GB/T 28454-2020 信息技术 安全技术 入侵检测和防御系统(IDPS)的选择、部署和操作

ICS35.040

L80

中华人民共和国国家标准

/—

GBT284542020

代替/—

GBT284542012

信息技术安全技术入侵检测和防御系统

()、

IDPS的选择部署和操作

——,

InformationtechnoloSecurittechniuesSelectiondelomentand

gyyqpy

()

oerationofintrusiondetectionandreventionsstemsIDPS

ppy

(/:,)

ISOIEC270392015MOD

2020-04-28发布

国家市场监督管理总局

发布

国家标准化管理委员会

/—

GBT284542020

目次

前言…………………………Ⅲ

引言…………………………Ⅴ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4缩略语……………………4

5背景………………………5

6总则………………………6

7选择………………………6

7.1简介…………………6

7.2信息安全风险评估…………………7

7.3主机或网络IDPS…………………7

7.4考虑事项……………7

7.5补充IDPS的工具…………………12

7.6可伸缩性……………15

7.7技术支持……………15

7.8培训…………………15

8部署………………………15

8.1总则…………………15

8.2分阶段部署…………………………16

8.3NIDPS部署………………………16

8.4HIDPS部署………………………18

8.5防护和保护IDPS信息安全………………………18

9操作………………………19

9.1总则…………………19

9.2IDPS调优…………………………19

9.3IDPS脆弱性………………………19

9.4处理IDPS报警……………………20

9.5响应选项……………21

9.6法律方面的考虑事项………………21

()():………

附录资料性附录入侵检测和防御系统框架及需要考虑的问题

AIDPS23

参考文献……………………38

Ⅰ

/—

GBT284542020

前言

本标准按照/—给出的规则起草。

GBT1.12009

/—《、》。

本标准代替信息技术安全技术入侵检测系统的选择部署和操作与

GBT284542012

/—,:

GBT284542012相比主要技术变化如下

———(),

修改了入侵检测系统IDS为入侵检测和防御系统IDPS将入侵防御系统IPS纳入标准

范围;

———,(,);

修改了标准范围增加标准适用对象见第章年版的第章

120121

———,“”“”“”“”“”“”“

修改了部分术语和定义包括攻击拒绝服务攻击非军事区入侵者入侵路由器交

”“”“”“”“”“”“”“”

换机特洛伊木马攻击特征防火墙主机入侵检测系统入侵防御系统在线升级

“”“”,,“”“

探测器测试接入点增加了部分术语和定义包括分布式拒绝服务攻击入侵检测和防

”“”“”“”(,);

御系统病毒虚拟专用网脆弱性见第章年版的第章

320123

———,、、、、、/、、、、,

增加了部分缩略语包括AIDPSDMZDDoSDoSIDPSIOIODEFHIDPSSIEMVPN

、(,);

删除缩略语见第章年版的第章

NIDSSIM420124

———(,);

删除背景中关于基础知识的介绍见第章年版的第章

IDPS520125

———,“,/”

因增加入侵防御系统修改当组织对IDS产品有安全等级方面的要求时见GBT20275为

“,//。”(,

当对产品有安全等级方面的要求时见和见

IDPSGBT20275GBT284517.3.12012

年版的7.2);

———(、、、)

增加云计算环境中IDPS选择考虑事项见..5和云环境下IDPS部署方

、();

式多层级组织中IDPS部署方式等见8.1

———“”“”(,);

能力的确认修改为能力的验证见7.4.52012年版的7.3.5

———,、、(,);

修改SIEM功能增加了事态关联事态过滤事态聚合见7.5.62012年版的7.4.6

———()。

删除响应中关于和介绍的相关内容见

IDSIPS9.5.2

本标准使用重新起草法修改采用/:《信息技术安全技术入侵检测和防御系

ISOIEC270392015

()、》。

统IDPS的选择部署和操作

/:,“”“

本标准与相比在结构上增加了第章规范性引用文件和第章缩略

ISOIEC27039201524

”,。

语将和的内容进行调序

7.3.17.3.2

本标准与/:的技术性差异及其原因如下:

ISOIEC270392015

———“”“”,/—

增加了第章规范性引用文件和第章缩略语主要保持与的延

24GBT284542012

续性;

———(),;

删除第章背景中关于基础知识的介绍见第章因该内容在附录中有详细介绍

3IDPS5A

———“,//”,

增加了当对产品有安全等级方面的要求时见和这主要

IDPSGBT20275GBT28451

();

是考虑对IDPS产品安全等级保护要求见7.3.1

———(),

删除关于和的相关内容见因标准将入侵防御系统纳入本标准范

7.5.2IDSIPS9.5.2IPS

,,;

围标准对象界定为入侵检测和防御系统IDPS故无需再单独介绍

———(、、、)

增加了云计算环境中IDPS选择考虑事项见..5以及云环境下IDPS部

、,,

署多层级组织中IDPS部署主要是因为目前云计算环境中IDPS部署也需要考虑相关事项

()。

但国际标准并未考虑此部分内容见8.1

本标准做了下列编辑性修改:

———删除3.8的注。

Ⅲ

/—

GBT284542020

Ⅳ

/—

GBT284542020

引言

、(),(、

组织在选择部署入侵检测和防御系统IDPS之前不仅需要知道入侵事件针对网络系统或应

)、,,

用是否发生何时发生以及如何发生也需要知道入侵事件利用了何种脆弱性为防止类似入侵事件发

,(、、、)。

生未来需要采取何种防护措施或风险处置手段即风险缓解风险保留风险规避风险分担组织需

。,

识别并避免基于网络的入侵从世纪年代中期开始组织为了满足上述需求开始使用入侵检测

2090

()。,,

和防御系统IDPS随着IDPS产品的不断发展其应用领域不断扩大满足了组织对入侵检测和防御

能力持续增长的需求。

,、、

为了使IDPS效益最大化需要由经过培训经验丰富的人员精心策划及实施IDPS的选择部署和

。,(

操作过程通过上述过程使IDPS成为组织预防入侵的重要安全工具在组织ICT基础设施中作为重

),。

要安全设施帮助组织截获入侵信息

、,。

本标准提供了有效选择部署和操作IDPS的指南以及有关IDPS的基础知识同时本标准还适

。/

用于需要外包其IDPS服务的相关组织关于外包服务级别协议的相关信息参见ISOIEC20000的

()。

IT服务管理ITSM过程

本标准主要用于帮助组织实现如下目标:

)满足/的下列要求:

aGBT22080

———应实施过程和控制以便能快速检测和响应安全事件;

———、。

应执行监视评审过程以及控制以便识别企图的安全危害和既成的安全事件

)实现控制以满足/的下列安全目标:

bGBT22081

———能够检测未授权的信息处理活动;

———,

监视系统并记录信息安全事态使用操作者日志和默认日志以确保能够识别信息系统

问题;

———满足所有适用于监视和记录活动的相关法律要求;

———,。

将系统监视用于检查已实施控制的有效性以验证访问策略模型是否符合需求

,、。,

对满足上述要求而言部署IDPS并非唯一完善的解决方案此外本标准并不作为诸如信息安

()、。

全管理体系ISMS认证IDPS服务或产品认证等合格评定的准则

Ⅴ

/—

GBT284542020

信息技术安全技术入侵检测和防御系统

()、

IDPS的选择部署和操作

1范围

()。、

本标准给出了组织部署入侵检测和防御系统IDPS的指南本标准详细说明了IDPS的选择部

。。

署和操作同时本标准给出了形成这些指南的背景信息

本标准适用于准备部署入侵检测和防御系统()的组织。

IDPS

2规范性引用文件

。,

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,()。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

/()[/(

所有部分信息技术安全技术信息技术安全评估准则所有部

GBT18336ISOIEC15408

分)]

/信息安全技术网络入侵检测系统技术要求和测试评价方法

GBT20275

/—:

信息技术安全技术信息安全事件管理第部分事件管理原理

GBT20985.120171

(/:,)

ISOIEC27035-12006IDT

/:(/:

信息技术安全技术网络安全第部分网络安全体系结构

GBT25068.2IT2ISOIEC18028-2

,)

2006IDT

/信息安全技术网络型入侵防御产品技术要求和测试评价方法

GBT28451

/—信息技术安全技术信息安全管理体系概述和词汇(/:

GBT292462017ISOIEC27000

,)

2016IDT

3术语和定义

/—界定的以及下列术语和定义适用于本文件。

GBT292462017

3.1

攻击attack

、、、、、。

企图破坏泄露篡改损伤窃取未授权访问或未授权使用资产的行为

[/—,]

GBT292462017定义2.3

3.2

攻击特征attacksinature

g

,,

执行某种攻击的计算机活动系列或其变体通常通过检查网络流量或主机日志加以确定IDPS也

依其来发现已经发生的攻击。

:。

注这也可称为一个攻击模式

3.3

证明attestation

,。

公钥加密而产生的变量可使IDPS软件程序和设备鉴别其远程方的身份

:。

注见3.23远程证明

1

/—

GBT284542020

3.4

网桥bride

g

将位于OSI2层的局域网连接到采用相同协议的另一局域网的网络设备。

3.5

密码散列值crtorahichashvalue

ypgp

,

分配给一个文件并在后期用来测试这个文件的数学值以验证包含在文件中的数据没有被恶意

更改。

3.6

拒绝服务攻击;

denial-of-serviceattackDoS

未授权访问系统资源或者延迟系统操作和功能。

3.7

分布式拒绝服务攻击;

distributeddenial-of-serviceattackDDoS

,

通过洪水攻击带宽或目标系统的资源破坏多个系统的方式来未授权访问系统资源或者延迟系统

,。

操作和功能导致授权用户失去可用性

3.8

非军事区;

demilitarizedzoneDMZ

位于边界路由器和外部防火墙之间的逻辑或者物理网络空间。

3.9

()()

脆弱性利用vulnerabilitexloit

yp

已明确定义的利用脆弱性破坏信息系统安全的一种方式。

3.10

防火墙firewall

设置在网络环境之间的一类屏障。

:,。,

注它可以是一台专用设备也可以是若干部件和技术的组合网络环境间所有通信都要流经防火墙只允许按照

、。

本地安全策略定义的已授权的通信通过

3.11

误报falseositive

p

没有攻击时IDPS有报警的情况。

3.12

漏报falseneative

g

攻击发生时IDPS没有报警的情况。

3.13

蜜罐honeot

yp

、,,

用来欺骗扰乱和引开攻击者的诱饵系统促使攻击者把时间花在某些信息上这些信息看起来有

,,。

价值实际上是虚假的对合法用户没有任何价值

3.14

主机host

/(),。

基于TCPIP协议网络如Internet可设定地址的系统或计算机

3.15

入侵者intruder

、、,。

针对目标主机站点网络或组织正在或已经进行入侵或攻击的个体

3.16

入侵intrusion

,,

对某一网络或联网系统的未授权访问即对某一信息系统的有意或无意的未授权访问包括针对信

2

/—

GBT284542020

息系统的恶意活动或者信息系统内资源的未授权使用。

3.17

入侵检测intrusiondetection

。:、

检测入侵的正式过程该过程一般特征为采集如下知识反常的使用模式被利用的脆弱性及其类

、,。

型利用的方式以及何时发生和如何发生

3.18

入侵检测系统;

intrusiondetectionsstemIDS

y

,、,

在信息系统和网络中一种用于辨识某些已经尝试正在发生或已经发生的入侵行为并可对其做

出响应的技术系统。

3.19

入侵防御系统;

intrusionreventionsstemIPS

py

特别设计用来提供主动响应能力的入侵检测系统的变体。

3.20

入侵检测和防御系统;

intrusiondetectionandreventionsstemIDPS

py

为了防范恶意活动而监视系统的入侵检测系统和入侵防御系统的软件应用或设备,

IDSIPSIDS

,。

仅能对发现的这些活动予以报警而IPS则有能力阻止某些检测到的入侵

:,。,,

注如果需要防范攻击IPS将主动部署在网络中如果部署在被动模式下它将不能提供上述功能其有效功能仅

能像常规IDS那样提供报警。

3.21

渗透enetration

p

、。

绕过系统安全机制未经授权的行为

3.22

在线升级rovisionin

pg

()、。

为信息技术IT设备安装正确软件执行安全策略及加载配置数据的过程

3.23

远程证明remoteattestation

,

使用数字证书来确保IDPS的身份及其软件和硬件配置并安全地将信息传输到可信操作中心的

过程。

3.24

响应resonse

p

事件响应或入侵响应incidentresonseorintrusionresonse

pp

,

当攻击或入侵发生时为了保护和恢复信息系统正常运行的条件以及存储在其中的信息而采取的

行动。

3.25

路由器router

,。

通过基于路由协议机制和算法选择路径或路由建立和控制不同网络之间数据流的网络设备

:。

注其自身可基于不同的网络协议

1

:。

注路由信息存储在路由表内

2

3.26

服务器server

为其他计算机提供服务的计算机系统或程序。

3.27

服务级别协议;

servicelevelareementSLA

g

,

规定技术支持或业务性能目标的合同包括服务提供方提供给其客户的性能以及对失败结果的

3

/—

GBT284542020

测量。

3.28

传感器sensor

,、。

从被观察的信息系统或网络中通过感知监测等收集事态数据的一种IDPS部件或代理

:。

注也称为监视器

3.29

子网subnet

,。

在某一网络中共享某一公共地址成分的部分

3.30

交换机switch

,。

在联网的设备之间一种借助内部交换机制来提供连通性的设备其交换技术通常在OSI参考模

型的层或层实现。

23

:(,),。

注交换机不同于其他局域网互联设备例如集线器原因是交换机中使用的技术是以点对点为基础建立连接

,。

确保了网络通信量只对有地址的网络设备可见并使几个连接能够并存

3.31

测试接入点;

testaccessointsTAP

p

,;,

典型的被动设备不会在网络信息包中加装任何负载当它们使数据收集接口在网络中不可见时

,。

也能提高安全级别在这里交换机仍然可保持端口的层信息

2

:,,。

注TAP也给出了多端口的功能这样在不丧失IDPS能力的情况下可以调试网络问题

3.32

特洛伊木马Troanhorse

j

一种伪装成良性应用软件的恶意程序。

3.33

病毒virus

,()。

一种带有不良意图的恶意软件可直接或间接地对用户和或用户系统造成潜在伤害

3.34

虚拟专用网;

virtualrivatenetworkVPN

p

,,/

利用物理网络的系统资源而构建的限制性使用的逻辑计算机网络例如使用加密技术和或虚拟

网络的隧道链接来跨越真实网络。

[/—,]

GBT25068.32010定义3.23

3.35

脆弱性vulnerabilit

y

可能被一个或多个威胁利用的资产或控制的弱点。

[/—,]

GBT292462017定义2.89

4缩略语

下列缩略语适用于本文件。

:()

AIDPS基于应用的IDPSAlication-basedIDPS

pp

:()

API应用程序编程接口AlicationProramminInterface

ppgg

:()

ARP地址解析协议AddressResolutionProtocol

:()

CGI通用网关接口CommonGatewaInterface

y

:()

CPU中央处理器CentralProcessinUnit

g

4

/—

GBT284542020

:()

DMZ非军事区DemilitarizedZone

:()

DNS域名系统DomainNameSstem

y

:()

DDoS分布式拒绝服务DistributedDenialofService

:()

DoS拒绝服务DenialofService

:()

ICMP网际控制报文协议InternetControlMessaeProtocol