GB/T 28454-2020信息技術(shù)安全技術(shù)入侵檢測(cè)和防御系統(tǒng)(IDPS)的選擇、部署和操作

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T28454—2020

代替

GB/T28454—2012

信息技術(shù)安全技術(shù)入侵檢測(cè)和防御系統(tǒng)

IDPS的選擇部署和操作

()、

Informationtechnolo—Securittechniues—Selectiondelomentand

gyyq,py

oerationofintrusiondetectionandreventionsstemsIDPS

ppy()

(ISO/IEC27039:2015,MOD)

2020-04-28發(fā)布2020-11-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T28454—2020

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………4

背景

5………………………5

總則

6………………………6

選擇

7………………………6

簡(jiǎn)介

7.1…………………6

信息安全風(fēng)險(xiǎn)評(píng)估

7.2…………………7

主機(jī)或網(wǎng)絡(luò)

7.3IDPS…………………7

考慮事項(xiàng)

7.4……………7

補(bǔ)充的工具

7.5IDPS…………………12

可伸縮性

7.6……………15

技術(shù)支持

7.7……………15

培訓(xùn)

7.8…………………15

部署

8………………………15

總則

8.1…………………15

分階段部署

8.2…………………………16

部署

8.3NIDPS………………………16

部署

8.4HIDPS………………………18

防護(hù)和保護(hù)信息安全

8.5IDPS………………………18

操作

9………………………19

總則

9.1…………………19

調(diào)優(yōu)

9.2IDPS…………………………19

脆弱性

9.3IDPS………………………19

處理報(bào)警

9.4IDPS……………………20

響應(yīng)選項(xiàng)

9.5……………21

法律方面的考慮事項(xiàng)

9.6………………21

附錄資料性附錄入侵檢測(cè)和防御系統(tǒng)框架及需要考慮的問題

A()(IDPS):………23

參考文獻(xiàn)

……………………38

Ⅰ

GB/T28454—2020

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息技術(shù)安全技術(shù)入侵檢測(cè)系統(tǒng)的選擇部署和操作與

GB/T28454—2012《、》。

相比主要技術(shù)變化如下

GB/T28454—2012,:

修改了入侵檢測(cè)系統(tǒng)為入侵檢測(cè)和防御系統(tǒng)將入侵防御系統(tǒng)納入標(biāo)準(zhǔn)

———IDS(IDPS),IPS

范圍

;

修改了標(biāo)準(zhǔn)范圍增加標(biāo)準(zhǔn)適用對(duì)象見第章年版的第章

———,(1,20121);

修改了部分術(shù)語和定義包括攻擊拒絕服務(wù)攻擊非軍事區(qū)入侵者入侵路由器交

———,“”“”“”“”“”“”“

換機(jī)特洛伊木馬攻擊特征防火墻主機(jī)入侵檢測(cè)系統(tǒng)入侵防御系統(tǒng)在線升級(jí)

”“”“”“”“”“”“”“”

探測(cè)器測(cè)試接入點(diǎn)增加了部分術(shù)語和定義包括分布式拒絕服務(wù)攻擊入侵檢測(cè)和防

“”“”,,“”“

御系統(tǒng)病毒虛擬專用網(wǎng)脆弱性見第章年版的第章

”“”“”“”(3,20123);

增加了部分縮略語包括

———,AIDPS、DMZ、DDoS、DoS、IDPS、I/O、IODEF、HIDPS、SIEM、VPN,

刪除縮略語見第章年版的第章

NIDS、SIM(4,20124);

刪除背景中關(guān)于基礎(chǔ)知識(shí)的介紹見第章年版的第章

———IDPS(5,20125);

因增加入侵防御系統(tǒng)修改當(dāng)組織對(duì)產(chǎn)品有安全等級(jí)方面的要求時(shí)見為

———,“IDS,GB/T20275”

當(dāng)對(duì)產(chǎn)品有安全等級(jí)方面的要求時(shí)見和見

“IDPS,GB/T20275GB/T28451?！?7.3.1,2012

年版的

7.2);

增加云計(jì)算環(huán)境中選擇考慮事項(xiàng)見和云環(huán)境下部署方

———IDPS(7.4.1、7.4.2、7.4.3、7.4.5)IDPS

式多層級(jí)組織中部署方式等見

、IDPS(8.1);

能力的確認(rèn)修改為能力的驗(yàn)證見年版的

———“”“”(7.4.5,20127.3.5);

修改功能增加了事態(tài)關(guān)聯(lián)事態(tài)過濾事態(tài)聚合見年版的

———SIEM,、、(7.5.6,20127.4.6);

刪除響應(yīng)中關(guān)于和介紹的相關(guān)內(nèi)容見

———IDSIPS(9.5.2)。

本標(biāo)準(zhǔn)使用重新起草法修改采用信息技術(shù)安全技術(shù)入侵檢測(cè)和防御系

ISO/IEC27039:2015《

統(tǒng)的選擇部署和操作

(IDPS)、》。

本標(biāo)準(zhǔn)與相比在結(jié)構(gòu)上增加了第章規(guī)范性引用文件和第章縮略

ISO/IEC27039:2015,2“”4“

語將和的內(nèi)容進(jìn)行調(diào)序

”,7.3.17.3.2。

本標(biāo)準(zhǔn)與的技術(shù)性差異及其原因如下

ISO/IEC27039:2015:

增加了第章規(guī)范性引用文件和第章縮略語主要保持與的延

———2“”4“”,GB/T28454—2012

續(xù)性

;

刪除第章背景中關(guān)于基礎(chǔ)知識(shí)的介紹見第章因該內(nèi)容在附錄中有詳細(xì)介紹

———3IDPS(5),A;

增加了當(dāng)對(duì)產(chǎn)品有安全等級(jí)方面的要求時(shí)見和這主要

———“IDPS,GB/T20275GB/T28451”,

是考慮對(duì)產(chǎn)品安全等級(jí)保護(hù)要求見

IDPS(7.3.1);

刪除關(guān)于和的相關(guān)內(nèi)容見因標(biāo)準(zhǔn)將入侵防御系統(tǒng)納入本標(biāo)準(zhǔn)范

———7.5.2IDSIPS(9.5.2),IPS

圍標(biāo)準(zhǔn)對(duì)象界定為入侵檢測(cè)和防御系統(tǒng)故無需再單獨(dú)介紹

,IDPS,;

增加了云計(jì)算環(huán)境中選擇考慮事項(xiàng)見以及云環(huán)境下部

———IDPS(7.4.1、7.4.2、7.4.3、7.4.5)IDPS

署多層級(jí)組織中部署主要是因?yàn)槟壳霸朴?jì)算環(huán)境中部署也需要考慮相關(guān)事項(xiàng)

、IDPS,IDPS,

但國(guó)際標(biāo)準(zhǔn)并未考慮此部分內(nèi)容見

(8.1)。

本標(biāo)準(zhǔn)做了下列編輯性修改

:

刪除的注

———3.8。

Ⅲ

GB/T28454—2020

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位山東省標(biāo)準(zhǔn)化研究院中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心陜西省網(wǎng)絡(luò)與信息安

:、、

全測(cè)評(píng)中心北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司山東崇弘信息技術(shù)有限公司成都秦川物聯(lián)網(wǎng)科技股

、、、

份有限公司

。

本標(biāo)準(zhǔn)主要起草人王曙光王慶升王鳳嬌魏軍公偉張斌來永鈞楊帆楊銳雷曉峰邵澤華

:、、、、、、、、、、、

樊華朱琳高瑞楊向東楊斌權(quán)亞強(qiáng)路征陳慧勤劉勘偽于秀彥胡鑫磊王棟潘海燕李紅勝

、、、、、、、、、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T28454—2012。

Ⅳ

GB/T28454—2020

引言

組織在選擇部署入侵檢測(cè)和防御系統(tǒng)之前不僅需要知道入侵事件針對(duì)網(wǎng)絡(luò)系統(tǒng)或應(yīng)

、(IDPS),(、

用是否發(fā)生何時(shí)發(fā)生以及如何發(fā)生也需要知道入侵事件利用了何種脆弱性為防止類似入侵事件發(fā)

)、,,

生未來需要采取何種防護(hù)措施或風(fēng)險(xiǎn)處置手段即風(fēng)險(xiǎn)緩解風(fēng)險(xiǎn)保留風(fēng)險(xiǎn)規(guī)避風(fēng)險(xiǎn)分擔(dān)組織需

,(、、、)。

識(shí)別并避免基于網(wǎng)絡(luò)的入侵從世紀(jì)年代中期開始組織為了滿足上述需求開始使用入侵檢測(cè)

。2090,

和防御系統(tǒng)隨著產(chǎn)品的不斷發(fā)展其應(yīng)用領(lǐng)域不斷擴(kuò)大滿足了組織對(duì)入侵檢測(cè)和防御

(IDPS)。IDPS,,

能力持續(xù)增長(zhǎng)的需求

。

為了使效益最大化需要由經(jīng)過培訓(xùn)經(jīng)驗(yàn)豐富的人員精心策劃及實(shí)施的選擇部署和

IDPS,、IDPS、

操作過程通過上述過程使成為組織預(yù)防入侵的重要安全工具在組織基礎(chǔ)設(shè)施中作為重

。,IDPS(ICT

要安全設(shè)施幫助組織截獲入侵信息

),。

本標(biāo)準(zhǔn)提供了有效選擇部署和操作的指南以及有關(guān)的基礎(chǔ)知識(shí)同時(shí)本標(biāo)準(zhǔn)還適

、IDPS,IDPS。

用于需要外包其服務(wù)的相關(guān)組織關(guān)于外包服務(wù)級(jí)別協(xié)議的相關(guān)信息參見的

IDPS。ISO/IEC20000

服務(wù)管理過程

IT(ITSM)。

本標(biāo)準(zhǔn)主要用于幫助組織實(shí)現(xiàn)如下目標(biāo)

:

滿足的下列要求

a)GB/T22080:

應(yīng)實(shí)施過程和控制以便能快速檢測(cè)和響應(yīng)安全事件

———;

應(yīng)執(zhí)行監(jiān)視評(píng)審過程以及控制以便識(shí)別企圖的安全危害和既成的安全事件

———、。

實(shí)現(xiàn)控制以滿足的下列安全目標(biāo)

b)GB/T22081:

能夠檢測(cè)未授權(quán)的信息處理活動(dòng)

———;

監(jiān)視系統(tǒng)并記錄信息安全事態(tài)使用操作者日志和默認(rèn)日志以確保能夠識(shí)別信息系統(tǒng)

———,

問題

;

滿足所有適用于監(jiān)視和記錄活動(dòng)的相關(guān)法律要求

———;

將系統(tǒng)監(jiān)視用于檢查已實(shí)施控制的有效性以驗(yàn)證訪問策略模型是否符合需求

———,。

對(duì)滿足上述要求而言部署并非唯一完善的解決方案此外本標(biāo)準(zhǔn)并不作為諸如信息安

,IDPS、。,

全管理體系認(rèn)證服務(wù)或產(chǎn)品認(rèn)證等合格評(píng)定的準(zhǔn)則

(ISMS)、IDPS。

Ⅴ

GB/T28454—2020

信息技術(shù)安全技術(shù)入侵檢測(cè)和防御系統(tǒng)

IDPS的選擇部署和操作

()、

1范圍

本標(biāo)準(zhǔn)給出了組織部署入侵檢測(cè)和防御系統(tǒng)的指南本標(biāo)準(zhǔn)詳細(xì)說明了的選擇部

(IDPS)。IDPS、

署和操作同時(shí)本標(biāo)準(zhǔn)給出了形成這些指南的背景信息

。。

本標(biāo)準(zhǔn)適用于準(zhǔn)備部署入侵檢測(cè)和防御系統(tǒng)的組織

(IDPS)。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

所有部分信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則所有部

GB/T18336()[ISO/IEC15408(

分

)]