| 出版日期:2004-05-10 总期号:1311 本年期号:32 |
|
 |
适合自己的最好
——IDS产品选择攻略 刘宏伟 目前,IDS的作用已经深入人心。那么如何选择IDS呢?用户要选择一个理想的IDS产品,除了考虑误报率与检测率这两个重要的参数指标外,还需要从HIDS(主机IDS)和NIDS(网络IDS)各自的优缺点做互补性考虑后,才能做出妥当的选择。 采购的原则 一般来说,采购IDS时,用户要根据自身的网络情况和流量情况选择适合自身的产品,不能盲目地追求千兆、大流量、大TCP连接数等指标,选择适合自身应用的产品,以提高投资的性价比。 在确定IDS产品选型前,用户首先要对自己的网络有一个全面的了解。这分两个方面:一个是技术结构层面;一个是资产风险方面。 从技术层面上来说,我们需要了解网络的结构。常见的问题首先有应用协议,目前的大多IDS主要是适用于TCP/IP协议网络。如果用户采用的基于Novell IPX/SPX协议或苹果的appletalk等,那么很有可能无法满足需求。其次,目前的网络中基本是交换式结构,网络IDS大多基于监听的设计原理,因此,布置在需要检测的网段的交换机需要能够配置镜像端口。最后,要考虑目前用户处的人员总体技术水准如何,对攻击的认识和IDS的技术原理是否有一定了解。 在资产风险方面,用户第一要明确自己的安全风险是主要来自于内部还是外部,要了解自己的网络中什么是最重要的资产,从而进行有重点的全面安全防护。这样才能把有限的资金发挥最恰当的作用。此外,又要考虑新增的安全投资和自己的网络建设是否保持了同步:超前了可能不能完全发挥作用,落后了又无法满足安全需求。 考虑的因素 1. 攻击检测的规则库的大小和检测的准确程度; 2. 是否有内容恢复功能; 3. 是否有完整的网络审计、网络事件和全面的网络信息收集功能; 4. 产品的性能如何; 5. 是否集成网络分析和管理的辅助工具,如扫描器等; 6. 是否自带数据库,不需要第三方数据源,数据是否可自动维护; 7. 管理维护是否简单、方便; 8. 互操作性如何,是否可和防火墙等联动; 9. 自身安全性和隐蔽性如何; 10. 可升级性如何; 11. 厂商的可持续服务能力如何。 以上是目前评价一款入侵检测产品是否优秀的标准和用户选择时应该考虑的原则和因素,切记盲目选择。 |
||||||||||||||||||||
