信息技术安全技术入侵检测和防御系统（IDPS）的选择、部署和操作(GB-T 28454-2020).docx

《信息技术安全技术入侵检测和防御系统（IDPS）的选择、部署和操作(GB-T 28454-2020).docx》由会员分享，可在线阅读，更多相关《信息技术安全技术入侵检测和防御系统（IDPS）的选择、部署和操作(GB-T 28454-2020).docx（45页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS35.040L 80中华人民共和国国家标准GB/T 28454XXXX代替 GB/T 28454-2012 信息技术安全技术入侵检测和防御系统（IDPS）的选择、部署和操作Information technologySecurity techniquesSelection, deployment and operation of intrusion detection and prevention systems(IDPS)（ISO/IEC 27039:2015,MOD） （本稿完成日期：2018.9.25)XXXX - XX - XX发布XXXX - XX - XX实施 GB/T 28

2、454XXXX目次前言V引言VI1范围72规范性引用文件73术语和定义74缩略语125背景136总则137选择137.1简介137.2信息安全风险评估147.3主机或网络IDPS147.4考虑事项147.5补充IDPS的工具197.6可伸缩性217.7技术支持227.8培训228部署228.1总则228.2分阶段部署238.3NIDPS部署238.4HIDPS部署258.5防护和保护IDPS信息安全259操作259.1总则269.2IDPS调优269.3IDPS脆弱性269.4处理IDPS报警269.5响应选项289.6法律方面的考虑事项28附录A（资料性附录）入侵检测和防御系统（IDPS）：

3、框架及需要考虑的问题29附录B（资料性附录）GB/T28454XXXX与GB/T284542012技术差异43参考文献44前言本标准依据GB/T 1.12009标准化工作导则第1部分：标准的结构和编写和GB/T 20000.22009标准化工作指南第2部分：采用国际标准的规则给出的规则起草。本标准代替GB/T 284542012 信息技术安全技术入侵检测系统（IDS）的选择、部署和操作。与GB/T 284542012相比，主要变化如下：结构变化：将原标准悬置段修改为独立章节（见7.1、7.3.1、7.4.7.1、7.4.9.1、7.5.1、8.1、8.3.1、9.1、9.4.1、9.5.1、9

4、.6.1、A.2.1、A.3.1、A.3.4.2.1、A.3.4.3.1、A.3.4.5.1、A.4.1、A.6.2.1、A.6.2.1、A.7.1）；技术变化见附录B。本标准与ISO/IEC 27039:2015的主要差异及产生差异的原因如下：题目勘误，将“operations”修改为“operation”（见英文题目）；标准结构：保持与旧版标准的延续性，增加了第2章“规范性引用文件”和第4章“缩略语”；标准7.3.1节中增加了“当对IDPS产品有安全等级方面的要求时,见GB/T 20275和GB/T 28451”，这主要是考虑对IDPS产品安全等级保护要求；对部分章节及内容进行了顺序调换（

5、先介绍NIDPS，再介绍HIDPS）（见5、7.3、9.5.2、A.4）；增加了云计算环境中IDPS选择考虑事项（见7.4.1、7.4.2、7.4.3、7.4.5）以及云环境下IDPS部署、多层级组织中IDPS部署（见8.1）；增加了资料性附录B。本标准修改采用国际标准ISO/IEC 27039:2015信息技术安全技术入侵检测和防御系统（IDPS）的选择、部署和操作。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准起草单位：山东省标准化研究院、中国网络安全审查技术与认证中心、陕西省网络与

6、信息安全测评中心、北京天融信网络安全技术有限公司、山东崇弘信息技术有限公司、成都秦川物联网科技股份有限公司。本标准主要起草人：王曙光、王庆升、王凤娇、魏军、公伟、张斌、来永钧、杨帆、杨锐、雷晓峰、邵泽华、樊华、朱琳、高瑞、杨向东、杨斌、权压强、路征、陈慧勤、刘勘伪、于秀彦、胡鑫磊、王栋、潘海燕、李红胜。本标准所代替标准的历次版本发布情况为： GB/T 284542012。43引言组织在选择、部署入侵检测和防御系统（IDPS）之前，不仅需要知道入侵事件（针对网络、系统或应用）是否发生、何时发生以及如何发生，也需要知道入侵事件利用了何种脆弱性，为防止类似入侵事件发生，未来需要采取何种防护措施或风险

7、处置手段（即风险缓解、风险保留、风险规避、风险分担）。组织需识别并避免基于网络的入侵。从20世纪90年代中期开始，组织为了满足上述需求开始使用入侵检测和防御系统（IDPS）。随着IDPS产品的不断发展，其应用领域不断扩大，满足了组织对入侵检测和防御能力持续增长的需求。为了使IDPS效益最大化，需要由经过培训、经验丰富的人员精心策划及实施IDPS的选择、部署和操作过程。通过上述过程，使IDPS成为组织预防入侵的重要安全工具（在组织ICT基础设施中作为重要安全设施），帮助组织截获入侵信息。本标准提供了有效选择、部署和操作IDPS的指南，以及有关IDPS的基础知识。同时本标准还适用于需要外包其IDP

8、S服务的相关组织。关于外包服务级别协议的相关信息参见ISO/IEC 20000的IT服务管理（ITSM）过程。本标准主要用于帮助组织实现如下目标：a) 满足GB/T 22080的下列要求： 应实施过程和控制以便能快速检测和响应安全事件； 应执行监视、评审过程以及控制以便识别企图的安全危害和既成的安全事件。b) 实现控制以满足GB/T 22081的下列安全目标： 能够检测未授权的信息处理活动； 监视系统并记录信息安全事态，使用操作者日志和默认日志以确保能够识别信息系统问题； 满足所有适用于监视和记录活动的相关法律要求； 将系统监视用于检查已实施控制的有效性，以验证访问策略模型的是否符合需求。对满

9、足上述要求而言，部署IDPS并非唯一、完善的解决方案。此外，本标准并不作为诸如信息安全管理体系（ISMS）认证、IDPS服务或产品认证等合格评定的准则。 信息技术安全技术入侵检测和防御系统（IDPS）的选择、部署和操作1 范围本标准给出了组织部署入侵检测和防御系统（IDPS）的指南。本标准详细说明了IDPS的选择、部署和操作。同时本标准给出了形成这些指南的背景信息。本标准适用于准备部署入侵检测和防御系统（IDPS）的组织。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

10、GB/T18336(所有部分)信息技术安全技术信息技术安全性评估准则（ISO/IEC15408 (所有部分),IDT）GB/T20275信息安全技术网络入侵检测系统技术要求和测试评价方法GB/T28451信息安全技术网络型入侵防御产品技术要求和测试评价方法GB/T25068.32010信息技术安全技术IT网络安全第3部分：使用安全网关的网间通信安全保护（ISO/IEC180283:2005，IDT）GB/T220802016信息技术安全技术信息安全管理体系要求（ISO/IEC27001:2013，IDT）GB/T220812016信息技术安全技术信息安全控制实践指南（ISO/IEC27002:

11、2013，IDT）GB/T329202016信息技术安全技术行业间和组织间通信的信息安全管理（ISO/IEC27010:2012，IDT）GB/T20985.12017信息技术安全技术信息安全事件管理第1部分：事件管理原理（ISO/IEC270351:2006，IDT）GB/T292462017信息技术安全技术信息安全管理体系概述和词汇（ISO/IEC27000:2016，IDT）3 术语和定义GB/T 29246界定的及下列术语和定义适用于本文件。3.1攻击 attack 破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的企图。GB/T 292462017，定义2.33.2攻击特征

12、attack signature执行某种攻击的计算机活动系列或其变体，通常通过检查网络流量或主机日志加以确定，IDPS也依其来发现已经发生的攻击。 注：这也可称为一个攻击模式。 3.3证明 attestation 公钥加密而产生的变量，可使IDPS软件程序和设备鉴别其远程方的身份。 注：见3.23远程证明。 3.4网桥 bridge 将位于OSI 2层的局域网连接到采用相同协议的另一局域网的网络设备。 3.5密码散列值cryptographic hash value 分配给一个文件并在后期用来测试这个文件的数学值，以验证包含在文件中的数据没有被恶意更改。 3.6拒绝服务攻击 Denial-of

13、-Service attack DoS通过洪水攻击带宽或目标系统的资源，破环多个系统的方式来未授权访问系统资源或者延迟系统操作和功能，使授权用户损失可用性。3.7分布式拒绝服务攻击 distributed Denial-of-Service attack DDoS通过洪水攻击带宽或目标系统的资源，破环多个系统的方式来未授权访问系统资源或者延迟系统操作和功能，导致授权用户失去可用性。 3.8非军事区demilitarized zone DMZ 位于边界路由器和外部防火墙之间的逻辑或者物理网络空间。 3.9（脆弱性）利用 exploit 已明确定义的利用脆弱性破坏信息系统安全的一种方式。 3.10

14、防火墙 firewall 设置在网络环境之间的一类屏障。它可以是一台专用设备，也可以是若干部件和技术的组合。网络环境间所有通信都要流经防火墙，只允许按照本地安全策略定义的、已授权的通信通过。3.11误报false positive 没有攻击时IDPS有报警的情况。 3.12漏报 false negative 攻击发生时IDPS没有报警的情况。 3.13蜜罐 honeypot 用来欺骗、扰乱和引开攻击者的诱饵系统，促使攻击者把时间花在某些信息上，这些信息看起来有价值，实际上是虚假的，对合法用户没有任何价值。 3.14主机 host 基于TCP/IP协议网络(如Internet)，可设定地址的系统

15、或计算机。 3.15入侵者 intruder 针对目标主机、站点、网络或组织，正在或已经进行入侵或攻击的个体。 3.16入侵 intrusion 对某一网络或联网系统的未授权访问，即对某一信息系统的有意或无意的未授权访问，包括针对信息系统的恶意活动或者信息系统内资源的未授权使用。 3.17入侵检测 intrusion detection 检测入侵的正式过程。该过程一般特征为采集如下知识：反常的使用模式、被利用的脆弱性及其类型、利用的方式，以及何时发生和如何发生。 3.18入侵检测系统 intrusion detection systemIDS 在信息系统和网络中，一种用于辨识某些已经尝试、正在

16、发生或已经发生的入侵行为，并可对其做出响应的技术系统。 3.19入侵防御系统 intrusion prevention system IPS 特别设计用来提供主动响应能力的入侵检测系统的变体。 3.20入侵检测和防御系统 intrusion detection and prevention system IDPS 为了防范恶意活动而监视系统的入侵检测系统IDS和入侵防御系统IPS的软件应用或设备，IDS仅能对发现的这些活动予以报警，而IPS则有能力阻止某些检测到的入侵。注：如果需要防范攻击，IPS将主动部署在网络中。如果部署在被动模式下，它将不能提供上述功能，其有效功能仅能像常规IDS那样提供

17、报警。 3.21渗透 penetration绕过系统安全机制、未经授权的行为。 3.22在线升级 provisioning 为信息技术（IT）设备安装正确软件、执行安全策略及加载配置数据的过程。 3.23远程证明 remote attestation 使用数字证书来确保IDPS的身份及其软件和硬件配置，并安全地将信息传输到可信操作中心的过程。 3.24响应 response事件响应或入侵响应 incident response or intrusion response当攻击或入侵发生时，为了保护和恢复信息系统正常运行的条件以及存储在其中的信息而采取的行动。 3.25路由器 router 通过

18、基于路由协议机制和算法选择路径或路由，建立和控制不同网络之间数据流的网络设备。注1： 其自身可基于不同的网络协议。 注1： 路由信息存储在路由表内。 3.26服务器server 为其他计算机提供服务的计算机系统或程序。 3.27服务级别协议service level agreementSLA规定技术支持或业务性能目标的合同，包括服务提供方提供给其客户的性能以及对失败结果的测量。 3.28传感器 sensor 从被观察的信息系统或网络中，通过感知、监测等收集事态数据的一种IDPS部件或代理。 注：也称为监视器。 3.29子网 subnet 在某一网络中，共享某一公共地址成分的部分。 3.30交换

19、机 switch 在联网的设备之间，一种借助内部交换机制来提供连通性的设备。其交换技术通常在OSI参考模型的2层或3层实现。 注：交换机不同于其他局域网互联设备（例如集线器），原因是交换机中使用的技术是以点对点为基础建立连接。确保了网络通信量只对有地址的网络设备可见，并使几个连接能够并存。 3.31测试接入点test access points TAP 典型的被动设备，不会在网络信息包中加装任何负载；当它们使数据收集接口在网络中不可见时，也能提高安全级别，在这里交换机仍然可保持端口的2层信息。注：TAP也给出了多端口的功能，这样在不丧失IDPS能力的情况下，可以调试网络问题。3.32特洛伊木马

20、 Trojan horse 一种伪装成良性应用软件的恶意程序。3.33病毒 virus 一种带有不良意图的恶意软件，可直接或间接地对用户和（或）用户系统造成潜在伤害。3.34虚拟专用网 virtual private network VPN一种采用隧道技术连接的虚拟网络，即受限使用的逻辑计算机网络，该网络基于物理网络系统资源所构建，穿越实际网络建立连接。GB/T 25068.32010，定义3.233.35脆弱性 vulnerability可能被一个或多个威胁利用的资产或控制措施的弱点。GB/T 292462017，定义2.894 缩略语下列缩略语适用于本文件。AIDPS：基于应用的IDPS（

21、Application-Based IDPS）API：应用程序编程接口（Application Programming Interface）ARP：地址解析协议（Address Resolution Protocol）CGI：通用网关接口（Common Gateway Interface）CPU：中央处理器（Central Processing Unit）DMZ：非军事区（Demilitarized Zone）DNS：域名系统（Domain Name System）DDoS：分布式拒绝服务（Distributed Denial of Service）DoS：拒绝服务（Denial of Ser

22、vice）ICMP：网际控制报文协议（Internet Control Message Protocol）IDS：入侵检测系统（Intrusion Detection System）IDPS：入侵检测和防御系统（Intrusion Detection and Prevention Systems）I/O：输入/输出（Input/output）IODEF：事件对象描述交换格式（Incident Object Description Exchange Format）IP：网际协议（Internet Protocol）IPS：入侵防御系统（Intrusion Prevention System）IS

23、IRT：信息安全事件响应团队（Information Security Incident Response Team）IT：信息技术（Information technology）HIDS：基于主机的IDS（Host-based IDS）HIDPS：基于主机的IDPS（Host-based IDPS）HIPS：基于主机的IPS（Host-based IPS）HTTP：超文本传送协议（Hypertext Transfer Protocol）MAC：媒体访问控制（Media Access Control）MIB：管理信息库（Management Information Base）NIDPS：基于网

24、络的IDPS（Network-based IDPS）NIPS：基于网络的IPS（Network-based IPS）NOC：网络运行中心（Network Operations Center）OSI：开放系统互连（Open System Interconnection）RID：实时网络防御（Real-time Intern-network Defense）ROI：投资回报率（Return On Investment）SIEM：安全信息和事态管理（Security Information Event Management）SMS：短消息系统（Short Message System）SLA：服务级

25、别协议（Service Level Agreement）SMTP：简单邮件传送协议（Simple Mail Transfer Protocol）SNMP：简单网络管理协议（Simple Network Management Protocol）SPAN：交换机端口分析器（Switch Port Analyzer）TAP：测试接入点（Test Access Points）TCP：传输控制协议（Transport Control Protocol）UDP：用户数据报协议（User Datagram Protocol）VPN：虚拟专用网络（Virtual Private Network）5 背景部署入

26、侵检测和防御系统（IDPS）的目的是监视、检测和记录不适当、不正确、可疑或异常的活动，当检测到这些活动时，IDPS会发出报警信号和（或）自动响应。IT安全人员负责评估这些报警信号和相关日志并做出恰当的响应。因此，当需要对组织信息系统的入侵进行检测并给出响应时，可以考虑部署IDPS。此时，既可通过直接获取IDPS软硬件产品的方式部署IDPS，也可通过向IDPS服务提供商外包IDPS业务的方式部署IDPS。目前，可供选择的IDPS产品和服务众多，有付费的商业产品也有免费开源的。不同的IDPS产品和服务采用不同的技术和方法。此外，IDPS并不是“即插即用”的，需要专业人员进行安装部署，因此当准备部署

27、IDPS时，相关人员需要熟悉本标准提供的指南和相关信息。关于IDPS的基础知识参见附录A。6 总则综合考虑IDPS的功能和局限性（见附录A），组织可把基于主机的方法（包括应用监视）和基于网络的方法结合起来，以应对各种潜在入侵。根据每类IDPS的优缺点，将其结合起来，能更好地处理安全事态以及提供报警分析。不同IDPS技术的结合主要依赖于IDPS报警管理系统中关联模块的可用性。人工关联HIDPS和NIDPS报警信息无任何优点，却会导致操作人员超负荷工作，其结果比从一种IDPS中选取最合适的输出方式效果更差。在组织内选择、部署和操作IDPS的过程如图1所示，后续章节将详细描述本过程中的关键步骤。图1

28、 IDPS的选择、部署和操作7 选择7.1 简介可供选择的IDPS产品种类很多，既包含免费产品（可在低成本主机上部署），也包含较为昂贵的商用收费产品（需要最新的硬件支持）。由于可供选择的IDPS产品较多，因此需要综合考虑组织需求选择最符合要求的产品。另外，不同IDPS产品会存在兼容性问题，同一组织使用不同IDPS产品（由于组织的兼并以及广泛的地理分布问题，不得不使用不同的IDPS产品）时的还需要关注不同IDPS的集成问题。供应商提供的IDPS说明书给出了IDPS可以检测到的攻击类型，但在大流量网络中却无法描述IDPS如何较好地检测出入侵，无法给出部署、操作和维护IDPS的难度，因为在对组织网络

29、流量缺乏了解前提下，也无法准确描述IDPS如何有效地避免漏报和误报。同时，还需要根据组织自身要求，独立地评估IDPS的主动响应和被动响应的能力（此时，主要考虑深度数据包检测和重组的需要，而不考虑网络性能和成本）。因此，仅依赖供应商提供的IDPS说明书来了解IDPS的能力是远远不够的，需根据组织自身需要选择IDPS产品。GB/T 18336（所有部分）可用于IDPS第三方评价。此时，不同于IDPS说明书，“安全目标”文件可更准确可靠地描述IDPS性能，其将作为选择IDPS的重要考虑因素。IDPS选择过程中需要重点关注7.2-7.7的相关要素。7.2 信息安全风险评估选择IDPS之前，首先需要实施

30、信息安全风险评估，在考虑相关因素（诸如信息系统使用信息的性质、需要如何保护这些信息、使用的通信系统类型以及其他操作和环境的因素）基础上，识别针对组织信息系统（可能存在脆弱性）的攻击和入侵（威胁）。然后根据组织信息安全目标，针对这些潜在威胁，识别出可以有效降低风险的低成本控制。这些控制可作为选择IDPS的基础。 注：信息安全风险评估和管理是GB/T 22080的主题。 IDPS安装完成并开始运行后，需要根据系统操作的变更和威胁环境的变化，持续实施风险管理过程，以便周期性地评审控制的有效性。7.3 主机或网络IDPS7.3.1 概述IDPS的部署需要基于组织信息安全风险评估和资产保护优先级，同时选

31、择IDPS时需要研究IDPS监视事态最有效的方法，即选择NIDPS和HIDPS共同部署：首先分阶段部署NIDPS（因为NIDPS安装和维护通常最简单），然后在关键服务器上部署HIDPS。每种选择方式都有其优缺点。例如将IDPS部署在外部防火墙之外时，由于外部防火墙能有效阻止大量需要扫描的报警事态，因此IDPS不需要对大部分报警事态进行深入分析。当对IDPS产品有安全等级方面的要求时,参见GB/T 20275和GB/T 28451。7.3.2 基于网络的IDPS（NIDPS）当部署NIDPS时，将传感器主要放置在如下位置： 外部防火墙之内； 外部防火墙之外； 主要的骨干网络上； 关键子网上。7.

32、3.3 基于主机的IDPS（HIDPS）当选择HIDPS时，需识别目标主机，同时由于其部署成本较高，因此需根据目标主机风险分析结果和成本效益（对主机进行优先级排序），优先在关键主机上部署HIDPS。当HIDPS部署的主机数量较大时，需要考虑部署具备集中管理和报告功能的IDPS。7.4 考虑事项7.4.1 系统环境在信息安全风险评估的基础上，首先确定需要保护的资产优先级，然后记录并综合考虑如下系统环境信息，在此基础上选择定制合适的IDPS： 网络拓扑图，详细说明主机数量和位置、网络入口以及与外部网络连接点等； 网络管理系统的描述； 每个主机的操作系统； 网络设备（如路由器、网桥和交换机）的数量和

33、类型； 服务器和拨号线路的数量和类型； 网络服务器的描述，包括类型、配置、应用软件和正在运行的版本； 与外部网络的连接，包括标称带宽和支持协议； 与引入连接路径不同的数据返回路径，即不对称数据流。当系统部署于云计算平台之上时，还需要考虑收集以下系统环境信息： 云计算平台的外部边界和内部关键边界； 云计算平台所使用的虚拟化平台软件信息，包括软件名称、配置、版本等。7.4.2 安全保护机制在记录系统环境信息之后，识别已安装的安全保护机制，包括： 非军事区（DMZ）； 防火墙和过滤路由器的数量、类型和位置； 身份鉴别服务器； 数据和通信链路加密； 反恶意软件或反病毒包； 访问控制产品； 专业的安全硬

34、件如加密硬件； 虚拟专用网络（VPNs）； 其他已安装的安全机制； 当系统部署在云计算平台上时，云平台多租户之间互访限制及攻击防护。7.4.3 IDPS安全策略在记录系统环境和通用的安全环境信息基础上，制定IDPS的安全策略，主要考虑如下因素： 要监视的信息资产类型； 未成功打开或未成功关闭时，采取的策略； 需要的IDPS的类型； IDPS部署的位置； 需要检测的攻击的类型； 需要记录的信息的类型； 响应或报警的类型； 系统环境为云环境时，采用的流量引入IDPS方式、产品形态、部署模式。IDPS安全策略体现了组织购买IDPS的目标，这是从IDPS获取收益的开始。为了详细说明IDPS安全策略目的

35、和目标，需首先识别内部和外部风险，在此基础上，可将IDPS安全策略定义为一组IDPS产生报警的规则。需要组织依据对IDPS系统在保密性、完整性、可用性、抗抵赖性（上述四个为标准安全目标）、隐私、责任保护、易管理性等方面的管理目标需求，对IDPS安全策略进行评审（需提供针对IDPS需求的模版）。当IDPS检测到安全策略违规时，需确定IDPS的响应策略。当对信息安全策略违规进行响应时，需对IDPS进行配置，并要求操作人员了解响应策略，以便正确处理IDPS报警。例如可请求执法机构开展调查以帮助解决安全事件，并将相关信息（包括IDPS日志）移交执法机构，以获取证据。安全事件管理相关的其他信息可参见GB

36、/T 20985。7.4.4 性能选择IDPS时，还需要考虑性能因素，至少需包括： IDPS需要处理的带宽的大小； 在给定带宽下，误报率的最大范围； 能否为选择高速IDPS提供正当理由，或者中速或低速的IDPS能否满足需要； 由于IDPS性能局限性，错过潜在入侵的后果； 当深度包检测和重组发生时，对IDPS性能的影响。组织需避免以下两类IDPS的产生：在大多数环境中，IDPS会错过或者漏掉可能是攻击的一部分流量包；某些时候，随着带宽和（或）网络流量的增加，IDPS不能再有效和持续地检测入侵（可持续性主要是在给定的可用带宽范围内持续检测攻击的能力）。结合负载均衡和调整优化可以提高IDPS效率和性

37、能。例如： 需要组织网络及其脆弱性的相关知识：通过信息安全风险评估过程明确需要保护的网络资产（每个网络都是不同的），这些资产与哪些攻击特征的调整优化有关。 当IDPS用于处理有限数量的网络流量和服务时，其性能会更好。例如从事电子商务的企业需要监视所有HTTP流量并需要调整优化IDPS，以便查找仅与web流量相关的攻击特征。 恰当地负载均衡配置能使基于特征的IDPS运行地更快更彻底，因为基于特征的IDPS不需要遍历所有攻击特征的数据库，只需要遍历优化后更小的攻击特征数据库。在IDPS的部署中，负载均衡可用来分割可用带宽，但该措施会产生诸如附加成本、管理开销、流量同步失效、重复报警和漏报等问题。在

38、当前的技术条件下，IDPS与负载均衡的成本效益比可能是最低的。7.4.5 能力的验证仅依靠供应商提供的有关IDPS能力的信息通常是不够充分的。因此，选择IDPS时，可以要求供应商附加说明，或者给出适用于组织具体环境及安全目标的IDPS适用性示范。具体而言，可以要求IDPS供应商（大部分IDPS供应商具有调整其IDPS产品（针对目标网络扩容）的经验，部分供应商在威胁环境中可以支持新协议标准，在平台类型和变更等方面积累了相关经验）提供如下信息对IDPS能力进行验证： 在特定环境中，IDPS的适用性该做何种假设； 为验证IDPS能力而执行的测试的详细资料； 对IDPS操作人员该做何种假设； 提供的I

39、DPS接口（例如物理接口、通信协议、与关联引擎交互的报告格式等）； 报警输出机制或格式，以及它们是否有据可查（例如格式、系统日志消息或简单网络管理协议（SNMP）消息的管理信息库（MIB）； IDPS接口是否可以配置快捷键、配置可定制报警功能以及配置自定义攻击特征； 动态配置IDPS时，能够提供的特征是否都有据可查； 产品能否适应信息系统的发展和变化； IDPS产品能否适应不断扩大、日益多样化的网络； IDPS是否具备自动防故障和故障排除能力，以及这些能力如何与网络链路层上的相同能力集成； IDPS是否为报警使用专用网络，或者报警与监视是否使用相同的网络进行传输； 在质量保证、脆弱性响应和产品

40、性能记录方面，供应商的信誉如何； 当部署于云计算环境时，IDPS在云计算平台中的适用性该做何种假设。7.4.6 成本IDPS成本除了购买IDPS软硬件花费的实际成本，其附加成本包括：运行IDPS软件系统的购置成本、安装和配置IDPS的成本、人员培训和维护成本等，其中最大的成本是管理系统和分析结果的人员成本。目前，测量IDPS成本常用的方法是投资回报率（ROI）或成本效益分析。ROI主要基于管理入侵时节省的成本来计算。成本效益分析主要是要确保购买和操作IDPS的成本要与处理报警所需的人员成本以及由于误报和不恰当响应（如由于无法确定信息系统哪部分遭到损害而重装信息系统）导致的间接成本相互平衡。运行

41、IDPS的好处主要包括： 可以识别有缺陷的或错误配置的设备； 提供验证配置； 提供系统使用的统计信息。选择IDPS时，需要考虑IDPS的总成本，因此需要分析组织内部署IDPS的花费，主要从如下方面确定： 购买IDPS的初始预算； IDPS的运行时间（如7*24h或者更少时间）； 处理、分析和报告IDPS输出需要的基础设施及其成本； 按照安全策略配置的IDPS所需人员和资源，操作、维护、更新和监视IDPS输出以及响应报警所需的人员和资源，如无相关人员和资源，如何实现相关功能； IDPS培训的成本； IDPS部署的范围（如HIDPS保护主机的数量）。可以通过向远程管理的IDPS服务外包商外包IDP

42、S监视和维护功能来降低日常管理成本，从而降低相关成本。从IDPS提供的功能来看，响应是IDPS部署中成本最高的部分，主要涉及确定响应方式、建立响应队伍、开发与部署响应策略以及培训和演练。7.4.7 更新7.4.7.1 总则由于多数IDPS基于攻击特征，因此IDPS的价值相当于针对事件分析的攻击特征数据库。由于不断发现新的攻击和脆弱性，因此，需持续更新IDPS攻击特征数据库。故选择IDPS时组织至少需考虑如下方面： 更新的及时性； 内部分发的有效性； 更新实施； 攻击特征更新后对系统影响。7.4.7.2 基于特征的IDPS更新的及时性只有维护好攻击特征，才可以有效检测出已知攻击。为确保攻击特征更

43、新的及时性，选择IDPS时需考虑如下方面： 当发现漏洞时，IDPS供应商发布攻击特征更新信息的速度； 通知程序的可靠性； 攻击特征更新信息的真实性和完整性； 如果需要自定义攻击特征，是否具备足够可用的技术； 为了立即响应高风险脆弱性或持续攻击，是否可写入或者接收自定义攻击特征。7.4.7.3 内部分发的有效性和更新实施攻击特征更新后，需要向所有相关系统快速分发并实施具体更新。此时需及时修改攻击特征的更新资料，以便包括特定站点的IP地址、端口等。因此选择IDPS时，在网络可信边界需注意如下方面： 在手动分发时，管理员或用户能否在可接受的时间范围内实施攻击特征更新； 能否测量自动分发和安装过程的有

44、效性； 是否具备可有效跟踪攻击特征更新的机制。7.4.7.4 系统影响为将攻击特征更新对系统性能的影响最小化，在选择IDPS时需注意如下方面： 攻击特征的更新是否影响重要服务或应用的性能； 能否选择性关注攻击特征的更新，以避免冲突影响服务或应用的性能。7.4.8 报警策略IDPS的配置和操作主要基于设定的监视策略。选择IDPS时，在报警策略方面需要考虑兼容现有信息基础设施的报警方法，诸如电子邮件、网页、短信系统（SMS）、SNMP事态以及自动阻止攻击源等。当IDPS数据用于取证（包括内部举证）时，需要依据法律法规的要求来处理、管理、应用或提交IDPS数据。7.4.9 身份管理7.4.9.1 总

45、则选择IDPS时，还需要考虑IDPS身份管理（用于保护IDPS数据和身份交换的安全、可控），关键是IDPS远程证明和在线升级需要借助可信第三方作为权威机构（类似于公钥基础设施中的权威机构）来进行。此外，IDPS身份管理对无缝、安全、可控的IDPS 数据和企业网络信任边界的IDPS身份交换也很重要。 7.4.9.2 远程证明IDPS包含的代码可达数百万行，可能被攻击者插入恶意软件，从而控制IDPS的输出。针对此问题，可以通过远程证明（在无人发出指令的情况下），基于发起访问请求的访问者身份，对IDPS软件和硬件的访问控制进行严格的鉴别。在IDPS硬件中，远程证明主要通过产生加密证书或者散列值来验证硬件设备的身份或者在设备上运行软件的身份。其中，散列值（表示身份最简单的形式）可区分不同软件、设备并发现软件的变更，加密证书可提供给IDPS用户请求的远程方，还可用于校验远程方（即IDPS正在使用预期的和未被改动的软件）。当IDPS软件有改动时，生成的加密证书中IDPS的编码也会改变。 远程证明的目的是检测IDPS软件的未授权变更（例如如果攻击者已经替换或者修改了一个IDPS应用或者操作系统