<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 28454-2020 信息技術 安全技術 入侵檢測和防御系統(IDPS)的選擇、部署和操作
    展開或關閉
    前言
    前言
    引言
    引言
    1 范圍
    范圍
    2 規范性引用文件
    規范性引用文件
    3 術語和定義
    術語和定義
    4 縮略語
    縮略語
    5 背景
    背景
    6 總則
    總則
    7 選擇
    7.1 簡介 7.2 信息安全風險評估 7.3 主機或網絡IDPS 7.4 考慮事項 7.5 補充IDPS的工具 7.6 可伸縮性 7.7 技術支持 7.8 培訓
    8 部署
    8.1 總則 8.2 分階段部署 8.3 NIDPS部署 8.4 HIDPS部署 8.5 防護和保護IDPS信息安全
    9 操作
    9.1總則 9.2 IDPS調優 9.3 IDPS脆弱性 9.4 處理IDPS報警 9.5 響應選項 9.6 法律方面的考慮事項
    附錄A(規范性附錄) 入侵檢測和防御系統(IDPS):框架及需要考慮的問題
    A.1 入侵檢測和防御的介紹 A.2 入侵和攻擊的類型 A.3 入侵檢測和防御過程的通用模型 A.4 IDPS類型 A.5 架構 A.6 IDPS的管理 A.7 實施和部署問題 A.8 入侵檢測問題
    參考文獻
    參考文獻

    A.7 實施和部署問題

    GB/T 28454-2020 信息技術 安全技術 入侵檢測和防御系統(IDPS)的選擇、部署和操作 /

    A.7.1 簡介

    所有的IDPS不盡相同, 因此當決定部署IDPS時, 需考慮如下方面的因素:效率、功能、人員以及其他事項等。同時需根據自身的IT風險管理要求和安全策略, 對已部署IDPS進行評價。

    A.7.2 效率

    部署IDPS時, 效率是需要考慮的要素之一。評價IDPS效率的相關指標有:

    – 準確性:當IDPS把活動誤認為攻擊(如誤報) 或者IDPS把攻擊誤認為合法的活動(如漏報)時, 就會出現誤差。具體來說, 準確性主要通過IDPS誤報和漏報的數量與事態總數的比率來表示,其是重要的安全策略參數,表示分析執行情況的偏差。

    – 性能:主要是指收集、存儲和處理審計事態的速度, 只有性能較好時IDPS才可做到的實時檢測。但需注意, IDPS本身也會增加網絡的負載。

    – 全面性:當IDPS無法檢測到攻擊時就會出現不全面性。具體的, 全面性主要通過IDPS可檢測攻擊的種類多少表示,因為無法列出所有攻擊,所以此項指標比其他幾項指標難以評估。

    – 容錯性:主要是指IDPS自身抵抗攻擊尤其是拒絕服務攻擊的能力。IDPS運行于商用操作系統或硬件之上,因此易受到攻擊。

    – 及時性:主要是指IDPS分發分析報告的速度, 及時性越好, IDPS響應速度就越快, 從而使安全負責人可在遭受重大損害前做出響應, 并阻止攻擊者破壞數據、數據源或IDPS。

    A.7.3 功能

    功能是部署IDPS時另一個需要考慮的要素, 主要包括:

    – 在加密或交換環境中使用:H IDPS主要部署在主機上, 可以避免在加密和交換環境中部署NIDPS面臨的挑戰, 從而較好的適應加密和交換環境。

    – 檢測攻擊:N IDPS在攻擊發生時通過提供數據來檢測惡意和可疑的攻擊(如拒絕服務攻擊) ,并實時檢測以提供更快速的通知和響應。其主要檢測基于主機未發現的相關攻擊(如基于IP的拒絕服務攻擊和分段包攻擊,其僅可通過查找包頭識別)。

    – 綜合分析基于主機和基于網絡的數據:IDPS通過集成主機和網絡組件, 可綜合利用基于主機和網絡的數據源。正如8.1中的討論, N IDPS和H IDPS各自有其優缺點, 可以相互補充。因此,基于主機的和基于網絡的入侵檢測和防御技術可結合起來分析,以增強信息系統防御。

    A.7.4 IDPS部署和操作人員

    目前, IDPS功能先進, 其子系統與IT系統、服務和網絡可以較好的集成在一起, 但IDPS大部分的功能仍需要由接受過培訓、了解相關知識[包括入侵檢測與防御、IT安全(包括網絡安全)以及信息技術(包括網絡拓撲結構和配置)]的人員手動完成。這些人員需具備如下能力:

    – 定制IDPS, 以便能夠檢測到與已部署IDPS的IT環境相關的事態;

    – 當IDPS報警時, 解釋IDPS要表達的內容;

    – 制定策略和程序, 以響應IDPS報警:

    – 修復導致入侵成功的漏洞。

    這些需要由人員手動完成的操作不在供應商IDPS安裝范圍內, 但屬于入侵檢測和防御過程不可或缺的一部分。

    分析模塊主要對傳感器收集的數據進行分析,以發現未授權活動、可疑活動或相關事態跡象(這些跡象表明正在探測/掃描網絡、入侵已經發生或攻擊正在進行)。其需要借助人工輸入、人工配置、人機交互、人工對輸出進行分析及解釋、對IDPS調優等人工活動基礎上, 才能執行自動化部分。

    IDPS恰當配置后, 通過分析相關數據可獲悉網絡中發生的入侵行為, 此時需要人機交互(而非只是拒收相關數據包) , 由有經驗的相關人員判斷IDPS輸出是否為誤報(合法的活動被歸為入侵) 或漏報(入侵活動被識別為非入侵)。

    響應主要包括自動化響應和手動響應。鑒于目前IDPS自動響應的缺乏(目前多數IDPS根據報警嚴重性對報警分類,卻未給出報警發生后如何響應)、操作人員對手動響應的經驗和知識不足(可能是新員工經驗不足,也可能是由于入侵種類過多,經驗知識豐富人員也無法識別所有入侵)、事態的快速發展, 需在自動化響應基礎上, 為操作人員提供針對特定類型IDPS報警的響應指南, 借助于手動響應對IDPS報警快速響應。

    通過匹配已知漏洞的有效載荷模式或通過匹配惡意字節碼特征, IDPS可用于檢測“零日漏洞”, 此時,人員需告知供應商,讓其了解未知的新漏洞,并采取相應控制措施。

    A.7.5實施中其他考慮事項

    考慮實施、操作、集成和選擇IDPS時, 需要考慮的其他因素包括:

    – 用戶接口。

    – 網絡傳感器的布局,即網絡傳感器需靈活放置以支持檢測和響應策略(如檢測攻擊的外部防火墻)。

    – 系統故障容錯,主要考慮系統完整性和防范可能的攻擊,從而提高安全性和可用性。同時,建議將IDPS傳感器、監視器和管理者之間的通信放在與監視網絡無關的獨立網絡中進行。

    – IDPS的保證。

    – 易用性即容易使用。

    – IDPS的可測量性。

    – 與其他安全產品的互操作性。

    – 供應商支持的級別和質量。

    –管理:IDPS不是“即插即用”設備, 需技術人員對IDPS輸出分析和解釋。

    – 硬件和軟件需求。

    – 文檔。

    – 成本:除軟件、硬件和安裝成本之外,還包括教育、培訓、操作和維護的成本。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    X0_0X
    資深作者 858 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类