前言

本標準按照 GB/T 1.1一2009 給出的規則起草。

本標準代替 GB/T2 8454一2012 《信息技術 安全技術 入侵檢測系統的選擇、部署和操作》。與 GB/T 28454-2012 相比，主要技術變化如下：

– 修改了入侵檢測系統IDS為入侵檢測和防御系統(IDPS) ， 將入侵防御系統IPS納入標準范圍；

– 修改了標準范圍，增加標準適用對象(見第1章，2012年版的第1章)；

– 修改了部分術語和定義，包括“攻擊”“拒絕服務攻擊”“非軍事區”“入侵者”“入侵”“路由器”“交換機”“特洛伊木馬”“攻擊特征”“防火墻”“主機”“入侵檢測系統”“入侵防御系統”“在線升級”“探測器”“測試接入點”，增加了部分術語和定義，包括“分布式拒絕服務攻擊”“入侵檢測和防御系統”“病毒”“虛擬專用網”“脆弱性”(見第3章，2012年版的第3章)；

– 增加了部分縮略語， 包括A IDPS、DMZ、DDoS、DoS、IDPS、I/O、IODEF、H IDPS、SIEM、VPN，刪除縮略語NIDS、SIM(見第4章， 2012年版的第4章) ；

– 刪除背景中關于IDPS基礎知識的介紹(見第5章， 2012年版的第5章) ；

– 因增加入侵防御系統， 修改“當組織對IDS產品有安全等級方面的要求時， 見GB/T 20275”為“當對IDPS產品有安全等級方面的要求時， 見GB/T 20275和GB/T 28451。”(見7.3.1.2012年版的7.2)；

– 增加云計算環境中IDPS選擇考慮事項(見7.4.1、7.4.2、7.4.3、7.4.5) 和云環境下IDPS部署方式、多層級組織中IDPS部署方式等(見8.1) ；

– “能力的確認“修改為“能力的驗證”(見7.4.5，2012年版的7.3.5)；

– 修改SIEM功能， 增加了事態關聯、事態過濾、事態聚合(見7.5.6， 2012年版的7.4.6) ；

– 刪除響應中關于IDS和IPS介紹的相關內容(見9.5.2) 。

本標準使用重新起草法修改采用ISO/IEC27039：2015《信息技術安全技術入侵檢測和防御系統(IDPS) 的選擇、部署和操作》。

本標準與 ISO/IEC 27039：2015 相比， 在結構上增加了第 2 章“規范性引用文件”和第4章“縮略語”，將 7.3.1 和 7.3.2 的內容進行調序。

本標準與 ISO/TEC 27039：2015 的技術性差異及其原因如下：

– 增加了第2章“規范性引用文件”和第4章“縮略語”，主要保持與GB/T 28454-2012 的延續性；

– 刪除第3章背景中關于IDPS基礎知識的介紹(見第5章) ， 因該內容在附錄A中有詳細介紹；

– 增加了“當對IDPS產品有安全等級方面的要求時， 見GB/T 20275和GB/T 28451”， 這主要是考慮對IDPS產品安全等級保護要求(見7.3.1) ；

– 刪除7.5.2關于 IDS 和 IPS 的相關內容(見9.5.2) ， 因標準將入侵防御系統 IPS 納入本標準范圍， 標準對象界定為入侵檢測和防御系統IDPS.故無需再單獨介紹；

– 增加了云計算環境中IDPS選擇考慮事項(見7.4.1、7.4.2、7.4.3、7.4.5) 以及云環境下IDPS部署、多層級組織中IDPS部署， 主要是因為目前云計算環境中IDPS部署也需要考慮相關事項，但國際標準并未考慮此部分內容(見8.1)。

本標準做了下列編輯性修改：

– 刪除3.8的注。

請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別這些專利的責任。

本標準由全國信息安全標準化技術委員會(SAC/TC 260) 提出并歸口。

本標準起草單位：山東省標準化研究院、中國網絡安全審查技術與認證中心、陜西省網絡與信息安全測評中心、北京天融信網絡安全技術有限公司、山東崇弘信息技術有限公司、成都秦川物聯網科技股份有限公司。

本標準主要起草人：王曙光、王慶升、王風嬌、魏軍、公偉、張斌、來永鈞、楊帆、楊銳、雷曉峰、邵澤華、樊華、朱琳、高瑞、楊向東、楊斌、權亞強、路征、陳慧勤、劉勘偽、于秀彥、胡鑫磊、王棟、潘海燕、李紅勝。

本標準所代替標準的歷次版本發布情況為：

– GB/T 28454一2012 。