《信息技术 安全技术 入侵检测和防御系统（IDPS）的选择、部署和操作-编制说明》

一、工作简况

根据国家标准化管理委员会“关于下达2017年第四批国家标准制修订计划

的通知（国标委综合〔2017〕128号）”的安排，由山东省标准化研究院负责修

订《信息技术安全技术入侵检测和防御系统（IDPS）的选择、部署和操作》国

家标准，该标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口，

该标准计划号为：20173850-T-469。

本标准主要起草单位包括：山东省标准化研究院、中国信息安全认证中心、

陕西省网络与信息安全测评中心、北京天融信网络安全技术有限公司等。

本标准主要起草人：。

主要工作过程如下：

1、2016年3月-2017年3月，跟踪信息安全国际标准ISO/IEC27039:2015

相关标准编制情况，了解标准主要内容；

2、2016年10月，参加全国信安标委成都2016年第二次会议周，参与对GB/T

28454-2012标准复审讨论，决定对GB/T28454-2012进行修订；

3、2017年3月-2017年4月，形成标准草案第一稿，参加全国信安标委武

汉2017年第一次会议周，会上汇报标准相关情况，参与标准修订立项汇报；

4、2017年7月14日，全国信安标委正式下达了国家标准《信息技术安

全技术入侵检测和防御系统（IDPS）的选择、部署和操作》修订任务。

5、2017年8月，由项目牵头单位和参与单位共同组成的标准编制组正式成

立并启动工作。

6、2017年4月至2017年9月，标准编制组内部修改完善标准，并继续跟

踪和研究ISMS标准族的其他相关标准。

7、2017年9月，形成国家标准《信息技术安全技术入侵检测和防御系

统（IDPS）的选择、部署和操作》修订草案第二稿及编制说明。

8、2017年9月27日，在北京召开《信息技术安全技术入侵检测和防

御系统（IDPS）的选择、部署和操作》修订标准草案第二稿专家征求意见会，与

会专家对标准提出了意见，并给出了下一步标准改进方向；

9、2017年10月，标准编制组根据专家意见对标准进行了修改完善，形成

了《信息技术安全技术入侵检测和防御系统（IDPS）的选择、部署和操作》

修订标准草案第三稿，并更新了标准编制说明和标准编制意见汇总表；

10、2017年10月，参加全国信安标委在厦门举办的2017年第二次工作组

会议周，会上汇报标准相关情况，并征集相关专家意见，会议通过工作组决议，

本标准进入征求意见稿；

11、2017年10月-11月，针对全国信安标委2017年第二次会议周专家意见，

对标准进行修改完善，形成标准征求意见第一稿，并更新了标准编制说明和标准

编制意见汇总表，将形成的征求意见稿提交全国信安标委秘书处，进行公开征求

意见工作。

12、2017年12月-2018年1月，秘书处面向部分专家对标准进行审查，编

制组对标准进行修改完善，形成形成标准征求意见第二稿，并更新了标准编制说

明和标准编制意见汇总表，将形成的征求意见稿提交全国信安标委秘书处；

13、2017年12月29日，国标委正式下达关于下达2017年第四批国家标准

制修订计划的通知（国标委综合〔2017〕128号），本标准正式立项，计划号为：

20173850-T-469。

二、标准编制原则和确定主要内容的论据及解决的主要问题

本标准深入研究入侵检测和防御系统的选择、部署和操作，修改采用国际标

准《信息技术安全技术入侵检测和防御系统（IDPS）的选择、部署和操作》

（ISO/IEC27039），制定《信息技术安全技术入侵检测和防御系统（IDPS）的

选择、部署和操作》国家标准，通过为信息安全控制提供指南从而进一步完善我

国信息安全管理标准体系。

标准编制原则如下：

a）修改采用国际标准ISO/IEC27039:2015《信息技术安全技术入侵检

测和防御系统（IDPS）的选择、部署和操作》。理由如下：

——旧版标准GB/T28454-2012采用修改采用ISO/IEC18043:2006,

ISO/IEC18043:2006修订后为ISO/IEC27039:2015，

——国际标准未考虑入侵检测和防御系统相关产品安全等级方面内容，需考

虑到我国产品安全等级保护相关要求；

因此决定修改采用国际标准ISO/IEC27039：2015《信息技术安全技术入

侵检测和防御系统（IDPS）的选择、部署和操作》，来对GB/T28454-2012进行

修订。

修改采用国际标准，本标准与ISO/IEC27039:2015的主要差异及其原因如

下：

（1）编辑性修改

——题目勘误，将“operations”修改为“operation”（见英文题目）；

——用“本标准”代替“本国际标准”；

——删除国际标准中的前言；

——对于国际标准注日期规范性应用的国际文件ISO/IEC27010:2012和

ISO/IEC18028-3:2005，用等同采用这些文件的我国标准GB/T32920-2016和

GB/T25068.3-2010代替；

——标准结构：因引用国际标准中没有的新标准，同时标准中缩略语较多，

增加了第2章“规范性引用文件”和第4章“缩略语”；

——编辑性错误，将5.3.3在信任边界之间（Betweentrustboundaries）

改为在关键子网上（oncriticalsubnets），以与图2、6.3.2、6.3.3、6.3.4

和6.3.5保持一致；

——编辑性错误，7.5.2中IDPS改为IDS；

——编辑性错误，将A.3.4.3.3中，“参见A.3.3.1.2”修改为“参见

A.3.4.2.3”；

——“对于单一IDPS来说攻击可能变成误报”修改为“对于单一IDPS来说

攻击可能变成漏报”（见7.5.6）；

（2）技术性差异

——修改“来自蜜罐的数据可认为是一种诱捕技术的形式，因此在某些司法

管辖区域内不承认其数据的合法性（Datafrom‘honeypots’maybeconsidered

asaformofanentrapmenttechniqueandthereforeruledinadmissiblein

somejurisdiction）为“来自蜜罐的数据可认为是一种诱捕技术的形式，因此

需确定其数据的合法性。”，使其符合我国国情（见7.5.4节）；

——5.4.8节；删除“当地管辖区域的（ofthelocaljurisdictions）”；

——标准7.3.1节中增加了“当组织对IDPS产品有安全等级方面的要求时,

见GB/T20275和GB/T28451”，主要考虑对IDPS产品安全等级保护要求；

——7.6.2节，删除“在许多当地的管辖区域内（inmanylocal

jurisdictions）”；

——7.6.4节，删除“管辖区域内（jurisdictions）”；

——增加了资料性附录B。

b）重新起草法：按照GB/T20000.1-2009要求，修改采用国际标准采用重

新起草法，在国际标准基础上重新编写国家标准。

标准主要内容如下：

本标准给出了帮助组织准备部署入侵检测和防御系统（IDPS）的指南。特别

地，本标准详细说明了IDPS的选择、部署和操作。同时本标准给出了得到这些

指南的背景信息。

本标准与GB/T28454-2012的主要变化包括：

1）结构变化

将原标准悬置段修改为独立章节（见7.1、7.3.1、7.4.7.1、7.4.9.1、7.5.1、

8.1、8.3.1、9.1、9.4.1、9.5.1、9.6.1、A.2.1、A.3.1、A.3.4.2.1、A.3.4.3.1、

A.3.4.5.1、A.4.1、A.6.2.1、A.6.2.1、A.7.1、）。

2）技术变化

修改入侵检测系统IDS为入侵检测和防御系统IDPS，将入侵防御系统

IPS纳入标准范围；

修改标准范围，修改2012年版标准范围中“本标准的目的”和范围

最后1段，将修改后“本标准的目的”和范围最后1段内容放到引言

第4段和第5段（见引言）；

修改规范性引用文件，按照标准内容引用编写引用文件（见2）；

术语部分：根据国际标准变化，修改了术语“防火墙”的定义（见

3.10）、“入侵防御系统”的定义（见3.19）、“在线升级”的定

义（见3.22）、“探测器”的术语和定义（见3.28）、“测试接入

点”的定义（见3.31），增加了“分布式拒绝服务攻击”的术语和

定义（见3.7）、“入侵检测和防御系统”的术语和定义（见3.20）、

“病毒”的术语和定义（见3.33），并沿用GB/T28454-2012术语

编制思路，采纳GB/T25069-2010中的定义，增加了“虚拟专用网”

的术语和定义（见3.34）、“脆弱性”的术语和定义（见3.35）；

增加了缩略语AIDPS、DMZ、DDoS、DoS、IDPS、I/O、IODEF、HIDPS、

SIEM、VPN，删除缩略语NIDS、SIM（见4）；

增加了2种不同类型IDPS（NIDPS和HIDPS）的特征以及行为分析方法

（见5）；

修改了“图1IDPS的选择、部署和操作”（见6）；

删除了HIDPS和NIDPS的数据源和发现异常过程的描述（见7.3.2和

7.3.3，2012年版的7.2.1和7.2.2）；

将IDPS选择考虑事项中“安全”修改为“安全保护机制”（见7.4.2）；

增加了了IDPS选择考虑事项中，IDPS安全策略方面1条需回答的问题

（见7.4.3）；

增加了了IDPS选择考虑事项中，性能方面1条需回答的问题（见

7.4.4）；

“能力的确认”修改为“能力验证”（见7.4.5，2012年版的7.3.5）；

删除和修改了IDPS选择考虑事项中，能力验证方面需回答的问题（见

7.4.5）；

“在线升级”修改为“在线配置”（见7.4.9.3，2012年版的7.3.9.2）；

修改“来自蜜罐的数据可认为是一种诱捕技术的形式，因此在一些

司法管辖区域内不承认其数据的合法性”为“来自蜜罐的数据可认

为是一种诱捕技术的形式，因此需确定其数据的合法性。”（7.5.4）；

“安全信息管理工具SIM”修改为“安全信息事态管理工具SIEM”（见

7.5.6）；

修改SIEM功能，增加了事态关联、事态过滤、事态聚合（见7.5.6）；

增加了脆弱性评估工具1条优点（见7.5.8）；

删除了“HIDS和NIDS可一前一后部署，选择这样一种IDS监视方法时，

组织宜分阶段实施”（见8.2）；

修改了图2典型NIDPS位置（见8.3.1）；

增加了“另外，特别是在高速网络环境中，需观察到丢弃的IP数据

包的级别，因为数据包的丢包率过高会严重增加模式不匹配的数量，

从而导致误报甚至漏报的增加。为确保有效性，可能需要一种可提

供较高捕获率的合适网络接口卡或者减少数据丢包率的相似技术的

补救措施。”（Additionally,especiallyinhighspeednetwork

environments,thelevelofdroppedIPpacketsneedstobe

observedashighleveldropratescanseverelyincreasethe

amountofpatternmismatching,resultinginincreasedfalse

positivesorevenfalsenegatives.Asaremedyappropriate

networkinterfacecardsofferinghighercaptureratesor

similartechnologiesmitigatingpacketdropmayberequired

toinsureeffectiveness.）（8.3.1）

增加了防护和保护IDPS信息安全的1条控制和日志存储的指南（见

8.5）；

增加了“如前所述，SIEM技术的运用可能在优先排序和减轻IDPS报

警方面具有重大价值，例如，将脆弱性评估数据和系统补丁级别与

IDPS报警配置进行比较。在这种情况下，网络发现工具和流量分析

器的使用可进一步提高价值，并允许进一步调整报警规则。”（As

outlinedpreviously,theuseofSIEMtechnologymaybeofgreat

valueinprioritizingandmitigatingIDPSalerts,e.g.

comparisonofvulnerabilityassessmentdataandsystempatch

levelswithIDPSalertconfiguration.Inthiscontexttheuse

ofnetworkdiscoverytoolsandtrafficanalysermayadd

furthervalueandallowforfurthertuningofalertrules.）

（见9.2）；

因增加入侵防御系统，修改“当组织对IDS产品有安全登记方面的要

求时，见GB/T20275”为“当组织对IDPS产品有安全等级方面的要

求时,见GB/T20275和GB/T28451。”（见9.3.1）；

overview“综述”修改为“概述”（见9.6.1）；

forensics“司法取证”修改为“取证”（见9.6.4）；

genericmodelofintrusiondetection“入侵检测过程的一般模

型”修改为“入侵检测过程通用模型”（见A.3）；

profile“轮廓文件”修改为“配置文件”（见A.3和A.4）

修改了IDPS分类，给出三种类型IDPS及解释（见A.4.1）；

修改了IDPS的管理（见A.6）；

增加了“数据宜按照策略存储一段时间，然后安全销毁以保护所有

相关方的隐私。这段时间给了取证和法律强制执行大量的时间进行

调查，并且在将来可能遭受未授权访问的系统中，不会留下不再需

要的敏感数据。”（Thedatashouldbestoredforacertainperiod

oftimeinaccordancewithpolicy,andthensecurelydestroyed

toprotecttheprivacyofallpartiesinvolved.Thisamount

oftimegivestheforensicandlawenforcementplentyoftime

todotheinvestigationanddoesnotleavesensitivedatathat

isnolongerneededonasystemthatcouldbesubjectto

unauthorizedaccessinthefuture）（见A.8.1）；

增加了数据共享相关国际标准情况（见A.8.2）。

三、主要试验[或验证]情况分析

无。

四、知识产权情况说明

本部分不涉及专利和知识产权。

五、产业化情况、推广应用论证和预期达到的经济效果

本标准组织信息化中应用已经初具规模，本标准推广应用将有三方面重要作

用：

1、本标准主要用于支撑信息安全管理体系：

a)组织满足GB/T22080-2016下列要求：

——组织应实施过程和其他控制以能快速检测和响应安全事件；

——组织应执行监视和评审过程以及其他控制以恰当识别企图的和成功的

安全危害和事件。

b)组织实施控制以满足GB/T22081-2016的下列安全目标：

——检测未授权的信息处理活动；

——宜监视系统，宜记录信息安全事态。宜使用操作者日志和默认日志以确

保信息系统问题被识别；

——组织应符合所有相关的适用于监视和记录活动的法律要求；

——系统监视宜被用于检查已实施控制的有效性，验证访问策略模型的符合

性。

2、随着政府、银行、证券及ISP等在内的许多企业单位以及公共通信和信息

服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的的信

息化建设不断推进，大量政府、银行、证券及ISP等在内的许多企业单位及关键

信息基础设施运营单位都构建了自己的数据中心，同时各地也在推动数据中心集

约化建设，所有这些数据中心IT系统建设及升级过程中，都需要部署入侵检测和

防御系统，及时检测和预防网络、系统和应用程序受到入侵，同时确认被利用的

安全隐患并采取相关措施预防同样的入侵再次发生。本标准为企业、事业单位、

政府部门及关键信息基础设施运营单位有效选择、部署和操作入侵检测和防御系

统提供了指南，对当今市场商业化的IDPS产品和服务至关重要。

3、本标准在信息安全等级保护等方面对等级保护标准中信息安全入侵检测

和防御相关内容也形成一定支撑作用。

六、采用国际标准和国外先进标准情况

本标准修改采用国际标准ISO/IEC27039:2015《信息技术安全技术入侵

检测和防御系统（IDPS）的选择、部署和操作》。

七、与现行相关法律、法规、规章及相关标准的协调性

截至目前，尚未发现本部分与我国有关的现行法律、法规和相关强制性标准

相冲突。

本标准属于信息安全管理体系标准族标准之一，主要为入侵检测和防御系统

（