标准搜索结果: 'GB/T 28454-2020'
标准编号 | GB/T 28454-2020 (GB/T28454-2020) | 中文名称 | 信息技术 安全技术 入侵检测和防御系统(IDPS)的选择、部署和操作 | 英文名称 | Information technology -- Security techniques -- Selection, deployment and operation of intrusion detection and prevention systems (IDPS) | 行业 | 国家标准 (推荐) | 中标分类 | L80 | 国际标准分类 | 35.040 | 字数估计 | 46,451 | 发布日期 | 2020-04-28 | 实施日期 | 2020-11-01 | 起草单位 | 山东省标准化研究院、中国网络安全审查技术与认证中心、陕西省网络与信息安全测评中心、北京天融信网络安全技术有限公司、山东崇弘信息技术有限公司、成都秦川物联网科技股份有限公司 | 归口单位 | 全国信息安全标准化技术委员会(SAC/TC 260) | 提出机构 | 全国信息安全标准化技术委员会(SAC/TC 260) | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 |
GB/T 28454-2020
Information technology--Security techniques--Selection, deployment and operation of intrusion detection and prevention systems(IDPS)
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 28454-2012
信息技术 安全技术 入侵检测和防御系统
(IDPS)的选择、部署和操作
(ISO/IEC 27039:2015,MOD)
2020-04-28发布
2020-11-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅴ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 4
5 背景 5
6 总则 6
7 选择 6
7.1 简介 6
7.2 信息安全风险评估 7
7.3 主机或网络IDPS 7
7.4 考虑事项 7
7.5 补充IDPS的工具 12
7.6 可伸缩性 15
7.7 技术支持 15
7.8 培训 15
8 部署 15
8.1 总则 15
8.2 分阶段部署 16
8.3 NIDPS部署 16
8.4 HIDPS部署 18
8.5 防护和保护IDPS信息安全 18
9 操作 19
9.1 总则 19
9.2 IDPS调优 19
9.3 IDPS脆弱性 19
9.4 处理IDPS报警 20
9.5 响应选项 21
9.6 法律方面的考虑事项 21
附录A(资料性附录) 入侵检测和防御系统(IDPS):框架及需要考虑的问题 23
参考文献 38
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准代替GB/T 28454-2012《信息技术 安全技术 入侵检测系统的选择、部署和操作》。与
GB/T 28454-2012相比,主要技术变化如下:
---修改了入侵检测系统IDS为入侵检测和防御系统(IDPS),将入侵防御系统IPS纳入标准
范围;
---修改了标准范围,增加标准适用对象(见第1章,2012年版的第1章);
---修改了部分术语和定义,包括“攻击”“拒绝服务攻击”“非军事区”“入侵者”“入侵”“路由器”“交
换机”“特洛伊木马”“攻击特征”“防火墙”“主机”“入侵检测系统”“入侵防御系统”“在线升级”
“探测器”“测试接入点”,增加了部分术语和定义,包括“分布式拒绝服务攻击”“入侵检测和防
御系统”“病毒”“虚拟专用网”“脆弱性”(见第3章,2012年版的第3章);
---增加了部分缩略语,包括AIDPS、DMZ、DDoS、DoS、IDPS、I/O、IODEF、HIDPS、SIEM、VPN,
删除缩略语NIDS、SIM(见第4章,2012年版的第4章);
---删除背景中关于IDPS基础知识的介绍(见第5章,2012年版的第5章);
---因增加入侵防御系统,修改“当组织对IDS产品有安全等级方面的要求时,见GB/T 20275”为
“当对IDPS产品有安全等级方面的要求时,见GB/T 20275和GB/T 28451。”(见7.3.1,2012
年版的7.2);
---增加云计算环境中IDPS选择考虑事项(见7.4.1、7.4.2、7.4.3、7.4.5)和云环境下IDPS部署方
式、多层级组织中IDPS部署方式等(见8.1);
---“能力的确认”修改为“能力的验证”(见7.4.5,2012年版的7.3.5);
---修改SIEM功能,增加了事态关联、事态过滤、事态聚合(见7.5.6,2012年版的7.4.6);
---删除响应中关于IDS和IPS介绍的相关内容(见9.5.2)。
本标准使用重新起草法修改采用ISO/IEC 27039:2015《信息技术 安全技术 入侵检测和防御系
统(IDPS)的选择、部署和操作》。
本标准与ISO/IEC 27039:2015相比,在结构上增加了第2章“规范性引用文件”和第4章“缩略
语”,将7.3.1和7.3.2的内容进行调序。
本标准与ISO/IEC 27039:2015的技术性差异及其原因如下:
---增加了第2章“规范性引用文件”和第4章“缩略语”,主要保持与 GB/T 28454-2012的延
续性;
---删除第3章背景中关于IDPS基础知识的介绍(见第5章),因该内容在附录A中有详细介绍;
---增加了“当对IDPS产品有安全等级方面的要求时,见GB/T 20275和GB/T 28451”,这主要
是考虑对IDPS产品安全等级保护要求(见7.3.1);
---删除7.5.2关于IDS和IPS的相关内容(见9.5.2),因标准将入侵防御系统IPS纳入本标准范
围,标准对象界定为入侵检测和防御系统IDPS,故无需再单独介绍;
---增加了云计算环境中IDPS选择考虑事项(见7.4.1、7.4.2、7.4.3、7.4.5)以及云环境下IDPS部
署、多层级组织中IDPS部署,主要是因为目前云计算环境中IDPS部署也需要考虑相关事项,
但国际标准并未考虑此部分内容(见8.1)。
本标准做了下列编辑性修改:
---删除3.8的注。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:山东省标准化研究院、中国网络安全审查技术与认证中心、陕西省网络与信息安
全测评中心、北京天融信网络安全技术有限公司、山东崇弘信息技术有限公司、成都秦川物联网科技股
份有限公司。
本标准主要起草人:王曙光、王庆升、王凤娇、魏军、公伟、张斌、来永钧、杨帆、杨锐、雷晓峰、邵泽华、
樊华、朱琳、高瑞、杨向东、杨斌、权亚强、路征、陈慧勤、刘勘伪、于秀彦、胡鑫磊、王栋、潘海燕、李红胜。
本标准所代替标准的历次版本发布情况为:
---GB/T 28454-2012。
引 言
组织在选择、部署入侵检测和防御系统(IDPS)之前,不仅需要知道入侵事件(针对网络、系统或应
用)是否发生、何时发生以及如何发生,也需要知道入侵事件利用了何种脆弱性,为防止类似入侵事件发
生,未来需要采取何种防护措施或风险处置手段(即风险缓解、风险保留、风险规避、风险分担)。组织需
识别并避免基于网络的入侵。从20世纪90年代中期开始,组织为了满足上述需求开始使用入侵检测
和防御系统(IDPS)。随着IDPS产品的不断发展,其应用领域不断扩大,满足了组织对入侵检测和防御
能力持续增长的需求。
为了使IDPS效益最大化,需要由经过培训、经验丰富的人员精心策划及实施IDPS的选择、部署和
操作过程。通过上述过程,使IDPS成为组织预防入侵的重要安全工具(在组织ICT基础设施中作为重
要安全设施),帮助组织截获入侵信息。
本标准提供了有效选择、部署和操作IDPS的指南,以及有关IDPS的基础知识。同时本标准还适
用于需要外包其IDPS服务的相关组织。关于外包服务级别协议的相关信息参见ISO/IEC 20000的
IT服务管理(ITSM)过程。
本标准主要用于帮助组织实现如下目标:
a) 满足GB/T 22080的下列要求:
---应实施过程和控制以便能快速检测和响应安全事件;
---应执行监视、评审过程以及控制以便识别企图的安全危害和既成的安全事件。
b) 实现控制以满足GB/T 22081的下列安全目标:
---能够检测未授权的信息处理活动;
---监视系统并记录信息安全事态,使用操作者日志和默认日志以确保能够识别信息系统
问题;
---满足所有适用于监视和记录活动的相关法律要求;
---将系统监视用于检查已实施控制的有效性,以验证访问策略模型是否符合需求。
对满足上述要求而言,部署IDPS并非唯一、完善的解决方案。此外,本标准并不作为诸如信息安
全管理体系(ISMS)认证、IDPS服务或产品认证等合格评定的准则。
信息技术 安全技术 入侵检测和防御系统
(IDPS)的选择、部署和操作
1 范围
本标准给出了组织部署入侵检测和防御系统(IDPS)的指南。本标准详细说明了IDPS的选择、部
署和操作。同时本标准给出了形成这些指南的背景信息。
本标准适用于准备部署入侵检测和防御系统(IDPS)的组织。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336(所有部分) 信息技术 安全技术 信息技术安全评估准则[ISO/IEC 15408(所有部
分)]
GB/T 20275 信息安全技术 网络入侵检测系统技术要求和测试评价方法
GB/T 20985.1-2017 信息技术 安全技术 信息安全事件管理 第1部分:事件管理原理
(ISO/IEC 27035-1:2006,IDT)
GB/T 25068.2 信息技术 安全技术 IT网络安全 第2部分:网络安全体系结构(ISO/IEC 18028-2:
2006,IDT)
GB/T 28451 信息安全技术 网络型入侵防御产品技术要求和测试评价方法
GB/T 29246-2017 信息技术 安全技术 信息安全管理体系 概述和词汇(ISO/IEC 27000:
2016,IDT)
3 术语和定义
GB/T 29246-2017界定的以及下列术语和定义适用于本文件。
3.1
攻击 attack
企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为。
[GB/T 29246-2017,定义2.3]
3.2
攻击特征 attacksignature
执行某种攻击的计算机活动系列或其变体,通常通过检查网络流量或主机日志加以确定,IDPS也
依其来发现已经发生的攻击。
注:这也可称为一个攻击模式。
3.3
证明 attestation
公钥加密而产生的变量,可使IDPS软件程序和设备鉴别其远程方的身份。
注:见3.23远程证明。
3.4
网桥 bridge
将位于OSI2层的局域网连接到采用相同协议的另一局域网的网络设备。
3.5
分配给一个文件并在后期用来测试这个文件的数学值,以验证包含在文件中的数据没有被恶意
更改。
3.6
拒绝服务攻击 denial-of-serviceattack;DoS
未授权访问系统资源或者延迟系统操作和功能。
3.7
分布式拒绝服务攻击 distributeddenial-of-serviceattack;DDoS
通过洪水攻击带宽或目标系统的资源,破坏多个系统的方式来未授权访问系统资源或者延迟系统
操作和功能,导致授权用户失去可用性。
3.8
非军事区 demilitarizedzone;DMZ
位于边界路由器和外部防火墙之间的逻辑或者物理网络空间。
3.9
已明确定义的利用脆弱性破坏信息系统安全的一种方式。
3.10
防火墙 firewal
设置在网络环境之间的一类屏障。
注:它可以是一台专用设备,也可以是若干部件和技术的组合。网络环境间所有通信都要流经防火墙,只允许按照
本地安全策略定义的、已授权的通信通过。
3.11
误报 falsepositive
没有攻击时IDPS有报警的情况。
3.12
漏报 falsenegative
攻击发生时IDPS没有报警的情况。
3.13
蜜罐 honeypot
用来欺骗、扰乱和引开攻击者的诱饵系统,促使攻击者把时间花在某些信息上,这些信息看起来有
价值,实际上是虚假的,对合法用户没有任何价值。
3.14
主机 host
基于TCP/IP协议网络(如Internet),可设定地址的系统或计算机。
3.15
入侵者 intruder
针对目标主机、站点、网络或组织,正在或已经进行入侵或攻击的个体。
3.16
入侵 intrusion
对某一网络或联网系统的未授权访问,即对某一信息系统的有意或无意的未授权访问,包括针对信
息系统的恶意活动或者信息系统内资源的未授权使用。
3.17
入侵检测 intrusiondetection
检测入侵的正式过程。该过程一般特征为采集如下知识:反常的使用模式、被利用的脆弱性及其类
型、利用的方式,以及何时发生和如何发生。
3.18
在信息系统和网络中,一种用于辨识某些已经尝试、正在发生或已经发生的入侵行为,并可对其做
出响应的技术系统。
3.19
特别设计用来提供主动响应能力的入侵检测系统的变体。
3.20
为了防范恶意活动而监视系统的入侵检测系统IDS和入侵防御系统IPS的软件应用或设备,IDS
仅能对发现的这些活动予以报警,而IPS则有能力阻止某些检测到的入侵。
注:如果需要防范攻击,IPS将主动部署在网络中。如果部署在被动模式下,它将不能提供上述功能,其有效功能仅
能像常规IDS那样提供报警。
3.21
渗透 penetration
绕过系统安全机制、未经授权的行为。
3.22
在线升级 provisioning
为信息技术(IT)设备安装正确软件、执行安全策略及加载配置数据的过程。
3.23
远程证明 remoteattestation
使用数字证书来确保IDPS的身份及其软件和硬件配置,并安全地将信息传输到可信操作中心的
过程。
3.24
响应 response
当攻击或入侵发生时,为了保护和恢复信息系统正常运行的条件以及存储在其中的信息而采取的
行动。
3.25
路由器 router
通过基于路由协议机制和算法选择路径或路由,建立和控制不同网络之间数据流的网络设备。
注1:其自身可基于不同的网络协议。
注2:路由信息存储在路由表内。
3.26
服务器 server
为其他计算机提供服务的计算机系统或程序。
3.27
规定技术支持或业务性能目标的合同,包括服务提供方提供给其客户的性能以及对失败结果的
测量。
3.28
传感器 sensor
从被观察的信息系统或网络中,通过感知、监测等收集事态数据的一种IDPS部件或代理。
注:也称为监视器。
3.29
子网 subnet
在某一网络中,共享某一公共地址成分的部分。
3.30
交换机 switch
在联网的设备之间,一种借助内部交换机制来提供连通性的设备。其交换技术通常在OSI参考模
型的2层或3层实现。
注:交换机不同于其他局域网互联设备(例如,集线器),原因是交换机中使用的技术是以点对点为基础建立连接。
确保了网络通信量只对有地址的网络设备可见,并使几个连接能够并存。
3.31
测试接入点 testaccesspoints;TAP
典型的被动设备,不会在网络信息包中加装任何负载;当它们使数据收集接口在网络中不可见时,
也能提高安全级别,在这里交换机仍然可保持端口的2层信息。
注:TAP也给出了多端口的功能,这样在不丧失IDPS能力的情况下,可以调试网络问题。
3.32
特洛伊木马 Trojanhorse
一种伪装成良性应用软件的恶意程序。
3.33
病毒 virus
一种带有不良意图的恶意软件,可直接或间接地对用户和(或)用户系统造成潜在伤害。
3.34
利用物理网络的系统资源而构建的限制性使用的逻辑计算机网络,例如,使用加密技术和/或虚拟
网络的隧道链接来跨越真实网络。
[GB/T 25068.3-2010,定义3.23]
3.35
脆弱性 vulnerability
可能被一个或多个威胁利用的资产或控制的弱点。
[GB/T 29246-2017,定义2.89]
4 缩略语
下列缩略语适用于本文件。
AIDPS:基于应用的IDPS(Application-basedIDPS)
DMZ:非军事区(DemilitarizedZone)
DoS:拒绝服务(DenialofService)
I/O:输入/输出(Input/Output)
IP:网际协议(InternetProtocol)
HIDPS:基于主机的IDPS(Host-basedIDPS)
HIPS:基于主机的IPS(Host-basedIPS)
MAC:媒体访问控制(MediaAccessControl)
NIPS:基于网络的IPS(Network-basedIPS......
|