信息技术 安全技术 入侵检测系统的选择、部署和操作.pdfVIP

ICS35.040

L80OB

中华人民共和家标准

GB/TXXXXX—XXXX

信息技术安全技术

入侵检测系统的选择、部署和操作

Informationtechnology-Securitytechniques-

Selection,deploymentandoperationsofintrusiondetectionsystems

(ISO/IEC18043:2006,MOD)

(报批稿)

XXXX-XX-XX发布XXXX-XX-XX实施

中华人民共和家质量监督检验检疫总局

中家标准化管理委员会发布

GB/TXXXXX—XXXX

1范围

本标准给出了帮助组织准备部署IDS的指南。特别是，详细说明了IDS的选择、部署和操作。同时

给出了这些指导方针来源的背景信息。

注：IDS的部署宜定位在网络节点和边界，最多到系统边界，不宜深入到信息系统内部或监控系统内资源。

本标准的目的是帮助组织：

a）满足GB/T22080-2008标准的下列要求：

•组织应实施能提升检测和响应安全事件能力的程序和其他控制措施；

•组织应执行监视和评审程序和其他控制措施，以识别潜在的或已经存在的安全漏洞和事件。

b）在实施控制措施方面，满足GB/T22081-2008标准的下列安全目标：

•检测未授权的信息处理活动；

•宜监视系统并记录信息安全事件。操作日志和故障日志宜用来确保识别信息系统问题；

•组织宜遵守所有用于监视和记录口志活动的相关法律要求；

•监视系统宜用于检查所采取控制措施的有效性，并验证访问控制方针模型的符合性。

组织宜认识到对满足上述要求来说，IDS部署不是唯一的或完善的解决方案。此外，本标准期望作

为合格评定的准则，例如信息安全管理体系（ISMS）认证、IDS服务或产品认证。

2规范性引用文件

下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于木文件。

GB/T18336信息技术安全技术信息技术安全性评估准则

GB/T20275信息安全技术入侵检测系统技术要求和测试评价方法

GB/Z20985-2007信息技术安全技术信息安全事件管理指南

GB/T22080-2008信息技术安全技术信息安全管理体系要

GB/T22081-2008信息技术安全技术信息安全管理实用规则

GB/T250G8信息技术安全技术IT网络安全

3术语和定义

卜,列术语和定义适用于本文件。

3.1

攻击attack

1

GB/TXXXXX—XXXX

在信息系统中，对系统或信息进行破坏、泄露、更改或使其丧失功能的尝试（包括窃取数据）。

3.2

攻击特征attacsignature

执行某种攻击的计算机活动序列或其变体，通常通过检查网络流晟或主机日志加以确定，入侵检测