信息安全产品强制性认证实施规则入侵检测系统（IDS）产品

编号：CNCA-11C-084:2009信息安全产品强制性认证实施规则入侵检测系统（IDS）产品2009-04-27发布2009-05-01实施中国国家认证认可监督管理委员会发布目录1．适用范围...............................................................12．认证模式...............................................................13．认证的基本环节.........................................................13.1认证申请及受理......................................................13.2型式试验委托及实施..................................................13.3初始工厂检查........................................................13.4认证结果评价与批准..................................................13.5获证后监督..........................................................14．认证实施...............................................................14.1认证程序............................................................14.2认证申请及受理......................................................24.3型式试验委托及实施..................................................34.4初始工厂检查........................................................44.5认证结果评价与批准..................................................54.6获证后监督..........................................................65．认证证书...............................................................75.1认证证书的保持......................................................75.2认证证书覆盖产品的扩展..............................................85.3认证证书的暂停、注销和撤销..........................................86．强制性产品认证标志的使用...............................................86.1准许使用的标志样式..................................................86.2变形认证标志的使用..................................................86.3加施方式............................................................86.4标志位置............................................................97．收费...................................................................9附件1：.................................................................10附件2：.................................................................11附件3：.................................................................14附件4：.................................................................15附件5：.................................................................1611．适用范围本规则所指的入侵检测系统指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，发现违反安全策略的行为和被攻击迹象的软件或软硬件组合。本规则适用的产品范围为：（1）网络型入侵检测系统；（2）主机型入侵检测系统。拟用于涉密信息系统的上述产品，按照国家有关保密规定和标准执行，不适用本规则。2．认证模式型式试验+初始工厂检查+获证后监督3．认证的基本环节3.1认证申请及受理3.2型式试验委托及实施3.3初始工厂检查3.4认证结果评价与批准3.5获证后监督4．认证实施4.1认证程序申请方可选择集中受理或分段受理两种方式中任意一种进行认证证书申请，两种方式下获得的证书是等效的。4.1.1集中受理流程申请方向指定的认证机构申请认证，认证机构对申请产品进行单元划分并审查申请资料，确认合格后向实验室（由申请方自主从指定实验室名单中选取）安排检测任务。实验室依据相关产品强制性认证实施规则进行检测，并在完成检测后向认证机构提交完整的检测报告。认证机构对检测报告审查合格后，由认证机构进行初始工厂检查。认证机构对型式试验、2初始工厂检查结果进行综合评价，评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。4.1.2分段受理流程申请方自主从指定实验室名单中选取实验室，并向实验室提交相关申请材料。实验室对申请产品进行单元划分，审查并确认所需资料合格后，依据认证实施规则进行检测，检测通过后向认证机构提交检测报告。检测报告经认证机构确认合格后，申请方向认证机构提交认证所需资料。认证机构审查并确认所需资料合格后，由认证机构进行初始工厂检查。认证机构对型式试验、初始工厂检查结果进行综合评价，评价合格后向申请方颁发认证证书。认证机构组织对获证后的产品进行定期的监督。4.2认证申请及受理4.2.1认证的单元划分4.2.1.1网络型入侵检测系统按产品型号/版本申请认证，若产品的信息安全关键件实现方式相同的可作为一个单元申请认证，但具有不同带宽网络接口的产品，应分开申请认证。以多于一个型号/版本的产品为同一认证单元申请认证时，申请方应提交同一认证单元中型号/版本间的差异说明及相关自测报告。4.2.1.2主机型入侵检测系统。按产品型号/版本申请认证，若产品的信息安全关键件实现方式相同的可作为一个单元申请认证，但支持不同主机环境（如操作系统、应用软件、数据库系统等）的产品，应分开申请认证。以多于一个型号/版本的产品为同一认证单元申请认证时，申请方应提交同一认证单元中型号/版本间的差异说明及相关自测报告。4.2.2申请时需提交的文件资料申请方在申请产品认证时，提交的文件资料应至少包含以下内容：31.申请方情况：1）基本情况介绍；2）相关资质证明材料（复印件）；3）质量体系方面有关的文件；4）申请方声明。2.产品相关说明：1）中文产品功能说明书和/或使用手册；2）认证标准的适用性说明；3）产品研制主要技术人员情况表；4）产品测试技术人员情况表；5）产品测试使用的主要设备表（如适用）；6）中文铭牌和警告标记（如适用）；7）同一认证单元中型号/版本间的差异说明及相关自测报告（如适用）。3.与申请认证级别相对应的安全保证要求的说明，包括以下方面：1）配置管理；2）交付和运行；3）开发；4）指导性文档；5）生命周期支持；6）测试；7）脆弱性评定。4.3型式试验委托及实施4.3.1型式试验的送样4.3.1.1型式试验送样的原则认证单元中只有一个型号/版本的，送该型号/版本的样品。4以多于一个型号/版本的产品作为同一认证单元申请认证时，应从中选取典型的型号/版本作为送样产品。申请第二级（含）以上的网络型产品在送样时，应同时提供该产品的联动设备及相关说明性文档。4.3.1.2送样要求和数量型式试验的样品由申请方负责选送，并对选送样品负责。一般每种产品送样2套。4.3.1.3型式试验样品及相关资料的处置认证结束后，申请方可向实验室申请取回型式试验样品，相关申请资料由认证机构、实验室妥善处置。4.3.2测评标准和项目测评依据的标准为：GB/T20275《信息安全技术入侵检测系统技术要求和测试评价方法》（基于GB/T18336《信息技术安全技术信息安全技术评估准则》的通用要求）。测评项目见附件2、附件3。4.3.3型式试验报告的提交型式试验完成后，实验室出具型式试验报告并提交给认证机构。4.4初始工厂检查4.4.1检查内容初始工厂检查的内容为信息安全保证能力、质量保证能力和产品一致性检查。4.4.1.1信息安全保证能力检查由认证机构派检查员对工厂按照《入侵检测系统产品强制性认证安全保证评估项目》（见附件3）进行信息安全保证能力检查。4.4.1.2质量保证能力检查5由认证机构派检查员对工厂按照《质量保证能力基本要求》（附件5）及认证机构制定的补充检查要求（适用时）进行检查。4.4.1.3产品一致性检查初始工厂检查时，应在生产现场对申请认证的产品进行一致性检查。重点核实以下内容：1）认证产品的铭牌、包装上所标明的及运行时所显示的产品名称、型号/版本号与型式试验报告上所标明的内容是否一致；2）非认证的产品是否违规标贴了认证标识。4.4.2初始工厂检查时间一般情况下,认证机构对4.2.2中的资料进行审查并在型式试验完成后，再进行初始工厂检查。特殊情况时，型式试验和初始工厂检查也可以同时进行。初始工厂检查时间根据所申请认证产品的单元数量确定，并适当考虑生产厂的规模及产品的安全级别，一般每个生产厂为2至4个人日。4.5认证结果评价与批准4.5.1认证结果评价与批准认证机构负责对型式试验、初始工厂检查结果进行综合评价，评价合格的，由认证机构对申请方颁发认证证书（每一个认证单元颁发一个认证证书）。如认证决定过程中发现不符合认证要求项，允许限期（不超过3个月）整改，如期完成整改后，认证机构采取适当方式对整改结果进行确认，重新执行认证决定过程。4.5.2认证时限认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的工作日，其中包括型式试验时间、初始工厂检查及提交报告时间、认证结论评定和批准时间以及证书制作时间。型式试验时间一般不超过40个工作日（因检测项目不合格，进行整改6和复试的时间不计算在内，整改时间一般不超过3个月）。一般在型式试验报告提交后30个工作日内安排初始工厂检查。初始工厂检查时间根据所认证产品的单元数量确定，并适当考虑生产厂的生产规模及产品的安全级别，一般为2至4个人日。初始工厂检查后提交报告时间一般为5个工作日，以检查员完成现场检查，收到并确认工厂递交的不合格纠正措施报告之日起计算。认证结论评定、批准时间以及证书制作时间共计不超过5个工作日。4.6获证后监督4.6.1监督的频次4.6.1.1从获证后第12个月起进行第一次获证后监督，此后每12个月进行一次获证后监督。必要情况下，认证机构可采取事先不通知的方式对生产厂实施监督。4.6.1.2若发生下述情况之一可增加监督频次：1）获证产品出现严重质量问题时,或者用户提出投诉并经查实