GB/T 28454-2012信息技術(shù)安全技術(shù)入侵檢測(cè)系統(tǒng)的選擇、部署和操作

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T28454—2012

信息技術(shù)安全技術(shù)

入侵檢測(cè)系統(tǒng)的選擇部署和操作

、

Informationtechnology—Securitytechniques—

Selectiondelomentandoerationsofintrusiondetectionsstems

,pypy

(ISO/IEC18043:2006,MOD)

2012-06-29發(fā)布2012-10-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T28454—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語(yǔ)和定義………………

31

縮略語(yǔ)……………………

44

背景………………………

55

概述………………………

65

選擇………………………

76

信息安全風(fēng)險(xiǎn)評(píng)估…………………

7.16

主機(jī)或網(wǎng)絡(luò)……………………

7.2IDS7

考慮事項(xiàng)……………

7.37

補(bǔ)充的工具…………………

7.4IDS11

可伸縮性……………

7.514

技術(shù)支持……………

7.614

培訓(xùn)…………………

7.715

部署………………………

815

分階段部署…………………………

8.115

操作………………………

918

調(diào)試……………

9.1IDS18

脆弱性…………………………

9.2IDS18

處理報(bào)警……………………

9.3IDS19

響應(yīng)選項(xiàng)……………

9.420

法律方面的考慮事項(xiàng)………………

9.521

附錄資料性附錄入侵檢測(cè)系統(tǒng)框架和需考慮的問(wèn)題…………

A():23

Ⅰ

GB/T28454—2012

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)修改采用信息安全安全技術(shù)入侵檢測(cè)系統(tǒng)的選擇部署和操

ISO/IEC18043:2006《、

作除編輯性修改外主要變化如下

》,:

修改附錄和中不符合常用規(guī)范的標(biāo)準(zhǔn)章條編號(hào)

a)A.6、A.7A.8;

術(shù)語(yǔ)部分當(dāng)中的術(shù)語(yǔ)與定義與信息安全技術(shù)術(shù)語(yǔ)

b):ISO/IEC18043GB/T25069—2010《》

表達(dá)含義相同但描述略有不同時(shí)采納信息安全技術(shù)術(shù)語(yǔ)中的定義

,,GB/T25069—2010《》,

包括攻擊拒絕服務(wù)攻擊非軍事區(qū)入侵路由器交換機(jī)特洛伊木馬等

:、、、、、、;

標(biāo)準(zhǔn)結(jié)構(gòu)較原標(biāo)準(zhǔn)文本相比增加了第章規(guī)范性引用文件和第章縮略語(yǔ)

c):,2“”4“”。

標(biāo)準(zhǔn)中增加了當(dāng)組織對(duì)產(chǎn)品有安全等級(jí)方面的要求時(shí)見(jiàn)

d)7.2“IDS,GB/T20275”。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位山東省標(biāo)準(zhǔn)化研究院山東省計(jì)算中心中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所濟(jì)寧市質(zhì)量

:、、、

技術(shù)監(jiān)督信息所

。

本標(biāo)準(zhǔn)主要起草人王曙光董火民曲發(fā)川朱瑞虹周鳴樂(lè)李剛王運(yùn)福許玉娜羅翔周洋

:、、、、、、、、、、

胡鑫磊孫大勇鄭偉林華戴雯

、、、、。

Ⅲ

GB/T28454—2012

引言

有部署入侵檢測(cè)系統(tǒng)需求的組織在選擇和部署入侵檢測(cè)系統(tǒng)之前不僅宜知道其網(wǎng)絡(luò)系統(tǒng)或者應(yīng)

,、

用的入侵什么時(shí)間發(fā)生是否會(huì)發(fā)生以及如何發(fā)生也宜知道入侵利用了什么樣的脆弱性以及為了預(yù)

、,,

防類似的入侵未來(lái)宜實(shí)施什么防護(hù)措施和適當(dāng)?shù)娘L(fēng)險(xiǎn)處理手段即風(fēng)險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)規(guī)避

,(、、)。

組織也宜識(shí)別并避免基于計(jì)算機(jī)的入侵在世紀(jì)中期組織開(kāi)始使用入侵檢測(cè)系統(tǒng)來(lái)滿足這些需

。20,

求隨著一系列產(chǎn)品的出現(xiàn)的應(yīng)用不斷擴(kuò)大以滿足組織對(duì)先進(jìn)入侵檢測(cè)能力的需求級(jí)別

。IDS,IDS,。

為了從得到最大的效益宜由經(jīng)過(guò)培訓(xùn)經(jīng)驗(yàn)豐富的人員謹(jǐn)慎策劃和實(shí)施選擇部署和操作

IDS,、、

的過(guò)程當(dāng)過(guò)程實(shí)現(xiàn)時(shí)產(chǎn)品能幫助組織獲得入侵信息并能在整個(gè)信息和通信技術(shù)基礎(chǔ)設(shè)施

IDS。,IDS,

中擔(dān)當(dāng)重要安全設(shè)施的角色

。

本標(biāo)準(zhǔn)提供了有效選擇部署和操作的指南以及的基礎(chǔ)知識(shí)同時(shí)適用于考慮外包其

、IDS,IDS。

入侵檢測(cè)能力的組織外包服務(wù)級(jí)別協(xié)議的信息可在基于的服務(wù)管理過(guò)程中找到

。GB/T24405IT。

Ⅳ

GB/T28454—2012

信息技術(shù)安全技術(shù)

入侵檢測(cè)系統(tǒng)的選擇部署和操作

、

1范圍

本標(biāo)準(zhǔn)給出了幫助組織準(zhǔn)備部署的指南特別是詳細(xì)說(shuō)明了的選擇部署和操作同

IDS。,IDS、。

時(shí)給出了這些指導(dǎo)方針來(lái)源的背景信息

。

注的部署宜定位在網(wǎng)絡(luò)節(jié)點(diǎn)和邊界最多到系統(tǒng)邊界不宜深入到信息系統(tǒng)內(nèi)部或監(jiān)控系統(tǒng)內(nèi)資源

:IDS,,。

本標(biāo)準(zhǔn)的目的是幫助組織

:

滿足的下列要求

a)GB/T22080—2008:

組織應(yīng)實(shí)施能提升檢測(cè)和響應(yīng)安全事件能力的程序和其他控制措施

●;

組織應(yīng)執(zhí)行監(jiān)視和評(píng)審程序和其他控制措施以識(shí)別潛在的或已經(jīng)存在的安全漏洞和

●,

事件

。

在實(shí)施控制措施方面滿足的下列安全目標(biāo)

b),GB/T22081—2008:

檢測(cè)未授權(quán)的信息處理活動(dòng)

●;

宜監(jiān)視系統(tǒng)并記錄信息安全事件操作日志和故障日志宜用來(lái)確保識(shí)別信息系統(tǒng)問(wèn)題

●;;

組織宜遵守所有用于監(jiān)視和記錄日志活動(dòng)的相關(guān)法律要求

●;

監(jiān)視系統(tǒng)宜用于檢查所采取控制措施的有效性并驗(yàn)證訪問(wèn)控制方針模型的符合性

●,。

組織宜認(rèn)識(shí)到對(duì)滿足上述要求來(lái)說(shuō)部署不是唯一的或完善的解決方案此外本標(biāo)準(zhǔn)期望作

,IDS。,

為合格評(píng)定的準(zhǔn)則例如信息安全管理體系認(rèn)證服務(wù)或產(chǎn)品認(rèn)證

,(ISMS)、IDS。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

所有部分信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則所有