ICS 35.040 L 80 GB 中华人民共和国国家标准 GB/T28454-2020 代替GB/T28454-2012 信息技术 安全技术入侵检测和防御系统 (IDPS）的选择、部署和操作 Information technology-Security techniques-Selection, deployment and operation of intrusion detection and prevention systems (IDPS) (ISO/IEC27039:2015,MOD) 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T28454—2020 目 次 前言 引言 范围 2 规范性引用文件 3 术语和定义 缩略语 5 背景 6 总则 选择 7.1 简介 7.2 信息安全风险评估 7.3 主机或网络IDPS 7.4 考虑事项 7.5 补充IDPS的工具 7.6 可伸缩性 15 7.7 技术支持 15 7.8 培训 15 8 部署 15 8.1 总则 15 8.2 分阶段部署· 16 8.3 NIDPS部署 16 8.4 HIDPS部 18 8.5 防护和保护IDPS信息安全 18 9 操作 19 9.1 总则 19 9.2 IDPS调优 19 9.3 IDPS脆弱性 19 9.4 处理IDPS报警 20 9.5 响应选项 21 9.6 法律方面的考虑事项 21 附录A（资料性附录） 入侵检测和防御系统(IDPS)：框架及需要考虑的问题 23 参考文献 38 GB/T284542020 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。 本标准起草单位：山东省标准化研究院、中国网络安全审查技术与认证中心、陕西省网络与信息安 全测评中心、北京天融信网络安全技术有限公司、山东崇弘信息技术有限公司、成都秦川物联网科技股 份有限公司。 本标准主要起草人：王曙光、王庆升、王凤娇、魏军、公伟、张斌、来永钧、杨帆、杨锐、雷晓峰、邵泽华、 樊华、朱琳、高瑞、杨向东、杨斌、权亚强、路征、陈慧勤、刘勘伪、于秀彦、胡鑫磊、王栋、潘海燕、李红胜。 本标准所代替标准的历次版本发布情况为： GB/T28454—2012。 GB/T28454—2020 引言 组织在选择、部署入侵检测和防御系统（IDPS)之前，不仅需要知道入侵事件（针对网络、系统或应 用）是否发生、何时发生以及如何发生，也需要知道入侵事件利用了何种脆弱性，为防正类似入侵事件发 生，未来需要采取何种防护措施或风险处置手段（即风险缓解、风险保留、风险规避、风险分担）。组织需 识别并避免基于网络的入侵。从20世纪90年代中期开始，组织为了满足上述需求开始使用入侵检测 和防御系统（IDPS）。随着IDPS产品的不断发展，其应用领域不断扩大，满足了组织对入侵检测和防御 能力持续增长的需求。 为了使IDPS效益最大化，需要由经过培训、经验丰富的人员精心策划及实施IDPS的选择、部署和 操作过程。通过上述过程，使IDPS成为组织预防入侵的重要安全工具（在组织ICT基础设施中作为重 要安全设施），帮助组织截获入侵信息。 本标准提供了有效选择、部署和操作IDPS的指南，以及有关IDPS的基础知识。同时本标准还适 用于需要外包其IDPS服务的相关组织。关于外包服务级别协议的相关信息参见ISO/IEC20000的 IT服务管理（ITSM)过程。 本标准主要用于帮助组织实现如下目标： a) 满足GB/T22080的下列要求： 一应实施过程和控制以便能快速检测和响应安全事件； 一应执行监视、评审过程以及控制以便识别企图的安全危害和既成的安全事件。 b) 实现控制以满足GB/T22081的下列安全目标： 一能够检测未授权的信息处理活动： 一监视系统并记录信息安全事态，使用操作者日志和默认日志以确保能够识别信息系统 问题； 一满足所有适用于监视和记录活动的相关法律要求； 一将系统监视用于检查已实施控制的有效性，以验证访问策略模型是否符合需求。 对满足上述要求而盲，部署IDPS并非唯、完善的解决方案。此外，本标准并不作为诸如信息安 全管理体系（ISMS)认证、IDPS服务或产品认证等合格评定的准则。 V GB/T28454—2020 引言 组织在选择、部署入侵检测和防御系统（IDPS)之前，不仅需要知道入侵事件（针对网络、系统或应 用）是否发生、何时发生以及如何发生，也需要知道入侵事件利用了何种脆弱性，为防正类似入侵事件发 生，未来需要采取何种防护措施或风险处置手段（即风险缓解、风险保留、风险规避、风险分担）。组织需 识别并避免基于网络的入侵。从20世纪90年代中期开始，组织为了满足上述需求开始使用入侵检测 和防御系统（IDPS）。随着IDPS产品的不断发展，其应用领域不断扩大，满足了组织对入侵检测和防御 能力持续增长的需求。 为了使IDPS效益最大化，需要由经过培训、经验丰富的人员精心策划及实施IDPS的选择、部署和 操作过程。通过上述过程，使IDPS成为组织预防入侵的重要安全工具（在组织ICT基础设施中作为重 要安全设施），帮助组织截获入侵信息。 本标准提供了有效选择、部署和操作IDPS的指南，以及有关IDPS的基础知识。同时本标准还适 用于需要外包其IDPS服务的相关组织。关于外包服务级别协议的相关信息参见ISO/IEC20000的 IT服务管理（ITSM)过程。 本标准主要用于帮助组织实现如下目标： a) 满足GB/T22080的下列要求： 一应实施过程和控制以便能快速检测和响应安全事件； 一应执行监视、评审过程以及控制以便识别企图的安全危害和既成的安全事件。 b) 实现控制以满足GB/T22081的下列安全目标： 一能够检测未授权的信息处理活动： 一监视系统并记录信息安全事态，使用操作者日志和默认日志以确保能够识别信息系统 问题； 一满足所有适用于监视和记录活动的相关法律要求； 一将系统监视用于检查已实施控制的有效性，以验证访问策略模型是否符合需求。 对满足上述要求而盲，部署IDPS并非唯、完善的解决方案。此外，本标准并不作为诸如信息安 全管理体系（ISMS)认证、IDPS服务或产品认证等合格评定的准则。 V GB/T28454—2020 引言 组织在选择、部署入侵检测和防御系统（IDPS)之前，不仅需要知道入侵事件（针对网络、系统或应 用）是否发生、何时发生以及如何发生，也需要知道入侵事件利用了何种脆弱性，为防正类似入侵事件发 生，未来需要采取何种防护措施或风险处置手段（即风险缓解、风险保留、风险规避、风险分担）。组织需 识别并避免基于网络的入侵。从20世纪90年代中期开始，组织为了满足上述需求开始使用入侵检测 和防御系统（IDPS）。随着IDPS产品的不断发展，其应用领域不断扩大，满足了组织对入侵检测和防御 能力持续增长的需求。 为了使IDPS效益最大化，需要由经过培训、经验丰富的人员精心策划及实施IDPS的选择、部署和 操作过程。通过上述过程，使IDPS成为组织预防入侵的重要安全工具（在组织ICT基础设施中作为重 要安全设施），帮助组织截获入侵信息。 本标准提供了有效选择、部署和操作IDPS的指南，以及有关IDPS的基础知识。同时本标准还适 用于需要外包其IDPS服务的相关组织。关于外包服务级别协议的相关信息参见ISO/IEC20000的 IT服务管理（ITSM)过程。 本标准主要用于帮助组织实现如下目标： a) 满足GB/T22080的下列要求： 一应实施过程和控制以便能快速检测和响应安全事件； 一应执行监视、评审过程以及控制以便识别企图的安全危害和既成的安全事件。 b) 实现控制以满足GB/T22081的下列安全目标： 一能够检测未授权的信息处理活动： 一监视系统并记录信息安全事态，使用操作者日志和默认日志以确保能够识别信息系统 问题； 一满足所有适用于监视和记录活动的相关法律要求； 一将系统监视用于检查已实施控制的有效性，以验证访问策略模型是否符合需求。 对满足上述要求而盲，部署IDPS并非唯、完善的解决方案。此外，本标准并不作为诸如信息安 全管理体系（ISMS)认证、IDPS服务或产品认证等合格评定的准则。 V