A.1 入侵檢測和防御的介紹

盡管信息系統的脆弱性易被無意或有意的利用、受到入侵和攻擊，但是由于業務的需求，組織仍然會使用信息系統并將其連接到因特網和其他網絡上。因而需要保護這些信息系統。

隨著技術的不斷發展，獲取信息的便利性也在不斷提高，新的脆弱性也隨之出現。與此同時，利用這些脆弱性的攻擊也在不斷發展。入侵者也在不斷提高入侵技術。隨著計算機知識、攻擊腳本和各種工具的普及，實施攻擊所必需的技術門檻越來越低。因此，攻擊的不確定性和攻擊所產生的危害越來越大。

保護信息系統的第一層防御是利用物理、管理和技術控制，主要包括鑒別與認證、物理和邏輯訪問控制、審計以及加密機制(參見GB/T22081-2016)。但從經濟方面考慮不可能總是能夠完全保護每一個信息系統、服務和網絡。比如對于全球使用、沒有地理界限、內部和外部差別不明顯的網絡，很難實施訪問控制機制。員工與商業合作伙伴越來越依賴遠程訪問，已無法通過邊界防御保護網絡。需要進行動態、復雜的網絡配置，為員工提供訪問IT系統和服務的多路訪問點。此時，需要第二層防御即利用入侵檢測和防御系統(IDPS) ， 迅速有效的發現和響應入侵。同時， 還可通過IDPS的反饋完善有關信息系統脆弱性的知識，幫助提高組織信息安全整體水平。

組織可通過購買IDPS軟件和(或) 硬件產品， 或通過向IDPS服務提供商外包IDPS功能等方式部署IDPS。需要說明的是， IDPS不是一個“即插即用”設備， 需要有效部署才能發揮作用， 因此需要了解IDPS的相關知識。

像其他控制一樣， 需要通過信息安全風險評估來證明IDPS部署的有效性， 并將其融入信息安全管理過程。另外， 當已部署IDPS的信息系統遭受攻擊時(即入侵者或攻擊者竊聽并修改了其中的信息) ，需識別并證明相關保護措施(如IDPS) 的必要性。需要根據系統或服務安全策略選擇適當的保護措施管理入侵風險，包括：

– 減少入侵發生的機會；

– 有效檢測和響應可能發生的入侵。

當組織考慮部署IDPS時， 需了解：

– 針對信息系統和(或)網絡的入侵和攻擊類型；

– 本標準提及的IDPS通用模型。