GB/T 28454-2020信息技术安全技术入侵检测和防御系统(IDPS)的选择、部署和操作

ICS35040

L80.

中华人民共和国国家标准

GB/T28454—2020

代替

GB/T28454—2012

信息技术安全技术入侵检测和防御系统

IDPS的选择部署和操作

()、

Informationtechnolo—Securittechniues—Selectiondelomentand

gyyq,py

oerationofintrusiondetectionandreventionsstemsIDPS

ppy()

(ISO/IEC27039:2015,MOD)

2020-04-28发布2020-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T28454—2020

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………4

背景

5………………………5

总则

6………………………6

选择

7………………………6

简介

7.1…………………6

信息安全风险评估

7.2…………………7

主机或网络

7.3IDPS…………………7

考虑事项

7.4……………7

补充的工具

7.5IDPS…………………12

可伸缩性

7.6……………15

技术支持

7.7……………15

培训

7.8…………………15

部署

8………………………15

总则

8.1…………………15

分阶段部署

8.2…………………………16

部署

8.3NIDPS………………………16

部署

8.4HIDPS………………………18

防护和保护信息安全

8.5IDPS………………………18

操作

9………………………19

总则

9.1…………………19

调优

9.2IDPS…………………………19

脆弱性

9.3IDPS………………………19

处理报警

9.4IDPS……………………20

响应选项

9.5……………21

法律方面的考虑事项

9.6………………21

附录资料性附录入侵检测和防御系统框架及需要考虑的问题

A()(IDPS):………23

参考文献

……………………38

Ⅰ

GB/T28454—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息技术安全技术入侵检测系统的选择部署和操作与

GB/T28454—2012《、》。

相比主要技术变化如下

GB/T28454—2012,:

修改了入侵检测系统为入侵检测和防御系统将入侵防御系统纳入标准

———IDS(IDPS),IPS

范围

;

修改了标准范围增加标准适用对象见第章年版的第章

———,(1,20121);

修改了部分术语和定义包括攻击拒绝服务攻击非军事区入侵者入侵路由器交

———,“”“”“”“”“”“”“

换机特洛伊木马攻击特征防火墙主机入侵检测系统入侵防御系统在线升级

”“”“”“”“”“”“”“”

探测器测试接入点增加了部分术语和定义包括分布式拒绝服务攻击入侵检测和防

“”“”,,“”“

御系统病毒虚拟专用网脆弱性见第章年版的第章

”“”“”“”(3,20123);

增加了部分缩略语包括

———,AIDPS、DMZ、DDoS、DoS、IDPS、I/O、IODEF、HIDPS、SIEM、VPN,

删除缩略语见第章年版的第章

NIDS、SIM(4,20124);

删除背景中关于基础知识的介绍见第章年版的第章

———IDPS(5,20125);

因增加入侵防御系统修改当组织对产品有安全等级方面的要求时见为

———,“IDS,GB/T20275”

当对产品有安全等级方面的要求时见和见

“IDPS,GB/T20275GB/T28451。”(7.3.1,2012

年版的

7.2);

增加云计算环境中选择考虑事项见和云环境下部署方

———IDPS(7.4.1、7.4.2、7.4.3、7.4.5)IDPS

式多层级组织中部署方式等见

、IDPS(8.1);

能力的确认修改为能力的验证见年版的

———“”“”(7.4.5,20127.3.5);

修改功能增加了事态关联事态过滤事态聚合见年版的

———SIEM,、、(7.5.6,20127.4.6);

删除响应中关于和介绍的相关内容见

———IDSIPS(9.5.2)。

本标准使用重新起草法修改采用信息技术安全技术入侵检测和防御系

ISO/IEC27039:2015《

统的选择部署和操作

(IDPS)、》。

本标准与相比在结构上增加了第章规范性引用文件和第章缩略

ISO/IEC27039:2015,2“”4“

语将和的内容进行调序

”,7.3.17.3.2。

本标准与的技术性差异及其原因如下

ISO/IEC27039:2015:

增加了第章规范性引用文件和第章缩略语主要保持与的延

———2“”4“”,GB/T28454—2012

续性

;

删除第章背景中关于基础知识的介绍见第章因该内容在附录中有详细介绍

———3IDPS(5),A;

增加了当对产品有安全等级方面的要求时见和这主要

———“IDPS,GB/T20275GB/T28451”,

是考虑对产品安全等级保护要求见

IDPS(7.3.1);

删除关于和的相关内容见因标准将入侵防御系统纳入本标准范

———7.5.2IDSIPS(9.5.2),IPS

围标准对象界定为入侵检测和防御系统故无需再单独介绍

,IDPS,;

增加了云计算环境中选择考虑事项见以及云环境下部

———IDPS(7.4.1、7.4.2、7.4.3、7.4.5)IDPS

署多层级组织中部署主要是因为目前云计算环境中部署也需要考虑相关事项

、IDPS,IDPS,

但国际标准并未考虑此部分内容见

(8.1)。

本标准做了下列编辑性修改

:

删除的注

———3.8。

Ⅲ

GB/T28454—2020

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位山东省标准化研究院中国网络安全审查技术与认证中心陕西省网络与信息安

:、、

全测评中心北京天融信网络安全技术有限公司山东崇弘信息技术有限公司成都秦川物联网科技股

、、、

份有限公司

。

本标准主要起草人王曙光王庆升王凤娇魏军公伟张斌来永钧杨帆杨锐雷晓峰邵泽华

:、、、、、、、、、、、

樊华朱琳高瑞杨向东杨斌权亚强路征陈慧勤刘勘伪于秀彦胡鑫磊王栋潘海燕李红胜

、、、、、、、、、、、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T28454—2012。

Ⅳ

GB/T28454—2020

引言

组织在选择部署入侵检测和防御系统之前不仅需要知道入侵事件针对网络系统或应

、(IDPS),(、

用是否发生何时发生以及如何发生也需要知道入侵事件利用了何种脆弱性为防止类似入侵事件发

)、,,

生未来需要采取何种防护措施或风险处置手段即风险缓解风险保留风险规避风险分担组织需

,(、、、)。

识别并避免基于网络的入侵从世纪年代中期开始组织为了满足上述需求开始使用入侵检测

。2090,

和防御系统随着产品的不断发展其应用领域不断扩大满足了组织对入侵检测和防御

(IDPS)。IDPS,,

能力持续增长的需求

。

为了使效益最大化需要由经过培训经验丰富的人员精心策划及实施的选择部署和

IDPS,、IDPS、

操作过程通过上述过程使成为组织预防入侵的重要安全工具在组织基础设施中作为重

。,IDPS(ICT

要安全设施帮助组织截获入侵信息

),。

本标准提供了有效选择部署和操作的指南以及有关的基础知识同时本标准还适

、IDPS,IDPS。

用于需要外包其服务的相关组织关于外包服务级别协议的相关信息参见的

IDPS。ISO/IEC20000

服务管理过程

IT(ITSM)。

本标准主要用于帮助组织实现如下目标

:

满足的下列要求

a)GB/T22080:

应实施过程和控制以便能快速检测和响应安全事件

———;

应执行监视评审过程以及控制以便识别企图的安全危害和既成的安全事件

———、。

实现控制以满足的下列安全目标

b)GB/T22081:

能够检测未授权的信息处理活动

———;

监视系统并记录信息安全事态使用操作者日志和默认日志以确保能够识别信息系统

———,

问题

;

满足所有适用于监视和记录活动的相关法律要求

———;

将系统监视用于检查已实施控制的有效性以验证访问策略模型是否符合需求

———,。

对满足上述要求而言部署并非唯一完善的解决方案此外本标准并不作为诸如信息安

,IDPS、。,

全管理体系认证服务或产品认证等合格评定的准则

(ISMS)、IDPS。

Ⅴ

GB/T28454—2020

信息技术安全技术入侵检测和防御系统

IDPS的选择部署和操作

()、

1范围

本标准给出了组织部署入侵检测和防御系统的指南本标准详细说明了的选择部

(IDPS)。IDPS、

署和操作同时本标准给出了形成这些指南的背景信息

。。

本标准适用于准备部署入侵检测和防御系统的组织

(IDPS)。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

所有部分信息技术安全技术信息技术安全评估准则所有部

GB/T18336()[ISO/IEC15408(

分

)]