六步评估IPS/IDS

　　对国内众多企业用户来说，两年来入侵检测与防护（IDS/IPS）设备已经脱离了原有的奢侈形象，成为了企业不可或缺的标准配置。为此，本报特别整理了企业的网管人员、IT 经理及信息主管在选购此类设备时的评估标准，以飨读者。

　　环境决定部署

　　企业部署防火墙之后，是否还需要进一步提升安全防护能力呢？答案是肯定的。虽然，防火墙称得上是安全防护的防线，同时部署防火墙也是对依靠互联网扩展业务的企业的基本要求。但是，仅有一道防线的城池仍非固若金汤。

　　当前的应用系统发展与Web更加紧密，从办公系统到交易系统，这种趋势日益明显。在这样的背景下，大多数传统的防火墙对于企业网络的安全，已经无法实施100%的控制，对于合法内容中混入的可疑流量、DoS攻击、蠕虫病毒、间谍软件等威胁，几乎没有有效的反击措施。

　　据了解，在2005年，仅拒绝服务（DoS）攻击导致的平均损失就高达150万美元，同 2004 年相比增长了五倍。

　　从全球的统计数字来看，垃圾邮件、邮件病毒、邮件攻击已经成为了当前企业网的主要威胁，同时其影响力还在不断扩大。特别是夹杂在“合法”邮件中的非法信息，令企业网络处于危险的潜在威胁之中。

　　例如将木马病毒隐藏在看似合法的SMTP邮件中，并随时准备对企业关键信息发起攻击，已经成为近期的主流。因此，各大企业都在利用入侵检测与防护系统为网络建构多层防护体系，其中Juniper IDP、Radware DefensePro、McAfee IntruShield都是国内应用较多的产品。

　　六项准则

　　入侵检测与防护系统能够保护企业免受重大安全威胁和经济损失，进而保护企业的生存。但企业在选择和部署网络安全解决方案时，也要考虑成本效益的因素，因此找出利弊的平衡点尤为重要。

　　为有效评估入侵检测与防护系统，可以将评估标准划分为六个方面。

　　1.全面保护

　　对于任何安全系统而言，入侵检测与防护系统提供的全面保护应该能够准确识别威胁并有效保证网络的安全。但是，许多产品在这方面先天不足。网络邮件传输存在固有的复杂性，包括支持大量网络层协议(如IP、TCP、UDP、ICMP等) 和应用层协议(如HTTP、FTP、SMTP、DNS、POP3、IMAP等)，这些都为攻击者提供了无数可供利用的漏洞。

　　Juniper的工程师认为，除了这种固有的复杂性外，攻击者还可以采取不同的形式和手段，并可随意选择攻击时间进行攻击。如果系统不支持其中的一种协议或攻击类型，就会忽略并遗漏这种攻击，从而使企业网络及其重要信息处于失去保护的状态。为了对付攻击者，安全设备必须能够处理并有效防护所有类型邮件中潜在的攻击。

　　2. 准确性

　　准确性是高品质、高效率入侵检测与防护系统的关键。要实现高度的准确性，系统必须能够跟踪所有网络通信、理解每个通信的意图，然后针对攻击企图准确地做出安全决策。如果系统准确性不够，就可能检测不到攻击，而合法邮件也可能因被视为攻击行为而发出告警。

　　国内主要安全设备的总代理商腾蒙公司指出，从国内部署的实际情况看，遭遇攻击检测不出来的情况是最危险的。这意味着此时网络极易受到攻击，而且网管人员必须从源头推断发生了什么情况。

　　如果误报数量令网管人员应接不暇，甚至超过了实际支持能力，情况将会更加不利。因为网管人员不得不浪费宝贵的时间找出误报，同时网管人员对系统的信任度也会随之下降。因此，整套系统必须非常可靠，并且要能够准确检测出网络中的所有攻击。

　　3.邮件处理能力

　　高效的邮件处理能力，是入侵检测与防护系统应具备的另一要素。系统必须迅速处理邮件、立即做出安全决策并及时向网管人员提交相关信息，从而确保随时掌握系统的实时状况。防护系统如果动作迟缓，跟不上网络通信速度，就有可能遗漏攻击，增加企业网络的危险性。

　　不过，Juniper的工程师强调，虽然主流的入侵检测与防护厂家的设备可以满足千兆网络的需求，但他们还是建议企业的网络管理员，为设备选择适当的性能级别，以满足企业的应用特点，并确保带宽受到最佳保护。因为这些设备需要始终保持最佳效能，以便网管人员在任何时间都能精确了解网络中发生的情况。

　　4.阻止攻击

　　像Juniper、Radware等厂商的工程师都认为，入侵检测与防护系统是否能有效阻止攻击到达目的地，是对其防护能力进行评估的基本条件。如果一个入侵检测系统需要其它系统的配合才能阻止攻击，那么它的作用何在？但事实是，IDS产品只能这样。

　　IDS只能发送指令到防火墙甚至是攻击目标本身，让他们终止攻击。所有这些防护机制都是在攻击已经到达目标之后才发挥作用。因此，即使这些防护机制成功检测到了攻击，也需要网管人员调查攻击可能造成的后果，然后才能执行阻止攻击。

　　为此，这些厂家建议，如果用户非常关注实时的安全攻击行为，或者频繁遭到各种攻击，那么用户应直接选择IPS设备或者结合了IPS功能的统一安全管理UTM设备。

　　从理论上说，只有这类设备能够提供真正的安全防护：真正有效的在检测过程主动阻止攻击，并删除恶意邮件。这样可以确保攻击永远无法得逞，从而确保企业网络和关键信息万无一失。

　　5.易用性

　　对于入侵检测与防护系统的易用性，在NSS报告中给出的解释是：更高水平的可控性和安全性。换句话说，如果网管人员能够快速查看系统相关的关键信息并做出相应调整，他们就能保证企业网络不会受到最新威胁的攻击，并且可以确保最新安全政策的有效执行。

　　相应的，如果设备易用性差，那么网管人员就不得不花费额外时间查询信息，以便做出相关响应。对于安全解决方案来说，除了能为最关键类型的事件快速提供总结报告外，还应具备迅速追溯原始信息的能力，以便对个别事件进行分析。

　　对此，腾蒙公司曾经多次呼吁，希望这些安全大厂在新产品中能够以直观的方式为网管人员提供丰富的控制层，这样做不仅可以确保系统满足用户特定的安全需求，同时还可以减少所需的时间并节省资源。

　　6. 安装维护简便

　　对于当今业务机构高度分散的企业来说，入侵检测与防护设备需要既能轻松地安装维护，又要节约成本。企业不可能在每次更改企业安全政策，或者是检测到新的攻击后，花费大量时间和资源更新企业网络中的每台设备。系统快速安装并定义安全政策，以及由中央站点轻松完成全球系统更新，可以确保企业分散在各个地区的IT部门全面、实时地掌握系统和网络。

　　入侵检测与防护系统的评估

　　■ 针对各类网络攻击提供全面保护

　　·系统采用何种攻击检测方式？

　　·系统支持哪些网络协议?

　　·系统支持哪些应用协议？

　　■ 确保高度的准确性

　　·系统采用多少种检测机制？

　　·这些检测机制是否兼容并共享信息？

　　·系统如何定位流量中的攻击？

　　■ 高效流量分析

　　·系统处理流量的速度？

　　·系统为邮件检测提供了哪些选项？

　　·系统如何达到最佳性能？

　　■ 迅速解决事件

　　·系统如何防止入侵者逃避系统检测？

　　·系统提供何种响应机制？

　　· 针对个别攻击，系统能否支持用户定义的特定响应？

　　■ 易用性

　　·网络管理员如何设置检测内容？

　　·如何更改系统工作模式？

　　· 检查和管理安全数据记录是否方便？