GB/T 28454-2020代替GB/T28454—2012
信息技术安全技术入侵检测和防御系统（IDPS）的选择、部署和操作
Information technology—Security techniques—Selection,deployment and operation of intrusion detection and prevention systems(IDPS) (ISO/IEC27039:2015.MOD)
前 言
本标准按照 GB/T 1.1一2009 给出的规则起草
本标准代替GB/T 28454-2012《信息技术 安全技术 人侵检测系统的选择、部署和操作》。与 GB/T 28454-2012 相比，主要技术变化如下∶
——修改了人侵检测系统 IDS为入侵检测和防御系统（IDPS）.将入侵防御系统 IPS 纳人标准范围∶
——修改了标准范围，增加标准适用对象（见第1章，2012 年版的第 1 章）;
——修改了部分术语和定义，包括"攻击"拒绝服务攻击""非军事区"入侵者""入侵"路由器"交换机"特洛伊木马"攻击特征"防火墙"主机"-人侵检测系统"入侵防御系统"在线升级""探测器""测试接入点".增加了部分术语和定义，包括"分布式拒绝服务攻击""入侵检测和防御系统"病毒""虚拟专用网"脆弱性"（见第 3章，2012 年版的第3章）;
——增加了部分缩略语，包括AIDPsS、DMZ、DDoS，DoS，IDPS，I/O，IODEF、HIDPS，SEM、VPN
——删除缩略语 NIDS，SIM（见第 4 章，2012 年版的第4 章）;
——删除背景中关于IDPS 基础知识的介绍（见第5章，2012 年版的第5章）;
——因增加入侵防御系统，修改"当组织对 IDS产品有安全等级方面的要求时，见 GB/T 20275"为"当对 IDPS产品有安全等级方面的要求时，见GB/T 20275和GB/T 28451。"（见7.3.1.2012年版的7.2）;
—增加云计算环境中IDPS选择考虑事项（见7.4.1、7.4.2、7.3、7.4.5）和云环境下IDPS部署方式、多层级组织中 IDPS 部署方式等（见 8.1）;
——"能力的确认"修改为"能力的验证"（见 7.4.5，2012 年版的 7.3.5）;
——修改 SIEM功能，增加了事态关联、事态过滤、事态聚合（见7.5.6，2012年版的7.4.6）;
——删除响应中关于 IDS 和IPS 介绍的相关内容（见 9.5.2）。
本标准使用重新起草法修改采用 ISO/IEC 27039;2015《信息技术 安全技术 人侵检测和防御系统（IDPS）的选择、部署和操作》。
本标准与ISO/IEC 27039;2015 相比，在结构上增加了第2章"规范性引用文件"和第4章"缩略语"，将 7.3.1 和7.3.2 的内容进行调序。