国家标准计划《信息技术 安全技术 入侵检测和防御系统（IDPS）的选择、部署和操作》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 山东省标准化研究院 、中国信息安全认证中心 、陕西省网络与信息安全测评中心等 。

本标准等同采用ISO/IEC国际标准：ISO/IEC 27039:2015。

采标中文名称:信息技术 安全技术 入侵检测和防御系统（IDPS）的选择、部署和操作。

近年来，随着国内政府部门、企业、事业单位信息化建设不断推进，各地开始推动数据中心集约化建设，需要及时检测和预防网络、系统和应用程序受到入侵并采取相关措施。

从20世纪中后期开始， IDS被用于各种各样组织，到21世纪， IPS也开始不断扩大，既从边界又从网络内部保障组织的信息系统安全。

本标准主要对入侵检测和防御系统的选择、部署和操作提供指南，其意义主要体现在： 1）GB/T 28454-2012需要修订 GB/T 28454-2012修改采用自ISO/IEC 18043:2006, ISO/IEC 18043:2006经过ISO/IEC JTC1 SC27修订后，2015年发布修订后的国际标准ISO/IEC 27039:2015，将IPS纳入标准范围，符合信息安全产品发展趋势和应用现状，为保证国内标准与国际标准保持同步更新，需要对GB/T 28454-2012进行修订。

2）支撑《中华人民共和国网络安全法》： 第二十一条中明确提出“实行网络安全等级保护制度”，等级保护标准中明确提到“入侵防范”，第三十八条中提到在关键基础设施风险检测评估过程中，入侵检测和入侵防御系统将可以通过将此过程进行标准化来推动入侵检测和入侵防御系统的选择、部署和操作的实施问题，将对信息中心网络尤其是关键信息基础设施网络起到很好的保护作用，有效防范网络安全风险。

本标准以最佳实践形成入侵检测和防御系统选择、部署和操作指南，属于信息安全管理体系标准族的标准，通过在防御信息安全风险，修订网络安全管理标准等方面对《网络安全法》落地实施起到重要支撑作用。

3）支撑《关于加强国家网络安全标准化工作的若干意见》（中网办发文[2016]5号） 文件中明确提出“推进急需重点标准制定。

”其中重点提到关键信息基础设施保护、网络安全审查等领域的标准研究和制定工作。

” 入侵检测系统和入侵防御系统作为网络构建过程中必不可少的关键信息技术产品，将对网络防范、监测、处置各种信息安全风险及威胁起到不可替代的作用。

本标准依据最佳实践给出选择、部署和操作入侵检测系统和防御系统的指南，对推动入侵检测和防御系统产业发展将产生重要推动作用，对保护关键信息基础设施给出指导，是积极落实若干意见的重要体现。

4）随着信息技术的不断发展，信息安全威胁越来越影响组织自身的发展，越来越多的组织开始重视信息安全发展，入侵检测和防御系统作为保护信息系统安全的重要措施，受到越来越多组织的重视和应用。

本项目对关键信息基础设施进行风险评估时，熟悉单位自身网络、系统或应用入侵何时发生、是否发生以及如何发生，入侵利用了单位什么样的脆弱性，如何预防入侵，未来该采取何种措施，提供必要的帮助。

5）满足信息安全管理体系相关要求。

本标准作为具体实践应用，将对组织信息安全管理体系构建中，满足A.16.1.1和A。

16.1.6的信息安全管理要求。

1、主要内容 本标准给出了帮助组织准备部署IDPS的指南，特别的，本标准给出了IDPS的选择、部署和操作指南。同时本标准提供了这些指南来源的背景信息。 标准适用范围主要是选择、部署和操作入侵检测和防御系统的组织来指导IDPS的选择、部署和操作工作。 首先，本标准研究了IDPS相关的背景信息，包括IDPS目的、何时需部署IDPS、IDS两种不同特征（HIDPS和NIDPS）、基于误用方法的检测分析入侵和基于异常方法的检测分析入侵等。 其次，本标准给出了在组织内选择、部署和操作IDPS的过程 对于IDPS的选择，分别研究了信息安全风险评估、主机或网络IDPS、考虑事项、补充IDPS的工具、可伸缩性、技术支持培训等相关内容。 对于IDPS的部署，主要考虑分阶段部署，分别进行NIDPS的部署和HIDPS的部署。NIDPS的部署主要研究位于因特网防火墙内的NIDPS、位于因特网防火墙外的NIDPS、位于重要骨干网络上的NIDPS、位于关键子网上的NIDPS。 对于IDPS操作，主要研究IDPS调试、IDPS脆弱性、处理IDPS报警、响应选项、法律方面的考虑事项。 2、拟修订的主要技术内容 通过对比ISO/IEC 18043:2006、ISO/IEC 27039:2015及GB/T 28454-2012国家标准，修订的具体内容主要包括： 1）在标准框架方面，规范性应用文件一章和缩略语一章去掉，标准主要在原有入侵检测系统选择、部署和操作基础上，将入侵防御系统纳入标准范围，添加入侵防御系统选择、部署和操作指南。在细节方面，原标准是对入侵检测系统的描述，修订后标准将主要对入侵检测和防御系统进行描述，范围扩大了，因此标准具体技术细节需要进一步完善； 2）1范围，修订后的标准更加简洁，需要按照新发布标准修改完善； 3）3术语和定义中，新增5个术语和定义，完善部分术语和定义； 4）5背景、6概述中新增入侵防御系统的相关内容，按照 ISO/IEC 27039:2015内容进行技术细节修订； 5）7选择中在原有入侵检测系统IDS选择基础上，新增入侵防御系统IPS选择内容，同时需要对相关技术细节修订； 6）8部署，在原有入侵检测系统IDS部署基础上，新增入侵防御系统IPS部署内容，对原有内容章节进行了调整，将分阶段部署的NIDPS部署和HIDPS部署独立成新的章节，对相关技术内容进行修订； 7）9操作，在原有入侵检测系统IDS操作基础上，新增入侵防御系统IPS操作内容，按照 ISO/IEC 27039:2015内容进行技术细节修订。