GB/T284542020

当检测到这些活动时，IDPS会发出报警信号和（或）自动响应。IT安全人员负责评估这些报警信号和 相关日志并做出恰当的响应。因此，当需要对组织信息系统的入侵进行检测并给出响应时，可以考虑部 署IDPS。此时，既可通过直接获取IDPS软硬件产品的方式部署IDPS，也可通过向IDPS服务提供商 外包IDPS业务的方式部署IDPS

自前，可供选择的IDPS产品和服务众多，有付费的商业产品也有免费开源的。不同的IDPS产品 和服务采用不同的技术和方法。此外，IDPS并不是“即插即用”的，需要专业人员进行安装部署，因此当 准备部署IDPS时，相关人员需要熟悉本标准提供的指南和相关信息。 关于 IDPS 的基础知识参见附录 A,

综合考虑IDPS的功能和局限性（参见附录A），组织可把基于主机的方法（包括应用监视）和基于 网络的方法结合起来，以应对各种潜在入侵。根据每类IDPS的优缺点，将其结合起来，能更好地处理 安全事态以及提供报警分析。 不同IDPS技术的结合主要依赖于IDPS报警管理系统中关联模块的可用性。人工关联HIDPS和 NIDPS报警信息无任何优点岩土工程，却会导致操作人员超负荷工作，其结果比从一种IDPS中选取最合适的输 出方式效果更差。 在组织内选择、部署和操作IDPS的过程如图1所示，第7章～第9章将详细描述本过程中的关键 步骤。

IDPS的选择、部署和操

GB/T284542020

7.2信息安全风险评估

选择IDPS之前，首先需要实施信息安全风险评估，在考虑相关因素（诸如信息系统使用信息的性 质、需要如何保护这些信息、使用的通信系统类型以及其他操作和环境的因素）基础上，识别针对组织信 息系统（可能存在脆弱性）的攻击和人侵（威胁）。然后根据组织信息安全自标，针对这些潜在威协，识别 出可以有效降低风险的低成本控制。这些控制可作为选择IDPS的基础。 注：信息安全风险评估和管理是GB/T22080的主题， IDPS安装完成并开始运行后，需要根据系统操作的变更和威胁环境的变化，持续实施风险管理过 程，以便周期性地评审控制的有效性。

Z.3 主机或网络 IDPS

IDPS的部署需要基于组织信息安全风险评估和资产保护优先级，同时选择IDPS时需要研究 DPS监视事态最有效的方法，即选择NIDPS和HIDPS共同部署：首先分阶段部署NIDPS（因为 NIDPS安装和维护通常最简单），然后在关键服务器上部署HIDPS。 每种选择方式都有其优缺点。例如，将IDPS部署在外部防火之外时，由手外部防火墙能有效阻 天量需要扫描的报警事态，因此IDPS不需要对天部分报警事态进行深入分析。 当对IDPS产品有安全等级方面的要求时，按照GB/T20275和GB/T28451执行

2基于网络的 IDPS(N

当部署NIDPS时，将传感器 外部防火墙之内： 外部防火墙之外： 主要的骨干网络上； 一关键子网上。

73.3基于主机的 IDPS(HIDPS)

当选择HIDPS时 本较高，因此需根据目标主机风险分析结 集和成本效益（对主机进行优先级排序），优先在关键主机上部署HIDPS。当HIDPS部署的主机数量 交大时，需要考虑部署具备集中管理和报

在信息安全风险评估的基础上，首先确定需要保护的资产优先级，然后记录并综合考虑如下系统环 境信息，在此基础上选择定制合适的IDPS： 一网络拓扑图，详细说明主机数量和位置、网络人口以及与外部网络连接点等； 一网络管理系统的描述：

7.4.2安全保护机制

在记录系统环境信息之后，识别已安装的安全保护机制，包括： 一非军事区（DMZ）； 防火墙和过滤路由器的数量、类型和位置； 身份鉴别服务器； 数据和通信链路加密： 反恶意软件或反病毒包； 访问控制产品： 专业的安全硬件，如加密硬件； 虚拟专用网络（VPNs）； 其他已安装的安全机制： 当系统部署在云计算平台上时 间互访限制及攻击防

7.4.3IDPS安全策略

GB/T284542020

断发现新的攻击和脆弱性，因此需持续更新IDPS攻击特征数据库。故选择IDPS时组织至少需考虑 如下方面： 更新的及时性： 一内部分发的有效性； 一更新实施： 一攻击特征更新后对系统影响

7.4.7.2基于特征的 IDPS 更新的及时性

只有维护好攻击特征，才可以有效检测出已知攻击。为确保攻击特征更新的及时性，选择DPS时 需考虑如下方面： 一当发现漏洞时，IDPS供应商发布攻击特征更新信息的速度： 一通知程序的可靠性； 一攻击特征更新信息的真实性和完整性：

GB/T284542020

如果需要自定义攻击特征，是否具备足够可用的技术； 为了立即响应高风险胞弱性或持续攻击，是否可写入或者接收自定义攻击特征

内部分发的有效性和更新

新资料，以便包括特定站点的IP地址、端口等。因此选择IDPS时，在网络可信边界需注意如下方面： 一在手动分发时，管理员或用户能否在可接受的时间范围内实施攻击特征更新： 一能否测量自动分发和安装过程的有效性； 一是否具备可有效跟踪攻击特征更新的机制

7.4.7.4系统影响

对移攻出特 下方面 攻击特征的更新是否影响重要服务 文做用的佳邮

选择IDPS时，还需要考IDPS身份管理（用手保护IDPS数据和身份交换的安全、控），关键是 DPS远程证明和在线开级需要借助可信第三方作为权威机构（类似于公钥基础设施中的权威机构）来 进行。此外，IDPS身份管理对无缝、安全、可控的IDPS数据和企业网络信任边界的IDPS身份交换也 很重要。

7.4.9.2 远程证明

此 ，可以通过远程证明（在无人发出指令的情况下），基于发起访问请求的访问者身份，对IDPS软件和 更件的访问控制进行严格的鉴别。 在IDPS硬件中，远程证明主要通过产生加密证书或者散列值来验证硬件设备的身份或者在设备 上运行软件的身份。其中，散列值（表示身份最简单的形式）可区分不同软件、设备并发现软件的变更， 廿密证书可提供给IDPS用卢请求的远程方，还可用于校验远程方（即IDPS正在使用预期的和未被改 力的软件）。当IDPS软件有改动时，生成的加密证书中IDPS的编码也会改变。 远程证明的目的是检测IDPS软件的未权变更（例如，如果攻击者已经替换或者修改了一个 PS应用或者操作系统的一部分，远程服务或其他软件将无法认可们）。因此，远程方（如网络运行 中心NOC)检测到被病毒或者木马破坏的IDPS软件时，要采取相应措施，并远程通知与此IDPS相关 联的其他IDPS（此IDPS受到了损害），并且在此IDPS恢复功能前，避免其发送相关信息。 因此，IDPS需要借助远程证明实现如下功能： 一向远程方证明或报告其状态，配置或其他重要信息

7.4.9.3在线升级

当远程证明检测到IDPS存在问题时，可通过在线升级（业界已采纳术语“在线升级”，涵盖了为IT 设备（也包括IDPS）安装正确软件、执行安全策略及加载配置数据的过程）解决。这主要通过远程方向 IDPS推送已鉴别配置、软件更新和补丁等来完成。在线升级尤其是攻击特征的更新应尽可能的远程处 理，这样既可节约人员成本，又可及时地缓解问题。为行之有效，IDPS在线升级需要从远程方进行推 送，由IDPS安全地拉入即由IDPS安全、自动地从供应商网站上远程查找并下载已鉴别的更新。

7.5补充IDPS的工具

对于检测入侵并减轻侵引起的损害而言，IDPS并不是唯一、完善的解决方案。因此，选择IDPS 时，还需要借助一些设备和工具以加强和补充IDPS的能力，主要包括： 文件完整性检查器； 防火墙或安全网关： 蜜罐； 网络管理工具； 安全信息和事态管理（SIEM）工具； 一病毒（内容）保护工具： 一脆弱性评估工具

还需要借助一些设备和工具以加强和补至 一文件完整性检查器： 防火墙或安全网关； 蜜罐； 网络管理工具； 安全信息和事态管理（SIEM)工具： 一病毒（内容）保护工具： 一脆弱性评估工具，

7.5.2文件完整性检查器

文件完整性检查器是辅助IDPS的另一类安全工具，其利用关键文件与对象的信息摘要或者加密 校验码，与参考值相比较，来标记文件的差异或变化。由于攻击著可能修改系统文件，因此自前主要在 政击的三个阶段使用加密校验码：第一阶段，攻击者修改了作为攻击目标的系统文件（例如，放置木马）： 第二阶段，攻击者试图在系统内留下后门，以便随后能重新进人；最后阶段，攻击者试图掩盖痕迹，使系 统责任人可能意识不到攻击。 选择文件完整性检查器时，需要考虑其优缺点。 优点： 可以确定厂商提供的bug补丁或其他期望变更是否已经运用于系统二进制文件； 一允许对攻击迹进行快速可靠的判断，特别是对已被攻击的系统进行取证检查时 一攻击者经常修改或者替换系统文件，并利用技术手段保留系统管理员例行检查的文件属性；而 使用此工具能检测到对文件的任何变更或修改： 一可识别对数据文件的修改。 缺点： 一在分析期间，可能要求关团信店

防火墙（见GB/T25068.2）主要用于限制网络间的访问。简单的防火墙是基于组织可访问的源

GB/T284542020

蜜罐是诱骗系统的专业术语，用来欺骗、分散、转移并引诱攻击者在看似有价值的信息上花费时间， 这些信息实际上是造的，对合法用户来说毫无价值。蜜维的主要自的是收集对组织有威胁的信息， 引诱人侵者远离关键系统。 蜜罐不是一个操作系统，而是能引诱攻击者保持足够在线时间的信息系统，以评估攻击者的意图、 能水平和操作方法。 分析蜜罐中入侵者的活动可以使组织更好地理解系统受到的威胁和其脆弱性，从而改进IDPS的 作，为推进组织IDPS的策略、攻击特征数据库以及整体方法（此方法是IDPS避免受到已知攻击威胁 最佳实践）的发展提供帮助。 密罐使用前，需寻求法律顾问的指导。鉴于蜜罐是一种诱捕技术，需要确定蜜罐及其数据的合 性。 选择蜜罐时，需要考虑其优缺点。 优点： 一一将攻击者转移到他们不能破坏的目标系统； 一密罐不管理已授权的活动，因此蜜罐捕捉到的所有活动均是可疑的： 一管理员有更多时间决定如何应对攻击者； 一能够更加容易、广泛地监视攻击者活动，监视结果可用来优化威胁模型、提升保护系统的能力； 一可以有效捕提在网络上进行窥探的内部人员。 缺点： 一使用此设备的合法性尚不确定； 旦进人诱捕系统，攻击者可能发动更具破坏性的攻击； 为了使用这些系统，管理员和安全管理者需具备较多的专业知识

7.5.5网络管理工具

网络管理工具利用探测技术来监视网络设备的可用性和性能，通过收集网络部件和拓扑信息，来进 行网络基础设施配置和管理。 网络管理工具主要与IDPS报警相关联，帮助IDPS操作者恰当地处理报警并评价他们对于所监视 系统的影响。

7.5.6安全信息事态管理（SIEM）工具

整合后的信息发送给管理平台和报警控 可以管理和利用这此海量信息。同 M通过关联分析（使无数小的单个数据包和多个数据源在雷达控制下长时间关联）收集的数据

SIEM工具也可用于处理从IDPS获得的数据，其主要功能包括： 收集和维护与安全相关的不同数据源的事态数据，可能包含来自=个或多个IDPS的数据、来 自网络设备与主机的日志文件以及来自反病毒工具的事件数据； 一进一步处理所收集的数据，特别是提供进一步的事态关联、事态过滤和事态聚合； 一事态关联：通过建立安全和非安全相关事态的情景来检测非模式相关的安全痛洞： 事态过滤：通过基于相关性的关联来降低报警级别（例如，IDPS报警和安全补丁级别）； 事态聚合：通过收集和归一化基于源、目的、时间截和事态描述等的事态，来降低IDPS报警 溢出： 一为报告相关报警提供简单易用的界面，为基于收集数据的报警进行深层次分析提供帮助。 SIEM主要目标是自动区别高威胁报警以及不相关或者没有威胁的误报。当策划引人SIEM工具 时，需将其作为重要的任务，对SIEM进行正确地配置。当SIEM与IDPS配合使用时，能提供更多有 价值的信息，从面触发诸如事件管理这样进一步的处理过程和活动·但SIEM配置需要高水平的专业知 识和大量的工作。

7.5.7病毒（内容）保护工具

病毒（内容）保护工具可通过对特定流量和病毒来源信息的交叉分析，提供附加数据来对IDPS 补充。

7.5.8脆弱性评估工具

脆弱性评估是风险评估、安全审计（符合性检查）和监现策略的重要组成部分。其通过查找脆弱性。 取纠正措施来减少入侵者利用脆弱性入侵的机会。因此使用脆弱性评估能极大地减少IDPS查找攻 的数量。 与执行攻击脚本不同，脆弱性评估重点在于评估给定主机对给定脆弱性的暴露程度。因此，IDPS 金测脆弱性评估活动失效并不表示IDPS不能检测攻击。相反的，IDPS对脆弱性评估活动的检测并不 意味着相同的IDPS也可以准确地检测到攻击。 脆弱性评估工其主要用来测试网络主机对损害的敏感度。其与IDPS结合使用，为检查IDPS在攻 检测和攻击应对方面的有效性提供了好的方法。脆弱性评估工具可分为基于主机或基于网络两类。 中，基于主机的脆弱性工具通过查询数据源、配置细节和其他状态信息，来评估信息系统的安全，其允 访问目标主机，通过远程连接在目标主机上运行。基于网络的脆弱性工具用来扫措与网络服务相关 关主机的脆弱性。脆弱性评估需要由管理者批准以后才能进行。使用脆弱性评估工具是对IDPS的补 不是替代。 选择脆弱性评估工具时，需要考虑其优缺点。 优点： 脆弱性评估工具为记录信息系统的安全状态提供了有效的方法，它可以重建安全基线以便在 系统变更后回退； 一定期使用脆弱性评估工具能够可靠识别信息系统的变更 一最大的优点是帮助识别脆弱性： 一一允许将已知脆弱性与攻击数据相匹配，以确定攻击是否成功。 缺点： 一基手主机的脆弱性评估工具在建立、管理和维护方面迪常比基于网络的工具更加品贵： 一基于网络的脆弱性评估工具是与平台无关的，因此不如基于主机的工具更有针对性； 一脆弱性评估消耗资源（可能是不切实际的，也可能是以降低系统或网络性能为代价，或者在规

GB/T284542020

定日期和时间限制下运行）； 在许多情况下，脆弱性评估是周期性（周、月或随机的)活动，可能不能及时检测出安全事件； 和IDPS一样，脆弱性评估工具易受到误报或漏报的影响，需要仔细分析： 重复地脆弱性评估会使基于异常的IDPS忽视真正的攻击； 一需要更新攻击特征； 一基于主机的脆弱性评估工具无法检测网络中的未授权系统。 基于网络脆弱性评估需要限定在目标系统中，由于收集数据是敏感信息（易被入侵者利用入侵信息 统），因此需要注意保护敏感信息和数据的隐私。

在选择IDPS时，还需要考虑其可伸缩性。许多IDPS在带宽提高后，性能却会降低（在数据传输速 率较低时IDPS性能较好），导致数据包丢失进而误报（当没有攻击时产生了报警）和漏报（当攻击产生 没有产生报警）显著增加，因此此类IDPS不适用于大规模或者广域分布式的企业网络环境， 可伸缩性主要适用于NIDPS部署以及需要高性能主机设备的HIDPS

仅通过技术不足以检测或防宿系统入侵，还需要考虑配备有资质的技术人员评估、选择、安装、操作 和维护IDPS。针对于此，可将IDPS操作外包给安全管理服务商，这样就无须招聘、雇佣、留住满足 DPS职责要求的有经验的专业人员，但会有培训方面的问题和风险（例如，即使IDPS的天部分功能选 择外包，也需要向员工培训关于IDPS的知识和IDPS的操作，否则将失去对IDPS的控制）。为降低此 类风险，可考虑通过培训方式使负责监督IDPS外包操作的员工熟悉IDPS操作和规程，实现IDPS的最 佳应用。相关培训可从IDPS产品供应商处获得，并作为IDPS购买成本的一部分。 当培训不是IDPS服务供应商所提供的服务的一部分时，组织需要额外增加操作人员培训的相关 预算。此类培训需要持续提供，

根据本标准前面的内容， 一基于风险评估，进行需求分析： 选择IDPS部署策略； 识别与网络基础设施、策略以及资源级别相一致的解决方案

进行IDPS维护和操作培训： 一制定培训和演练规程以处理和响应IDPS报警。 根据两种主要IDPS的优缺点，可考虑NIDPS和HIDPS的结合，以保护整个组织范围内的网络。 当在云计算环境中进行IDPS部署时，主要包括两种方式： 一基于服务器内部部署虚拟IDPS，利用虚拟平台软件开放的API接口，在能拟机流量进人虚拟 交换机之前，将流量引入到虚拟IDPS中，从而判断虚拟机直接流量交换是否存在漏润攻击； 基于重定向的方式部署IDPS.将虚拟机中的网络流量引人到外部物理交换机中，利用重定向 技术将流量引入到硬件IDPS中，从而进行深度报文检测和安全策略配置。 当在多层级组织中部署IDPS时，需要考虑的方面包括： 分级管理权限：需要限定上下级之间的权限划分，明确对跨级权限的限制： 策略管理：部分IDPS策略更改后同级不同IDPS之间的策略如何同步更新，下级策略修改更 新后，上级IDPS如何统计和管理最新策略，针对需要集中升级的策略，或部分分支需要升级 的策略如何统一分配； “目志信息上传管理：各级设备的版本、设备健康监视信息、规则库更新信息、目志报警信息的 获取； 日志、报表分析：如何对日志，报表进行分级、分类分析，保证既能详细了解数据全面的有效分 析结果，又不会泄露其他组织的内部保密数据； 一数据传输加密问题：不同层级间数据传输的通道应该做加密处理，防止信息外泄。 当在多层级组织中进行IDPS部署和操作时，主要通过如下方式： 一建立管理框架来启动和控制多层组织内IDPS的部署和操作： ·设立IPDS部署和操作的责任部门，由其制定的统一的管理机制，对本组织其他与IDPS系 统部署和操作相关的各垂直管理的业务部门进行管理和协调。 ·设立IPDS部署和操作的责任人。 ·各部门部署和操作IDPS时，责任部门有相关要求的，应该符合责任部门的要求。责任部 门无相关要求的，可特合部门自身的要求。 ·同一部门中，由上级对下级的IDPS的部署和操作进行管理，通过责任部门与其他部门进 行协调。 一实施统一的信息安全事件响应程序，包括跨部门的事件处理团队。 遵循量小权限原则，

IDPS的部署可分阶段进行，从而使操作人员在进行过程中不断增加经验，确定不同阶段需要的监 视和维护资源（资源需求变化范围较广，主要取决于组织的信息系统和安全环境）。 在分阶段部署中，建议首先从NIDPS(其安装和维护最简单)部署开始，然后部署HIDPS以保护关 建服务器。此外，可使用脆弱性评估工具定期测试IDPS和其他的安全机制，以便恰当地运行、配置 DPS。

与HIDPS一样，经过培训的操作人员需在可控环境中使用经过测试的NIDPS。在全面部 OPS前需在不同位置试验NIDPS传感器，详见图2。同时在部署传感器时，还需要平衡部署及持 行的成本与需要的实际保护级别之间的关系，

GB/T284542020

当在高速网络环境中时，需注意IP数据包的去包率，避免因去包率过高导致严重增加模式不匹配 的数量进而导致的误报和漏报的增加。为防止上述情况发生，可采用具有较高捕获率的网络接口卡或 或少数据丢包率的相关技术。 当NIDPS用于网络监视时（特别是使用交换机或TAP时），需考虑数据捕获方法，建议使用物理隔 离的交换机，而不是VLAN或者核心交换上类似的技术。此时，交换机仅允许单个SPAN端口在给定 内时间运行，从而防止CPU使用率过高（SPAN端口本身会增加交换机CPU使用率，但可通过阻正数 居复制降低CPU使用率）。 当SPAN端口用手网络调试时，IDPS变成非功能性的，因此需尚NIDPS开放此端口。此时，可考 慧使用网络TAP（特别是结合上行和下行流量的汇聚TAP），在不给网络包增加任何负载（因其是被动 受备）情况下，提高安全级别（交换机保持端口的层信息，数据接口对网络不可见），保持DPS能力 因为TAP提供多端口）并完成网络调试。

优点： 识别源于外部网络、已经渗入防护边界的攻击； 据助检测防火培配置策略上的错误； 监视针对DMZ中系统的攻击： 通过配置检测源于内部、针对外部目标的攻击。 缺点： 由于其接近外部网络，不能作为强保护； 不能监视防火墙阻止（过滤掉）的攻击。

优点： 一允许对源于外部网络的攻击的数量和类型进行管理： 可发现未被防火墙阻止(过滤掉)的攻击； 可减轻拒绝服务攻击的影响：

图2典型NIDPS位置

GB/T 284542020

优点： 监视大量的网络流量，因此更易发现攻击； 在拒绝服务攻击对关键子网造成破坏之前，可阻止这些攻击： 在安全边界内部，检测授权用户的未授权活动。 缺点： 捕获和存储敏感或机密数据的风险： IDPS需要处理大量数据； 检测不到不通过骨干网络的攻击： 识别不到子网上主机对主机的攻击

B.3.5位于关键子网上的NIDPS

优点： 一监视针对关键系统、服务和资源的攻击： 一允许将有限的资源集中到最有价值的网络资产上。 缺点： 子网间相互关联的安全事态问题： 如果未通过专用网络传输报警，IDPS流量会增加关键子网的网络负载； 如果配置不当.IDPS可能捕获和存

8.4 HIDPS 部署

HIDPS操作部署之前，操作人员需熟悉其特性和功能。HIDPS能否发挥作用，主要取决于操作人 员依据网络拓扑、脆弱性以及相关细节等内容区分真假报警的能力（随着时间推移，操作人员操作经验 不断增加，从而可识别IDPS相关正常活动）。同时，鉴于HIDPS监视的不持续性，需建立检查HIDPS 输出的时间表。HIDPS的操作模式需降低HIDPS造受攻击时的损害。 HIDPS全面部署需从关键服务器开始（由于每台主机上IDPS都需安装和配置，故在组织内所有主 机上安装HIDPS既贵又耗时。因此组织首先在关键服务器上安装HIDPS)。这降低了整体部署成 本，并使得缺乏经验人员将精力集中在最重要资产产生的报警上。当这一部分HIDPS操作常规化后， 基于成本、时间、信息安全风险评估结果等，可在更多主机上安装HIDPS。此时，需部署具备集中管理 和报告功能的HIDPS，从而降低对HIDPS报警予以管理的复杂度。同时，HIDPS大量部署时，也可考 虑向安全服务供应商外包其HIDPS操作和维护。

8.5防护和保护IDPS信息安全

GB/T284542020

对存储的IDPS数据进行加密： 适当配置数据库，如使用访问控制机制； 包括备份程序在内的数据库维护技术； 一对运行IDPS数据库的系统进行充分加固以抵抗渗透； 一连接IDPS到以太网集线器或者交换机的嗅探（只接收）电缆： 实现单独的IDPS管理网络线路。 一定期对IDPS和连接系统进行脆弱性评估和渗透测试。 日志需存储在独立的日志主机上，而非本地计算机上。需避免未授权修改或删除IDPS日志、配 置、攻击特征和IDPS传感器及收集器之间交换的信息。 因IDPS日志中包含敏感或隐私相关信息，因此在IDPS日志存储和传输中需加以保护。同时，负 责分析信息（主要来自IDPS传感器或收集器）的相关人员也需要注意保护这些信息

在IDPS操作之前需要： 建立过程、规程和机制，确保脆弱性管理过程包含IDPS； 准备与GB/T20985.1一2017相一致的事件管理过程； 当IDPS产生报警时，规定需采取的行动： 识别自动化及半自动化响应的条件，以及如何能监视这种类型的响应结果以确保执行安全且 恰当的操作； 明确法律方面需要考虑的事项。

铁路工程施工组织设计9.3IDPS 脆弱性

为防止攻击者在了解已知脆弱性情况下，尝试利用IDPS已知的脆弱性（如以不安全方式安装启 PS传感器、发送未加密的日志文件、有限的访问控制、缺乏对日志文件的完整性检查等），使IDPS 能力或提供错误信息，需以安全的方式安装启用IDPS传感器和控制台，并处理好IDPS的潜在

9.4处理IDPS报警

IDPS通常会产生大量报警，需要对其全面分析，以区分其中有价值的报警和无价值的报警。报警 言息主要包含检测到的攻击的简明摘要，主要包括： 一检测到攻击的时间或日期； 检测到攻击的传感器IP地址： 供应商特定的攻击名称； 一标准的攻击名称（如果存在）： 一源和目的IP地址； 一源和目的端口号： 一攻击利用的网络协议。 此外，一些IDPS提供了所利用攻击方法的通用详细信息，其允许操作人员评估攻击的严重程度 主要包含： 攻击的描述： 攻击的严重性等级； 由攻击造成的损失类型； 攻击利用的脆弱性类型； 易受到攻击的软件的类型列表及版本号列表： 相关补丁列表； 可公开通报的参考信息内含攻击或脆弱性的详细信息

电力弱电管理、论文9.4.2信息安全事件响应团队（ISIRT）

安全服务供应商除了提供IDPS产品外，还提供IDPS托管服务，包括提供咨询服务及提供运行中 心管理服务。许多组织选择将一些支持类服务（如安全服务）托管给服务供应商，从而不必培训和保留 具备专业技能的人员。当组织将其IDPS服务托管给安全服务商时，需确定经济上是否可行，以及安全 服务商在保持机密性的同时是否提供适当的支持。与IDPS安全服务供应商合作需注意如下内容： 提供何种保密协议； 一IDPS监视人员具备的资格； 一监督人员具备的资格； 一服务提供商和组织内部安全人员之间的联络和沟通安排； 一供应商是否可以提供紧急响应服务，以补充组织的能力； 供应商是否提供取证调查服务； 供应商是否提供服务级别协议（SLA）； 一哪些报告可供选择，它们是否能根据组织的需求定制：