一、引述
入侵检测系统(IDS,intrusion detection system)是一种重要的网络安全技术,它就像网络世界的“监控摄像头”和“警报系统”,用于监控网络或系统中的异常活动或策略违规行为,并在发现威胁时发出警报。而入侵防御系统(IPS,intrusion prevention system),则是入侵检测系统(IDS)的变体,也称之为IDS的演进,在IDS的只对入侵进行检测的基础上又增加了阻断的功能。它部署在关键网络路径上,对经过的所有数据包进行深度检测,并在线实时执行阻断、告警等动作。IPS实现了IDS从“被动监听告警”到“主动在线防御”的跨越。
我们知道,根据部署位置不同,IDS可分类为基于主机入侵检测系统(HIDS,Host-based IDS)和基于网络入侵检测系统(NIDS,Network-based IDS)。NIDS得到了广泛的应用。同理,IPS也有此分类。
对于入侵检测系统(IDS)和入侵防御系统(IPS)是由国家标准进行了技术规范要求。其中,GB/T 20275和GB/T 28451标准分别对IDS和IPS提出了相关技术与测评要求。下述将介绍这两个国家标准的内容情况和版本变化情况。
二、入侵检测系统(IDS)的国家标准情况:GB/T 20275
1、标准的基本情况
入侵检测系统(IDS)国家标准GB/T 20275的首版发布于2006年,即GB/T 20275-2006《信息安全技术 入侵检测系统技术要求和测试评价方法》,包括IDS的技术要求和测试评价方法的规定。目前在2013年和2021年进行了两次修订,修订后的标准变化为专门对NIDS的技术要求和测试评价方法,即GB/T 20275《信息安全技术 网络入侵检测系统技术要求和测试评价方法》。下表2-1汇总了IDS的国家标准GB/T 20275的基本情况,包括各版本的标准编号与标准名称、标准的发布日期与实施日期、标准的摘要与适用范围等。
表 2-1:入侵检测系统(IDS)的国家标准GB/T 20275情况
2、标准的修订情况
标准GB/T 20275在2013年的第1次修订时,修订为专门针对NIDS的技术要求和测试评价方法,且删除了原版本中对于基于主机入侵检测系统(HIDS)要求的内容,并代替了GB/T 20275-2006,两个版本的主要变化详见下表2-2的所述。标准GB/T 20275在2021年的第2次修订后,与 GB/T 20275-2013相比,除结构调整和编辑性改动外,主要技术变化也列于下表2-2中,同时GB/T 20275-2021代替了GB/T 20275-2013。
表 2-2:GB/T 20275标准两次修订的技术变化内容
3、标准的主要内容构成情况
GB/T 20275-2006《信息安全技术 入侵检测系统技术要求和测试评价方法》是对IDS技术要求和测试评价方法做出了规定,包括HIDS和NIDS。因此标准的主要内容是由7章所组成,其章、节名称详见下表2-3-1。GB/T 20275-2013《信息安全技术 网络入侵检测系统技术要求和测试评价方法》是对NIDS技术要求和测试评价方法做出的规定,但标准的主要内容是仍由7章所组成,且其章、节名称基本同表2-3-1。
表 2-3-1:GB/T 20275-2006的目录
GB/T 20275-2021《信息安全技术 网络入侵检测系统技术要求和测试评价方法》是对NIDS技术要求和测试评价方法规定进行了修订,使得NIDS从“被动防御”到“智能感知”的变化,首次明确了 NIDS从“检测”到“感知-分析-处置”的闭环。新版标准将 NIDS 定位从“辅助监测工具”升级为“核心感知单元”。这是因为,随着云计算和物联网等的普及,网络攻击呈现规模化、隐蔽化特征,传统 NIDS 被动监测模式失效。新版GB/T 20275-2021 应势将NIDS 核心价值从“事后告警”转向“事前感知、事中响应”。标准立足攻防对抗新态势,明确 NIDS 需融入智能分析能力,成为网络安全防护体系的“神经末梢”,这一转变是应对 高级持续性威胁(APT)攻击、零日漏洞等新型威胁的关键举措。另外,GB/T 20275-2021也简化了NIDS安全等级的划分,等级由原来得三级变为两级。GB/T 20275-2021标准的主要内容仍是由7章所组成,其章、节名称详见下表2-3-2。若要详细了解GB/T 20275-2021标准具体内容得请查阅下附件2。
表 2-3-2:GB/T 20275-2021标准得目录
附件2:GB/T 20275-2021《信息安全技术 网络入侵检测系统技术要求和测试评价方法》
三、入侵防御系统(IPS)的国家标准情况:GB/T 28451
1、标准得基本情况
由于入侵防御系统(IPS)是入侵检测系统(IDS)的演进,因此,入侵防御系统(IPS)的首版国家标准GB/T 28451是发布于2012年,即GB/T 28451-2012《信息安全技术 网络型入侵防御产品技术要求和测试评价方法》,首版就是对网络入侵防御系统(NIPS)的技术要求和测试评价方法做出规定。目前在2023年对其进行了第1次的修订,修订后标准名称发生了变化,即GB/T 28451-2023《信息安全技术 网络入侵防御产品技术规范》,仍然是NIPS的技术要求和测评方法的规定。下表3-1汇总了NIPS的国家标准GB/T 28451的基本情况,包括各版本的标准编号与标准名称、标准的发布日期与实施日期、标准的摘要与适用范围等。
表 3-1:网络入侵防御系统(NIPS)的国家标准GB/T 28451情况
2、标准的修订情况
随着数字经济快速发展,网络攻击手段不断迭代,2012年版标准已难以覆盖新型威胁。 2023年版修订源于三个方面,并能带来四个方面的趋势,具体详见下表3-2-1的阐述。新旧版对比,新版新增云环境防护、物联网入侵检测等内容,强化了AI 检测技术要求。为此,GB/T 28451-2023与GB/T 28451-2012相比 除结构调整和编辑性改动外,主要的技术变化详见下表3-2-2的描述。
表 3-2-1:GB/T 28451修订的原因及新版标准带来的趋势
表 3-2-2:GB/T 28451-2023对原版本修订的主要技术变化内容
3、标准的主要内容组成
GB/T 28451-2012《信息安全技术 网络型入侵防御产品技术要求和测试评价方法》标准的主要内容是由8章所组成,其章、节名称详见下表3-3-1。
表 3-3-1:GB/T 28451-2012标准的目录
GB/T 28451-2023《信息安全技术 网络入侵防御产品技术规范》为修订版,其核心功能包括:入侵防御,可阻断已知攻击;异常检测,识别未知威胁;流量控制,限制恶意流量;以及协议分析,解析异常协议。例如,对 HTTP协议异常请求的检测与阻断,需符合标准中协议合规性检查要求,确保精准识别 SQL 注入、XSS等攻击。因此,GB/T 28451-2023标准的主要内容是由8章和1个规范性附录所组成,其章、节和附录的名称详见下表3-3-2。若要详细了解GB/T 28451-2023标准具体内容得请查阅下附件3。
表 3-3-2:GB/T 28451-2023标准目录
附录 3:GB/T 28451-2023《信息安全技术 网络入侵防御产品技术规范》
欲更多了解IDS和IPS产品性能要求详细介绍的请进入。
四、特别提示
特别需要指出的是:入侵检测系统(IDS)和入侵防御系统(IPS)的产品列入到了国家《网络关键设备和网络安全专用产品目录》,IDS和IPS产品应当按照上述国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供,形成了一种销售许可或进网许可的管理机制。
欲详细了解国家《网络关键设备和网络安全专用产品目录》的请进入。
同时,IDS和IPS产品的入网许可,不仅要分别符合上述GB/T 20275和GB/T 28451的要求,还需要满足国家强制性标准GB 42250《信息安全技术 网络安全专用产品安全技术要求》的规定。
欲进一步了解网络安全专用产品的安全技术要求国家标准的请进入。
