ICS35040

L80.

中華人民共和國國家標準

GB/T28454—2020

代替

GB/T28454—2012

信息技術安全技術入侵檢測和防御系統

IDPS的選擇部署和操作

()、

Informationtechnolo—Securittechniues—Selectiondelomentand

gyyq,py

oerationofintrusiondetectionandreventionsstemsIDPS

ppy()

(ISO/IEC27039:2015,MOD)

2020-04-28發布2020-11-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T28454—2020

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………4

背景

5………………………5

總則

6………………………6

選擇

7………………………6

簡介

7.1…………………6

信息安全風險評估

7.2…………………7

主機或網絡

7.3IDPS…………………7

考慮事項

7.4……………7

補充的工具

7.5IDPS…………………12

可伸縮性

7.6……………15

技術支持

7.7……………15

培訓

7.8…………………15

部署

8………………………15

總則

8.1…………………15

分階段部署

8.2…………………………16

部署

8.3NIDPS………………………16

部署

8.4HIDPS………………………18

防護和保護信息安全

8.5IDPS………………………18

操作

9………………………19

總則

9.1…………………19

調優

9.2IDPS…………………………19

脆弱性

9.3IDPS………………………19

處理報警

9.4IDPS……………………20

響應選項

9.5……………21

法律方面的考慮事項

9.6………………21

附錄資料性附錄入侵檢測和防御系統框架及需要考慮的問題

A()(IDPS):………23

參考文獻

……………………38

Ⅰ

GB/T28454—2020

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準代替信息技術安全技術入侵檢測系統的選擇部署和操作與

GB/T28454—2012《、》。

相比主要技術變化如下

GB/T28454—2012,:

修改了入侵檢測系統為入侵檢測和防御系統將入侵防御系統納入標準

———IDS(IDPS),IPS

范圍

;

修改了標準范圍增加標準適用對象見第章年版的第章

———,(1,20121);

修改了部分術語和定義包括攻擊拒絕服務攻擊非軍事區入侵者入侵路由器交

———,“”“”“”“”“”“”“

換機特洛伊木馬攻擊特征防火墻主機入侵檢測系統入侵防御系統在線升級

”“”“”“”“”“”“”“”

探測器測試接入點增加了部分術語和定義包括分布式拒絕服務攻擊入侵檢測和防

“”“”,,“”“

御系統病毒虛擬專用網脆弱性見第章年版的第章

”“”“”“”(3,20123);

增加了部分縮略語包括

———,AIDPS、DMZ、DDoS、DoS、IDPS、I/O、IODEF、HIDPS、SIEM、VPN,

刪除縮略語見第章年版的第章

NIDS、SIM(4,20124);

刪除背景中關于基礎知識的介紹見第章年版的第章

———IDPS(5,20125);

因增加入侵防御系統修改當組織對產品有安全等級方面的要求時見為

———,“IDS,GB/T20275”

當對產品有安全等級方面的要求時見和見

“IDPS,GB/T20275GB/T28451。”(7.3.1,2012

年版的

7.2);

增加云計算環境中選擇考慮事項見和云環境下部署方

———IDPS(7.4.1、7.4.2、7.4.3、7.4.5)IDPS

式多層級組織中部署方式等見

、IDPS(8.1);

能力的確認修改為能力的驗證見年版的

———“”“”(7.4.5,20127.3.5);

修改功能增加了事態關聯事態過濾事態聚合見年版的

———SIEM,、、(7.5.6,20127.4.6);

刪除響應中關于和介紹的相關內容見

———IDSIPS(9.5.2)。

本標準使用重新起草法修改采用信息技術安全技術入侵檢測和防御系

ISO/IEC27039:2015《

統的選擇部署和操作

(IDPS)、》。

本標準與相比在結構上增加了第章規范性引用文件和第章縮略

ISO/IEC27039:2015,2“”4“

語將和的內容進行調序

”,7.3.17.3.2。

本標準與的技術性差異及其原因如下

ISO/IEC27039:2015:

增加了第章規范性引用文件和第章縮略語主要保持與的延

———2“”4“”,GB/T28454—2012

續性

;

刪除第章背景中關于基礎知識的介紹見第章因該內容在附錄中有詳細介紹

———3IDPS(5),A;

增加了當對產品有安全等級方面的要求時見和這主要

———“IDPS,GB/T20275GB/T28451”,

是考慮對產品安全等級保護要求見

IDPS(7.3.1);

刪除關于和的相關內容見因標準將入侵防御系統納入本標準范

———7.5.2IDSIPS(9.5.2),IPS

圍標準對象界定為入侵檢測和防御系統故無需再單獨介紹

,IDPS,;

增加了云計算環境中選擇考慮事項見以及云環境下部

———IDPS(7.4.1、7.4.2、7.4.3、7.4.5)IDPS

署多層級組織中部署主要是因為目前云計算環境中部署也需要考慮相關事項

、IDPS,IDPS,

但國際標準并未考慮此部分內容見

(8.1)。

本標準做了下列編輯性修改

:

刪除的注

———3.8。

Ⅲ

GB/T28454—2020

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位山東省標準化研究院中國網絡安全審查技術與認證中心陜西省網絡與信息安

:、、

全測評中心北京天融信網絡安全技術有限公司山東崇弘信息技術有限公司成都秦川物聯網科技股

、、、

份有限公司

。

本標準主要起草人王曙光王慶升王鳳嬌魏軍公偉張斌來永鈞楊帆楊銳雷曉峰邵澤華

:、、、、、、、、、、、

樊華朱琳高瑞楊向東楊斌權亞強路征陳慧勤劉勘偽于秀彥胡鑫磊王棟潘海燕李紅勝

、、、、、、、、、、、、、。

本標準所代替標準的歷次版本發布情況為

:

———GB/T28454—2012。

Ⅳ

GB/T28454—2020

引言

組織在選擇部署入侵檢測和防御系統之前不僅需要知道入侵事件針對網絡系統或應

、(IDPS),(、

用是否發生何時發生以及如何發生也需要知道入侵事件利用了何種脆弱性為防止類似入侵事件發

)、,,

生未來需要采取何種防護措施或風險處置手段即風險緩解風險保留風險規避風險分擔組織需

,(、、、)。

識別并避免基于網絡的入侵從世紀年代中期開始組織為了滿足上述需求開始使用入侵檢測

。2090,

和防御系統隨著產品的不斷發展其應用領域不斷擴大滿足了組織對入侵檢測和防御

(IDPS)。IDPS,,

能力持續增長的需求

。

為了使效益最大化需要由經過培訓經驗豐富的人員精心策劃及實施的選擇部署和

IDPS,、IDPS、

操作過程通過上述過程使成為組織預防入侵的重要安全工具在組織基礎設施中作為重

。,IDPS(ICT

要安全設施幫助組織截獲入侵信息

),。

本標準提供了有效選擇部署和操作的指南以及有關的基礎知識同時本標準還適

、IDPS,IDPS。

用于需要外包其服務的相關組織關于外包服務級別協議的相關信息參見的

IDPS。ISO/IEC20000

服務管理過程

IT(ITSM)。

本標準主要用于幫助組織實現如下目標

:

滿足的下列要求

a)GB/T22080:

應實施過程和控制以便能快速檢測和響應安全事件

———;

應執行監視評審過程以及控制以便識別企圖的安全危害和既成的安全事件

———、。

實現控制以滿足的下列安全目標

b)GB/T22081:

能夠檢測未授權的信息處理活動

———;

監視系統并記錄信息安全事態使用操作者日志和默認日志以確保能夠識別信息系統

———,

問題

;

滿足所有適用于監視和記錄活動的相關法律要求

———;

將系統監視用于檢查已實施控制的有效性以驗證訪問策略模型是否符合需求

———,。

對滿足上述要求而言部署并非唯一完善的解決方案此外本標準并不作為諸如信息安

,IDPS、。,

全管理體系認證服務或產品認證等合格評定的準則

(ISMS)、IDPS。

Ⅴ

GB/T28454—2020

信息技術安全技術入侵檢測和防御系統

IDPS的選擇部署和操作

()、

1范圍

本標準給出了組織部署入侵檢測和防御系統的指南本標準詳細說明了的選擇部

(IDPS)。IDPS、

署和操作同時本標準給出了形成這些指南的背景信息

。。

本標準適用于準備部署入侵檢測和防御系統的組織

(IDPS)。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

所有部分信息技術安全技術信息技術安全評估準則所有部

GB/T18336()[ISO/IEC15408(

分

)]