GB/T 28454-2020代替GB/T28454—2012
信息技术安全技术入侵检测和防御系统(IDPS)的选择、部署和操作
Information technology—Security techniques—Selection,deployment and operation of intrusion detection and prevention systems(IDPS) (ISO/IEC27039:2015.MOD)
前 言
本标准按照 GB/T 1.1一2009 给出的规则起草
本标准代替GB/T 28454-2012《信息技术 安全技术 人侵检测系统的选择、部署和操作》。与 GB/T 28454-2012 相比,主要技术变化如下∶
——修改了人侵检测系统 IDS为入侵检测和防御系统(IDPS).将入侵防御系统 IPS 纳人标准范围∶
——修改了标准范围,增加标准适用对象(见第1章,2012 年版的第 1 章);
——修改了部分术语和定义,包括"攻击"拒绝服务攻击""非军事区"入侵者""入侵"路由器"交换机"特洛伊木马"攻击特征"防火墙"主机"-人侵检测系统"入侵防御系统"在线升级""探测器""测试接入点".增加了部分术语和定义,包括"分布式拒绝服务攻击""入侵检测和防御系统"病毒""虚拟专用网"脆弱性"(见第 3章,2012 年版的第3章);
——增加了部分缩略语,包括AIDPsS、DMZ、DDoS,DoS,IDPS,I/O,IODEF、HIDPS,SEM、VPN
——删除缩略语 NIDS,SIM(见第 4 章,2012 年版的第4 章);
——删除背景中关于IDPS 基础知识的介绍(见第5章,2012 年版的第5章);
——因增加入侵防御系统,修改"当组织对 IDS产品有安全等级方面的要求时,见 GB/T 20275"为"当对 IDPS产品有安全等级方面的要求时,见GB/T 20275和GB/T 28451。"(见7.3.1.2012年版的7.2);
—增加云计算环境中IDPS选择考虑事项(见7.4.1、7.4.2、7.3、7.4.5)和云环境下IDPS部署方式、多层级组织中 IDPS 部署方式等(见 8.1);
——"能力的确认"修改为"能力的验证"(见 7.4.5,2012 年版的 7.3.5);
——修改 SIEM功能,增加了事态关联、事态过滤、事态聚合(见7.5.6,2012年版的7.4.6);
——删除响应中关于 IDS 和IPS 介绍的相关内容(见 9.5.2)。
本标准使用重新起草法修改采用 ISO/IEC 27039;2015《信息技术 安全技术 人侵检测和防御系统(IDPS)的选择、部署和操作》。
本标准与ISO/IEC 27039;2015 相比,在结构上增加了第2章"规范性引用文件"和第4章"缩略语",将 7.3.1 和7.3.2 的内容进行调序。