融合(uc)型idsips将成入侵防护系统主导.pdf

融合型 IDS/IPS 将成入侵防护系统主导 ZDNet 攻击防范 来源： 通信世界网 2012 年 02 月 13 日 评论(0) 关键词： IDS IPS 入侵防御系统 本文摘要 随着网络安全风险系数不断提高，曾经作为最主要的安全防范手段的防火墙，已经不能满足人们对 网络安全的需求。作为对防火墙及其有益的补充，IDS(入侵检测系统)能够帮助网络系统快速发现攻击的 发生，提高了信息安全基础结构的完整性。 　　随着网络安全风险系数不断提高，曾经作为最主要的安全防范手段的防火墙，已经不能 满足人们对网络安全的需求。作为对防火墙及其有益的补充，IDS(入侵检测系统)能够帮助 网络系统快速发现攻击的发生，提高了信息安全基础结构的完整性。近几年，IPS(入侵防 御系统)的引入让网络安全产品发展又进入新的阶段。而未来 IPS 并不会替代 IDS，双方都 会在企业网络安全系统中扮演重要角色，并成为联系更加紧密的融合安全技术。 　　IPS 重控制 IDS 重管理 　　IDS 即是对入侵行为的发觉。IPS 则是一种主动、智能的入侵检测、防范、阻止系统， 它不需要人为干预就可以预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失。 　　有这样一种观点认为，检测入侵实际上是为了防范，入侵检测的发展方向是 IPS，所以 在 IPS 出现后，很多人在不慎了解和熟悉 IPS 的情况下，完全抛弃 IDS，转而投入 IPS。 目前应用表明，IDS 和 IPS 由于各自技术特点，在入侵安全防范领域都有存在的价值。 　　IPS 是串联接入网络的，关注的是串行线路上的入侵防御;IDS 是旁路接入的，其侧重 点是发现、了解、统计、分析入侵危险状况。前者重控制，后者重管理。由于 IPS 在线工 作，相比较 IDS 而言，IPS 增加数据转发环节，这对系统资源是一个新的消耗，因此，IPS 对系统速度的影响比 IDS 要大，但 IPS 对事件响应机制要比 IDS 更精确、更迅速。IPS 重 在深层防御，追求精确阻断，是防御入侵的最佳方案，弥补防火墙或 IDS 对入侵数据实时 阻断效果的不足;IDS 重在全面检测，追求有效呈现，有利于进行安全审计和事后追踪，对 于追溯和阻止拒绝服务攻击能提供有价值的线索。IDS 注重的是对整个网络安全状况的监 控，IPS 更关注对不同入侵行为的如何分别处理。 　　运营商需求在企业内网和增值服务 　　IDS 和 IPS 由于部署目标的不同而应用于不同的场景。那么企业该如何选择与部署IDS 和 IPS 呢? 　　目前这两种系统应用场景有 3 种部署方向。第一种企业需要 IPS 而不需要 IDS，主要 是低风险行业企业，如一些非 IT 公司的中小企业，这一类企业通常不需要及时地了解安全 状况到底有什么样的变化，而只关注防护措施是否能使网络免遭攻击。第二种是既需要 IDS 又需要 IPS 的企业，这类企业一般是高风险行业，比如政府、金融行业，因为他们同时 注风险管理，也关注风险控制，而且通过风险管理不断地完善风险控制措施。第三种是只需 要 IDS 不需要 IPS，需求者通常属于监测、监管机构，或是远程监控中心。他们主要是想 及时了解网络安全状况和变化，便于做审查、管理或提供服务。 　　电信企业是最早接受 IDS 和 IPS 的行业之一，电信企业网络分为公网(骨干网)和企业 私网, 目前主要是企业网在用IDS 和 IPS。电信级骨干网很少使用 IPS 和 IDS，原因一是骨 干网规模大，安全级别要求高且有大规模专门专业的维护人员，严格确保网络的安全。 　　通信行业企业网一般指办公网，和其他中小企业网络一样，办公网属于企业内网，与骨 干网相比规模小，安全级别要求略低，专业维护人员少。所以企业内网一般会选择使用 IDS 和 IPS 设备来保障内网的安全。由于 IDS 设备是旁路挂在网络上的，所以在电信运营商的 网监部门及需要重要监控地方一般会部署 IDS 设备。 　　另外，IPS/IDS 作为电信企业的一项 IDC 增值产品，通过与网络安全厂家合作，为中 小型企业提供设备租赁服务，解决中小型企业人员、成本不足的问题。为了确保设备的维护， 一般与厂商进行合作，通信运营商自己提供渠道，厂商提供售后服务。 　　中国联通自 2008 年开始发展 IPS 和 IDS 网络安全增值服务，至今已经有 3 年时间， 产品已经发展比较成熟,成立了专门的 IDC 运营中心，由合作厂家提供专业的安全维护人员 7×24 小时远程监控客户网络，并随时为客户提供咨询及响应服务。目前中国