应能发现躲避或欺骗检测的行为，包括但不限于IP碎片分片、TCP流分段、URL学符串变 ell代码变形、协议端口重定向等

6.3.1.2.4事件关联

系统应具有把不同的事件关联起来，发现低危害事件中隐含的高危害攻击的能力

3.1.3入侵响应功能要习

6.3.1.3.1定制响应

系统应允许管理员对被检测网段中指定的目的主机定制不同的响应方式。

6.3.1.3.2安全告警

系统检测到人侵时，应自动采取相

6.3.1.3.3告警方式

6.3.1.3.4阻断能力

监测到网络上的非法连接时，可进行阻断。

6.3.1.3.5排除响应

6.3.1.3.6防火墙联动

管理员定义对被检测网段中指定的目的主机不予

GB/T 20275—2021

6.3. 1.3.7全局预警

系统应具有全局预警功能，控制台可在设定全局预警的策略后，将局部出现的重大安全事件通知 控制台或者下级控制台

6.3.1.3.8其他设备联动

系统应具有与其他网络设备或网络安全部件（包括但不限于沙箱、漏洞扫描、交换机等）按照设定 各进行联动的能力

6.3.1.4管理控制功能要求

6.3.1.4.1图形界面

系统应提供管理员图形化界面用于管理、配置人侵检测系统。管理配置界面应包含配置和管理系 统所需的所有功能

6.3.1.4.2安全事件库

系统安全事件库中的内容应包括事件的定义和分析、详细的漏洞修补方案和可采取的对策等。

6.3.1.4.3事件分级

6.3.1.4.4策略配置

系统应提供方便、快捷的人侵检测系统策略配置方法和手段，具备策略模板、支持策略的导人

6.3.1.4.5事件库升级

系统应具有升级事件库的能力。

系统应具有升级事件库的能力。

6.3.1.4.6系统升级

系统应具有升级系统程序的能力

系统应具有升级系统程序的能力

6.3.1.4.7硬件失效处理

硬件产品，硬件失效时应及时向管理员报警

6.3.1.4.8端口分离

器应配备不同的端口分别用于系统管理和网络数

6.3.1.4.9时钟同步

6.3.1.4.10分布式部署

系统应具有分布式部署的能力！

6.3.1.4.11集中管理

6.3.1.4.12统一升级

6.3.1.4.13分级管理

6.3.1.5检测结果处理要求

电线电缆标准6.3.1.5.1事件记录

GB/T 202752021

系统应保存检测到的安全事件并记录安全事件信息。 安全事件信息应至少包含以下内容：事件发生时间、源地址、目的地址、事件等级、事件类型、事件名 称、事件定义和详细事件过程分析以及解决方案建议等

6.3.1.5.2事件可视化

管理员应能通过管理界面实时清晰地

公路工程6.3.1.5.3报告生成

系统应能生成详尽的检测结果报告

6.3.1.5.4报告查阅