GAT403.1-2002信息技术入侵检测产品技术要求第1部分网络型产品.pdf 14页

'ICS35.020L09GA中华人民共和国公共安全行业标准GA/T403.1-2002信息技术入侵检测产品技术要求第I部分:网络型产品Informationtechnology-Technicalrequirementsforintrusiondetectionproducts-Part1:Network-basedproducts2002-12-11发布2003-05-01实施中华人民共和国公安部发布 GA/T403.1-2002目次前言··············································································································⋯⋯工引言······················································，·········································，············⋯⋯I1范围············································································································⋯⋯12规范性引用文件································································································⋯⋯13术语和定义····································································································⋯⋯14网络型入侵检测产品的组成和分级········································································⋯⋯14,1产品组成··································································································⋯⋯14.2产品分级··········，···························································································⋯⋯25工作环境·········································································································⋯⋯25.1系统接人···············································································........··.············⋯⋯25.2工作环境安全······················································，··································一25.3管理人员·..................................................................................··················⋯⋯26功能要求···································································································⋯⋯26.1基本级网络型人侵检测产品组件功能要求··············，··········································⋯⋯26.2增强级网络型人侵检测产品扩展功能要求····························································⋯⋯57性能要求·········································································································⋯⋯67.1误报率·································，·······································································⋯⋯67.2漏报率····································································································⋯⋯67.3平均响应时间································································································⋯⋯67.4稳定性·········································································································⋯⋯67.5数据截取率和还原率····················································································⋯⋯67.6对网络影响·······························································································⋯⋯68安全功能要求·································································································⋯⋯68.1安全功能组件·························································································⋯⋯68.2安全审计·····································································································⋯⋯78.3标识和鉴别················，··················································································⋯⋯78.4安全管理····································································································⋯⋯88.5安全功能保护···························································································⋯⋯89安全保证要求·····················，··，··········································································⋯⋯89.1配置管理保证························································································⋯⋯89.2操作保证······································································································⋯⋯89.3开发过程保证··············································，···············································⋯⋯89.4指南文件保证····································，········，·················································⋯⋯9 GA/T403.1-2002月U吕GA/T403《信息技术人侵检测产品技术要求》分为两个部分:第1部分:网络型产品;第2部分:主机型产品本部分为GA/T403的第1部分。本部分由中华人民共和国公安部公共信息网络安全监察局提出。本部分由公安部信息系统安全标准化技术委员会归口。本部分由北京中科网威信息技术有限公司、公安部第三研究所负责起草。本部分主要起草人:潘玉询、杨威、曾明、余立新、肖江、刘兵、丁宇征。 GA/T403.1-2002引言本部分是GA/T403的第1部分。本部分规定了网络型人侵检测产品的工作环境、功能要求、性能要求、安全功能要求和安全保证要求。人侵检测产品的目的是发现人侵行为。它通过对计算机网络中的若干关键点或被监测主机系统收集安全相关信息并对其进行分析，从而发现网络和系统中违反安全策略的行为和被攻击的迹象。当把人侵检测产品看成是完成一定安全目标的系统时，我们又可称之为人侵检测系统(IDS)。与其他安全产品相比，人侵检测产品具有更强的智能分析功能。人侵检测产品能简化管理员的工作，保障网络的安全运行。 GA/T403.1-2002信息技术入侵检测产品技术要求第1部分:网络型产品范围GA/T403的本部分规定了采用传输控制协议/网间协议(TCP/IP)的网络型人侵检测产品技术要求。本部分适用于网络型人侵检测产品的研制、开发、测评和采购。2规范性引用文件下列文件中的条款通过GA/T403的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。GB/T5271.8-2001信息技术词汇第8部分:安全(idtISO/IEC2382-8:1998)3术语和定义GB/T5271.8-2001中确立的及以下术语和定义适用于GA/T403的本部分。3.1入侵intrusion任何企图危害资源完整性、保密性或可用性的行为。3.2报奢alert当有人侵正在发生或者正在尝试时，人侵检测系统向系统操作员、管理人员发出的紧急通知，可以消息、邮件等形式发出。3.3入侵特征intrusionfeatures人侵检测系统预先定义好的能够确认人侵行为的特定信息.3.4引擎engine人侵检测系统中进行数据采集、分析的软硬件的集合体。网络型入侵检测产品的组成和分级4.1产品组成4.1.1事件产生单元(IDSGEN)获取网络数据，使人侵检测系统尽可能地捕获网络中的信息。4.1.2事件分析单元(IDS_ANL) GA/T403.1-2002采用相关的分析检测技术，对收集到的信息进行分析，提取信息中所包含的事件特征4.1.3响应单元(IDS_RSP)根据定义的策略对事件分析单元发送的消息进行响应。有以下三种响应手段:记录、报警和阻断。4.1.4审计单元《IDSJ"AU)在违反安全策略的事件发生时，对事件发生的时间、主体和客体等信息进行记录和审计。4.1.5管理控制单元(IDSMAN)负责人侵检测系统定制策略、审阅日志、系统状态管理，并以可视图形化形式提交授权用户进行管理。4.2产品分级对网络型入侵检测产品分成两个级别，即基本级和增强级。a)基本级具备基本的人侵检测功能，对所保护对象具有可靠的保护功能。卜)增强级除具备基本级的产品各项要求外，在功能要求和性能要求上，有扩展的或更高的要求。5工作环填5.1系统接入5.1.1如果被检测网络以广播式设备互连，人侵检测产品引擎可接在广播式设备的任何一个端口上。5.1.2如果被检测网络以交换式设备互连，人侵检测产品引擎的安装位置如下:a)人侵检测产品连接在交换设备用于调试的端口，任何其他端口的进出信息都可从此得到;b)把人侵检测产品放在交换机内部或防火墙内部等数据流的关键出人口处;c)采用分接器，将其接在所有被监测的线路上。5.1.3应具备严格的访问控制机制，非授权人员不应管理检测系统。5.2工作环境安全5.2.1应防止对人侵检测产品非授权的物理访问。5.2.2人侵检测产品的安装应由授权管理人员实施。5.2.3人侵检测产品的安装应实行严格的控制管理。5.3管理人员5.3.1指定一个或多个能胜任工作的人员来管理人侵检测产品及其所含信息的安全5.3.2人侵检测产品只能被授权用户访问。6功能要求6.1基本级网络型入侵检测产品组件功能要求6.1.1组件分类基本级网络型人侵检测产品组件功能要求分为事件产生单元组件要求、事件分析单元组件要求、响应单元组件要求、审计单元组件要求和控制管理单元组件要求共5类，见表1表1基本级网络型入侵检测产品组件功能要求组件一组件功能要求一IDSGFN网络数据获取IDS_GEN,2数据采集的实时性IDSANI协议分析 GA/T403.表1(续)组件组件功能要求IDS_ANL.2规则匹配分析IDSANI，3入侵特征库升级IDS_ANI.4身份鉴别IDS_RSP.I报警通知IDS_RSP.2日志IDSFAU.I生成审计事件IDS_FAU.2审计纪录的创建、储存和删除IDS_FAU.3审计记录查询IDSFAU.4审计记录的保存IDS_FAU.5数据库支持IDS_FAU.6审计记录存储IDS-MAN.1管理功能IDS_MAN.2远程管理IDS_MAN.3管理信息加密IDS_MAN.4鉴别和认证IDS_MAN.5易用性6.1.2事件产生单元组件要求(IDS一EN)6.1.2.1IDS_GEN.1获取策略定制的网络数据。6.1.2.1.1IDS_GEN.1.1至少能从目标网络环境中收集以下信息:a)服务请求、网络流量、可检测的恶意代码及访问控制配置;b)策略定制的事件。6.1.2.2IDSGEN.2数据采集应具有实时性6.1.3事件分析单元组件要求(IDS_ANL)6.1.3.1IDSANL.1对通信协议进行分析、译码并提取特征信息。6.1.3.2IDSANI-2从网络通信数据包中提取字符串信息进行分析。至少应分析以下内容:a)事件主体;b)事件客体;c)协议特征(类型和标志位);d)内容特征;e)事件描述。6.1.3.3IDSANL.3在每个分析结论中至少应记录以下信息:a)结果的日期;b)结果的时间;c)结果类型;d)数据源鉴定。6.1.3.4IDSANL.4事件分析单元应提供特征库升级功能，允许用户及时更新特征库6.1.3.5IDSANI-5事件分析单元应具备身份鉴别能力，除具有明确访问权限的用户外，事件分析单元应禁止其他用户对事件分析单元的访问。 GA/T403.1-20026.1.4响应单元组件要求(IDS_RSP)6.1.4.1IDS-RSPA当策略中被定义为报警的事件产生时，响应单元应将报警信息以消息或邮件等形式提交给管理员。报警信息至少应包括以下内容:a)事件标识;b)事件主体;c)事件客体;d)事件发生时间;e)事件危险级别。6.1.4.2ID乳RSP.2响应单元应将事件信息以文件或数据库记录等形式记录下来。记录信息至少应包括以下内容:a)事件标识;b)事件主体;c)事件客体;d)事件发生时间;。)事件危险级别6.1.5审计单元组件要求《IDS_FAU)6.1.5.1ID几FAU.1审计功能应为以下审计操作产生审计记录:a)审计功能的开启和关闭;b)符合基本级审计的所有下列可审计事件一一任何对审计跟踪进行的操作;—所有对安全策略更改的操作;—修改安全属性的所有尝试;一一任何对鉴别机制的使用;-一所有对鉴别资料的请求访问;-一所有对审计数据读取不成功尝试;—鉴别机制的所有使用;一用户鉴别机制的使用;—对角色中用户组的修改。。)其他在安全策略中定义的需要审计的事件。审计功能生成的每一条审计记录至少应记录以下信息:事件时间，事件类型，主体身份和事件结果(成功或失败)。6.1.5.2IDS_FAU.2授权管理员应能对审计记录执行创建、储存和删除等操作6.1.5.31DS_FAU.3人侵检测产品应提供日志信息查询和审阅功能。应能通过以下信息进行查询:a)事件标识;b)事件主体;c)事件客体;山事件发生时间;e)事件危险级别。6.1.5.4ID定FAU.4审计记录的保存应满足以下要求:a)审计记录应能存储于永久性存储媒体中;b)当审计记录的存储空间将要耗尽时能够通知管理人员;c)审计单元应提供给管理员可定制的资料备份功能及策略。a GA/T403.1-20026.1.5.5IDS_F八U.5至少应支持一种流行的数据库。6.1.5.6IDSFAU.6当审计记录占据的存储空间达到指定值时，审计单元应自动删除旧的审计记录，删除的比例应可由管理员进行设置。6.1.6管理控制单元组件要求(IDS-MAN)6.1.6.1IDS_MAN.1应包含配置和管理人侵检测产品安全功能所需的所有功能，至少应包括:a)系统状态定制;b)增加、删除和定制人侵检测策略;c)查阅当前策略配置;d)查阅和管理审计资料。6.1.6.2IDS_MAN.2当管理控制单元与引擎是通过网络连接时，应提供远程管理功能。6.1.6.31D定MAN.3当管理控制单元与引擎是通过网络连接时，管理控制单元与引擎间应可建立加密通信连接。6.1.6.4IDS_MAN.4管理控制单元应提供鉴别认证机制，在用户登录管理控制台之前对用户进行鉴别认证当管理控制单元与引擎是通过网络连接时，管理控制单元与引擎间建立通信会话之前应进行鉴别认证。6.1.6.5IDS_MAN.5提供给授权用户的管理功能应简单易用6.2增强级网络型入侵检测产品扩展功能要求6.2.1扩展功能组成增强级网络型人侵检测产品扩展功能由表2所列项目组成，增强级网络型人侵检测产品除了应满足基本级网络型人侵检测产品组件功能要求外，还应满足表2所列的扩展功能要求。表2增强级网络型入侵检测产品扩展功能扩展功能功能要求IDS_ANI._IMP.1碎片数据包重组分析IDS_ANI._IMP.2概率统计分析IDSANI.IMP.3数据挖掘分析IDSANI,_IMP.4对刻意逃避入侵检测技术的通信数据的检测IDSANL_IMP.S人侵特征的自定义IDSRSPIMP.1通信连接阻断IDS_FAU_IMP.1可选审计查阅IDS_FAU_IMP.2分级审计查阅IDS_FAU_1MP.3审计信息加密存储IDSMAN_IMP.1策略管理工具IDSMAN-IMP.2安全管理角色分级IDS-MAN-IMP.3安全鉴别策略IDS-MAN-IMP.4管理接口和数据采集接口分离IDSMAN-IMP.5完整性校验6.2.2事件分析单元扩展功能要求(IDS_ANL_IMP)6.2.2.1IDS_ANL_IMP.1对刻意构造的碎片数据包进行重组和分析。6.2.2.2IDS_ANL_IMP.2具备概率统计的分析能力.对不规则或频繁出现的事件进行统计分析。6.2.2.3IDSANL_IMP.3具备数据挖掘能力，对相互之间存在关联的事件进行综合分析。 GA/T403.1-20026.2.2.4IDS_ANL_IMP.4具备分析采用刻意逃避人侵检测技术的通信数据的能力。6.2.2.5IDSANLIMP.5向授权用户提供自定义匹配特征的功能，并能对用户自定义的匹配特征正确识别。6.2.3响应单元扩展功能要求《IDS_RSPIMP)6.2.3.1IDSRSP_IMP.1若某种事件的响应方式在策略中被定义为阻断，应将该事件的通信连接阻断。6.2.4审计单元扩展功能要求(IDS_FAUIMP)6.2.4.1IDSFAU_IMP.1审计单元应能基于日期和时间、主体身份、事件类型、相关事件成功或失败等信息对审计数据进行分类。6.2.4.2IDS_FAUIMP.2除具有明确访问权限的用户外，审计单元应禁止其他用户对审计数据的读访问。6.2.4.3IDSFAU_IMP.3审计信息应能加密存储。6.2.5管理控制单元扩展功能要求《IDS-MAN-IMP)6.2.5.1IDS_MAN_IMP.1应提供定制安全策略和验证安全策略的工具。6.2.5.2IDSMAN_IMP.2人侵检测产品应按照管理权限的不同将管理员分级。6.2.5.3IDSMAN_IMP.3管理单元应设定一个用户授权管理员用户可修改的鉴别尝试次数，当达到或超过规定的不成功鉴别尝试次数时，管理控制单元应阻止用户的进一步鉴别尝试，直到授权管理员恢复该用户的被鉴别能力。6.2.5.4IDS_MAN_IMP.4网络型人侵检测产品的管理端口应与数据采集接口分离，以确保对产品管理操作的时延达到最小。6.2.5.5IDSMAN-IMP.5网络型人侵检测产品应对安全策略文件、关键程序和连接库进行完整性校验，保证其不被非法篡改或替换。7性能要求7.1误报率网络型人侵检测产品的技术文档应标明该产品的误报率，并指明相应的测试方法、测试工具、测试环境和测试步骤。7.2漏报率网络型入侵检测产品的技术文档应标明该产品的漏报率，并指明相应的测试方法、测试工具、测试环境和测试步骤7.3平均响应时间当背景数据流达到网络的有效带宽时，人侵检测产品应保证有足够快的响应时间。7.4稳定性在产品设计适应的带宽下，人侵检测产品应工作稳定。7.5数据截取率和还原率在产品设计适应的带宽下，人侵检测产品应具有良好的数据包处理能力。当背景数据流低于网络有效带宽的80%时，人侵检测产品应保证数据的截取和还原以线速进行。7.6对网络影响人侵检测产品不得对原网络正常通信产生明显影响。安全功能要求安全功能组件网络型人侵检测产品的安全功能组件由表3所列项目组成。 GA/T403.1-2002表3网络型入侵检测产品安全功能组件安全功能组件安全功能要求IDSFAUSAR.I审计查阅IDSFAU_SAR.2有限审计查阅IDS_FAU_STG.1审计数据可用性保证IDS_FAU_STG.2审计数据丢失防范IDSFIA_UAU.1鉴别时效IDSFIAAF-1鉴别失败处理IDSFIAATD.1用户属性定义IDSFMTMOF.1安全功能管理IDSFMT_SMR.1管理角色IDSFPTITC.1数据传输加密IDS-FP"几RVM.1安全策略不可旁路性8.2安全审计8.2.1IDS_FAU_SAR.1审计查阅人侵检测产品应提供授权用户访问审计数据的能力8.2.2IDS_FAU一AR.2有限审计查阅人侵检测产品应明确用户对审计数据的访问权限，为不同权限的用户提供相应的访问权限8.2.3IDS_FAU一TG.1审计数据可用性保证8.2.3.1IDS_FAU_STG.1.1人侵检测产品应保护存储的审计数据，避免未授权的删除。8.2.3.2IDS_FAU_STG.1.2人侵检测产品应能检测到对审计数据的修改。8.2.3.3IDSFAU_STG.1.3在审计存储资源耗尽、失败或受到攻击时，人侵检测产品应确保审计数据不被破坏。8.2.4IDS_FAU-STG.2审计数据丢失防范当审计数据存储空间接近或到达规定值时，人侵检测产品应向授权管理员发送报警信息8.3标识和鉴别8.3.1IDSFIA_UAU.1鉴别时效8.3.1.1IDS_FIA_UAU.1.1人侵检测产品在用户被鉴别前应允许用户执行与人侵检测产品安全无关的操作。8.3.1.2IDS_FIA_UAU.l.2人侵检测产品应确保用户在执行与人侵检测产品安全相关的任何操作之前，该用户已被成功的鉴别。8.3.2IDSesFIAAFL.1鉴别失败处理8.3.2.1IDS_FIA_AFL.I.1当用户的失败登录次数超过允许的尝试鉴别次数时，人侵检测产品应能加以检测8.3.2.2IDS_FIA_AFL.1.2当用户的失败登录次数超过允许的尝试鉴别次数时，人侵检测产品应阻止该用户的进一步登录尝试，直至授权管理员恢复对该用户的鉴别能力。8.3.3IDSJTA一TD.1用户属性定义应对管理角色赋予执行安全策略所必需的安全属性，安全属性包括:a)唯一用户身份;b)鉴别数据;c)授权; CA/T403.1-2002d>其他安全属性。8.4安全管理8.4.1IDS_FMT_MOF.1安全功能管理人侵检测产品应确保只有授权管理员拥有对安全功能进行修改和配置的权力。8.4.2IDS_FMT一MR.1管理角色人侵检测产品应为管理角色进行分级，不同级别的管理角色具有不同的管理权限，以增加人侵检测产品管理的安全性8.5安全功能保护8.5.1IDSesFPT_ITC.1数据传输加密当人侵检测产品各组件之问需要通过网络进行通信时，人侵检测产品应能对各组件间的通信进行加密8.5.2IDS_FPT_RVM.1IDS安全策略不可旁路性人侵检测产品应确保用户对系统安全功能的访问都受到安全策略的制约。9安全保证要求9.1配置管理保证9.1.1开发者应使用配置管理系统。9.1.2开发者应提供配置管理手册。9.1.3配置手册应包括一个配置目录9.1.4配置目录应包含人侵检测产品的各个配置项目的描述。9.1.5厂商所提供的信息应满足在内容和表达上的所有要求。9.2操作保证9.2.1开发者应以文件方式说明人侵检测产品的安装、配置和启动的过程。9.2.2用户手册中应详尽描述人侵检测产品的安装、配置和启动运行所必需的基本步骤9.2.3厂商所提供的信息应满足内容和表述上的所有要求。9.3开发过程保证9.3.1入侵检测产品和安全策略9.3.1.1开发者应提供人侵检测产品的功能规范。9.3.1.2开发者应提供入侵检测产品的安全策略。9.3.1.3功能规范应以非形式方法来描述安全策略9.3.1.4功能规范应以非形式力法来表述所有外部安全功能接门的语法和定义。9.3.1.5厂商所提供的信息应满足内容和表述上的所有要求9.3.1.6产品的功能规范与安全策略应保证一致。9.3.1.7产品安全功能的表述应包含安全目标中的每一项功能要求9.3.2高层设计描述9.3.2.1开发者应提供人侵检测产品安全功能的高层设计。9.3.2.2高层设计应以非形式方法表述。9.3.2.3高层设计应描述功能的每一个系统提供的安全功能9.3.2.4高层设计应标明功能子系统的接口。9.3.2.5高层设计应说明安个功能所需的所有底层硬件、固件和软件，以及所实现的保护机制所提供的功能9.3.2.6厂商所提供的信息应满足内容和表述上的所有要求9.3.2.7功能的表述应包含安全目标中的每一项功能要求。 GA/T403.1-20029.3.3非形式的一致性要求9.3.3.1开发者应证明所提供的对功能的扼要表述是准确和一致的，并且完整地反应了安全目标中的功能要求。9.3.3.2对于同一功能的两个相邻层的表述，开发者应证明在较高层抽象表述的所有部分在较底层抽象中得到了细化。9.3.3.3对于同一功能的两个相邻层的表述，其对应关系可以用非形式方法表述。9.3.3.4厂商所提供的信息应满足内容和表述卜的所有要求。9.4指南文件保证9.4.1管理员指南9.4.1.1开发者应提供满足系统管理者需要的管理员指南.9.4.1.2管理员指南应描述如何以安全的方式管理入侵检测产品。9.4.1.3对于应该控制在安全处理环境中的功能和特权，管理员指南应有警告。9.4.1.4管理员指南应对如何有效地使用安全功能提供指导9.4.1.5管理员指南应说明两种类型功能之间的差别:一种是允许管理员配置安全参数，而另一种是只允许管理员获得信息。9.4.1.6管理员指南应描述管理员控制下的所有参数9.4.1.7管理员指南应描述各类需要执行安全功能的安全相关事件，包括在安全功能控制下改变实体的安全特性。9.4.1.8管理员指南应包括安全功能如何相互作用的指导。9.4.1.9管理员指南应包括怎样安全配置人侵检测产品的指令。9.4.1.10管理员指南应描述在人侵检测产品的安全安装过程中可能使用的所有配置选项。9.4.1.11管理员指南应充分描述与安全管理相关的详细过程9.4.2用户指南9.4.2.1开发者应提供用户指南。9.4.2.2用户指南应描述用户可使用的安全功能和接口。9.4.2.3用户指南应包含使用人侵检测提供的安全功能和指导9.4.2.4对于应该控制在安全的处理环境中的功能和特权，用户指南应有警告9.4.2.5用户指南应描述那些用户可见的安全功能之问的相互作用9.4.2.6用户指南应与提交评估的所有其他文件一致。9.4.2.7所提供的信息应能满足在内容和描述上的所有要求9.4.3测试保证9.4.3.1独立测试9.4.3.1.飞应由评估者或具有专业知识的团体支持的独立实验室进行人侵检测产品的测试9.4.3.1.2应对人侵检测产品进行相符性独立测试，证明安全功能是按照规定运行的9.4.3.1.3应对人侵检测产品进行抽样独立测试，通过随机抽样对抽样产品进行测试，证明安全功能是按照规定运行的9.4.3.1.4应对人侵检测产品进行完全独立性测试，通过重复所有开发者的测试.证明安全功能是按照规定运行的。9.4.3.2测试覆盖面非形式分析9.4.3.2.1开发者应提供一个对测试覆盖范围的分析9.4.3.2.2测试覆盖面分析应证明测试文件中确定的测试项目能覆盖人侵检测所有的安全功能。9.4.3.2.3所提供的信息应能满足在内容和表述F.的所有要求9.4.3.3功能测试 GA/T403.1-20029.4.3.3.1开发者应测试人侵检测产品的功能，并记录结果。9.4.3.3.2开发者应提供测试文件9.4.3.3.3测试文件应有测试计划、测试过程描述和测试结果组成。9.4.3.3.4测试文件应确定将要测试的产品功能，并描述将要达到的测试目标。9.4.3.3.5测试过程的描述应确定将要进行的测试，并描述测试每一安全功能的实际情况。9.4.3.3.6测试文件的测试结果应给出每一项测试的预期结果9.4.3.3.7开发者得到的测试结果应能证明每一项安全功能和设计目标相符。9.4.3.3.8提供的信息应满足在内容和表述上的所有要求9.4.3.4测试一功能规范9.4.3.4.1开发者应提供对测试深度的分析9.4.3.4.2深度分析应证明测试文件中确定的测试充分表明了人侵检测产品的运行符合安全功能规范9.4.3.4.3提供的信息应满足在内容和表述上的所有要求。9.4.4脆弱性分析保证9.4.4.1入侵检测安全功能强度的评估9.4.4.1.1开发者应确定人侵检测适合作安全功能强度分析的安全机制。9.4.4.1.2开发者应对确定的每一机制进行安全功能强度分析。加密和鉴别机制应符合有关规定和国家标准。9.4.4.1.3对于安全功能对抗威胁的能力，人侵检测安全功能强度分析应能判定所标明的安全机制对其产生的影响。9.4.4.1.4人侵检测安全功能强度分析应证明所标明的安全功能强度与安全目标是一致的9.4.4.1.5所提供的信息应满足在内容和表述上的所有要求。9.4.4.1.6所有需要强度分析的安全机制应已确定。9.4.4.1.7各项强度声明应已确认。9.4.4.2开发者脆弱性分析9.4.4.2.1开发者应从用户可能破坏安全策略的明显途径方面，对人侵检测的各种功能进行分析并提供文件。9.4.4.2.2开发者应明确记录对被确定的脆弱性的处置。9.4.4.2.3对每一条脆弱性应有证据显示该脆弱性在使用人侵检测产品的环境中不能被利用。9.4.4.2.4所提供的信息应符合证据在内容和表述上的所有要求。9.4.4.2.5应在开发者脆弱性分析的基础上进行渗透测试，以确保明显的薄弱点已得到加强。'