入侵检测(IDS)购买指南
入侵检测系统(IDS)作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护, 它可在网络系统受到危害之前拦截和响应入侵。脆弱性扫描工具通过扫描系统或网络中的脆弱性和漏洞,对用户的安全现状进行评估,并通知用户通过多种方式更新 漏洞,提供修补措施。二者往往结合在一起共同防止入侵的发生。用户在选择入侵检测产品时需要注意以下事项。
1.是否同时拥有主机监控和网络监控。
主机监控和网络监控两种技术互为补充,是目前主流的入侵检测技术。部分攻击只能通过对数据包的分析判断是否为攻击,同时部分攻击只能通过判断重要的系统文件、配置文件是否被修改进行识别(尤其是对内部人员的非法入侵和误操作而言),所以一个好的实时入侵检测产品应该是同时拥有基于网络及主机的入侵检测模块,采用同一控制台进行集中管理,分别从网络及主机的层次识别恶意用户的入侵,为关键系统提供分层次的全面保护功能。
2.能够检测的攻击数量和升级能力及方便性。
IDS的最主要的指标之一就是它能够发现的入侵方式的数量。几乎每个星期都有新的漏洞和攻击方法出现,如果仅仅能够识别少量的攻击方法或者版本升级缓慢, 根本无法保证网络的安全。产品的升级方式是否灵活也影响到它的功能发挥作用。一个好的实时检测产品应该在强大的技术支持力量的基础上进行经常性的升级,并 且可以直接通过Internet或是下载升级包进行升级。
3.对攻击的响应能力
IDS在识别攻击事件的同时,必须作出适当的响应:对恶意的攻击切断、关闭防火墙或路由器的相关端口、自动修改防火墙策略、账户挂起、恢复被篡改的文件并 及时通知管理员。另外,它还必须有详细的日志能力,例如信息记录和回放功能可以提供详细的分析数据,并为法律诉讼提供证据。
4.用户自定义监控策略、自定义异常事件的能力
IDS通常是对网络或操作系统的通用的监控工具,对特殊的监控需求只能通过用户自定制监控策略实现。例如,对审计日志中出现特殊字符的监控、对指定文件的内容的监控等,需要通过灵活的用户自定义策略能力实现。
5.远程集中统一管理能力
企业网络往往覆盖全国甚至全球。如果没有远程管理能力,基本上不具备可用性。
6.被监控操作系统平台的覆盖率
网络监控和主机监控都应该支持NT和多种Unix平台,才能满足实际需要。
7.系统本身的安全考虑如加密通信、透明接入等
IDS系统记录了企业最敏感的数据,必须有自我保护机制,防止成为黑客的攻击目标。例如,控制台和监测模块之间通过SSL或其他专用协议进行加密,且用户 可自由选择加密算法。网络监测模块必须提供透明接入模式,连接被检测网段的网卡可不绑定协议,避免被入侵者发现,确保IDS系统自身的安全。同时必须提供 防御专门针对IDS系统的攻击(Stick等)的能力。
8.系统实时监控的性能,主要是和网络流量的关系
由IDS通信造成对网络的负载不能影响正常的网络业务。必须对所要求的数据达到实时分析的能力,否则无法在危险发生时保护网络。所以必须考虑到网络IDS可以不影响正常工作的最大带宽。
9.系统的易用性
全中文界面,方便易学。提供单独的策略编辑器,可同时编辑多个策略,且提供策略打印功能。提供灵活的报告定制能力,对报告的内容如:源地址、目标地址、时 间名称、重要程度、发生时间及采取的响应措施等信息进行过滤定制。可对监控器进行分组,可同时对同组的监控器进行管理,如更新策略,升级等。强大的命令行 功能,便于与其他系统协同工作。
10.产品的市场情况
产品的市场占有率是用户对产品品牌知名度、技术认知的客观反映,好的产品必定有高度的市场占有率。
11.产品的本地技术支持能力,包括紧急响应能力
安全产品的技术支持具有紧急的特点,所以,拥有强大的本地技术支持能力也是选择入侵监测系统的重要因素。包括工程实施是否是由自己完成而不是交给产品代理商完成以及紧急响应速度和能力等。
|
