A.8 入侵檢測問題

A.8.1 入侵檢測和隱私

當使用IDPS時， 需要關注隱私問題。在識別或檢測網絡流量和操作系統審計日志的同時， 查找包含惡意和可疑內容的攻擊特征或特定模式。

IDPS收集的網絡流量或事態數據中， 包含許多個人相關的數據， 如硬件地址或IP地址。因此IDPS可用作監視用戶及其行為(包括監視內部入侵者即內部員工， 但需注意影響) 。

使用IDPS時需考慮涉及隱私權問題的三個原則：

– 入侵檢測與防御必須以保護數據或系統為目的；

– 數據(網絡數據包、審計日志)收集必須以滿足保護為目的；

– 需制定并應用個人隱私保護(用于IDPS數據收集) 相關策略。

第一個原則意味著入侵檢測與防御不需要用作監督員工行為的工具。

第二個原則指出IDPS僅可收集和分析對識別攻擊有必要的數據。將事態數據與IDPS攻擊特征對比后，需刪除不再需要的數據或未顯示攻擊跡象的數據，并通過安全的方式存儲顯示攻擊跡象的數據。然而，在某些情況下，相關事態數據不可直接刪除，需對其存檔以便后續進行相關工作(諸如追溯攻擊者或取證分析等)。顯示攻擊跡象的數據需加強分析，以獲取其與攻擊的關聯性。所有相關數據都需要加強保護，尤其注重隱私保護。所采取的保護措施需與安全策略相一致。

數據按照安全策略要求存儲一段時間后需安全地銷毀，以保護所有相關方的隱私。這既為取證和法律調查預留了時間，也避免了隱私的泄露(如系統將來遭受未授權訪問，但不會泄露敏感數據)。

第三個原則意味著需要依據隱私策略和適用于個人信息保護的相關法律，保護和管理個人信息。

A.8.2 入侵數據的共享

入侵數據和IDPS使用經驗的共享對IDPS所有使用組織都是非常有用的， 可幫助相關使用組織對入侵的早期進行預警、了解新型入侵的信息以及改進其IDPS操作。

目前，入侵公共知識的重要性已不言而喻，為有效利用與共享入侵公共知識，凈化入侵的信息來源和IDPS的使用信息(即使信息匿名) ， 可在收集相關匿名知識和信息的基礎上， 參與合作構建入侵數據庫，用于：

– 整合有關脆弱性配置、入侵類型和如何利用這些配置等相關信息；

– 處理關于入侵樣本的信息，以便在先決條件、影響、蹤跡、困難、補救措施等方面對入侵類型做出正確的說明；

– 存儲不同入侵類型的數據，共享不同入侵類型之間的差異；

– 確保支持新的入侵描述的結構化格式；

– 當發現新的脆弱性時，更新規則和(或)變更參數；

– 提取需要的信息自動生成新規則(如簽名、參數等)，以檢測新的入侵。

IDPS數據庫類似于現代病毒檢測系統(其通常可基于網絡自動更新) 。

入侵數據庫不同于入侵事件數據庫，前者主要存儲入侵公共知識，后者存儲有關攻擊案例證據。

GB/T 32920-2016 列出了共享事件信息需考慮的事項。