企业使用开源安全技术的四大好处(1)

　　开源安全产品的开发、测试和发布过程完全是透明的，同时提供产品的源代码及完善的文档。企业可以清楚地了解开源安全技术的工作原理和实现方法，在选择开源安全技术时更有把握，也更容易得到质量更好的安全方案。开源安全方案的开发者大多是经验丰富的安全厂商或技术人员，这就保证了开源安全技术除功能上不逊于封闭源代码的商业安全方案外，同时还具有更高的可靠性、灵活性以及更低的采购和使用成本。

　　案例一：Snort入侵检测系统

Snort入侵检测系统

　　Snort是开源安全技术领域中最有名的入侵检测系统，截至目前，Snort各版本的下载次数已达数百万次，Snort已成为世界上使用最广泛的入侵检测系统。Snort使用针对攻击行为标志(Signature-Based)和 网络通讯协议(Protocols)的检测方式实现以下功能：实时通讯分析和数据包记录，数据包有效载荷检查，协议分析和内容查询匹配，探测缓冲区溢出、秘密端口扫描、CGI攻击、SMB探测、操作系统侵入尝试，使用系统日志、指定文件、Unix socket或通过Samba的WinPopus 四种入侵行为的实时报警和日志记录。

　　Snort有三种工作模式：数据包嗅探、数据包记录和成熟的侵入探测系统。与大部分开源软件相类似，Snort支持各种形式的插件、扩充和定制，包括数据库或XML记录、小帧探测和异常探测统计等。数据包有效载荷探测是Snort最有用的一个特点，这就意味着可以探测到很多额外种类的敌对行为。近年来，随着描述入侵行为的入侵规则语言(Rules language)及检测技术的发展，Snort已经成为最富弹性而且最精确的入侵检测系统之一。

　　带来的好处：

　　Snort在企业安全市场的成功应用，代表了市场对开源安全技术的“比封闭源代码的商业安全产品更好的质量”这一宗旨的广泛接受。Snort成为世界上使用最广泛的入侵检测系统的原因也在于此。它不完全依靠安全厂商进行产品的升级和支持，广大的开源社区用户及安全研究组织也在为改进Snort本身所用技术、Snort检测威胁数量和Snort部署方法而努力，因此Snort才能成为最富弹性及最精确的入侵检测系统之一。

　　开源安全产品的开发、测试和发布过程完全是透明的，同时产品的源代码及完善的文档也会在开源社区公布。企业可以清楚地了解开源安全技术的工作原理和实现方法，在选择开源安全技术时更有把握，也更容易得到质量更好的安全方案。尤其对于一些很重视企业内部信息保密的特定行业企业来说，开源安全技术的源代码开放性还是一个关键的选择因素。因为这些特殊的企业用户需要掌握自己所部署的所有IT(包括安全)方案的内部运作原理，并要求对IT产品的源代码进行审计。这对封闭源代码的商业安全产品来说是不可逾越的鸿沟，而使用开源安全技术则完全没有这方面的问题。