标准解读

《GB/T 28454-2020 信息技术 安全技术 入侵检测和防御系统(IDPS)的选择、部署和操作》与《GB/T 28454-2012 信息技术 安全技术 入侵检测系统的选择、部署和操作》相比,在内容上进行了多方面的更新和完善,主要体现在以下几个方面:

首先,标题的变化反映了标准覆盖范围的扩大。2012版的标准名称为“入侵检测系统”,而2020版则变更为“入侵检测和防御系统(IDPS)”,这意味着新版标准不仅涵盖了传统的IDS功能,还增加了对IPS(入侵防御系统)功能的支持,从而能够更好地适应当前网络安全形势下的需求。

其次,在术语定义部分,2020版引入了一些新概念,并对原有术语进行了修订或补充说明,以确保语言更加准确、全面地反映IDPS技术的发展现状。例如,“攻击签名”、“异常行为”等关键术语得到了进一步明确。

再次,对于选择、部署以及操作指导原则方面,2020版提供了更详细的建议。它不仅强调了根据组织的具体需求来选择合适的IDPS解决方案的重要性,而且还详细介绍了如何有效地配置这些系统以达到最佳效果。此外,针对不同类型IDPS的特点及其适用场景进行了深入探讨,帮助用户做出更加合理的技术决策。

最后,2020版加强了对安全策略管理、日志记录及事件响应流程等方面的指导,旨在帮助企业构建起一套完整的IDPS管理体系,提高其应对各种潜在威胁的能力。同时,也增加了关于持续监控与评估IDPS性能的相关内容,鼓励组织定期审查并调整其安全措施,以保持长期有效性。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2020-04-28 颁布
  • 2020-11-01 实施
©正版授权
GB/T 28454-2020信息技术安全技术入侵检测和防御系统(IDPS)的选择、部署和操作_第1页
GB/T 28454-2020信息技术安全技术入侵检测和防御系统(IDPS)的选择、部署和操作_第2页
GB/T 28454-2020信息技术安全技术入侵检测和防御系统(IDPS)的选择、部署和操作_第3页
GB/T 28454-2020信息技术安全技术入侵检测和防御系统(IDPS)的选择、部署和操作_第4页
GB/T 28454-2020信息技术安全技术入侵检测和防御系统(IDPS)的选择、部署和操作_第5页
已阅读5页,还剩43页未读 继续免费阅读

下载本文档

免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T28454—2020

代替

GB/T28454—2012

信息技术安全技术入侵检测和防御系统

IDPS的选择部署和操作

()、

Informationtechnolo—Securittechniues—Selectiondelomentand

gyyq,py

oerationofintrusiondetectionandreventionsstemsIDPS

ppy()

(ISO/IEC27039:2015,MOD)

2020-04-28发布2020-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T28454—2020

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………4

背景

5………………………5

总则

6………………………6

选择

7………………………6

简介

7.1…………………6

信息安全风险评估

7.2…………………7

主机或网络

7.3IDPS…………………7

考虑事项

7.4……………7

补充的工具

7.5IDPS…………………12

可伸缩性

7.6……………15

技术支持

7.7……………15

培训

7.8…………………15

部署

8………………………15

总则

8.1…………………15

分阶段部署

8.2…………………………16

部署

8.3NIDPS………………………16

部署

8.4HIDPS………………………18

防护和保护信息安全

8.5IDPS………………………18

操作

9………………………19

总则

9.1…………………19

调优

9.2IDPS…………………………19

脆弱性

9.3IDPS………………………19

处理报警

9.4IDPS……………………20

响应选项

9.5……………21

法律方面的考虑事项

9.6………………21

附录资料性附录入侵检测和防御系统框架及需要考虑的问题

A()(IDPS):………23

参考文献

……………………38

GB/T28454—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息技术安全技术入侵检测系统的选择部署和操作与

GB/T28454—2012《、》。

相比主要技术变化如下

GB/T28454—2012,:

修改了入侵检测系统为入侵检测和防御系统将入侵防御系统纳入标准

———IDS(IDPS),IPS

范围

;

修改了标准范围增加标准适用对象见第章年版的第章

———,(1,20121);

修改了部分术语和定义包括攻击拒绝服务攻击非军事区入侵者入侵路由器交

———,“”“”“”“”“”“”“

换机特洛伊木马攻击特征防火墙主机入侵检测系统入侵防御系统在线升级

”“”“”“”“”“”“”“”

探测器测试接入点增加了部分术语和定义包括分布式拒绝服务攻击入侵检测和防

“”“”,,“”“

御系统病毒虚拟专用网脆弱性见第章年版的第章

”“”“”“”(3,20123);

增加了部分缩略语包括

———,AIDPS、DMZ、DDoS、DoS、IDPS、I/O、IODEF、HIDPS、SIEM、VPN,

删除缩略语见第章年版的第章

NIDS、SIM(4,20124);

删除背景中关于基础知识的介绍见第章年版的第章

———IDPS(5,20125);

因增加入侵防御系统修改当组织对产品有安全等级方面的要求时见为

———,“IDS,GB/T20275”

当对产品有安全等级方面的要求时见和见

“IDPS,GB/T20275GB/T28451。”(7.3.1,2012

年版的

7.2);

增加云计算环境中选择考虑事项见和云环境下部署方

———IDPS(7.4.1、7.4.2、7.4.3、7.4.5)IDPS

式多层级组织中部署方式等见

、IDPS(8.1);

能力的确认修改为能力的验证见年版的

———“”“”(7.4.5,20127.3.5);

修改功能增加了事态关联事态过滤事态聚合见年版的

———SIEM,、、(7.5.6,20127.4.6);

删除响应中关于和介绍的相关内容见

———IDSIPS(9.5.2)。

本标准使用重新起草法修改采用信息技术安全技术入侵检测和防御系

ISO/IEC27039:2015《

统的选择部署和操作

(IDPS)、》。

本标准与相比在结构上增加了第章规范性引用文件和第章缩略

ISO/IEC27039:2015,2“”4“

语将和的内容进行调序

”,7.3.17.3.2。

本标准与的技术性差异及其原因如下

ISO/IEC27039:2015:

增加了第章规范性引用文件和第章缩略语主要保持与的延

———2“”4“”,GB/T28454—2012

续性

;

删除第章背景中关于基础知识的介绍见第章因该内容在附录中有详细介绍

———3IDPS(5),A;

增加了当对产品有安全等级方面的要求时见和这主要

———“IDPS,GB/T20275GB/T28451”,

是考虑对产品安全等级保护要求见

IDPS(7.3.1);

删除关于和的相关内容见因标准将入侵防御系统纳入本标准范

———7.5.2IDSIPS(9.5.2),IPS

围标准对象界定为入侵检测和防御系统故无需再单独介绍

,IDPS,;

增加了云计算环境中选择考虑事项见以及云环境下部

———IDPS(7.4.1、7.4.2、7.4.3、7.4.5)IDPS

署多层级组织中部署主要是因为目前云计算环境中部署也需要考虑相关事项

、IDPS,IDPS,

但国际标准并未考虑此部分内容见

(8.1)。

本标准做了下列编辑性修改

:

删除的注

———3.8。

GB/T28454—2020

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位山东省标准化研究院中国网络安全审查技术与认证中心陕西省网络与信息安

:、、

全测评中心北京天融信网络安全技术有限公司山东崇弘信息技术有限公司成都秦川物联网科技股

、、、

份有限公司

本标准主要起草人王曙光王庆升王凤娇魏军公伟张斌来永钧杨帆杨锐雷晓峰邵泽华

:、、、、、、、、、、、

樊华朱琳高瑞杨向东杨斌权亚强路征陈慧勤刘勘伪于秀彦胡鑫磊王栋潘海燕李红胜

、、、、、、、、、、、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T28454—2012。

GB/T28454—2020

引言

组织在选择部署入侵检测和防御系统之前不仅需要知道入侵事件针对网络系统或应

、(IDPS),(、

用是否发生何时发生以及如何发生也需要知道入侵事件利用了何种脆弱性为防止类似入侵事件发

)、,,

生未来需要采取何种防护措施或风险处置手段即风险缓解风险保留风险规避风险分担组织需

,(、、、)。

识别并避免基于网络的入侵从世纪年代中期开始组织为了满足上述需求开始使用入侵检测

。2090,

和防御系统随着产品的不断发展其应用领域不断扩大满足了组织对入侵检测和防御

(IDPS)。IDPS,,

能力持续增长的需求

为了使效益最大化需要由经过培训经验丰富的人员精心策划及实施的选择部署和

IDPS,、IDPS、

操作过程通过上述过程使成为组织预防入侵的重要安全工具在组织基础设施中作为重

。,IDPS(ICT

要安全设施帮助组织截获入侵信息

),。

本标准提供了有效选择部署和操作的指南以及有关的基础知识同时本标准还适

、IDPS,IDPS。

用于需要外包其服务的相关组织关于外包服务级别协议的相关信息参见的

IDPS。ISO/IEC20000

服务管理过程

IT(ITSM)。

本标准主要用于帮助组织实现如下目标

:

满足的下列要求

a)GB/T22080:

应实施过程和控制以便能快速检测和响应安全事件

———;

应执行监视评审过程以及控制以便识别企图的安全危害和既成的安全事件

———、。

实现控制以满足的下列安全目标

b)GB/T22081:

能够检测未授权的信息处理活动

———;

监视系统并记录信息安全事态使用操作者日志和默认日志以确保能够识别信息系统

———,

问题

;

满足所有适用于监视和记录活动的相关法律要求

———;

将系统监视用于检查已实施控制的有效性以验证访问策略模型是否符合需求

———,。

对满足上述要求而言部署并非唯一完善的解决方案此外本标准并不作为诸如信息安

,IDPS、。,

全管理体系认证服务或产品认证等合格评定的准则

(ISMS)、IDPS。

GB/T28454—2020

信息技术安全技术入侵检测和防御系统

IDPS的选择部署和操作

()、

1范围

本标准给出了组织部署入侵检测和防御系统的指南本标准详细说明了的选择部

(IDPS)。IDPS、

署和操作同时本标准给出了形成这些指南的背景信息

。。

本标准适用于准备部署入侵检测和防御系统的组织

(IDPS)。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

所有部分信息技术安全技术信息技术安全评估准则所有部

GB/T18336()[ISO/IEC15408(

)]

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论