论文部分内容阅读
栏目主持人
目前,市场上的入侵检测产品有上百家,如何选择适合自己的产品,是许多安全管理员和企业技术决策者比较苦恼的问题。下面我们就根据产品的综合性能,谈谈采购过程中的基本原则。
Q:第一,要了解产品的攻击检测数量为多少?是否支持升级?
A:IDS的主要指标是它能发现入侵方式的数量。几乎每个星期网络都有新的漏洞,受到新的攻击,产品的升级方式是否灵活直接影响到它功能的发挥。一个好的实时检测产品应该能经常性升级,并可通过互联网或下载升级包在本地升级。
Q:第二,要知道网络入侵检测系统的最大可处理流量(PPS)是多少?
A:需先分析网络入侵检测系统所布署的网络环境,如果在512KB或2MB专线上布署网络入侵检测系统,则不需要高速的入侵检测引擎。而在负荷较高的环境中,性能是一个重要的指标。
Q:第三,产品实时监控性能如何?
A:IDS通信对网络的负载不能影响正常的网络业务,无法在有攻击时保护网络,必须对数据进行实时分析。所以必须考虑网络入侵检测产品正常工作时的最大带宽。
Q:第四,产品系统结构是否合理?
A:一个成熟的产品,必须集成基于百兆网络、基于千兆网络、基于主机的三种技术和系统。传统的IDS大多是两层结构,即控制台→探测器结构,一些先进的IDS产品开始采用三层架构进行部署,即控制台→事件收集器 安全数据库→探测器结构。对于大型网络来说,三层结构更加易于实现分布部署和集中管理,从而提高安全决策的集中性。但如果没有远程管理能力,入侵检测网络对于大型网络基本不具备可用性。
Q:第五,产品的误报和漏报率如何?
A:有些IDS系统经常发出许多假警报,它们常常掩盖了真正的攻击。IDS产品在假警报提醒下一再崩溃,而当真正攻击出现时,有些IDS产品不能捕获攻击,而另一些IDS产品的报告混杂在假警报中,很容易被错过。另外,过分复杂的界面将使关掉假警报非常困难,几乎所有IDS产品在默认设置状态下都会产生非常多的假警报,给用户带来许多麻烦。
Q:最后,系统是否易用?
A:系统的易用性包括五个方面:
界面易用—全中文界面,方便易学,操作简便灵活;帮助易用—在监控到异常事件时能够立刻查看报警事件的帮助信息,同时在联机帮助中能够按照多种方式查看产品帮助;策略编辑易用—能否提供单独的策略编辑器,可否同时编辑多个策略,是否提供策略打印功能;日志报告易用—是否提供灵活的报告定制能力;报警事件优化技术—是否针对报警事件進行优化处理,将用户从海量日志中解放出来。先进的IDS能够将一定时间内的类似事件经过优化处理后合并进行报警,这样,用户面对的日志信息不仅更为清晰,还可避免错过重要报警信息。
目前,市场上的入侵检测产品有上百家,如何选择适合自己的产品,是许多安全管理员和企业技术决策者比较苦恼的问题。下面我们就根据产品的综合性能,谈谈采购过程中的基本原则。
Q:第一,要了解产品的攻击检测数量为多少?是否支持升级?
A:IDS的主要指标是它能发现入侵方式的数量。几乎每个星期网络都有新的漏洞,受到新的攻击,产品的升级方式是否灵活直接影响到它功能的发挥。一个好的实时检测产品应该能经常性升级,并可通过互联网或下载升级包在本地升级。
Q:第二,要知道网络入侵检测系统的最大可处理流量(PPS)是多少?
A:需先分析网络入侵检测系统所布署的网络环境,如果在512KB或2MB专线上布署网络入侵检测系统,则不需要高速的入侵检测引擎。而在负荷较高的环境中,性能是一个重要的指标。
Q:第三,产品实时监控性能如何?
A:IDS通信对网络的负载不能影响正常的网络业务,无法在有攻击时保护网络,必须对数据进行实时分析。所以必须考虑网络入侵检测产品正常工作时的最大带宽。
Q:第四,产品系统结构是否合理?
A:一个成熟的产品,必须集成基于百兆网络、基于千兆网络、基于主机的三种技术和系统。传统的IDS大多是两层结构,即控制台→探测器结构,一些先进的IDS产品开始采用三层架构进行部署,即控制台→事件收集器 安全数据库→探测器结构。对于大型网络来说,三层结构更加易于实现分布部署和集中管理,从而提高安全决策的集中性。但如果没有远程管理能力,入侵检测网络对于大型网络基本不具备可用性。
Q:第五,产品的误报和漏报率如何?
A:有些IDS系统经常发出许多假警报,它们常常掩盖了真正的攻击。IDS产品在假警报提醒下一再崩溃,而当真正攻击出现时,有些IDS产品不能捕获攻击,而另一些IDS产品的报告混杂在假警报中,很容易被错过。另外,过分复杂的界面将使关掉假警报非常困难,几乎所有IDS产品在默认设置状态下都会产生非常多的假警报,给用户带来许多麻烦。
Q:最后,系统是否易用?
A:系统的易用性包括五个方面:
界面易用—全中文界面,方便易学,操作简便灵活;帮助易用—在监控到异常事件时能够立刻查看报警事件的帮助信息,同时在联机帮助中能够按照多种方式查看产品帮助;策略编辑易用—能否提供单独的策略编辑器,可否同时编辑多个策略,是否提供策略打印功能;日志报告易用—是否提供灵活的报告定制能力;报警事件优化技术—是否针对报警事件進行优化处理,将用户从海量日志中解放出来。先进的IDS能够将一定时间内的类似事件经过优化处理后合并进行报警,这样,用户面对的日志信息不仅更为清晰,还可避免错过重要报警信息。