GB/T 28454-2012信息技術(shù)安全技術(shù)入侵檢測系統(tǒng)的選擇、部署和操作

ICS35040

L80.

中華人民共和國國家標準

GB/T28454—2012

信息技術(shù)安全技術(shù)

入侵檢測系統(tǒng)的選擇部署和操作

、

Informationtechnology—Securitytechniques—

Selectiondelomentandoerationsofintrusiondetectionsstems

,pypy

(ISO/IEC18043:2006,MOD)

2012-06-29發(fā)布2012-10-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T28454—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

縮略語……………………

44

背景………………………

55

概述………………………

65

選擇………………………

76

信息安全風(fēng)險評估…………………

7.16

主機或網(wǎng)絡(luò)……………………

7.2IDS7

考慮事項……………

7.37

補充的工具…………………

7.4IDS11

可伸縮性……………

7.514

技術(shù)支持……………

7.614

培訓(xùn)…………………

7.715

部署………………………

815

分階段部署…………………………

8.115

操作………………………

918

調(diào)試……………

9.1IDS18

脆弱性…………………………

9.2IDS18

處理報警……………………

9.3IDS19

響應(yīng)選項……………

9.420

法律方面的考慮事項………………

9.521

附錄資料性附錄入侵檢測系統(tǒng)框架和需考慮的問題…………

A():23

Ⅰ

GB/T28454—2012

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準修改采用信息安全安全技術(shù)入侵檢測系統(tǒng)的選擇部署和操

ISO/IEC18043:2006《、

作除編輯性修改外主要變化如下

》,:

修改附錄和中不符合常用規(guī)范的標準章條編號

a)A.6、A.7A.8;

術(shù)語部分當中的術(shù)語與定義與信息安全技術(shù)術(shù)語

b):ISO/IEC18043GB/T25069—2010《》

表達含義相同但描述略有不同時采納信息安全技術(shù)術(shù)語中的定義

,,GB/T25069—2010《》,

包括攻擊拒絕服務(wù)攻擊非軍事區(qū)入侵路由器交換機特洛伊木馬等

:、、、、、、;

標準結(jié)構(gòu)較原標準文本相比增加了第章規(guī)范性引用文件和第章縮略語

c):,2“”4“”。

標準中增加了當組織對產(chǎn)品有安全等級方面的要求時見

d)7.2“IDS,GB/T20275”。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位山東省標準化研究院山東省計算中心中國電子技術(shù)標準化研究所濟寧市質(zhì)量

:、、、

技術(shù)監(jiān)督信息所

。

本標準主要起草人王曙光董火民曲發(fā)川朱瑞虹周鳴樂李剛王運福許玉娜羅翔周洋

:、、、、、、、、、、

胡鑫磊孫大勇鄭偉林華戴雯

、、、、。

Ⅲ

GB/T28454—2012

引言

有部署入侵檢測系統(tǒng)需求的組織在選擇和部署入侵檢測系統(tǒng)之前不僅宜知道其網(wǎng)絡(luò)系統(tǒng)或者應(yīng)

,、

用的入侵什么時間發(fā)生是否會發(fā)生以及如何發(fā)生也宜知道入侵利用了什么樣的脆弱性以及為了預(yù)

、,,

防類似的入侵未來宜實施什么防護措施和適當?shù)娘L(fēng)險處理手段即風(fēng)險轉(zhuǎn)移風(fēng)險接受風(fēng)險規(guī)避

,(、、)。

組織也宜識別并避免基于計算機的入侵在世紀中期組織開始使用入侵檢測系統(tǒng)來滿足這些需

。20,

求隨著一系列產(chǎn)品的出現(xiàn)的應(yīng)用不斷擴大以滿足組織對先進入侵檢測能力的需求級別

。IDS,IDS,。

為了從得到最大的效益宜由經(jīng)過培訓(xùn)經(jīng)驗豐富的人員謹慎策劃和實施選擇部署和操作

IDS,、、

的過程當過程實現(xiàn)時產(chǎn)品能幫助組織獲得入侵信息并能在整個信息和通信技術(shù)基礎(chǔ)設(shè)施

IDS。,IDS,

中擔(dān)當重要安全設(shè)施的角色

。

本標準提供了有效選擇部署和操作的指南以及的基礎(chǔ)知識同時適用于考慮外包其

、IDS,IDS。

入侵檢測能力的組織外包服務(wù)級別協(xié)議的信息可在基于的服務(wù)管理過程中找到

。GB/T24405IT。

Ⅳ

GB/T28454—2012

信息技術(shù)安全技術(shù)

入侵檢測系統(tǒng)的選擇部署和操作

、

1范圍

本標準給出了幫助組織準備部署的指南特別是詳細說明了的選擇部署和操作同

IDS。,IDS、。

時給出了這些指導(dǎo)方針來源的背景信息

。

注的部署宜定位在網(wǎng)絡(luò)節(jié)點和邊界最多到系統(tǒng)邊界不宜深入到信息系統(tǒng)內(nèi)部或監(jiān)控系統(tǒng)內(nèi)資源

:IDS,,。

本標準的目的是幫助組織

:

滿足的下列要求

a)GB/T22080—2008:

組織應(yīng)實施能提升檢測和響應(yīng)安全事件能力的程序和其他控制措施

●;

組織應(yīng)執(zhí)行監(jiān)視和評審程序和其他控制措施以識別潛在的或已經(jīng)存在的安全漏洞和

●,

事件

。

在實施控制措施方面滿足的下列安全目標

b),GB/T22081—2008:

檢測未授權(quán)的信息處理活動

●;

宜監(jiān)視系統(tǒng)并記錄信息安全事件操作日志和故障日志宜用來確保識別信息系統(tǒng)問題

●;;

組織宜遵守所有用于監(jiān)視和記錄日志活動的相關(guān)法律要求

●;

監(jiān)視系統(tǒng)宜用于檢查所采取控制措施的有效性并驗證訪問控制方針模型的符合性

●,。

組織宜認識到對滿足上述要求來說部署不是唯一的或完善的解決方案此外本標準期望作

,IDS。,

為合格評定的準則例如信息安全管理體系認證服務(wù)或產(chǎn)品認證

,(ISMS)、IDS。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

所有部分信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則所有