信息技術(shù) 安全技術(shù) 入侵檢測(cè)和防御系統(tǒng)（IDPS）的選擇、部署和操作-編制說明

一、工作簡(jiǎn)況根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)“關(guān)于下達(dá)2017年第四批國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃的通知（國(guó)標(biāo)委綜合〔2017〕128號(hào)）”的安排，由山東省標(biāo)準(zhǔn)化研究院負(fù)責(zé)修訂《信息技術(shù)安全技術(shù)入侵檢測(cè)和防御系統(tǒng)（IDPS）的選擇、部署和操作》國(guó)家標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）提出并歸口，該標(biāo)準(zhǔn)計(jì)劃號(hào)為：20173850-T-469。本標(biāo)準(zhǔn)主要起草單位包括：山東省標(biāo)準(zhǔn)化研究院、中國(guó)信息安全認(rèn)證中心、陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司等。本標(biāo)準(zhǔn)主要起草人：。主要工作過程如下：1、2016年3月-2017年3月，跟蹤信息安全國(guó)際標(biāo)準(zhǔn)ISO/IEC27039:2015相關(guān)標(biāo)準(zhǔn)編制情況，了解標(biāo)準(zhǔn)主要內(nèi)容；2、2016年10月，參加全國(guó)信安標(biāo)委成都2016年第二次會(huì)議周，參與對(duì)GB/T28454-2012標(biāo)準(zhǔn)復(fù)審討論，決定對(duì)GB/T28454-2012進(jìn)行修訂；3、2017年3月-2017年4月，形成標(biāo)準(zhǔn)草案第一稿，參加全國(guó)信安標(biāo)委武漢2017年第一次會(huì)議周，會(huì)上匯報(bào)標(biāo)準(zhǔn)相關(guān)情況，參與標(biāo)準(zhǔn)修訂立項(xiàng)匯報(bào)；4、2017年7月14日，全國(guó)信安標(biāo)委正式下達(dá)了國(guó)家標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)入侵檢測(cè)和防御系統(tǒng)（IDPS）的選擇、部署和操作》修訂任務(wù)。5、2017年8月，由項(xiàng)目牽頭單位和參與單位共同組成的標(biāo)準(zhǔn)編制組正式成立并啟動(dòng)工作。6、2017年4月至2017年9月，標(biāo)準(zhǔn)編制組內(nèi)部修改完善標(biāo)準(zhǔn)，并繼續(xù)跟蹤和研究ISMS標(biāo)準(zhǔn)族的其他相關(guān)標(biāo)準(zhǔn)。7、2017年9月，形成國(guó)家標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)入侵檢測(cè)和防御系統(tǒng)（IDPS）的選擇、部署和操作》修訂草案第二稿及編制說明。8、2017年9月27日，在北京召開《信息技術(shù)安全技術(shù)入侵檢測(cè)和防御系統(tǒng)（IDPS）的選擇、部署和操作》修訂標(biāo)準(zhǔn)草案第二稿專家征求意見會(huì)，與會(huì)專家對(duì)標(biāo)準(zhǔn)提出了意見，并給出了下一步標(biāo)準(zhǔn)改進(jìn)方向；9、2017年10月，標(biāo)準(zhǔn)編制組根據(jù)專家意見對(duì)標(biāo)準(zhǔn)進(jìn)行了修改完善，形成了《信息技術(shù)安全技術(shù)入侵檢測(cè)和防御系統(tǒng)（IDPS）的選擇、部署和操作》修訂標(biāo)準(zhǔn)草案第三稿，并更新了標(biāo)準(zhǔn)編制說明和標(biāo)準(zhǔn)編制意見匯總表；10、2017年10月，參加全國(guó)信安標(biāo)委在廈門舉辦的2017年第二次工作組會(huì)議周，會(huì)上匯報(bào)標(biāo)準(zhǔn)相關(guān)情況，并征集相關(guān)專家意見，會(huì)議通過工作組決議，本標(biāo)準(zhǔn)進(jìn)入征求意見稿；11、2017年10月-11月，針對(duì)全國(guó)信安標(biāo)委2017年第二次會(huì)議周專家意見，對(duì)標(biāo)準(zhǔn)進(jìn)行修改完善，形成標(biāo)準(zhǔn)征求意見第一稿，并更新了標(biāo)準(zhǔn)編制說明和標(biāo)準(zhǔn)編制意見匯總表，將形成的征求意見稿提交全國(guó)信安標(biāo)委秘書處，進(jìn)行公開征求意見工作。12、2017年12月-2018年1月，秘書處面向部分專家對(duì)標(biāo)準(zhǔn)進(jìn)行審查，編制組對(duì)標(biāo)準(zhǔn)進(jìn)行修改完善，形成形成標(biāo)準(zhǔn)征求意見第二稿，并更新了標(biāo)準(zhǔn)編制說明和標(biāo)準(zhǔn)編制意見匯總表，將形成的征求意見稿提交全國(guó)信安標(biāo)委秘書處；13、2017年12月29日，國(guó)標(biāo)委正式下達(dá)關(guān)于下達(dá)2017年第四批國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃的通知（國(guó)標(biāo)委綜合〔2017〕128號(hào)），本標(biāo)準(zhǔn)正式立項(xiàng)，計(jì)劃號(hào)為：20173850-T-469。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題本標(biāo)準(zhǔn)深入研究入侵檢測(cè)和防御系統(tǒng)的選擇、部署和操作，修改采用國(guó)際標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù)入侵檢測(cè)和防御系統(tǒng)（IDPS）的選擇、部署和操作》（ISO/IEC27039），制定《信息技術(shù)安全技術(shù)入侵檢測(cè)和防御系統(tǒng)（IDPS）的選擇、部署和操作》國(guó)家標(biāo)準(zhǔn)，通過為信息安全控制提供指南從而進(jìn)一步完善我國(guó)信息安全管理標(biāo)準(zhǔn)體系。標(biāo)準(zhǔn)編制原則如下：a）修改采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27039:2015《信息技術(shù)安全技術(shù)入侵檢測(cè)和防御系統(tǒng)（IDPS）的選擇、部署和操作》。理由如下：——舊版標(biāo)準(zhǔn)GB/T28454-2012采用修改采用ISO/IEC18043:2006,ISO/IEC18043:2006修訂后為ISO/IEC27039:2015，——國(guó)際標(biāo)準(zhǔn)未考慮入侵檢測(cè)和防御系統(tǒng)相關(guān)產(chǎn)品安全等級(jí)方面內(nèi)容，需考慮到我國(guó)產(chǎn)品安全等級(jí)保護(hù)相關(guān)要求；因此決定修改采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27039：2015《信息技術(shù)安全技術(shù)入侵檢測(cè)和防御系統(tǒng)（IDPS）的選擇、部署和操作》，來對(duì)GB/T28454-2012進(jìn)行修訂。修改采用國(guó)際標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)與ISO/IEC27039:2015的主要差異及其原因如下：（1）編輯性修改——題目勘誤，將“operations”修改為“operation”（見英文題目）；——用“本標(biāo)準(zhǔn)”代替“本國(guó)際標(biāo)準(zhǔn)”；——?jiǎng)h除國(guó)際標(biāo)準(zhǔn)中的前言；——對(duì)于國(guó)際標(biāo)準(zhǔn)注日期規(guī)范性應(yīng)用的國(guó)際文件ISO/IEC27010:2012和ISO/IEC18028-3:2005，用等同采用這些文件的我國(guó)標(biāo)準(zhǔn)GB/T32920-2016和GB/T25068.3-2010代替；——標(biāo)準(zhǔn)結(jié)構(gòu)：因引用國(guó)際標(biāo)準(zhǔn)中沒有的新標(biāo)準(zhǔn)，同時(shí)標(biāo)準(zhǔn)中縮略語較多，增加了第2章“規(guī)范性引用文件”和第4章“縮略語”；——編輯性錯(cuò)誤，將5.3.3在信任邊界之間（Betweentrustboundaries）改為在關(guān)鍵子網(wǎng)上（oncriticalsubnets），以與圖2、6.3.2、6.3.3、6.3.4和6.3.5保持一致；——編輯性錯(cuò)誤，7.5.2中IDPS改為IDS；——編輯性錯(cuò)誤，將A.3.4.3.3中，“參見A.3.3.1.2”修改為“參見A.3.4.2.3”；——“對(duì)于單一IDPS來說攻擊可能變成誤報(bào)”修改為“對(duì)于單一IDPS來說攻擊可能變成漏報(bào)”（見7.5.6）；（2）技術(shù)性差異——修改“來自蜜罐的數(shù)據(jù)可認(rèn)為是一種誘捕技術(shù)的形式，因此在某些司法管轄區(qū)域內(nèi)不承認(rèn)其數(shù)據(jù)的合法性（Datafrom‘honeypots’maybeconsideredasaformofanentrapmenttechniqueandthereforeruledinadmissibleinsomejurisdiction）為“來自蜜罐的數(shù)據(jù)可認(rèn)為是一種誘捕技術(shù)的形式，因此需確定其數(shù)據(jù)的合法性?！?，使其符合我國(guó)國(guó)情（見7.5.4節(jié)）；——5.4.8節(jié)；刪除“當(dāng)?shù)毓茌爡^(qū)域的（ofthelocaljurisdictions）”；——標(biāo)準(zhǔn)7.3.1節(jié)中增加了“當(dāng)組織對(duì)IDPS產(chǎn)品有安全等級(jí)方面的要求時(shí),見GB/T20275和GB/T28451”，主要考慮對(duì)IDPS產(chǎn)品安全等級(jí)保護(hù)要求；——7.6.2節(jié)，刪除“在許多當(dāng)?shù)氐墓茌爡^(qū)域內(nèi)（inmanylocaljurisdictions）”；——7.6.4節(jié)，刪除“管轄區(qū)域內(nèi)（jurisdictions）”；——增加了資料性附錄B。b）重新起草法：按照GB/T20000.1-2009要求，修改采用國(guó)際標(biāo)準(zhǔn)采用重新起草法，在國(guó)際標(biāo)準(zhǔn)基礎(chǔ)上重新編寫國(guó)家標(biāo)準(zhǔn)。標(biāo)準(zhǔn)主要內(nèi)容如下：本標(biāo)準(zhǔn)給出了幫助組織準(zhǔn)備部署入侵檢測(cè)和防御系統(tǒng)（IDPS）的指南。特別地，本標(biāo)準(zhǔn)詳細(xì)說明了IDPS的選擇、部署和操作。同時(shí)本標(biāo)準(zhǔn)給出了得到這些指南的背景信息。本標(biāo)準(zhǔn)與GB/T28454-2012的主要變化包括：1）結(jié)構(gòu)變化將原標(biāo)準(zhǔn)懸置段修改為獨(dú)立章節(jié)（見7.1、7.3.1、7.4.7.1、7.4.9.1、7.5.1、8.1、8.3.1、9.1、9.4.1、9.5.1、9.6.1、A.2.1、A.3.1、A.3.4.2.1、A.3.4.3.1、A.3.4.5.1、A.4.1、A.6.2.1、A.6.2.1、A.7.1、）。2）技術(shù)變化修改入侵檢測(cè)系統(tǒng)IDS為入侵檢測(cè)和防御系統(tǒng)IDPS，將入侵防御系統(tǒng)IPS納入標(biāo)準(zhǔn)范圍；修改標(biāo)準(zhǔn)范圍，修改2012年版標(biāo)準(zhǔn)范圍中“本標(biāo)準(zhǔn)的目的”和范圍最后1段，將修改后“本標(biāo)準(zhǔn)的目的”和范圍最后1段內(nèi)容放到引言第4段和第5段（見引言）；修改規(guī)范性引用文件，按照標(biāo)準(zhǔn)內(nèi)容引用編寫引用文件（見2）；術(shù)語部分：根據(jù)國(guó)際標(biāo)準(zhǔn)變化，修改了術(shù)語“防火墻”的定義（見3.10）、“入侵防御系統(tǒng)”的定義（見3.19）、“在線升級(jí)”的定義（見3.22）、“探測(cè)器”的術(shù)語和定義（見3.28）、“測(cè)試接入點(diǎn)”的定義（見3.31），增加了“分布式拒絕服務(wù)攻擊”的術(shù)語和定義（見3.7）、“入侵檢測(cè)和防御系統(tǒng)”的術(shù)語和定義（見3.20）、“病毒”的術(shù)語和定義（見3.33），并沿用GB/T28454-2012術(shù)語編制思路，采納GB/T25069-2010中的定義，增加了“虛擬專用網(wǎng)”的術(shù)語和定義（見3.34）、“脆弱性”的術(shù)語和定義（見3.35）；增加了縮略語AIDPS、DMZ、DDoS、DoS、IDPS、I/O、IODEF、HIDPS、SIEM、VPN，刪除縮略語NIDS、SIM（見4）；增加了2種不同類型IDPS（NIDPS和HIDPS）的特征以及行為分析方法（見5）；修改了“圖1IDPS的選擇、部署和操作”（見6）；刪除了HIDPS和NIDPS的數(shù)據(jù)源和發(fā)現(xiàn)異常過程的描述（見7.3.2和7.3.3，2012年版的7.2.1和7.2.2）；將IDPS選擇考慮事項(xiàng)中“安全”修改為“安全保護(hù)機(jī)制”（見7.4.2）；增加了了IDPS選擇考慮事項(xiàng)中，IDPS安全策略方面1條需回答的問題（見7.4.3）；增加了了IDPS選擇考慮事項(xiàng)中，性能方面1條需回答的問題（見7.4.4）；“能力的確認(rèn)”修改為“能力驗(yàn)證”（見7.4.5，2012年版的7.3.5）；刪除和修改了IDPS選擇考慮事項(xiàng)中，能力驗(yàn)證方面需回答的問題（見7.4.5）；“在線升級(jí)”修改為“在線配置”（見7.4.9.3，2012年版的7.3.9.2）；修改“來自蜜罐的數(shù)據(jù)可認(rèn)為是一種誘捕技術(shù)的形式，因此在一些司法管轄區(qū)域內(nèi)不承認(rèn)其數(shù)據(jù)的合法性”為“來自蜜罐的數(shù)據(jù)可認(rèn)為是一種誘捕技術(shù)的形式，因此需確定其數(shù)據(jù)的合法性?！保?.5.4）；“安全信息管理工具SIM”修改為“安全信息事態(tài)管理工具SIEM”（見7.5.6）；修改SIEM功能，增加了事態(tài)關(guān)聯(lián)、事態(tài)過濾、事態(tài)聚合（見7.5.6）；增加了脆弱性評(píng)估工具1條優(yōu)點(diǎn)（見7.5.8）；刪除了“HIDS和NIDS可一前一后部署，選擇這樣一種IDS監(jiān)視方法時(shí)，組織宜分階段實(shí)施”（見8.2）；修改了圖2典型NIDPS位置（見8.3.1）；增加了“另外，特別是在高速網(wǎng)絡(luò)環(huán)境中，需觀察到丟棄的IP數(shù)據(jù)包的級(jí)別，因?yàn)閿?shù)據(jù)包的丟包率過高會(huì)嚴(yán)重增加模式不匹配的數(shù)量，從而導(dǎo)致誤報(bào)甚至漏報(bào)的增加。為確保有效性，可能需要一種可提供較高捕獲率的合適網(wǎng)絡(luò)接口卡或者減少數(shù)據(jù)丟包率的相似技術(shù)的補(bǔ)救措施?！保ˋdditionally,especiallyinhighspeednetworkenvironments,thelevelofdroppedIPpacketsneedstobeobservedashighleveldropratescanseverelyincreasetheamountofpatternmismatching,resultinginincreasedfalsepositivesorevenfalsenegatives.Asaremedyappropriatenetworkinterfacecardsofferinghighercaptureratesorsimilartechnologiesmitigatingpacketdropmayberequiredtoinsureeffectiveness.）（8.3.1）增加了防護(hù)和保護(hù)IDPS信息安全的1條控制和日志存儲(chǔ)的指南（見8.5）；增加了“如前所述，SIEM技術(shù)的運(yùn)用可能在優(yōu)先排序和減輕IDPS報(bào)警方面具有重大價(jià)值，例如，將脆弱性評(píng)估數(shù)據(jù)和系統(tǒng)補(bǔ)丁級(jí)別與IDPS報(bào)警配置進(jìn)行比較。在這種情況下，網(wǎng)絡(luò)發(fā)現(xiàn)工具和流量分析器的使用可進(jìn)一步提高價(jià)值，并允許進(jìn)一步調(diào)整報(bào)警規(guī)則?！保ˋsoutlinedpreviously,theuseofSIEMtechnologymaybeofgreatvalueinprioritizingandmitigatingIDPSalerts,e.g.comparisonofvulnerabilityassessmentdataandsystempatchlevelswithIDPSalertconfiguration.Inthiscontexttheuseofnetworkdiscoverytoolsandtrafficanalysermayaddfurthervalueandallowforfurthertuningofalertrules.）（見9.2）；因增加入侵防御系統(tǒng)，修改“當(dāng)組織對(duì)IDS產(chǎn)品有安全登記方面的要求時(shí)，見GB/T20275”為“當(dāng)組織對(duì)IDPS產(chǎn)品有安全等級(jí)方面的要求時(shí),見GB/T20275和GB/T28451。”（見9.3.1）；overview“綜述”修改為“概述”（見9.6.1）；forensics“司法取證”修改為“取證”（見9.6.4）；genericmodelofintrusiondetection“入侵檢測(cè)過程的一般模型”修改為“入侵檢測(cè)過程通用模型”（見A.3）；profile“輪廓文件”修改為“配置文件”（見A.3和A.4）修改了IDPS分類，給出三種類型IDPS及解釋（見A.4.1）；修改了IDPS的管理（見A.6）；增加了“數(shù)據(jù)宜按照策略存儲(chǔ)一段時(shí)間，然后安全銷毀以保護(hù)所有相關(guān)方的隱私。這段時(shí)間給了取證和法律強(qiáng)制執(zhí)行大量的時(shí)間進(jìn)行調(diào)查，并且在將來可能遭受未授權(quán)訪問的系統(tǒng)中，不會(huì)留下不再需要的敏感數(shù)據(jù)?！保═hedatashouldbestoredforacertainperiodoftimeinaccordancewithpolicy,andthensecurelydestroyedtoprotecttheprivacyofallpartiesinvolved.Thisamountoftimegivestheforensicandlawenforcementplentyoftimetodotheinvestigationanddoesnotleavesensitivedatathatisnolongerneededonasystemthatcouldbesubjecttounauthorizedaccessinthefuture）（見A.8.1）；增加了數(shù)據(jù)共享相關(guān)國(guó)際標(biāo)準(zhǔn)情況（見A.8.2）。三、主要試驗(yàn)[或驗(yàn)證]情況分析無。四、知識(shí)產(chǎn)權(quán)情況說明本部分不涉及專利和知識(shí)產(chǎn)權(quán)。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果本標(biāo)準(zhǔn)組織信息化中應(yīng)用已經(jīng)初具規(guī)模，本標(biāo)準(zhǔn)推廣應(yīng)用將有三方面重要作用：1、本標(biāo)準(zhǔn)主要用于支撐信息安全管理體系：組織滿足GB/T22080-2016下列要求：組織應(yīng)實(shí)施過程和其他控制以能快速檢測(cè)和響應(yīng)安全事件；組織應(yīng)執(zhí)行監(jiān)視和評(píng)審過程以及其他控制以恰當(dāng)識(shí)別企圖的和成功的安全危害和事件。組織實(shí)施控制以滿足GB/T22081-2016的下列安全目標(biāo)：檢測(cè)未授權(quán)的信息處理活動(dòng)；宜監(jiān)視系統(tǒng)，宜記錄信息安全事態(tài)。宜使用操作者日志和默認(rèn)日志以確保信息系統(tǒng)問題被識(shí)別；組織應(yīng)符合所有相關(guān)的適用于監(jiān)視和記錄活動(dòng)的法律要求；系統(tǒng)監(jiān)視宜被用于檢查已實(shí)施控制的有效性，驗(yàn)證訪問策略模型的符合性。2、隨著政府、銀行、證券及ISP等在內(nèi)的許多企業(yè)單位以及公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的的信息化建設(shè)不斷推進(jìn)，大量政府、銀行、證券及ISP等在內(nèi)的許多企業(yè)單位及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位都構(gòu)建了自己的數(shù)據(jù)中心，同時(shí)各地也在推動(dòng)數(shù)據(jù)中心集約化建設(shè)，所有這些數(shù)據(jù)中心IT系統(tǒng)建設(shè)及升級(jí)過程中，都需要部署入侵檢測(cè)和防御系統(tǒng)，及時(shí)檢測(cè)和預(yù)防網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序受到入侵，同時(shí)確認(rèn)被利用的安全隱患并采取相關(guān)措施預(yù)防同樣的入侵再次發(fā)生。本標(biāo)準(zhǔn)為企業(yè)、事業(yè)單位、政府部門及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位有效選擇、部署和操作入侵檢測(cè)和防御系統(tǒng)提供了指南，對(duì)當(dāng)今市場(chǎng)商業(yè)化的IDPS產(chǎn)品和服務(wù)至關(guān)重要。3、本標(biāo)準(zhǔn)在信息安全等級(jí)保護(hù)等方面對(duì)等級(jí)保護(hù)標(biāo)準(zhǔn)中信息安全入侵檢測(cè)和防御相關(guān)內(nèi)容也形成一定支撐作用。六、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況本標(biāo)準(zhǔn)修改采用國(guó)際標(biāo)準(zhǔn)ISO/IEC27039:2015《信息技術(shù)安全技術(shù)入侵檢測(cè)和防御系統(tǒng)（IDPS）的選擇、部署和操作》。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性截至目前，尚未發(fā)現(xiàn)本部分與我國(guó)有關(guān)的現(xiàn)行法律、法規(guī)和相關(guān)強(qiáng)制性標(biāo)準(zhǔn)相沖突。本標(biāo)準(zhǔn)屬于信息安全管理體系標(biāo)準(zhǔn)族標(biāo)準(zhǔn)之一，主要為入侵檢測(cè)和防御系統(tǒng)（IDPS）的選擇、部署和操作提供指南。目前，在信息安全管理體系方面，我國(guó)已發(fā)布信息安全管理體系相關(guān)標(biāo)準(zhǔn)包括GB/T22080-2016《信