(高清版)GBT 20275-2021 信息安全技術(shù) 網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)要求和測試評價(jià)方法

代替GB/T20275—2013信息安全技術(shù)網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)要求和測試評價(jià)方法2021-10-11發(fā)布2022-05-01實(shí)施GB/T20275—2021 I 2規(guī)范性引用文件 l3術(shù)語和定義 4縮略語 5網(wǎng)絡(luò)入侵檢測系統(tǒng) 26安全技術(shù)要求 26.1要求分類與分級 26.2基本級安全要求 56.3增強(qiáng)級安全要求 7測試評價(jià)方法 7.1測試環(huán)境 7.2測試工具 7.3基本級 7.4增強(qiáng)級 參考文獻(xiàn) I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GB/T20275—2013《信息安全技術(shù)網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)要求和測試評價(jià)方法》,與GB/T20275—2013相比，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，主要技術(shù)變化如下：a)修改了“安全事件”的定義(見3.1,2013年版的3.2);b)修改了“告警”的定義(見3.2,2013年版的3.7);c)增加了“網(wǎng)絡(luò)入侵檢測系統(tǒng)描述”章節(jié)的內(nèi)容(見第5章);d)調(diào)整了網(wǎng)絡(luò)入侵檢測系統(tǒng)的分級(見6.1.2,2013年版的5.2);e)修改了“攻擊行為監(jiān)測”的要求(見.3和.3,2013年版的.3、.3和f)增加了時(shí)鐘同步的要求(見.9和.9);g)增加了鑒別信息的要求(見.2和.2);h)增加了管理地址限制的要求(見.6和.6);i)增加了數(shù)據(jù)外發(fā)的要求(見.3和.3);j)增加對“環(huán)境適應(yīng)性要求”章節(jié)的內(nèi)容，其中主要是明確了網(wǎng)絡(luò)入侵檢測系統(tǒng)對IPv6的支持能力，包括支持純IPv6網(wǎng)絡(luò)環(huán)境、IPv6網(wǎng)絡(luò)環(huán)境下自身管理能力和雙協(xié)議棧(見6.2.3和6.3.3);k)刪除了“雙機(jī)熱備”的要求(見2013年版的.11);1)刪除了“控制臺鑒別”的要求(見2013年版的.5);m)增加了安全策略備份的要求(見.4);n)修改了各級的“安全保證要求”為“安全保障要求”(見6.2.4和6.3.4,2013年版的6.1.3、6.2.3和6.3.3)。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：公安部第三研究所、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、奇安信科技集團(tuán)股份有限公司、北京神州綠盟科技有限公司、啟明星辰信息技術(shù)集團(tuán)股份有限公司、上海國際技貿(mào)聯(lián)合有限公司、網(wǎng)神信息技術(shù)(北京)股份有限公司、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、中國電子科技集團(tuán)公司第十五研究所(信息產(chǎn)業(yè)信息安全測評中心)、上海市信息安全測評認(rèn)證中心、北京山石網(wǎng)科信息技術(shù)有限公司、西安交大捷普網(wǎng)絡(luò)科技有限公司、新華三技術(shù)有限公司、北京安博通科技股份有限公司、北京中科網(wǎng)威信息技術(shù)有限公司、深信服科技股份有限公司、深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司、中國信息通信研究院、工業(yè)和信息化部計(jì)算機(jī)與微電子發(fā)展研究中心(中國軟件評測中心)、華信咨詢設(shè)計(jì)研究院有限公司、中國科學(xué)院信息工程研究所、中國電力科學(xué)研究院有限公司信息通信研究所、陜西省網(wǎng)絡(luò)與信息安全測評中心、上海工業(yè)控制安全創(chuàng)新科技有限公司、國網(wǎng)新疆電力有限公司電力科學(xué)研究院。本文件主要起草人：宋好好、顧建新、沈亮、陸臻、顧健、賴靜、陳妍、曹寧、陳華平、劉彤、焦玉峰、肖穎。本文件及其所代替文件的歷次版本發(fā)布情況為：——2006年首次發(fā)布為GB/T20275—2006,2013年第一次修訂；——本次為第二次修訂。1信息安全技術(shù)網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)要求和測試評價(jià)方法本文件規(guī)定了網(wǎng)絡(luò)入侵檢測系統(tǒng)的安全技術(shù)要求和測試評價(jià)方法。本文件適用于網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計(jì)、開發(fā)與測評。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術(shù)術(shù)語3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。對網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害的事件。當(dāng)攻擊或入侵發(fā)生時(shí)，網(wǎng)絡(luò)入侵檢測系統(tǒng)向授權(quán)管理員發(fā)出的信息。支撐網(wǎng)絡(luò)入侵檢測系統(tǒng)運(yùn)行的操作系統(tǒng)。4縮略語下列縮略語適用于本文件。FTP:文件傳輸協(xié)議(FileTransferProtocol)HTML:超文本置標(biāo)語言(HyperTextMarkupLanguage)HTTP:超文本傳輸協(xié)議(HyperTextTransferProtocol)ICMP:網(wǎng)際控制報(bào)文協(xié)議(InternetControlMessageProtocol)IP:網(wǎng)際協(xié)議(InternetProtocol)POP3:郵局協(xié)議的第三個(gè)版本(PostOfficeProtocol3)SMTP:簡單郵件傳送協(xié)議(SimpleMailTransferProtocol)SNMP:簡單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol)2TCP:傳輸控制協(xié)議(TransportControlTELNET:遠(yuǎn)程登陸(TelecommunicationUDP:用戶數(shù)據(jù)報(bào)協(xié)議(UserDatagramProtocol)Network)Protocol)5網(wǎng)絡(luò)入侵檢測系統(tǒng)網(wǎng)絡(luò)入侵檢測系統(tǒng)是以網(wǎng)絡(luò)上的數(shù)據(jù)包作為數(shù)據(jù)源，監(jiān)聽所保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)的所有數(shù)據(jù)包并進(jìn)行分析，從而發(fā)現(xiàn)異常行為的產(chǎn)品。6安全技術(shù)要求6.1要求分類與分級本文件將網(wǎng)絡(luò)入侵檢測系統(tǒng)安全技術(shù)要求分為安全功能、自身安全保護(hù)、環(huán)境適應(yīng)性和安全保障要求四個(gè)大類。其中，安全功能要求針對網(wǎng)絡(luò)入侵檢測系統(tǒng)應(yīng)具備的安全功能提出具體要求，主要包括數(shù)據(jù)探測功能要求、入侵分析功能要求、入侵響應(yīng)功能要求、管理控制功能要求、檢測結(jié)果處理要求、產(chǎn)品靈活性要求、性能要求等；自身安全保護(hù)要求針對網(wǎng)絡(luò)入侵檢測系統(tǒng)的身份鑒別、管理員管理、安全審計(jì)、數(shù)據(jù)安全、通信安全、升級安全、運(yùn)行安全等提出具體要求；環(huán)境適應(yīng)性要求支持純IPv6網(wǎng)絡(luò)環(huán)境、IPv6網(wǎng)絡(luò)環(huán)境下自身管理能力和雙協(xié)議棧等；安全保障要求針對網(wǎng)絡(luò)入侵檢測系統(tǒng)的生命周期過程提本文件將網(wǎng)絡(luò)入侵檢測系統(tǒng)的安全等級分為基本級和增強(qiáng)級，應(yīng)符合表1、表2、表3和表4的要求。安全功能與自身安全保護(hù)的強(qiáng)弱、以及安全保障要求的高低是等級劃分的具體依據(jù)，安全等級突出安全特性。注：與基本級內(nèi)容相比，增強(qiáng)級中要求有所增加或變更的內(nèi)容在正文中通過“加粗”表示。表1網(wǎng)絡(luò)入侵檢測系統(tǒng)安全功能要求等級劃分表安全功能要求基本級增強(qiáng)級數(shù)據(jù)探測功能要求數(shù)據(jù)收集×興協(xié)議分析※×攻擊行為監(jiān)測關(guān)關(guān)流量監(jiān)測**入侵分析功能要求數(shù)據(jù)分析**事件合并**防躲避能力—*事件關(guān)聯(lián) 興3表1網(wǎng)絡(luò)入侵檢測系統(tǒng)安全功能要求等級劃分表(續(xù))安全功能要求基本級增強(qiáng)級入侵響應(yīng)功能要求定制響應(yīng)興興安全告警*興告警方式興興阻斷能力興排除響應(yīng)興防火墻聯(lián)動(dòng)*全局預(yù)警興其他設(shè)備聯(lián)動(dòng)興管理控制功能要求圖形界面*興安全事件庫興興事件分級*興策略配置*興事件庫升級*興系統(tǒng)升級**硬件失效處理興興端口分離興興時(shí)鐘同步**分布式部署興集中管理*統(tǒng)一升級*分級管理檢測結(jié)果處理要求事件記錄興*事件可視化興興報(bào)告生成￥興報(bào)告查閱興興報(bào)告輸出興興產(chǎn)品靈活性要求報(bào)告定制 一*事件定義*協(xié)議定義*性能要求誤報(bào)率興*漏報(bào)率興高流量背景入侵檢測能力￥興高并發(fā)連接背景入侵檢測能力**高新建TCP連接速率背景入侵檢測能力興￥還原能力興注：“*”表示具有該要求，“—”表示不適用。4表2網(wǎng)絡(luò)入侵檢測系統(tǒng)自身安全保護(hù)要求等級劃分表自身安全保護(hù)要求基本級增強(qiáng)級身份鑒別管理員鑒別興￥鑒別信息要求￥￥鑒別失敗的處理興￥鑒別數(shù)據(jù)保護(hù)**超時(shí)設(shè)置**管理地址限制興*多重鑒別機(jī)制關(guān)會(huì)話鎖定 ￥管理員管理標(biāo)識唯一性￥*管理員屬性定義**安全行為管理*興管理員角色*安全屬性管理 興安全審計(jì)審計(jì)日志生成興*審計(jì)日志可理解性×關(guān)審計(jì)日志查閱興*受限的審計(jì)日志查閱共￥可選審計(jì)查閱關(guān)關(guān)數(shù)據(jù)安全安全管理**數(shù)據(jù)存儲(chǔ)告警興興數(shù)據(jù)外發(fā)興*安全策略備份—￥通信安全通信保密性**通信完整性*升級安全*運(yùn)行安全自我隱藏**自我監(jiān)測興支撐系統(tǒng)安全※※注：“*”表示具有該要求，“—”表示不適用。5表3網(wǎng)絡(luò)入侵檢測系統(tǒng)環(huán)境適應(yīng)性要求等級劃分表環(huán)境適應(yīng)性要求基本級增強(qiáng)級支持純IPv6網(wǎng)絡(luò)環(huán)境興*IPv6網(wǎng)絡(luò)環(huán)境下自身管理興*雙協(xié)議棧*興注：“*”表示具有該要求，“—”表示不適用。表4網(wǎng)絡(luò)入侵檢測系統(tǒng)安全保障要求等級劃分表安全保障要求基本級增強(qiáng)級開發(fā)安全架構(gòu)興興功能規(guī)范*實(shí)現(xiàn)表示 *產(chǎn)品設(shè)計(jì)興指導(dǎo)性文檔操作用戶指南興興準(zhǔn)備程序*興生命周期支持配置管理能力*配置管理范圍*交付程序興※開發(fā)安全——￥生命周期定義興工具和技術(shù)興測試測試覆蓋*測試深度 興功能測試興興獨(dú)立測試興興脆弱性評定興注：“*”表示具有該要求，“**”表示要求有所增強(qiáng)，“—”表示不適用。6.2基本級安全要求6.2.1安全功能要求數(shù)據(jù)探測功能要求系統(tǒng)在進(jìn)行檢測分析時(shí)，應(yīng)具有實(shí)時(shí)獲取受保護(hù)網(wǎng)段內(nèi)數(shù)據(jù)包的能力。6系統(tǒng)應(yīng)對收集的數(shù)據(jù)包進(jìn)行協(xié)議分析。系統(tǒng)至少應(yīng)監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、惡意代碼攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊和弱性漏洞攻擊等。系統(tǒng)應(yīng)監(jiān)視整個(gè)網(wǎng)絡(luò)或者某一特定協(xié)議、地址、端口的報(bào)文流量和字節(jié)流量。系統(tǒng)應(yīng)對收集的數(shù)據(jù)包進(jìn)行分析，發(fā)現(xiàn)安全事件。系統(tǒng)應(yīng)具有對高頻度發(fā)生的相同安全事件進(jìn)行合并告警，避免出現(xiàn)告警風(fēng)暴的能力。高頻度閾值應(yīng)由授權(quán)管理員設(shè)置。系統(tǒng)應(yīng)允許管理員對被檢測網(wǎng)段中指定的目的主機(jī)定制不同的響應(yīng)方式。當(dāng)系統(tǒng)檢測到入侵時(shí)，應(yīng)自動(dòng)采取相應(yīng)動(dòng)作以發(fā)出安全警告。告警應(yīng)采取屏幕實(shí)時(shí)提示、E-mail告警等一種或幾種方式。.1圖形界面系統(tǒng)應(yīng)提供管理員圖形化界面用于管理、配置入侵檢測系統(tǒng)。管理配置界面應(yīng)包含配置和管理系統(tǒng)所需的所有功能。系統(tǒng)安全事件庫中的內(nèi)容應(yīng)包括事件的定義和分析、詳細(xì)的漏洞修補(bǔ)方案和可采取的對策等。系統(tǒng)應(yīng)按照事件的嚴(yán)重程度將事件分級，以使授權(quán)管理員能從大量的信息中捕捉到危險(xiǎn)的事件。7系統(tǒng)應(yīng)提供方便、快捷的入侵檢測系統(tǒng)策略配置方法和手段，具備策略模板、支持策略的導(dǎo)入和系統(tǒng)應(yīng)具有升級事件庫的能力。系統(tǒng)應(yīng)具有升級系統(tǒng)程序的能力。對于硬件產(chǎn)品，硬件失效時(shí)應(yīng)及時(shí)向管理員報(bào)警。.8端口分離系統(tǒng)的探測器應(yīng)配備不同的端口分別用于系統(tǒng)管理和網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽。系統(tǒng)應(yīng)提供時(shí)鐘同步功能，保證系統(tǒng)各組件與時(shí)鐘服務(wù)器之間時(shí)間的一致性。系統(tǒng)應(yīng)保存檢測到的安全事件并記錄安全事件信息。稱、事件定義和詳細(xì)事件過程分析以及解決方案建議等。管理員應(yīng)能通過管理界面實(shí)時(shí)清晰地查看安全事件。系統(tǒng)應(yīng)能生成詳盡的檢測結(jié)果報(bào)告。系統(tǒng)應(yīng)具有瀏覽檢測結(jié)果報(bào)告的功能。檢測結(jié)果報(bào)告應(yīng)可輸出成方便管理員閱讀的文本格式，包括但不限于WORD文件、HTML文件、PDF文件、WPS文件或OFD文件等。系統(tǒng)應(yīng)將誤報(bào)率控制在15%內(nèi)，不能對正常使用系統(tǒng)產(chǎn)生較大影響。支持在IPv6網(wǎng)絡(luò)環(huán)境下工8作的系統(tǒng)的誤報(bào)率應(yīng)滿足上述指標(biāo)。系統(tǒng)應(yīng)將漏報(bào)率控制在15%內(nèi)，不能對正常使用系統(tǒng)產(chǎn)生較大影響。支持在IPv6網(wǎng)絡(luò)環(huán)境下工作的系統(tǒng)的漏報(bào)率應(yīng)滿足上述指標(biāo)。百兆系統(tǒng)單口監(jiān)控流量≥90Mbps,千兆系統(tǒng)單口監(jiān)控流量≥0.9Gbps,萬兆系統(tǒng)單口監(jiān)控流量≥9Gbps。支持在IPv6網(wǎng)絡(luò)環(huán)境下工作的系統(tǒng)的流量監(jiān)控能力應(yīng)滿足上述指標(biāo)。.4高并發(fā)連接背景入侵檢測能力百兆系統(tǒng)單口監(jiān)控并發(fā)連接數(shù)≥10萬個(gè)，千兆系統(tǒng)單口監(jiān)控并發(fā)連接數(shù)≥100萬個(gè)，萬兆系統(tǒng)單口監(jiān)控并發(fā)連接數(shù)≥150萬個(gè)。支持在IPv6網(wǎng)絡(luò)環(huán)境下工作的系統(tǒng)的并發(fā)連接數(shù)監(jiān)控能力應(yīng)滿足上述指標(biāo)。.5高新建TCP連接速率背景入侵檢測能力百兆系統(tǒng)單口監(jiān)控每秒新建TCP連接數(shù)≥6萬個(gè)，千兆系統(tǒng)單口監(jiān)控每秒新建TCP連接數(shù)≥10萬個(gè)，萬兆系統(tǒng)單口監(jiān)控每秒新建TCP連接數(shù)≥15萬個(gè)。支持在IPv6網(wǎng)絡(luò)環(huán)境下工作的系統(tǒng)的新建TCP連接速率監(jiān)控能力應(yīng)滿足上述指標(biāo)。系統(tǒng)應(yīng)在管理員執(zhí)行任何與安全功能相關(guān)的操作之前對管理員進(jìn)行鑒別。在采用基于口令的鑒別信息時(shí)，系統(tǒng)應(yīng)對管理員設(shè)置的口令進(jìn)行復(fù)雜度檢查，確保管理員口令滿足復(fù)雜度要求。當(dāng)存在默認(rèn)口令時(shí)，系統(tǒng)應(yīng)提示管理員對默認(rèn)口令進(jìn)行修改，以減少用戶身份被冒用的風(fēng)險(xiǎn)。系統(tǒng)應(yīng)提供鑒別信息定期更換功能，當(dāng)鑒別信息使用時(shí)間達(dá)到使用期限閾值前，應(yīng)提示管理員進(jìn)行修改。當(dāng)管理員鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后，系統(tǒng)應(yīng)阻止管理員進(jìn)一步的鑒別請求，并將有關(guān)信息生成審計(jì)事件。最多失敗次數(shù)僅由管理員設(shè)定。系統(tǒng)應(yīng)保護(hù)鑒別數(shù)據(jù)不被未授權(quán)查閱和修改。系統(tǒng)應(yīng)具有管理員登錄超時(shí)重新鑒別功能。在設(shè)定的時(shí)間段內(nèi)沒有任何操作的情況下，鎖定或終9止會(huì)話，需要再次進(jìn)行身份鑒別才能夠重新管理系統(tǒng)。最大超時(shí)時(shí)間僅由授權(quán)管理員設(shè)定。系統(tǒng)應(yīng)對管理員登錄的網(wǎng)絡(luò)地址進(jìn)行限制。系統(tǒng)應(yīng)保證所設(shè)置的管理員標(biāo)識全局唯一。系統(tǒng)應(yīng)為每一個(gè)管理員保存安全屬性表，屬性應(yīng)包括：管理員標(biāo)識、鑒別數(shù)據(jù)、授權(quán)信息或管理組信系統(tǒng)應(yīng)僅限于授權(quán)管理員具有禁止、修改系統(tǒng)功能的能力。系統(tǒng)應(yīng)生成以下事件的審計(jì)日志：a)管理員賬戶的登錄和注銷、系統(tǒng)啟動(dòng)、系統(tǒng)升級、重要配置變更、增加/刪除/修改管理員、保存/刪除審計(jì)日志等；b)系統(tǒng)及其模塊異常狀態(tài)的告警。系統(tǒng)應(yīng)在每一個(gè)審計(jì)日志記錄中記錄事件發(fā)生的日期、時(shí)間、用戶標(biāo)識、事件描述和結(jié)果。若采用遠(yuǎn)程登錄方式還應(yīng)記錄管理主機(jī)的IP地址。審計(jì)數(shù)據(jù)的記錄方式應(yīng)便于管理員理解，以便對審計(jì)日志進(jìn)行分析。系統(tǒng)應(yīng)為授權(quán)管理員提供審計(jì)日志查閱功能，方便管理員查看審計(jì)結(jié)果。除具有明確的訪問權(quán)限的授權(quán)管理員之外，系統(tǒng)應(yīng)禁止所有其他用戶對審計(jì)日志的訪問。應(yīng)支持按照一定條件對審計(jì)日志進(jìn)行檢索或排序。系統(tǒng)應(yīng)僅允許授權(quán)管理員訪問安全事件記錄和審計(jì)日志，禁止其他用戶對安全事件記錄和審計(jì)日志的操作。系統(tǒng)應(yīng)在數(shù)據(jù)存儲(chǔ)空間將耗盡等情況時(shí)，自動(dòng)產(chǎn)生告警，產(chǎn)生告警的剩余存儲(chǔ)空間大小應(yīng)由管理員自主設(shè)定。系統(tǒng)應(yīng)支持將安全事件記錄和審計(jì)日志外發(fā)，便于對安全事件記錄和審計(jì)日志的進(jìn)一步分析。系統(tǒng)應(yīng)確保各組件之間傳輸?shù)臄?shù)據(jù)(包括但不限于配置和控制信息、告警和事件數(shù)據(jù)等)不被泄露。系統(tǒng)應(yīng)采取隱藏探測器IP地址等措施使自身在網(wǎng)絡(luò)上不可見，以降低被攻擊的可能性。系統(tǒng)的支撐系統(tǒng)應(yīng)：a)進(jìn)行必要的裁剪，不提供多余的組件或網(wǎng)絡(luò)服務(wù)；b)在重啟過程中，安全策略和日志信息不丟失；6.2.3環(huán)境適應(yīng)性要求(有則適用)系統(tǒng)應(yīng)支持純IPv6網(wǎng)絡(luò)環(huán)境，能夠在純IPv6網(wǎng)絡(luò)環(huán)境下正常工作，實(shí)現(xiàn)對目標(biāo)網(wǎng)絡(luò)入侵的檢測。系統(tǒng)應(yīng)支持在IPv6網(wǎng)絡(luò)環(huán)境下自身管理，實(shí)現(xiàn)對產(chǎn)品的管理操作。系統(tǒng)應(yīng)支持IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境，能夠在IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境下正常工作，實(shí)現(xiàn)對目標(biāo)網(wǎng)絡(luò)入侵的檢測。開發(fā)者應(yīng)提供產(chǎn)品安全功能和自身安全保護(hù)的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求：a)與產(chǎn)品設(shè)計(jì)文檔中對安全功能和自身安全保護(hù)實(shí)施抽象描述的級別一致；b)描述與安全功能和自身安全保護(hù)要求一致的產(chǎn)品安全功能和自身安全保護(hù)的安全域；c)描述產(chǎn)品安全功能和自身安全保護(hù)初始化過程為何是安全的；d)證實(shí)產(chǎn)品安全功能和自身安全保護(hù)能夠防止被破壞；e)證實(shí)產(chǎn)品安全功能和自身安全保護(hù)能夠防止安全特性被旁路。開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求：a)完全描述產(chǎn)品的安全功能和自身安全保護(hù)；b)描述所有安全功能和自身安全保護(hù)接口的目的與使用方法；c)標(biāo)識和描述每個(gè)安全功能和自身安全保護(hù)接口相關(guān)的所有參數(shù)；d)描述安全功能和自身安全保護(hù)接口相關(guān)的安全功能和自身安全保護(hù)實(shí)施行為；e)描述由安全功能和自身安全保護(hù)實(shí)施行為處理而引起的直接錯(cuò)誤消息；f)證實(shí)安全功能和自身安全保護(hù)要求到安全功能和自身安全保護(hù)接口的追溯。開發(fā)者應(yīng)提供產(chǎn)品設(shè)計(jì)文檔，產(chǎn)品設(shè)計(jì)文檔應(yīng)滿足以下要求：a)根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；b)標(biāo)識和描述產(chǎn)品安全功能和自身安全保護(hù)的所有子系統(tǒng)；c)描述安全功能和自身安全保護(hù)所有子系統(tǒng)間的相互作用；d)提供的映射關(guān)系能夠證實(shí)設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的安全功能和自身安全保護(hù)接口。開發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致，對每一種用戶角色的描述應(yīng)滿足以下要求：a)描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔?；b)描述如何以安全的方式使用產(chǎn)品提供的可用接口；c)描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)；d)明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能和自身安全保護(hù)所控制實(shí)體的安全特性；e)標(biāo)識產(chǎn)品運(yùn)行的所有可能狀態(tài)(包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤),以及它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系；f)充分實(shí)現(xiàn)安全目的所執(zhí)行的安全策略。開發(fā)者應(yīng)提供產(chǎn)品及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿足以下要求：a)描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；b)描述安全安裝產(chǎn)品及其運(yùn)行環(huán)境必需的所有步驟。開發(fā)者的配置管理能力應(yīng)滿足以下要求：a)為產(chǎn)品的不同版本提供唯一的標(biāo)識；b)使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項(xiàng)進(jìn)行維護(hù)，并唯一標(biāo)識配置項(xiàng)；c)提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識配置項(xiàng)的方法。開發(fā)者應(yīng)提供產(chǎn)品配置項(xiàng)列表，并說明配置項(xiàng)的開發(fā)者。配置項(xiàng)列表至少包含產(chǎn)品、安全保障要求的評估證據(jù)和產(chǎn)品的組成部分。開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時(shí)，交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。開發(fā)者應(yīng)提供測試覆蓋文檔，測試覆蓋描述應(yīng)表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能和自身安全保護(hù)間的對應(yīng)性。開發(fā)者應(yīng)測試產(chǎn)品安全功能和自身安全保護(hù)，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括以a)測試計(jì)劃，標(biāo)識要執(zhí)行的測試，并描述執(zhí)行每個(gè)測試的方案，這些方案包括對于其他測試結(jié)果的任何順序依賴性；b)預(yù)期的測試結(jié)果，表明測試成功后的預(yù)期輸出；c)實(shí)際測試結(jié)果和預(yù)期的測試結(jié)果的對比。開發(fā)者應(yīng)提供一組與其自測安全功能和自身安全保護(hù)時(shí)使用的同等資源，以用于安全功能和自身安全保護(hù)的抽樣測試?；谝褬?biāo)識的潛在脆弱性，產(chǎn)品能夠抵抗具有基本攻擊潛力的攻擊者的攻擊。6.3增強(qiáng)級安全要求6.3.1安全功能要求系統(tǒng)在進(jìn)行檢測分析時(shí)，應(yīng)具有實(shí)時(shí)獲取受保護(hù)網(wǎng)段內(nèi)數(shù)據(jù)包的能力。系統(tǒng)應(yīng)對收集的數(shù)據(jù)包進(jìn)行協(xié)議分析。.3攻擊行為監(jiān)測系統(tǒng)至少應(yīng)監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、惡意代碼攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊和弱性漏洞攻擊等。系統(tǒng)應(yīng)監(jiān)視整個(gè)網(wǎng)絡(luò)或者某一特定協(xié)議、地址、端口的報(bào)文流量和字節(jié)流量。入侵分析功能要求系統(tǒng)應(yīng)對收集的數(shù)據(jù)包進(jìn)行分析，發(fā)現(xiàn)安全事件。系統(tǒng)應(yīng)具有對高頻度發(fā)生的相同安全事件進(jìn)行合并告警，避免出現(xiàn)告警風(fēng)暴的能力。高頻度閾值應(yīng)由授權(quán)管理員設(shè)置。系統(tǒng)應(yīng)能發(fā)現(xiàn)躲避或欺騙檢測的行為，包括但不限于IP碎片分片、TCP流分段、URL字符串變形、shell代碼變形、協(xié)議端口重定向等。系統(tǒng)應(yīng)具有把不同的事件關(guān)聯(lián)起來，發(fā)現(xiàn)低危害事件中隱含的高危害攻擊的能力。入侵響應(yīng)功能要求系統(tǒng)應(yīng)允許管理員對被檢測網(wǎng)段中指定的目的主機(jī)定制不同的響應(yīng)方式。當(dāng)系統(tǒng)檢測到入侵時(shí)，應(yīng)自動(dòng)采取相應(yīng)動(dòng)作以發(fā)出安全警告。告警應(yīng)采取屏幕實(shí)時(shí)提示、E-mail告警等一種或幾種方式。系統(tǒng)在監(jiān)測到網(wǎng)絡(luò)上的非法連接時(shí)，可進(jìn)行阻斷。系統(tǒng)應(yīng)允許管理員定義對被檢測網(wǎng)段中指定的目的主機(jī)不予告警。系統(tǒng)應(yīng)具有與防火墻進(jìn)行聯(lián)動(dòng)的能力，可按照設(shè)定的聯(lián)動(dòng)策略自動(dòng)調(diào)整防火墻配置。系統(tǒng)應(yīng)具有全局預(yù)警功能，控制臺可在設(shè)定全局預(yù)警的策略后，將局部出現(xiàn)的重大安全事件通知其上級控制臺或者下級控制臺。.8其他設(shè)備聯(lián)動(dòng)系統(tǒng)應(yīng)具有與其他網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)安全部件(包括但不限于沙箱、漏洞掃描、交換機(jī)等)按照設(shè)定的策略進(jìn)行聯(lián)動(dòng)的能力。管理控制功能要求系統(tǒng)應(yīng)提供管理員圖形化界面用于管理、配置入侵檢測系統(tǒng)。管理配置界面應(yīng)包含配置和管理系統(tǒng)所需的所有功能。系統(tǒng)安全事件庫中的內(nèi)容應(yīng)包括事件的定義和分析、詳細(xì)的漏洞修補(bǔ)方案和可采取的對策等。系統(tǒng)應(yīng)按照事件的嚴(yán)重程度將事件分級，以使授權(quán)管理員能從大量的信息中捕捉到危險(xiǎn)的事件。.4策略配置系統(tǒng)應(yīng)提供方便、快捷的入侵檢測系統(tǒng)策略配置方法和手段，具備策略模板、支持策略的導(dǎo)入和導(dǎo)出。系統(tǒng)應(yīng)具有升級事件庫的能力。系統(tǒng)應(yīng)具有升級系統(tǒng)程序的能力。.7硬件失效處理對于硬件產(chǎn)品，硬件失效時(shí)應(yīng)及時(shí)向管理員報(bào)警。系統(tǒng)的探測器應(yīng)配備不同的端口分別用于系統(tǒng)管理和網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽。系統(tǒng)應(yīng)提供時(shí)鐘同步功能，保證系統(tǒng)各組件與時(shí)鐘服務(wù)器之間時(shí)間的一致性。系統(tǒng)應(yīng)具有分布式部署的能力。系統(tǒng)應(yīng)設(shè)置集中管理中心，對分布式的入侵檢測系統(tǒng)進(jìn)行統(tǒng)一集中管理。.12統(tǒng)一升級系統(tǒng)應(yīng)提供由集中管理中心對各探測器及其事件庫進(jìn)行統(tǒng)一升級的功能。系統(tǒng)應(yīng)具有分級管理的能力，支持可選擇、可配置多級之間需要同步的數(shù)據(jù)類型。檢測結(jié)果處理要求系統(tǒng)應(yīng)保存檢測到的安全事件并記錄安全事件信息。稱、事件定義和詳細(xì)事件過程分析以及解決方案建議等。管理員應(yīng)能通過管理界面實(shí)時(shí)清晰地查看安全事件。系統(tǒng)應(yīng)能生成詳盡的檢測結(jié)果報(bào)告。系統(tǒng)應(yīng)具有瀏覽檢測結(jié)果報(bào)告的功能。檢測結(jié)果報(bào)告應(yīng)可輸出成方便管理員閱讀的文本格式，包括但不限于WORD文件、HTML文件、系統(tǒng)應(yīng)支持授權(quán)管理員定制報(bào)告內(nèi)容。系統(tǒng)應(yīng)允許授權(quán)管理員自定義事件，并應(yīng)提供方便、快捷的定義方法。系統(tǒng)除支持默認(rèn)的網(wǎng)絡(luò)協(xié)議集外，還應(yīng)允許授權(quán)管理員定義新的協(xié)議，或?qū)f(xié)議的端口進(jìn)行重新定位。系統(tǒng)應(yīng)將誤報(bào)率控制在15%內(nèi)，不能對正常使用系統(tǒng)產(chǎn)生較大影響。支持在IPv6網(wǎng)絡(luò)環(huán)境下工作的系統(tǒng)的誤報(bào)率應(yīng)滿足上述指標(biāo)。系統(tǒng)應(yīng)將漏報(bào)率控制在15%內(nèi)，不能對正常使用系統(tǒng)產(chǎn)生較大影響。支持在IPv6網(wǎng)絡(luò)環(huán)境下工作的系統(tǒng)的漏報(bào)率應(yīng)滿足上述指標(biāo)。百兆系統(tǒng)單口監(jiān)控流量≥90Mbps,千兆系統(tǒng)單口監(jiān)控流量≥0.9Gbps,萬兆系統(tǒng)單口監(jiān)控流量≥9Gbps。支持在IPv6網(wǎng)絡(luò)環(huán)境下工作的系統(tǒng)的流量監(jiān)控能力應(yīng)滿足上述指標(biāo)。.4高并發(fā)連接背景入侵檢測能力百兆系統(tǒng)單口監(jiān)控并發(fā)連接數(shù)≥10萬個(gè)，千兆系統(tǒng)單口監(jiān)控并發(fā)連接數(shù)≥100萬個(gè)，萬兆系統(tǒng)單口監(jiān)控并發(fā)連接數(shù)≥150萬個(gè)。支持在IPv6網(wǎng)絡(luò)環(huán)境下工作的系統(tǒng)的并發(fā)連接數(shù)監(jiān)控能力應(yīng)滿足上述指標(biāo)。.5高新建TCP連接速率背景入侵檢測能力百兆系統(tǒng)單口監(jiān)控每秒新建TCP連接數(shù)≥6萬個(gè)，千兆系統(tǒng)單口監(jiān)控每秒新建TCP連接數(shù)≥10萬個(gè)，萬兆系統(tǒng)單口監(jiān)控每秒新建TCP連接數(shù)≥15萬個(gè)。支持在IPv6網(wǎng)絡(luò)環(huán)境下工作的系統(tǒng)的新建TCP連接速率監(jiān)控能力應(yīng)滿足上述指標(biāo)。系統(tǒng)應(yīng)對入侵行為進(jìn)行內(nèi)容恢復(fù)和還原，當(dāng)背景數(shù)據(jù)流低于網(wǎng)絡(luò)有效帶寬的80%時(shí)，系統(tǒng)應(yīng)保證入侵行為的獲取和能夠正確還原85%的入侵行為。支持在IPv6網(wǎng)絡(luò)環(huán)境下工作的系統(tǒng)的還原能力應(yīng)滿足上述指標(biāo)。系統(tǒng)應(yīng)在管理員執(zhí)行任何與安全功能相關(guān)的操作之前對管理員進(jìn)行鑒別。在采用基于口令的鑒別信息時(shí)，系統(tǒng)應(yīng)對管理員設(shè)置的口令進(jìn)行復(fù)雜度檢查，確保管理員口令滿足復(fù)雜度要求。當(dāng)存在默認(rèn)口令時(shí)，系統(tǒng)應(yīng)提示管理員對默認(rèn)口令進(jìn)行修改，以減少用戶身份被冒用的風(fēng)險(xiǎn)。系統(tǒng)應(yīng)提供鑒別信息定期更換功能，當(dāng)鑒別信息使用時(shí)間達(dá)到使用期限閾值前，應(yīng)提示管理員進(jìn)行修改。當(dāng)管理員鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后，系統(tǒng)應(yīng)阻止管理員進(jìn)一步的鑒別請求，并將有關(guān)信息生成審計(jì)事件。最多失敗次數(shù)僅由管理員設(shè)定。系統(tǒng)應(yīng)保護(hù)鑒別數(shù)據(jù)不被未授權(quán)查閱和修改。系統(tǒng)應(yīng)具有管理員登錄超時(shí)重新鑒別功能。在設(shè)定的時(shí)間段內(nèi)沒有任何操作的情況下，鎖定或終止會(huì)話，需要再次進(jìn)行身份鑒別才能夠重新管理系統(tǒng)。最大超時(shí)時(shí)間僅由授權(quán)管理員設(shè)定。系統(tǒng)應(yīng)對管理員登錄的網(wǎng)絡(luò)地址進(jìn)行限制。系統(tǒng)應(yīng)提供多種鑒別方式，以實(shí)現(xiàn)多重身份鑒別措施。系統(tǒng)應(yīng)允許管理員鎖定當(dāng)前的交互會(huì)話，鎖定后需要再次進(jìn)行身份鑒別才能夠重新管理系統(tǒng)。系統(tǒng)應(yīng)保證所設(shè)置的管理員標(biāo)識全局唯一。系統(tǒng)應(yīng)為每一個(gè)管理員保存安全屬性表，屬性應(yīng)包括：管理員標(biāo)識、鑒別數(shù)據(jù)、授權(quán)信息或管理組信系統(tǒng)應(yīng)僅限于授權(quán)管理員具有禁止、修改系統(tǒng)功能的能力。系統(tǒng)應(yīng)設(shè)置多個(gè)角色，并應(yīng)保證每一個(gè)角色標(biāo)識是全局唯一的。系統(tǒng)應(yīng)僅允許授權(quán)角色可以對指定的安全屬性進(jìn)行查詢、修改、刪除、改變其默認(rèn)值等操作。系統(tǒng)應(yīng)生成以下事件的審計(jì)日志：a)管理員賬戶的登錄和注銷、系統(tǒng)啟動(dòng)、系統(tǒng)升級、重要系統(tǒng)參數(shù)修改、安全策略變更、增加/刪除/修改管理員、保存/刪除審計(jì)日志等；b)系統(tǒng)及其模塊異常狀態(tài)的告警。系統(tǒng)應(yīng)在每一個(gè)審計(jì)日志記錄中記錄事件發(fā)生的日期、時(shí)間、用戶標(biāo)識、事件描述和結(jié)果。若采用遠(yuǎn)程登錄方式還應(yīng)記錄管理主機(jī)的IP地址。審計(jì)數(shù)據(jù)的記錄方式應(yīng)便于管理員理解，以便對審計(jì)日志進(jìn)行分析。系統(tǒng)應(yīng)為授權(quán)管理員提供審計(jì)日志查閱功能，方便管理員查看審計(jì)結(jié)果。除具有明確的訪問權(quán)限的授權(quán)管理員之外，系統(tǒng)應(yīng)禁止所有其他用戶對審計(jì)日志的訪問。應(yīng)支持按照一定條件對審計(jì)日志進(jìn)行檢索或排序。系統(tǒng)應(yīng)僅允許授權(quán)管理員訪問安全事件記錄和審計(jì)日志，禁止其他用戶對安全事件記錄和審計(jì)日志的操作。系統(tǒng)應(yīng)在數(shù)據(jù)存儲(chǔ)空間將耗盡等情況時(shí)，自動(dòng)產(chǎn)生告警，產(chǎn)生告警的剩余存儲(chǔ)空間大小應(yīng)由管理員系統(tǒng)應(yīng)支持將安全事件記錄和審計(jì)日志外發(fā)，便于對安全事件記錄和審計(jì)日志的進(jìn)一步分析。系統(tǒng)應(yīng)支持對安全策略進(jìn)行備份和恢復(fù)，并在恢復(fù)時(shí)校驗(yàn)備份文件的完整性。系統(tǒng)應(yīng)確保各組件之間傳輸?shù)臄?shù)據(jù)(包括但不限于配置和控制信息、告警和事件數(shù)據(jù)等)不被泄露。各組件之間傳輸?shù)臄?shù)據(jù)(包括但不限于配置和控制信息、告警和事件數(shù)據(jù)等)被篡改后，系統(tǒng)應(yīng)確保及時(shí)發(fā)現(xiàn)、并通知管理員。系統(tǒng)應(yīng)確保事件庫和系統(tǒng)升級時(shí)的安全，避免得到錯(cuò)誤的或偽造的升級包。系統(tǒng)應(yīng)采取隱藏探測器IP地址等措施使自身在網(wǎng)絡(luò)上不可見，以降低被攻擊的可能性。系統(tǒng)在啟動(dòng)和正常工作時(shí)，應(yīng)周期性地、或者按照授權(quán)管理員的要求執(zhí)行自檢，包括硬件工作狀態(tài)監(jiān)測、組件連接狀態(tài)監(jiān)測等，以驗(yàn)證系統(tǒng)自身執(zhí)行的正確性。當(dāng)系統(tǒng)自檢發(fā)現(xiàn)異常時(shí)，應(yīng)及時(shí)通知授權(quán)管理員。系統(tǒng)的支撐系統(tǒng)應(yīng)：a)進(jìn)行必要的裁剪，不提供多余的組件或網(wǎng)絡(luò)服務(wù)；b)在重啟過程中，安全策略和日志信息不丟失；6.3.3環(huán)境適應(yīng)性要求(有則適用)系統(tǒng)應(yīng)支持純IPv6網(wǎng)絡(luò)環(huán)境，能夠在純IPv6網(wǎng)絡(luò)環(huán)境下正常工作，實(shí)現(xiàn)對目標(biāo)網(wǎng)絡(luò)入侵的檢測。系統(tǒng)應(yīng)支持在IPv6網(wǎng)絡(luò)環(huán)境下自身管理，實(shí)現(xiàn)對產(chǎn)品的管理操作。系統(tǒng)應(yīng)支持IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境，能夠在IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境下正常工作，實(shí)現(xiàn)對目標(biāo)網(wǎng)絡(luò)入侵的檢測。6.3.4安全保障要求.1安全架構(gòu)開發(fā)者應(yīng)提供產(chǎn)品安全功能和自身安全保護(hù)的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求：a)與產(chǎn)品設(shè)計(jì)文檔中對安全功能和自身安全保護(hù)實(shí)施抽象描述的級別一致；b)描述與安全功能和自身安全保護(hù)要求一致的產(chǎn)品安全功能和自身安全保護(hù)的安全域；c)描述產(chǎn)品安全功能和自身安全保護(hù)初始化過程為何是安全的；d)證實(shí)產(chǎn)品安全功能和自身安全保護(hù)能夠防止被破壞；e)證實(shí)產(chǎn)品安全功能和自身安全保護(hù)能夠防止安全特性被旁路。開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求：a)完全描述產(chǎn)品的安全功能和自身安全保護(hù)；b)描述所有安全功能和自身安全保護(hù)接口的目的與使用方法；c)標(biāo)識和描述每個(gè)安全功能和自身安全保護(hù)接口相關(guān)的所有參數(shù)；d)描述安全功能和自身安全保護(hù)接口相關(guān)的安全功能和自身安全保護(hù)實(shí)施行為；e)描述由安全功能和自身安全保護(hù)實(shí)施行為處理而引起的直接錯(cuò)誤消息；f)證實(shí)安全功能和自身安全保護(hù)要求到安全功能和自身安全保護(hù)接口的追溯；g)描述安全功能和自身安全保護(hù)實(shí)施過程中，與安全功能和自身安全保護(hù)接口相關(guān)的所有行為；h)描述可能由安全功能和自身安全保護(hù)接口的調(diào)用而引起的所有直接錯(cuò)誤消息。開發(fā)者應(yīng)提供全部安全功能和自身安全保護(hù)的實(shí)現(xiàn)表示，實(shí)現(xiàn)表示應(yīng)滿足以下要求：a)提供產(chǎn)品設(shè)計(jì)描述與實(shí)現(xiàn)表示實(shí)例之間的映射，并證明其一致性；b)按詳細(xì)級別定義產(chǎn)品安全功能和自身安全保護(hù)，詳細(xì)程度達(dá)到無須進(jìn)一步設(shè)計(jì)就能生成安全功能和自身安全保護(hù)的程度；c)以開發(fā)人員使用的形式提供。.4產(chǎn)品設(shè)計(jì)開發(fā)者應(yīng)提供產(chǎn)品設(shè)計(jì)文檔，產(chǎn)品設(shè)計(jì)文檔應(yīng)滿足以下要求：a)根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；b)標(biāo)識和描述產(chǎn)品安全功能和自身安全保護(hù)的所有子系統(tǒng)；c)描述安全功能和自身安全保護(hù)所有子系統(tǒng)間的相互作用；d)提供的映射關(guān)系能夠證實(shí)設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的安全功能和自身安全保護(hù)接口；e)根據(jù)模塊描述安全功能和自身安全保護(hù)；f)提供安全功能和自身安全保護(hù)子系統(tǒng)到模塊間的映射關(guān)系；g)描述所有安全功能和自身安全保護(hù)實(shí)現(xiàn)模塊，包括其目的及與其他模塊間的相互作用；h)描述所有實(shí)現(xiàn)模塊的安全功能和自身安全保護(hù)要求相關(guān)接口、其他接口的返回值、與其他模塊間的相互作用及調(diào)用的接口；i)描述所有安全功能和自身安全保護(hù)的支撐或相關(guān)模塊，包括其目的及與其他模塊間的相互作用。指導(dǎo)性文檔.1操作用戶指南開發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致，對每一種用戶角色的描述應(yīng)滿足以下要求：a)描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔?；b)描述如何以安全的方式使用產(chǎn)品提供的可用接口；c)描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)；d)明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能和自身安全保護(hù)所控制實(shí)體的安全特性；e)標(biāo)識產(chǎn)品運(yùn)行的所有可能狀態(tài)(包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤),以及它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系；f)充分實(shí)現(xiàn)安全目的所執(zhí)行的安全策略。開發(fā)者應(yīng)提供產(chǎn)品及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿足以下要求：a)描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；b)描述安全安裝產(chǎn)品及其運(yùn)行環(huán)境必需的所有步驟。開發(fā)者的配置管理能力應(yīng)滿足以下要求：a)為產(chǎn)品的不同版本提供唯一的標(biāo)識；b)使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項(xiàng)進(jìn)行維護(hù)，并唯一標(biāo)識配置項(xiàng)；c)提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識配置項(xiàng)的方法；d)配置管理系統(tǒng)提供一種自動(dòng)方式來支持產(chǎn)品的生成，通過該方式確保只能對產(chǎn)品的實(shí)現(xiàn)表示進(jìn)行已授權(quán)的改變；e)配置管理文檔包括一個(gè)配置管理計(jì)劃，配置管理計(jì)劃描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品，實(shí)施的配置管理與配置管理計(jì)劃相一致；f)配置管理計(jì)劃描述用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項(xiàng)的程序。開發(fā)者應(yīng)提供產(chǎn)品配置項(xiàng)列表，并說明配置項(xiàng)的開發(fā)者。配置項(xiàng)列表應(yīng)包含以下內(nèi)容：a)產(chǎn)品、安全保障要求的評估證據(jù)和產(chǎn)品的組成部分；b)實(shí)現(xiàn)表示、安全缺陷報(bào)告及其解決狀態(tài)。開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時(shí)，交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。開發(fā)者應(yīng)提供開發(fā)安全文檔。開發(fā)安全文檔應(yīng)描述在產(chǎn)品的開發(fā)環(huán)境中，為保護(hù)產(chǎn)品設(shè)計(jì)和實(shí)現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。開發(fā)者應(yīng)建立一個(gè)生命周期模型對產(chǎn)品的開發(fā)和維護(hù)進(jìn)行的必要控制，并提供生命周期定義文檔描述用于開發(fā)和維護(hù)產(chǎn)品的模型。開發(fā)者應(yīng)明確定義用于開發(fā)產(chǎn)品的工具，并提供開發(fā)工具文檔無歧義地定義實(shí)現(xiàn)中每個(gè)語句的含義和所有依賴于實(shí)現(xiàn)的選項(xiàng)的含義。開發(fā)者應(yīng)提供測試覆蓋文檔，測試覆蓋描述應(yīng)滿足以下要求：a)表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能和自身安全保護(hù)間的對應(yīng)性；b)表明上述對應(yīng)性是完備的，并證實(shí)功能規(guī)范中的所有安全功能和自身安全保護(hù)接口都進(jìn)行了測試。開發(fā)者應(yīng)提供測試深度的分析。測試深度分析描述應(yīng)滿足以下要求：a)證實(shí)測試文檔中的測試與產(chǎn)品設(shè)計(jì)中的安全功能和自身安全保護(hù)子系統(tǒng)和實(shí)現(xiàn)模塊之間的一致性；b)證實(shí)產(chǎn)品設(shè)計(jì)中的所有安全功能和自身安全保護(hù)子系統(tǒng)、實(shí)現(xiàn)模塊都已經(jīng)進(jìn)行過測試。開發(fā)者應(yīng)測試產(chǎn)品安全功能和自身安全保護(hù)，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括以下內(nèi)容：a)測試計(jì)劃，標(biāo)識要執(zhí)行的測試，并描述執(zhí)行每個(gè)測試的方案，這些方案包括對于其他測試結(jié)果的任何順序依賴性；b)預(yù)期的測試結(jié)果，表明測試成功后的預(yù)期輸出；c)實(shí)際測試結(jié)果和預(yù)期的測試結(jié)果的對比。.4獨(dú)立測試開發(fā)者應(yīng)提供一組與其自測安全功能和自身安全保護(hù)時(shí)使用的同等資源，以用于安全功能和自身安全保護(hù)的抽樣測試?；谝褬?biāo)識的潛在脆弱性，產(chǎn)品能夠抵抗具有中等攻擊潛力的攻擊者的攻擊。7測試評價(jià)方法7.1測試環(huán)境網(wǎng)絡(luò)入侵檢測系統(tǒng)功能測試的典型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。網(wǎng)絡(luò)入侵檢測系統(tǒng)網(wǎng)絡(luò)入侵檢測系統(tǒng)探測器(1臺或多臺)網(wǎng)絡(luò)入侵檢測系統(tǒng)控制臺模擬攻擊源計(jì)算機(jī)1模擬攻山源計(jì)算機(jī)m網(wǎng)絡(luò)入侵檢測系統(tǒng)探測器(1臺或多臺)網(wǎng)絡(luò)入侵檢測系統(tǒng)控制臺交換機(jī)/集線器百兆/千兆/萬兆剛*****測試工具集模擬被攻擊上機(jī)1模擬被攻擊主機(jī)n圖1網(wǎng)絡(luò)入侵檢測系統(tǒng)功能測試典型網(wǎng)絡(luò)拓?fù)鋱D測試設(shè)備包括測試所需的交換機(jī)、測試工具集、模擬攻擊源計(jì)算機(jī)、模擬被攻擊計(jì)算機(jī)、以及網(wǎng)絡(luò)入侵檢測系統(tǒng)控制臺、網(wǎng)絡(luò)入侵檢測系統(tǒng)探測器等。其中，模擬攻擊源計(jì)算機(jī)和模擬被攻擊計(jì)算機(jī)可以為多臺，并可安裝不同的操作系統(tǒng)和應(yīng)用軟件。7.2測試工具可用的測試工具包括但不限于：生成網(wǎng)絡(luò)背景流量的專用網(wǎng)絡(luò)性能分析儀；進(jìn)行包回放的網(wǎng)絡(luò)數(shù)據(jù)包獲取軟件；測試產(chǎn)品報(bào)警能力的掃描和攻擊工具包?？刹扇《喾N測試工具和測試方法對系統(tǒng)進(jìn)行測試。7.3.1安全功能測試數(shù)據(jù)探測功能測試對數(shù)據(jù)收集的測試評價(jià)方法如下。a)測試方法：1)打開系統(tǒng)的安全策略配置，配置受保護(hù)網(wǎng)段；2)對受保護(hù)網(wǎng)段發(fā)起攻擊；3)檢查是否具有實(shí)時(shí)獲取受保護(hù)網(wǎng)段內(nèi)的數(shù)據(jù)包的能力。b)預(yù)期結(jié)果：系統(tǒng)應(yīng)能夠?qū)崟r(shí)獲取足夠的網(wǎng)絡(luò)數(shù)據(jù)包以分析安全事件。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對協(xié)議分析的測試評價(jià)方法如下。a)測試方法：1)打開系統(tǒng)的安全策略配置，檢查安全事件的描述是否具有協(xié)議類型等屬性；2)檢查產(chǎn)品說明書，查找關(guān)于協(xié)議分析方法的說明，按照系統(tǒng)所聲明的協(xié)議分析類型，抽樣生成協(xié)議事件，組成安全事件測試集；3)配置系統(tǒng)的檢測策略為最大策略集；4)發(fā)送安全事件測試集中的所有事件，記錄系統(tǒng)的檢測結(jié)果。b)預(yù)期結(jié)果：1)記錄系統(tǒng)報(bào)告的攻擊名稱和類型；2)產(chǎn)品說明書中聲稱能夠分析的協(xié)議事件，抽樣測試應(yīng)未發(fā)現(xiàn)矛盾之處；3)列舉系統(tǒng)支持的所有協(xié)議分析方法。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對攻擊行為監(jiān)測的測試評價(jià)方法如下。a)測試方法：1)從已有的事件庫中選擇具有不同特征的多個(gè)事件，組成安全事件測試集，選取的事件應(yīng)包括：端口掃描類事件(包括但不限于TCP端口掃描、UDP端口掃描、ICMP分布式主機(jī)掃描等)、強(qiáng)力攻擊類事件(包括但不限于SMTP、HTTP、FTP、MSSQLSERVER、FTP_弱擊波、振蕩波等)、拒絕服務(wù)類事件(包括但不限于SYNFLOOD、UDPFLOOD、ICMP-FLOOD、IGMP拒絕服務(wù)等)、緩沖區(qū)溢出類事件(包括但不限于FTP_命令溢出、SMTP_HELO_緩沖區(qū)溢出、POP3_foxmail_5.0_緩沖區(qū)溢出、Telnet_Solaris_telnet_緩沖區(qū)溢出、HTTP_IS_Unicode_漏洞、MSSQL2000_遠(yuǎn)程溢出等)、脆弱性漏洞攻擊類事件(包括但不限于MS-Office文件脆弱性、MS-IE瀏覽器脆弱性、應(yīng)用層安全漏洞攻擊等)以及其他具有代表性的網(wǎng)絡(luò)安全事件，測試系統(tǒng)；2)配置系統(tǒng)的檢測策略為最大策略集；3)發(fā)送安全事件測試集中的所有事件，記錄系統(tǒng)的檢測結(jié)果。b)預(yù)期結(jié)果：1)對安全事件測試集的攻擊，系統(tǒng)應(yīng)報(bào)告相應(yīng)的安全事件，包括事件名稱、事件類型、攻擊源2)記錄系統(tǒng)報(bào)告的攻擊名稱和類型。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對流量監(jiān)控的測試評價(jià)方法如下。a)測試方法：1)開啟流量顯示功能，定義流量事件，查看流量顯示界面，顯示流量變化；2)對某一服務(wù)器發(fā)起大流量的攻擊，如pingflood;3)對特定的端口(如80端口)發(fā)起拒絕服務(wù)攻擊。b)預(yù)期結(jié)果：1)可以顯示出各種流量信息；2)可以顯示出正在遭受攻擊(如pingflood)的服務(wù)器；3)可以顯示出網(wǎng)絡(luò)中正遭受的拒絕服務(wù)攻擊；4)列舉提供的流量監(jiān)測內(nèi)容，包括但不限于流量事件、不同協(xié)議的流量顯示曲線等。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。入侵分析功能測試對數(shù)據(jù)分析的測試評價(jià)方法如下。a)測試方法：1)從已有的事件庫中選擇具有不同特征的多個(gè)事件，組成安全事件測試集。選取的事件應(yīng)包括掃描類事件、拒絕服務(wù)類事件、后門類事件、蠕蟲類事件、溢出類事件、暴力猜解和弱口令類事件、以及其他具有代表性的安全事件；2)配置系統(tǒng)的檢測策略為最大策略集；3)發(fā)送安全事件測試集中的所有事件，記錄系統(tǒng)的檢測結(jié)果。b)預(yù)期結(jié)果：1)對安全事件測試集的攻擊，系統(tǒng)應(yīng)報(bào)告相應(yīng)的安全事件，包括事件名稱、攻擊源地址、目的2)記錄系統(tǒng)報(bào)告的攻擊名稱和類型。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對事件合并的測試評價(jià)方法如下。a)測試方法：1)連續(xù)觸發(fā)同一條事件達(dá)到高頻度閾值，查看報(bào)警顯示的情況，是否是將同一事件進(jìn)行合并顯示；2)設(shè)置事件合并的規(guī)則，將某些內(nèi)容進(jìn)行合并，如只顯示報(bào)警信息的事件名稱、發(fā)生的次數(shù)、源IP(目的是查看某一事件在這個(gè)IP上發(fā)生了多少次)。b)預(yù)期結(jié)果：1)可以根據(jù)需要進(jìn)行同類事件的合并；2)可以按照設(shè)置顯示報(bào)警信息的事件名稱、發(fā)生的次數(shù)、源IP等信息。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。入侵響應(yīng)功能測試對定制響應(yīng)的測試評價(jià)方法如下。a)測試方法：1)系統(tǒng)應(yīng)允許管理員對被檢測網(wǎng)段中指定的目的主機(jī)定制不同的響應(yīng)方式，以對特定的事件突出告警；2)打開菜單，檢查系統(tǒng)是否允許管理員設(shè)置僅對被檢測網(wǎng)段中指定的目的主機(jī)進(jìn)行告警。b)預(yù)期結(jié)果：管理員可以定制僅監(jiān)控符合指定條件的目的主機(jī)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對安全告警的測試評價(jià)方法如下。a)測試方法：1)觸發(fā)一定的安全事件，查看是否有告警信息；2)檢查報(bào)警界面的顯示信息是否分級別顯示；3)查看報(bào)警信息的詳細(xì)記錄；4)查看報(bào)警事件的詳細(xì)解釋和建議解決方案。b)預(yù)期結(jié)果：1)可以顯示告警信息；2)報(bào)警信息可以顯示安全事件的級別；3)對于每條報(bào)警信息記錄詳細(xì)的參數(shù)；4)對于每條報(bào)警事件能夠給出詳細(xì)解釋和建議解決方案。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對告警方式的測試評價(jià)方法如下。a)測試方法：1)打開菜單，查看告警方式的選擇；2)依次選擇各種告警方式，測試是否能夠按照指定的方法告警。b)預(yù)期結(jié)果：可以采取屏幕實(shí)時(shí)提示、E-mail告警等一種或幾種告警方式。記錄并列出所有告警方式。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對圖形界面的測試評價(jià)方法如下。a)測試方法：1)登錄控制臺界面；2)查看管理員界面的功能，包括管理配置界面、報(bào)警顯示界面等；3)通過界面配置控制臺和探測器的連接。b)預(yù)期結(jié)果：1)具備獨(dú)立的控制臺；2)具有圖形化的管理界面；3)具備劃分清晰功能區(qū)域的報(bào)警顯示界面。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對安全事件庫的測試評價(jià)方法如下。a)測試方法：1)檢查系統(tǒng)是否把對安全事件的描述存儲(chǔ)到相應(yīng)的事件庫中；2)檢查系統(tǒng)支持的安全事件庫格式。b)預(yù)期結(jié)果：1)系統(tǒng)提供存儲(chǔ)安全事件的事件庫；2)安全事件庫中的內(nèi)容應(yīng)包括安全事件的定義和分析內(nèi)容、詳細(xì)的漏洞修補(bǔ)方案和可采取的對策等內(nèi)容；3)列舉系統(tǒng)支持的安全事件庫格式。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對事件分級的測試評價(jià)方法如下。a)測試方法：1)打開系統(tǒng)的事件庫，檢查是否每個(gè)事件都有分級信息；2)檢查界面顯示的安全事件是否具備事件級別信息。b)預(yù)期結(jié)果：1)事件庫的所有事件都具有分級信息；2)界面顯示的安全事件，都以文字或色彩等形式顯示事件級別。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對策略配置的測試評價(jià)方法如下。a)測試方法：1)打開菜單，查看系統(tǒng)提供的默認(rèn)策略；2)查看是否允許編輯或修改生成新的策略。b)預(yù)期結(jié)果：1)系統(tǒng)應(yīng)提供默認(rèn)的策略，并可以直接應(yīng)用；2)應(yīng)允許管理員編輯策略；4)記錄系統(tǒng)提供的策略種類和名稱。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對事件庫升級的測試評價(jià)方法如下。a)測試方法：1)檢查產(chǎn)品說明書，查看事件特征庫的升級方式；2)對特征庫進(jìn)行手動(dòng)或自動(dòng)的在線升級。b)預(yù)期結(jié)果：1)特征庫可以進(jìn)行手動(dòng)或自動(dòng)的在線升級；2)升級的過程中探測器可以正常檢測事件；3)列舉事件庫升級的方式、承諾的升級頻率。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對系統(tǒng)升級的測試評價(jià)方法如下。a)測試方法：1)檢查控制臺的升級方式；2)嘗試對控制臺進(jìn)行升級；3)檢查探測器的升級方式；4)嘗試通過控制臺對探測器下發(fā)升級程序。b)預(yù)期結(jié)果：1)升級的過程中探測器可以正常檢測事件；2)可以通過控制臺來下發(fā)探測器的升級程序。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對硬件失效處理的測試評價(jià)方法如下。a)測試方法：檢查系統(tǒng)具備何種硬件失效處理機(jī)制，如硬件失效后，系統(tǒng)具有相應(yīng)的報(bào)警措施。b)預(yù)期結(jié)果：系統(tǒng)應(yīng)提供硬件失效處理機(jī)制，如硬件失效(如電源故障、風(fēng)扇轉(zhuǎn)速、電源電壓、硬件溫度等)后，系統(tǒng)具有相應(yīng)的報(bào)警措施。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對端口分離的測試評價(jià)方法如下。a)測試方法：檢查系統(tǒng)是否配備進(jìn)行系統(tǒng)管理和網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽的端口。b)預(yù)期結(jié)果：系統(tǒng)的系統(tǒng)管理端口和網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽端口是不同的端口，且均能正常工作。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對時(shí)鐘同步的測試評價(jià)方法如下。a)測試方法：嘗試修改系統(tǒng)各組件的時(shí)間，檢查系統(tǒng)是否可以自動(dòng)將各組件的時(shí)鐘與時(shí)鐘服務(wù)器b)預(yù)期結(jié)果：系統(tǒng)支持自動(dòng)將各組件的時(shí)鐘與時(shí)鐘服務(wù)器同步，保持時(shí)間一致。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。檢測結(jié)果處理要求對事件記錄的測試評價(jià)方法如下。a)測試方法：1)檢查系統(tǒng)是否具有記錄事件的數(shù)據(jù)庫，系統(tǒng)應(yīng)保存檢測到的安全事件并記錄安全事件2)檢查記錄的安全事件信息所包含的內(nèi)容。b)預(yù)期結(jié)果：1)系統(tǒng)具有記錄事件的數(shù)據(jù)庫，列舉系統(tǒng)支持的數(shù)據(jù)庫類型；2)記錄的安全事件信息應(yīng)包含以下內(nèi)容：事件發(fā)生時(shí)間、源地址、目的地址、事件等級、事件類型、事件名稱、事件定義和詳細(xì)事件過程分析以及解決方案建議等。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對事件可視化的測試評價(jià)方法如下。a)測試方法：1)登錄控制臺界面；2)檢查通過界面，是否可以實(shí)時(shí)、清晰地查看到正在發(fā)生的安全事件；3)觸發(fā)一定的安全事件，查看報(bào)警界面的顯示信息是否分級別顯示。b)預(yù)期結(jié)果：1)具有查看安全事件的圖形化界面；2)顯示界面具備清晰的功能區(qū)域，顯示的信息包括事件名稱、事件類型、事件級別、協(xié)議類3)報(bào)警信息可以分為不同級別(如高、中、低等)顯示。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對報(bào)告生成的測試評價(jià)方法如下。a)測試方法：1)查看報(bào)告生成功能，查看報(bào)告的生成方式；2)查看生成報(bào)告的內(nèi)容。b)預(yù)期結(jié)果：1)具有生成報(bào)告的功能；2)提供默認(rèn)的模板以供快速生成報(bào)告；3)生成的報(bào)告包含表格形式、柱狀圖、餅圖等，并可生成日報(bào)、周報(bào)等匯總報(bào)告。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對報(bào)告查閱的測試評價(jià)方法如下。a)測試方法：檢查系統(tǒng)提供的查閱、瀏覽檢測結(jié)果報(bào)告的功能。b)預(yù)期結(jié)果：提供查閱、瀏覽檢測結(jié)果報(bào)告的功能。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對報(bào)告輸出的測試評價(jià)方法如下。a)測試方法：1)檢查報(bào)告是否可輸出；2)檢查系統(tǒng)支持的輸出格式。b)預(yù)期結(jié)果：1)系統(tǒng)提供輸出檢測結(jié)果報(bào)告的功能；2)報(bào)告應(yīng)可輸出為至少一種便于管理員閱讀的格式，包括但不限于WORD文件、HTML文c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對誤報(bào)率的測試評價(jià)方法如下。a)測試方法：1)在指定的網(wǎng)絡(luò)帶寬(百兆網(wǎng)絡(luò)、千兆網(wǎng)絡(luò)、或廠商聲明的其他網(wǎng)絡(luò)帶寬)測試環(huán)境下，分別以64字節(jié)、128字節(jié)、512字節(jié)、1518字節(jié)大小的TCP數(shù)據(jù)包作為背景流量數(shù)據(jù)包(不包括攻擊數(shù)據(jù)包),分別以滿負(fù)荷背景流量的25%、50%、75%、99%作為背景流量強(qiáng)度，隨機(jī)選擇攻擊的源地址、目的地址和端口，測試系統(tǒng)探測器在各環(huán)境下對網(wǎng)絡(luò)數(shù)據(jù)包的最大收集能力，可測試多次取平均值；2)在指定的網(wǎng)絡(luò)帶寬(百兆網(wǎng)絡(luò)、千兆網(wǎng)絡(luò)、或廠商聲明的其他網(wǎng)絡(luò)帶寬)測試環(huán)境下，分別以64字節(jié)、128字節(jié)、512字節(jié)、1518字節(jié)大小的UDP數(shù)據(jù)包作為背景流量數(shù)據(jù)包(不包括攻擊數(shù)據(jù)包),分別以滿負(fù)荷背景流量的25%、50%、75%、99%作為背景流量強(qiáng)度，隨機(jī)選擇攻擊的源地址、目的地址和端口，測試系統(tǒng)探測器在各環(huán)境下對網(wǎng)絡(luò)數(shù)據(jù)包的最大收集能力，可測試多次取平均值；3)在指定的網(wǎng)絡(luò)帶寬(百兆網(wǎng)絡(luò)、千兆網(wǎng)絡(luò)、或廠商聲明的其他網(wǎng)絡(luò)帶寬)測試環(huán)境下，用模擬的真實(shí)網(wǎng)絡(luò)數(shù)據(jù)包作為背景流量數(shù)據(jù)包(不包括攻擊數(shù)據(jù)包),分別以滿負(fù)荷背景流量的25%、50%、75%、99%作為背景流量強(qiáng)度，隨機(jī)選擇攻擊的源地址、目的地址和端口，測試系統(tǒng)探測器在各環(huán)境下對網(wǎng)絡(luò)數(shù)據(jù)包的最大收集能力，可測試多次取平均值；4)在指定的網(wǎng)絡(luò)帶寬(百兆網(wǎng)絡(luò)、千兆網(wǎng)絡(luò)、或廠商聲明的其他網(wǎng)絡(luò)帶寬)測試環(huán)境下，測試系統(tǒng)分別針對TCP和HTTP協(xié)議能夠建立的真實(shí)會(huì)話連接數(shù)，可測試多次取平均值，以每秒能夠建立的連接數(shù)為單位記錄；5)利用誤報(bào)測試工具或通過人工構(gòu)造數(shù)據(jù)包的方式，生成虛假的攻擊包，查看系統(tǒng)是否報(bào)警；6)依據(jù)已有的事件庫，生成多個(gè)已知的安全事件，查看系統(tǒng)是否正確報(bào)告出事件名稱。b)預(yù)期結(jié)果：1)記錄在指定的網(wǎng)絡(luò)帶寬背景流量下，系統(tǒng)能夠處理的TCP數(shù)據(jù)包的最大值；2)記錄在指定的網(wǎng)絡(luò)帶寬背景流量下，系統(tǒng)能夠處理的UDP數(shù)據(jù)包的最大值；3)記錄在指定的網(wǎng)絡(luò)帶寬背景流量下，系統(tǒng)能夠處理的真實(shí)模擬的網(wǎng)絡(luò)數(shù)據(jù)包的最大值；4)記錄系統(tǒng)分別針對TCP和HTTP協(xié)議能夠建立的真實(shí)會(huì)話連接的最大值；5)對虛假的攻擊包，系統(tǒng)不應(yīng)報(bào)警，如果有報(bào)警，則該條報(bào)警就是誤報(bào)；6)對已知的攻擊，系統(tǒng)所報(bào)告的安全事件名稱應(yīng)正確無誤，否則即為誤報(bào)；7)記錄測試的事件總數(shù)量和系統(tǒng)的誤報(bào)數(shù)量，并計(jì)算誤報(bào)率，系統(tǒng)能夠?qū)⒄`報(bào)率控制在15%內(nèi)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對漏報(bào)率的測試評價(jià)方法如下。a)測試方法：1)從已有的事件庫中選擇具有不同特征的多個(gè)事件，組成安全事件測試集，發(fā)送安全事件測試集中的所有事件，記錄系統(tǒng)的檢測結(jié)果；2)可選取部分安全事件作為測試基線；選取64字節(jié)、128字節(jié)、512字節(jié)、1518字節(jié)大小的正常數(shù)據(jù)包作為背景流量(例如HTTP流量),分別以滿負(fù)荷背景流量的20%、40%、60%、80%作為背景流量強(qiáng)度，將選取的基線攻擊發(fā)送多次(如100次),記錄系統(tǒng)的檢測結(jié)果。b)預(yù)期結(jié)果：1)對安全事件測試集的所有攻擊，系統(tǒng)應(yīng)報(bào)告相應(yīng)的安全事件，未報(bào)告的事件即為漏報(bào)；2)對測試基線的事件，系統(tǒng)應(yīng)檢測到相應(yīng)的攻擊次數(shù)(如100次)并報(bào)告，未報(bào)告的事件即為漏報(bào)；3)記錄測試的事件總數(shù)量(總發(fā)送次數(shù))和系統(tǒng)漏報(bào)的攻擊數(shù)量，并計(jì)算漏報(bào)率，系統(tǒng)能夠?qū)⒙﹫?bào)率控制在15%內(nèi)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。.3高流量背景入侵檢測能力對監(jiān)控流量的測試評價(jià)方法如下。a)測試方法：選取部分安全事件作為測試基線；加載相應(yīng)的背景流量——百兆90Mbps、千兆流量),將選取的基線攻擊發(fā)送多次(如1000次),記錄系統(tǒng)的檢測結(jié)果。b)預(yù)期結(jié)果：1)對測試基線的事件，在加載相應(yīng)的背景流量——百兆90Mbps、千兆0.9Gbps、萬兆9Gbps(例如HTTP流量),系統(tǒng)單個(gè)監(jiān)聽口應(yīng)檢測到相應(yīng)的攻擊次數(shù)(如1000次)并報(bào)告；2)記錄測試的事件總數(shù)量(總發(fā)送次數(shù))和系統(tǒng)漏報(bào)的攻擊數(shù)量，系統(tǒng)能夠?qū)⒄`報(bào)率和漏報(bào)率控制在15%內(nèi)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。.4高并發(fā)連接背景入侵檢測能力對監(jiān)控并發(fā)連接數(shù)的測試評價(jià)方法如下。a)測試方法：選取部分安全事件作為測試基線；加載相應(yīng)的背景流量——百兆10萬并發(fā)連接數(shù)、千兆100萬并發(fā)連接數(shù)、萬兆150萬并發(fā)連接數(shù)(例如HTTP流量),將選取的基線攻擊發(fā)送多次(如1000次),記錄系統(tǒng)的檢測結(jié)果。b)預(yù)期結(jié)果：1)對測試基線的事件，在加載相應(yīng)的背景流量——百兆10萬并發(fā)連接數(shù)、千兆100萬并發(fā)連接數(shù)、萬兆150萬并發(fā)連接數(shù)(例如HTTP流量),系統(tǒng)單個(gè)監(jiān)聽口應(yīng)檢測到相應(yīng)的攻擊次數(shù)(如1000次)并報(bào)告；2)記錄測試的事件總數(shù)量(總發(fā)送次數(shù))和系統(tǒng)漏報(bào)的攻擊數(shù)量，系統(tǒng)能夠?qū)⒄`報(bào)率和漏報(bào)率控制在15%內(nèi)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。.5高新建TCP連接速率背景入侵檢測能力對監(jiān)控新建TCP連接速率的測試評價(jià)方法如下。a)測試方法：選取部分安全事件作為測試基線；加載相應(yīng)的背景流量——百兆每秒新建TCP連接數(shù)6萬個(gè)、千兆每秒新建TCP連接數(shù)10萬個(gè)、萬兆每秒新建TCP連接數(shù)15萬個(gè)(例如HTTP流量),將選取的基線攻擊發(fā)送多次(如1000次),記錄系統(tǒng)的檢測結(jié)果。b)預(yù)期結(jié)果：1)對測試基線的事件，在加載相應(yīng)的背景流量——百兆每秒新建TCP連接數(shù)6萬個(gè)、千兆每秒新建TCP連接數(shù)10萬個(gè)、萬兆每秒新建TCP連接數(shù)15萬個(gè)(例如HTTP流量),系統(tǒng)單個(gè)監(jiān)聽口應(yīng)檢測到相應(yīng)的攻擊次數(shù)(如1000次)并報(bào)告；2)記錄測試的事件總數(shù)量(總發(fā)送次數(shù))和系統(tǒng)漏報(bào)的攻擊數(shù)量，系統(tǒng)能夠?qū)⒄`報(bào)率和漏報(bào)率控制在15%內(nèi)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對管理員鑒別的測試評價(jià)方法如下：a)測試方法：登錄系統(tǒng)，檢查是否在執(zhí)行所有功能之前要求首先進(jìn)行身份鑒別。b)預(yù)期結(jié)果：1)在管理員執(zhí)行任何與安全功能相關(guān)的操作之前都應(yīng)對管理員進(jìn)行鑒別；2)登錄之前允許做的操作，應(yīng)僅限于輸入登錄信息、查看登錄幫助等操作；3)允許管理員在登錄后執(zhí)行與其安全功能相關(guān)的各類操作時(shí)，不再重復(fù)認(rèn)證。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對鑒別信息要求的測試評價(jià)方法如下。a)測試方法：對采用基于口令作為鑒別信息的系統(tǒng)，在設(shè)置或修改管理員口令時(shí)，檢查系統(tǒng)是否對管理員設(shè)置的口令進(jìn)行復(fù)雜度檢查，是否滿足口令復(fù)雜度要求。當(dāng)系統(tǒng)初始化存在默認(rèn)口令時(shí)，檢查系統(tǒng)是否會(huì)提示管理員對默認(rèn)口令進(jìn)行修改。檢查系統(tǒng)是否提供鑒別信息定期更換功能，當(dāng)鑒別信息使用時(shí)間達(dá)到使用期限閾值前，是否提示管理員進(jìn)行修改。b)預(yù)期結(jié)果：1)對采用基于口令作為鑒別信息的系統(tǒng)，系統(tǒng)支持對管理員設(shè)置的口令進(jìn)行復(fù)雜度檢查，確保管理員口令滿足復(fù)雜度要求；2)當(dāng)存在默認(rèn)口令時(shí)，系統(tǒng)應(yīng)提示管理員對默認(rèn)口令進(jìn)行修改；3)提供鑒別信息定期更換功能，當(dāng)鑒別信息使用時(shí)間達(dá)到使用期限閾值前，應(yīng)提示管理員進(jìn)行修改。上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對鑒別失敗的處理的測試評價(jià)方法如下。a)測試方法：1)檢查系統(tǒng)的安全功能是否可定義管理員鑒別嘗試的最大允許失敗次數(shù)；2)檢查系統(tǒng)的安全功能是否可定義當(dāng)管理員鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后，采取相應(yīng)的措施、阻止管理員進(jìn)一步的鑒別請求；3)嘗試多次失敗的管理員鑒別行為，檢查到達(dá)指定的鑒別失敗次數(shù)后，系統(tǒng)是否采取相應(yīng)的b)預(yù)期結(jié)果：1)系統(tǒng)應(yīng)具備定義管理員鑒別嘗試的最大允許失敗次數(shù)的功能；2)系統(tǒng)應(yīng)定義當(dāng)管理員鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后，采取相應(yīng)的措施(如鎖定該賬號);3)當(dāng)管理員鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后，系統(tǒng)應(yīng)鎖定該賬號，并將有關(guān)信息生成審計(jì)事件；4)最多失敗次數(shù)僅由授權(quán)管理員設(shè)定。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對鑒別數(shù)據(jù)保護(hù)的測試評價(jià)方法如下。a)測試方法：1)檢查系統(tǒng)是否僅允許指定的角色查閱或修改身份鑒別數(shù)據(jù)；2)以非授權(quán)管理員的身份嘗試查閱或修改身份鑒別數(shù)據(jù)。b)預(yù)期結(jié)果：1)系統(tǒng)應(yīng)僅允許指定的角色查閱或修改身份鑒別數(shù)據(jù)；2)非授權(quán)管理員無法查閱或修改身份鑒別數(shù)據(jù)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對超時(shí)設(shè)置的測試評價(jià)方法如下。a)測試方法：1)檢查系統(tǒng)是否具有管理員登錄超時(shí)重新鑒別功能；2)設(shè)定管理員登錄超時(shí)重新鑒別的時(shí)間段，檢查登錄管理員在設(shè)定的時(shí)間段內(nèi)沒有任何操作的情況下，系統(tǒng)是否鎖定或終止會(huì)話，管理員是否需要再次進(jìn)行身份鑒別才能夠重新管理和使用系統(tǒng)；3)檢查最大超時(shí)時(shí)間是否僅由授權(quán)管理員設(shè)定。b)預(yù)期結(jié)果：1)系統(tǒng)應(yīng)具有登錄超時(shí)重新鑒別功能；2)任何登錄管理員在設(shè)定的時(shí)間段內(nèi)沒有任何操作的情況下，應(yīng)被鎖定或終止會(huì)話，管理員需要再次進(jìn)行身份鑒別才能夠重新管理和使用系統(tǒng)；3)最大超時(shí)時(shí)間僅由授權(quán)管理員設(shè)定。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對管理地址限制的測試評價(jià)方法如下。a)測試方法：1)檢查系統(tǒng)是否支持對管理網(wǎng)絡(luò)地址進(jìn)行限制，嘗試以非授權(quán)范圍內(nèi)的網(wǎng)絡(luò)地址管理系統(tǒng)；2)嘗試以授權(quán)范圍內(nèi)的網(wǎng)絡(luò)地址管理系統(tǒng)。b)預(yù)期結(jié)果：1)系統(tǒng)應(yīng)對管理員登錄的網(wǎng)絡(luò)地址進(jìn)行限制，不能夠以非授權(quán)范圍內(nèi)的網(wǎng)絡(luò)地址管理系統(tǒng)；2)支持以授權(quán)范圍內(nèi)的網(wǎng)絡(luò)地址管理系統(tǒng)。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對標(biāo)識唯一性的測試評價(jià)方法如下。a)測試方法：1)嘗試定義多個(gè)管理員；2)嘗試添加一個(gè)已有標(biāo)識的管理員；3)檢查系統(tǒng)是否提示該標(biāo)識管理員已存在，拒絕具有相同標(biāo)識管理員的添加。b)預(yù)期結(jié)果：1)系統(tǒng)應(yīng)允許定義多個(gè)管理員；2)應(yīng)保證每一個(gè)管理員標(biāo)識是全局唯一的，不準(zhǔn)許一個(gè)管理員標(biāo)識用于多個(gè)管理員。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對管理員屬性定義的測試評價(jià)方法如下。a)測試方法：定義分屬于不同角色的多個(gè)管理員，檢查輸入的管理員信息是否都能被保存。b)預(yù)期結(jié)果：系統(tǒng)應(yīng)為每一個(gè)管理員保存其安全屬性，包括：管理員標(biāo)識、鑒別數(shù)據(jù)(如密碼)、授權(quán)信息或管理員組信息、其他安全屬性等。輸入的管理員信息無丟失現(xiàn)象發(fā)生。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對安全行為管理的測試評價(jià)方法如下。a)測試方法：1)檢查系統(tǒng)的安全功能是否明確規(guī)定僅限于指定的授權(quán)角色對系統(tǒng)的功能具有禁止、修改2)檢查指定的授權(quán)角色對系統(tǒng)的功能進(jìn)行禁止、修改等操作前，是否先登錄才能操作。b)預(yù)期結(jié)果：1)系統(tǒng)應(yīng)僅限于已識別的指定的授權(quán)角色對系統(tǒng)的功能進(jìn)行禁止、修改；2)指定的授權(quán)角色對系統(tǒng)的功能進(jìn)行禁止、修改等操作前，應(yīng)先登錄才能操作。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。審計(jì)日志生成的測試評價(jià)方法如下。a)測試方法：1)嘗試進(jìn)行.1要求的各項(xiàng)操作，觸發(fā)審計(jì)事件；2)查看審計(jì)日志是否包括事件發(fā)生的日期、時(shí)間、用戶標(biāo)識、事件描述和結(jié)果；3)若系統(tǒng)支持遠(yuǎn)程管理，查看審計(jì)日志是否記錄管理主機(jī)的IP地址。b)預(yù)期結(jié)果：系統(tǒng)能夠針對上述事件生成審計(jì)日志，日志內(nèi)容包括事件發(fā)生的日期、時(shí)間、用戶標(biāo)識、事件描述和結(jié)果；同時(shí)系統(tǒng)支持遠(yuǎn)程管理時(shí)，審計(jì)日志能夠記錄管理主機(jī)的IP地址。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對審計(jì)日志可理解性的測試評價(jià)方法如下。a)測試方法：審查系統(tǒng)安全功能是否使審計(jì)日志中的所有審計(jì)數(shù)據(jù)可便于理解(至少包括能便于理解的描述內(nèi)容以及審計(jì)數(shù)據(jù)本身)。b)預(yù)期結(jié)果：系統(tǒng)應(yīng)提供為人理解的審計(jì)日志。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對審計(jì)日志查閱的測試評價(jià)方法如下。a)測試方法：1)以授權(quán)管理員身份嘗試從審計(jì)日志中讀取全部審計(jì)信息；2)審查系統(tǒng)安全功能是否為授權(quán)管理員提供從審計(jì)日志中讀取全部審計(jì)信息的功能。b)預(yù)期結(jié)果：系統(tǒng)應(yīng)為授權(quán)管理員提供從審計(jì)日志中讀取全部審計(jì)信息的功能。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對受限的審計(jì)日志查閱的測試評價(jià)方法如下。a)測試方法：模擬授權(quán)與非授權(quán)管理員訪問審計(jì)日志，系統(tǒng)安全功能是否僅允許授權(quán)管理員訪問審計(jì)日志。b)預(yù)期結(jié)果：系統(tǒng)應(yīng)限制審計(jì)日志的訪問。除具有明確的訪問權(quán)限的授權(quán)管理員之外，系統(tǒng)應(yīng)禁止所有其他用戶對審計(jì)日志的訪問。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對可選審計(jì)查閱的測試評價(jià)方法如下。a)測試方法：審查系統(tǒng)是否能夠支持按照一定條件，例如時(shí)間、事件級別、攻擊源等對審計(jì)日志進(jìn)行檢索或排序。b)預(yù)期結(jié)果：系統(tǒng)應(yīng)支持按照一定條件對審計(jì)日志進(jìn)行檢索或排序。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對安全管理的測試評價(jià)方法如下。a)測試方法：模擬授權(quán)與非授權(quán)管理員訪問安全事件記錄和審計(jì)日志，系統(tǒng)安全功能是否僅允許授權(quán)管理員訪問安全事件記錄和審計(jì)日志。b)預(yù)期結(jié)果：系統(tǒng)應(yīng)限制對安全事件記錄和審計(jì)日志的訪問。除具有明確的訪問權(quán)限的授權(quán)管理員之外，系統(tǒng)應(yīng)禁止所有其他用戶對安全事件記錄和審計(jì)日志的訪問。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對數(shù)據(jù)存儲(chǔ)告警的測試評價(jià)方法如下。a)測試方法：1)檢查系統(tǒng)安全功能是否具有存儲(chǔ)剩余空間將耗盡的告警功能；2)檢查系統(tǒng)安全功能是否允許管理員設(shè)定產(chǎn)生告警的剩余存儲(chǔ)空間的大?。?)人為地將存儲(chǔ)系統(tǒng)的事件數(shù)據(jù)存儲(chǔ)器空間耗至設(shè)定的告警值以下，查看系統(tǒng)是否告警。b)預(yù)期結(jié)果：1)系統(tǒng)在發(fā)生事件數(shù)據(jù)存器空間將耗盡的情況時(shí)，自動(dòng)產(chǎn)生告警；2)系統(tǒng)允許管理員設(shè)定產(chǎn)生告警的剩余存儲(chǔ)空間的大??；3)在發(fā)現(xiàn)事件數(shù)據(jù)存儲(chǔ)器空間將耗盡時(shí)，系統(tǒng)還應(yīng)提醒管理員采取措施避免事件丟失，可選擇例如轉(zhuǎn)存已有事件數(shù)據(jù)、僅記錄重要的事件數(shù)據(jù)、或者不記錄新的事件數(shù)據(jù)等措施之一。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對數(shù)據(jù)外發(fā)的測試評價(jià)方法如下。a)測試方法：檢查系統(tǒng)是否支持將安全事件記錄和審計(jì)日志以syslog等協(xié)議外發(fā)出來。b)預(yù)期結(jié)果：系統(tǒng)能夠?qū)踩录涗浐蛯徲?jì)日志以syslog等協(xié)議外發(fā)出來。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對通信安全的測試評價(jià)方法如下。a)測試方法：1)在系統(tǒng)的各組件中傳輸配置和控制信息、告警和事件數(shù)據(jù)等信息，檢查接收是否正常；2)檢查開發(fā)者文檔中對保證各組件之間通信保密性的描述。b)預(yù)期結(jié)果：1)系統(tǒng)在各組件之間傳輸數(shù)據(jù)(包括但不限于配置和控制信息、告警和事件數(shù)據(jù)等)時(shí)，信息應(yīng)能夠被正常傳輸；2)開發(fā)者文檔中提供為保證各組件之間通信保密性所采取措施的詳細(xì)描述。列舉系統(tǒng)為保證通信保密性所采取的措施。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對運(yùn)行安全的測試評價(jià)方法如下。a)測試方法：檢查開發(fā)者文檔中對系統(tǒng)自身安全的描述。b)預(yù)期結(jié)果：系統(tǒng)采取隱藏探測器IP地址等措施使自身在網(wǎng)絡(luò)上不可見。c)結(jié)果判定：上述預(yù)期結(jié)果均滿足判定為符合，其他情況判定為不符合。對支撐系統(tǒng)安全的測評方法如下。a)測評方法：1)查看開發(fā)者文檔，并驗(yàn)證產(chǎn)品的支撐系統(tǒng)是否進(jìn)行必要的裁剪，是否不提供多余的組件或網(wǎng)絡(luò)服務(wù)；2)重啟系統(tǒng)，驗(yàn)證安全策略和日志信息是否不丟失；3)對系統(tǒng)進(jìn)行安全性測試，驗(yàn)證是否不含已知的中、高、超危安全漏洞。b)預(yù)期