六步评估IPS/IDS
2007-09-12 15:22
作者:赵晓涛
来源:计世网
[摘要] 对国内众多企业用户来说,两年来入侵检测与防护(IDS/IPS)设备已经脱离了原有的奢侈形象,成为了企业不可或缺的标准配置。为此,本报特别整理了企业的网管人员、IT 经理及信息主管在选购此类设备时的评估标准,以飨读者。
[关键字]
IPS
IDS
对国内众多企业用户来说,两年来入侵检测与防护(IDS/IPS)设备已经脱离了原有的奢侈形象,成为了企业不可或缺的标准配置。为此,本报特别整理了企业的网管人员、IT 经理及信息主管在选购此类设备时的评估标准,以飨读者。
环境决定部署
企业部署防火墙之后,是否还需要进一步提升安全防护能力呢?答案是肯定的。虽然,防火墙称得上是安全防护的防线,同时部署防火墙也是对依靠互联网扩展业务的企业的基本要求。但是,仅有一道防线的城池仍非固若金汤。
当前的应用系统发展与Web更加紧密,从办公系统到交易系统,这种趋势日益明显。在这样的背景下,大多数传统的防火墙对于企业网络的安全,已经无法实施100%的控制,对于合法内容中混入的可疑流量、DoS攻击、蠕虫病毒、间谍软件等威胁,几乎没有有效的反击措施。
据了解,在2005年,仅拒绝服务(DoS)攻击导致的平均损失就高达150万美元,同 2004 年相比增长了五倍。
从全球的统计数字来看,垃圾邮件、邮件病毒、邮件攻击已经成为了当前企业网的主要威胁,同时其影响力还在不断扩大。特别是夹杂在“合法”邮件中的非法信息,令企业网络处于危险的潜在威胁之中。
例如将木马病毒隐藏在看似合法的SMTP邮件中,并随时准备对企业关键信息发起攻击,已经成为近期的主流。因此,各大企业都在利用入侵检测与防护系统为网络建构多层防护体系,其中Juniper IDP、Radware DefensePro、McAfee IntruShield都是国内应用较多的产品。
六项准则
入侵检测与防护系统能够保护企业免受重大安全威胁和经济损失,进而保护企业的生存。但企业在选择和部署网络安全解决方案时,也要考虑成本效益的因素,因此找出利弊的平衡点尤为重要。
为有效评估入侵检测与防护系统,可以将评估标准划分为六个方面。
1.全面保护
对于任何安全系统而言,入侵检测与防护系统提供的全面保护应该能够准确识别威胁并有效保证网络的安全。但是,许多产品在这方面先天不足。网络邮件传输存在固有的复杂性,包括支持大量网络层协议(如IP、TCP、UDP、ICMP等) 和应用层协议(如HTTP、FTP、SMTP、DNS、POP3、IMAP等),这些都为攻击者提供了无数可供利用的漏洞。
Juniper的工程师认为,除了这种固有的复杂性外,攻击者还可以采取不同的形式和手段,并可随意选择攻击时间进行攻击。如果系统不支持其中的一种协议或攻击类型,就会忽略并遗漏这种攻击,从而使企业网络及其重要信息处于失去保护的状态。为了对付攻击者,安全设备必须能够处理并有效防护所有类型邮件中潜在的攻击。
2. 准确性
准确性是高品质、高效率入侵检测与防护系统的关键。要实现高度的准确性,系统必须能够跟踪所有网络通信、理解每个通信的意图,然后针对攻击企图准确地做出安全决策。如果系统准确性不够,就可能检测不到攻击,而合法邮件也可能因被视为攻击行为而发出告警。
国内主要安全设备的总代理商腾蒙公司指出,从国内部署的实际情况看,遭遇攻击检测不出来的情况是最危险的。这意味着此时网络极易受到攻击,而且网管人员必须从源头推断发生了什么情况。
如果误报数量令网管人员应接不暇,甚至超过了实际支持能力,情况将会更加不利。因为网管人员不得不浪费宝贵的时间找出误报,同时网管人员对系统的信任度也会随之下降。因此,整套系统必须非常可靠,并且要能够准确检测出网络中的所有攻击。
3.邮件处理能力
高效的邮件处理能力,是入侵检测与防护系统应具备的另一要素。系统必须迅速处理邮件、立即做出安全决策并及时向网管人员提交相关信息,从而确保随时掌握系统的实时状况。防护系统如果动作迟缓,跟不上网络通信速度,就有可能遗漏攻击,增加企业网络的危险性。
不过,Juniper的工程师强调,虽然主流的入侵检测与防护厂家的设备可以满足千兆网络的需求,但他们还是建议企业的网络管理员,为设备选择适当的性能级别,以满足企业的应用特点,并确保带宽受到最佳保护。因为这些设备需要始终保持最佳效能,以便网管人员在任何时间都能精确了解网络中发生的情况。
