引言

組織在選擇、部署入侵檢測和防御系統(IDPS) 之前， 不僅需要知道入侵事件(針對網絡、系統或應用)是否發生、何時發生以及如何發生，也需要知道入侵事件利用了何種脆弱性，為防止類似入侵事件發生，未來需要采取何種防護措施或風險處置手段(即風險緩解、風險保留、風險規避、風險分擔)。組織需識別并避免基于網絡的入侵。從20世紀90年代中期開始，組織為了滿足上述需求開始使用入侵檢測和防御系統(IDPS) 。隨著IDPS產品的不斷發展， 其應用領域不斷擴大， 滿足了組織對入侵檢測和防御能力持續增長的需求。

為了使IDPS效益最大化， 需要由經過培訓、經驗豐富的人員精心策劃及實施IDPS的選擇、部署和操作過程。通過上述過程， 使IDPS成為組織預防入侵的重要安全工具(在組織ICT基礎設施中作為重要安全設施)，幫助組織截獲入侵信息。

本標準提供了有效選擇、部署和操作IDPS的指南， 以及有關IDPS的基礎知識。同時本標準還適用于需要外包其IDPS服務的相關組織。關于外包服務級別協議的相關信息參見 ISO/IEC 20000 的IT服務管理(ITSM) 過程。

本標準主要用于幫助組織實現如下目標：

a)滿足 GB/T 22080 的下列要求：

– 應實施過程和控制以便能快速檢測和響應安全事件；

– 應執行監視、評審過程以及控制以便識別企圖的安全危害和既成的安全事件。

b)實現控制以滿足 GB/T 22081 的下列安全目標：

– 能夠檢測未授權的信息處理活動；

– 監視系統并記錄信息安全事態，使用操作者日志和默認日志以確保能夠識別信息系統問題；

– 滿足所有適用于監視和記錄活動的相關法律要求；

– 將系統監視用于檢查已實施控制的有效性，以驗證訪問策略模型是否符合需求。

對滿足上述要求而言， 部署IDPS并非唯一、完善的解決方案。此外， 本標準并不作為諸如信息安全管理體系(ISMS) 認證、IDPS服務或產品認證等合格評定的準則。