《入侵检测系统的选择、部署和操作》标准编制说明.doc

信息技术 安全技术 入侵检测系统的选择、部署和操作（征求意见稿V2.0）编制说明一、 任务来源根据国家标准化管理委员会2009 年第一批国家标准制修订计划，国家标准信息技术 安全技术 入侵检测系统的选择、部署和操作由中华人民共和国工业和信息化部提出，由全国信息安全标准化技术委员会归口，由山东省标准化研究院、中国电子技术标准化研究所、山东省计算中心等多家单位参与起草，其项目计划代号为20090336-T-469。二、 研究目标和内容通过紧密跟踪和深入研究国际标准ISO/IEC 18043:2006信息技术 安全技术 入侵检测系统的选择、部署和操作以及相关的工作文件和学术文献，参考我国已有的信息安全和入侵检测系统的相关标准和要求，制定国家推荐性标准，为入侵检测系统的使用组织提供选择、部署和操作入侵检测系统的建议和指南。 三、编制原则根据我国在选择、部署和操作入侵检测系统的研究现状，为了保证选择、部署和操作入侵检测系统的完整性、科学性和严谨性，编制组确定等同采用ISO/IEC 18043信息技术 安全技术 入侵检测系统的选择、部署和操作。四、主要工作过程1、20072008年9月，跟踪研究国际标准选择、部署和操作入侵检测系统的发展动态，翻译了国际标准ISO/IEC 18043的中文文本，在此期间，提交了项目申报建议书；2、2008 年12 月2009 年5月，组建标准编写组，搜集入侵检测系统相关资料，并对预案中文文本规范语言，统一格式，再次校对，形成本标准初稿；3、2009年6 月，标准编制组对标准初稿进行了组内的多次讨论修改，形成了标准的征求意见稿第一稿。4、2009年7月-10月，征求意见，将收集到的反馈意见和建议进行了汇总整理，并将征求意见稿进行反复的修改完善，形成了征求意见稿第二稿；5、2009年11月，在北京应物会议中心举行了本标准的专家研讨会，与会专家针对标准的编写情况、标准中涉及到的疑难点进行了充分的研讨，为标准制修订的顺利进行指明了方向。会后，标准编写组根据专家意见对标准进行了修改完善，形成征求意见稿第三稿，并提交信安标委继续在全国范围内征求意见。五、主要内容本标准提供了有效选择、部署和操作IDS的指南，以及IDS的基础知识。适用于使用入侵检测系统的组织和考虑外包其入侵检测能力的组织。注 虚线框中的内容超出了本标准的范围。本标准的主要框架如下：风险评估确定IDS需求IDS选择（第5章）IDS部署（第6章）HIDS部署（6.1.1）NIDS部署（6.1.2）IDS操作（第7章）持续的风险评估选择第5章操作第7章部署第6章标准的编写结构如下：1 范围2 术语和定义3 背景4 概述5 选择5.1 信息安全风险评估5.2 主机或网络IDS5.3 考虑事项5.4 补充IDS的工具5.5 可量测性5.6 技术支持5.7 培训6 部署6.1 分阶段部署7 操作7.1 IDS调试7.2 IDS脆弱性7.3 处理IDS警报7.4 响应选项7.5 法律方面的考虑事项附录A (资料性附录) 入侵检测系统（IDS）：框架和需考虑的问题六、有关技术问题的说明1、 有关词汇和术语的确定1) Operating 本文翻译为“操作” 2) Attestation 证明；remote attestation 远程证明3) cryptographic hash value 密码散列值4) Exploit （漏洞）利用5) false negative 漏报6) test access point (TAP)：测试接入点7) Monitor 监视8) Monitoring 监视器9) Sensor 探测器10) provisioning 在线升级11) Overhead（2.29）负载12) Specific 针对性 （5.4.7 ）13) Scalability 可伸缩性 （5.5）14) public advisories 公共机构 （7.3）15) 附录A.3.3.2中，“profile”翻译为“轮廓文件”2、 更改引用标准名称和标准号文中的ISO/IEC类标准如果已经有已经发布的等同采用的国家标准，则改为相应的国家标准号和名称，若还没有被等同采用，则采用原有的ISO/IEC标准号和名称。3、 更改标准章节编号在附录A中，A.6、A.7和A.8的编号不符合常用的规范，因此在A.6之后增加了 “A6.1 管理功能”；将“A7.1.1”改为“A7.1”、将“A7.1.