标准规范下载简介

GB／T 28454-2020 信息技术 安全技术 入侵检测和防御系统(IDPS)的选择、部署和操作.pdf简介：

GB/T 28454-2020《信息技术 安全技术 入侵检测和防御系统（IDPS）的选择、部署和操作》是一部由中国国家标准管理机构制定并发布的标准。该标准主要关注于信息系统安全领域，针对入侵检测和防御系统（IDPS）的使用提供了指导。

标准的目标是为IDPS的用户、供应商和管理人员提供一套详细的指南，包括如何选择适合组织需求的IDPS产品，如何正确、高效地进行部署，并确保其在运行过程中的有效操作和管理。内容可能涵盖IDPS的功能特性评估、系统选型原则、部署流程、系统集成、日常运维、性能监控、安全策略的制定和执行、以及应对安全事件的响应措施等方面。

该标准对于保障网络安全，提高组织对网络威胁的防护能力具有重要意义，有助于确保企业在数字化转型中的信息安全。它提供了一个标准化的操作框架，使得IDPS的应用和管理更具规范性和可操作性。

GB／T 28454-2020 信息技术 安全技术 入侵检测和防御系统(IDPS)的选择、部署和操作.pdf部分内容预览：

优点： 监视大量的网络流量，因此更易发现攻击； 在拒绝服务攻击对关键子网造成破坏之前，可阻止这些攻击： 在安全边界内部，检测授权用户的未授权活动。 缺点： 捕获和存储敏感或机密数据的风险： IDPS需要处理大量数据； 检测不到不通过骨干网络的攻击： 识别不到子网上主机对主机的攻击

B.3.5位于关键子网上的NIDPS

优点： 一监视针对关键系统、服务和资源的攻击： 一允许将有限的资源集中到最有价值的网络资产上。 缺点： 子网间相互关联的安全事态问题： 如果未通过专用网络传输报警，IDPS流量会增加关键子网的网络负载； 如果配置不当.IDPS可能捕获和存

2021一级建造师重点笔记《水利水电工程管理与实务》8.4 HIDPS 部署

HIDPS操作部署之前，操作人员需熟悉其特性和功能。HIDPS能否发挥作用，主要取决于操作人 员依据网络拓扑、脆弱性以及相关细节等内容区分真假报警的能力（随着时间推移，操作人员操作经验 不断增加，从而可识别IDPS相关正常活动）。同时，鉴于HIDPS监视的不持续性，需建立检查HIDPS 输出的时间表。HIDPS的操作模式需降低HIDPS造受攻击时的损害。 HIDPS全面部署需从关键服务器开始（由于每台主机上IDPS都需安装和配置，故在组织内所有主 机上安装HIDPS既贵又耗时。因此组织首先在关键服务器上安装HIDPS)。这降低了整体部署成 本，并使得缺乏经验人员将精力集中在最重要资产产生的报警上。当这一部分HIDPS操作常规化后， 基于成本、时间、信息安全风险评估结果等，可在更多主机上安装HIDPS。此时，需部署具备集中管理 和报告功能的HIDPS，从而降低对HIDPS报警予以管理的复杂度。同时，HIDPS大量部署时，也可考 虑向安全服务供应商外包其HIDPS操作和维护。

8.5防护和保护IDPS信息安全

GB/T284542020

对存储的IDPS数据进行加密： 适当配置数据库，如使用访问控制机制； 包括备份程序在内的数据库维护技术； 一对运行IDPS数据库的系统进行充分加固以抵抗渗透； 一连接IDPS到以太网集线器或者交换机的嗅探（只接收）电缆： 实现单独的IDPS管理网络线路。 一定期对IDPS和连接系统进行脆弱性评估和渗透测试。 日志需存储在独立的日志主机上，而非本地计算机上。需避免未授权修改或删除IDPS日志、配 置、攻击特征和IDPS传感器及收集器之间交换的信息。 因IDPS日志中包含敏感或隐私相关信息，因此在IDPS日志存储和传输中需加以保护。同时，负 责分析信息（主要来自IDPS传感器或收集器）的相关人员也需要注意保护这些信息

9.3IDPS 脆弱性

为防止攻击者在了解已知脆弱性情况下，尝试利用IDPS已知的脆弱性（如以不安全方式安装启 PS传感器、发送未加密的日志文件、有限的访问控制、缺乏对日志文件的完整性检查等），使IDPS 能力或提供错误信息，需以安全的方式安装启用IDPS传感器和控制台，并处理好IDPS的潜在

9.4处理IDPS报警

IDPS通常会产生大量报警，需要对其全面分析，以区分其中有价值的报警和无价值的报警。报警 言息主要包含检测到的攻击的简明摘要，主要包括： 一检测到攻击的时间或日期； 检测到攻击的传感器IP地址： 供应商特定的攻击名称； 一标准的攻击名称（如果存在）： 一源和目的IP地址； 一源和目的端口号： 一攻击利用的网络协议。 此外，一些IDPS提供了所利用攻击方法的通用详细信息，其允许操作人员评估攻击的严重程度 主要包含： 攻击的描述： 攻击的严重性等级； 由攻击造成的损失类型； 攻击利用的脆弱性类型； 易受到攻击的软件的类型列表及版本号列表： 相关补丁列表； 可公开通报的参考信息内含攻击或脆弱性的详细信息

安全服务供应商除了提供IDPS产品外，还提供IDPS托管服务，包括提供咨询服务及提供运行中 心管理服务。许多组织选择将一些支持类服务（如安全服务）托管给服务供应商，从而不必培训和保留 具备专业技能的人员。当组织将其IDPS服务托管给安全服务商时，需确定经济上是否可行，以及安全 服务商在保持机密性的同时是否提供适当的支持。与IDPS安全服务供应商合作需注意如下内容： 提供何种保密协议； 一IDPS监视人员具备的资格； 一监督人员具备的资格； 一服务提供商和组织内部安全人员之间的联络和沟通安排； 一供应商是否可以提供紧急响应服务，以补充组织的能力； 供应商是否提供取证调查服务； 供应商是否提供服务级别协议（SLA）； 一哪些报告可供选择，它们是否能根据组织的需求定制：

GB/T284542020

IDPS支持范围广泛的响应，其可分为主动响应，

主动响应（具有主动响应功能的入侵检测系统IDS也称为入侵防御系统IPS)包括检测到攻击时 IDPS自动采取的行动，其进一步分为： 收集可疑攻击的附加信息； 变更系统环境，以阻止攻击： 在报警整之后不需人为参与，会采取预防措施，主动拒绝通信和（或）终正通信会话

被动响应向操作人员或者预先指定的位置提供信息，然后IDPS操作人员根据所提供信息来采取 后续行动。被动响应有如下形式： 一报警和通知，通常以屏幕提示、弹出窗口、寻呼机信息或手机信息的形式： 一配置SNMP陷阱，以响应中央管理控制台

9.6法律方面的考虑事项

系统收集的信息可能包含敏感资料、个人信息或刑事调查证据，因而需负责任地保存或处理并行

相关法律法规的要求。同时，需要确保员工意识到这方面的职责。本条主要给出了IDPS相关的法律 方面考虑事项。

IDPS操作过程中需要收集个人 公权和适用的法律法规。 组织需要制定、实施策略，以确保IDPS的

■其他法律和方针的考成

IDPS的实施和操作还需要符合其他的法律法规的要求以及部署IDPS组织的方针要求等。实施 和操作IDPS时，需要评审和处理法律、法规和组织方针要求。法律和法规方面的其他问题在 GB/T20985.1一2017中进步讨论。

IDPS日志可用手取证。组织需理解相 储和处理IDPS日志实施相美控制 以确保这些信息能用于取证，同时还 息以用于取证和提供证据

A.1入侵检测和防御的介绍

GB/T284542020

附录A （资料性附录】

入侵检测和防御系统（IDPS）框架及需要考虑的问题

尽管信息系统的脆弱性易被无意或有意的利用、受到入侵和攻击，但是由于业务的需求，组织仍然 会使用信息系统并将其连接到因特网和其他网络上。因而需要保护这些信息系统。 随着技术的不断发展，获取信息的便利性也在不断提高，新的脆弱性也随之出现。与此同时，利用 这些脆弱性的攻击也在不断发展。人侵者也在不断提高入侵技术。随着计算机知识、攻击脚本和客种 工具的普及，实施攻击所必需的技术门槛越来越低。因此，攻击的不确定性和攻击所产生的危害越来 越大。 保护信息系统的第一层防御是利用物理、管理和技术控制，主要包括鉴别与认证、物理和逻辑访问 控制、审计以及加密机制（参见GB/T22081一2016）。但从经济方面考虑不可能总是能够完全保护每 一个信息系统、服务和网络。比如对于全球使用、没有地理界限、内部和外部差别不明显的网络，很难实 施访问控制机制。员工与商业合作伙伴越来越依赖远程访问，已无法通过边界防御保护网络。需要进 行动态、复杂的网络配置为员工提供访问IT系统和服务的多路访问点。此时，需要第二层防御即利 用入侵检测和防御系统（IDPS)，迅速有效的发现和响应人侵。同时，还可通过IDPS的反馈完善有关信 息系统脆弱性的知识，带助提高组织信息安全整体水平。 组织可通过购买IDPS软件和（或）硬件产品，或通过向IDPS服务提供商外包IDPS功能等方式部 署IDPS。需要说明的是，IDPS不是一个“即插即用”设备，需要有效部署才能发挥作用，因此需要了解 IDPS的相关知识。 像其他控制一样，需要通过信息安全风险评估来证明IDPS部署的有效性，并将其融入信息安全管 理过程。另外，当已部署IDPS的信息系统遭受攻击时（即人侵者或攻击者窃听并修改了其中的信息）， 需识别并证明相关保护措施（如IDPS）的必要性。需要根据系统或服务安全策略选择适当的保护措施 管理人侵风险，包括： 一减少入侵发生的机会： 一有效检测和响应可能发生的入侵。 当组织考虑部署IDPS时，需了解： 一针对信息系统和（或）网络的人侵和攻击类型； 一本标准提及的IDPS通用。

A.2入侵和攻击的类型

信系统的人技省和攻出省主安是利用信意系统和段网浴献拍世适配直联、实施献陷和概念 缺陷）以及异常的用户行为。 具体来说，人侵者和攻击者首先利用脆弱性入侵信息系统，然后获取其处理或存储的信息，从而损 售信息系统和信息的机密性、完整性和可用性。通过人侵和攻击，人侵者和攻击者获得了大量有价值信 息，并将其利用到其他入侵和攻击中。此外，不仅要防范外部人侵者和攻击者，还要防范内部人员实施

侵和攻击（例如，信息系统授权用户试图获得未授权的额外特权）。借助人侵和攻击可进行： 信息收集，攻击者试图获取目标信息系统的详细信息： 试图获得未授权系统特权、资源或数据： 一损害系统，可使用系统资源实施进一步攻击； 信息泄露，入侵者试图用非授权手段使用受保护信息（如密码、信用卡数据）： 拒绝服务（DoS)攻击，攻击者试图使自标信息系统服务变得缓，或者使其服务中止 从人侵和攻击的脆弱点来说，人侵和攻击可分为： 一基于主机的（人侵）； 基于网络的（入侵）； 基于组合方法的（人侵）

两层独立豪华别墅施工图A.2.2 基于主机的入侵

A.2.3基于网络的入侵

基于网络的人侵通常发生在： 物理层和数据链路层通信协议以及实现它们的系统（如ARP欺骗、MAC地址克隆）； 网络层和传输层通信协议（IP、ICMP、UDP、TCP)以及实现它们的系统（如IP欺骗攻击、IP碎 片攻击、同步洪泛攻击、异常TCP报头信息攻击）

建筑设计资料集 （第二版）05.3入侵检测和防御过程的通用

由软硬件组成的IDPS通过自动监视、收集和分析信息系统或网络中的可凝事态来发现人侵。入 受检测和防御的通用主要包括的功能有：原始数据来源、事态检测、分析、数据存储和响应。这些功 能可以由单独的组件实现，也可作为更大系统一部分的软件包来实现。图A.1给出了这些功能之间相 互关联的方式。

GB/T284542020