融合型IDS/IPS將成入侵防護系統(tǒng)主導

　　IPS重控制IDS重管理

　　IDS即是對入侵行為的發(fā)覺。IPS則是一種主動、智能的入侵檢測、防范、阻止系統(tǒng)，它不需要人為干預就可以預先對入侵活動和攻擊性網(wǎng)絡流量進行攔截，避免其造成任何損失。

　　有這樣一種觀點認為，檢測入侵實際上是為了防范，入侵檢測的發(fā)展方向是IPS，所以在IPS出現(xiàn)后，很多人在不慎了解和熟悉IPS的情況下，完全拋棄IDS，轉而投入IPS。目前應用表明，IDS和IPS由于各自技術特點，在入侵安全防范領域都有存在的價值。

　　IPS是串聯(lián)接入網(wǎng)絡的，關注的是串行線路上的入侵防御;IDS是旁路接入的，其側重點是發(fā)現(xiàn)、了解、統(tǒng)計、分析入侵危險狀況。前者重控制，后者重管理。由于IPS在線工作，相比較IDS而言，IPS增加數(shù)據(jù)轉發(fā)環(huán)節(jié)，這對系統(tǒng)資源是一個新的消耗，因此，IPS對系統(tǒng)速度的影響比IDS要大，但IPS對事件響應機制要比IDS更精確、更迅速。IPS重在深層防御，追求精確阻斷，是防御入侵的最佳方案，彌補防火墻或IDS對入侵數(shù)據(jù)實時阻斷效果的不足;IDS重在全面檢測，追求有效呈現(xiàn)，有利于進行安全審計和事后追蹤，對于追溯和阻止拒絕服務攻擊能提供有價值的線索。IDS注重的是對整個網(wǎng)絡安全狀況的監(jiān)控，IPS更關注對不同入侵行為的如何分別處理。

　　運營商需求在企業(yè)內(nèi)網(wǎng)和增值服務

　　IDS和IPS由于部署目標的不同而應用于不同的場景。那么企業(yè)該如何選擇與部署IDS和IPS呢？

　　目前這兩種系統(tǒng)應用場景有3種部署方向。第一種企業(yè)需要IPS而不需要IDS，主要是低風險行業(yè)企業(yè)，如一些非IT公司的中小企業(yè)，這一類企業(yè)通常不需要及時地了解安全狀況到底有什么樣的變化，而只關注防護措施是否能使網(wǎng)絡免遭攻擊。第二種是既需要IDS又需要IPS的企業(yè)，這類企業(yè)一般是高風險行業(yè)，比如政府、金融行業(yè)，因為他們同時關注風險管理，也關注風險控制，而且通過風險管理不斷地完善風險控制措施。第三種是只需要IDS不需要IPS，需求者通常屬于監(jiān)測、監(jiān)管機構，或是遠程監(jiān)控中心。他們主要是想及時了解網(wǎng)絡安全狀況和變化，便于做審查、管理或提供服務。

　　電信企業(yè)是最早接受IDS和IPS的行業(yè)之一，電信企業(yè)網(wǎng)絡分為公網(wǎng)(骨干網(wǎng))和企業(yè)私網(wǎng),目前主要是企業(yè)網(wǎng)在用IDS和IPS。電信級骨干網(wǎng)很少使用IPS和IDS，原因一是骨干網(wǎng)規(guī)模大，安全級別要求高且有大規(guī)模專門專業(yè)的維護人員，嚴格確保網(wǎng)絡的安全。

　　通信行業(yè)企業(yè)網(wǎng)一般指辦公網(wǎng)，和其他中小企業(yè)網(wǎng)絡一樣，辦公網(wǎng)屬于企業(yè)內(nèi)網(wǎng)，與骨干網(wǎng)相比規(guī)模小，安全級別要求略低，專業(yè)維護人員少。所以企業(yè)內(nèi)網(wǎng)一般會選擇使用IDS和IPS設備來保障內(nèi)網(wǎng)的安全。由于IDS設備是旁路掛在網(wǎng)絡上的，所以在電信運營商的網(wǎng)監(jiān)部門及需要重要監(jiān)控地方一般會部署IDS設備。

　　另外，IPS/IDS作為電信企業(yè)的一項IDC增值產(chǎn)品，通過與網(wǎng)絡安全廠家合作，為中小型企業(yè)提供設備租賃服務，解決中小型企業(yè)人員、成本不足的問題。為了確保設備的維護，一般與廠商進行合作，通信運營商自己提供渠道，廠商提供售后服務。

　　中國聯(lián)通自2008年開始發(fā)展IPS和IDS網(wǎng)絡安全增值服務，至今已經(jīng)有3年時間，產(chǎn)品已經(jīng)發(fā)展比較成熟,成立了專門的IDC運營中心，由合作廠家提供專業(yè)的安全維護人員7×24小時遠程監(jiān)控客戶網(wǎng)絡，并隨時為客戶提供咨詢及響應服務。目前中國聯(lián)通提供的IDS/IPS產(chǎn)品有入侵檢測設備(IDS)租賃和監(jiān)控套餐服務;入侵防御設備(IPS)租賃和監(jiān)控套餐服務。中國聯(lián)通發(fā)展的主要客戶有國家檔案局、國家郵政等政府類客戶。

　　未來將趨向融合

　　IPS、IDS等技術是在硬件防火墻里逐漸集成實現(xiàn)的，即便是市場中陸續(xù)推出的所謂IPS或IDS的更加智能化的獨立技術，也是在參考雙方相互的優(yōu)勢如在IPS中增加更加強勁的處理單元以實現(xiàn)IDS的全面數(shù)據(jù)檢測和在IDS中嵌入流量控制和應用層的數(shù)據(jù)阻斷功能模塊。

　　所以，IPS與IDS已經(jīng)不再是當初獨立的技術概念，未來發(fā)展方向應該有以下兩個方面：其一，更加廣泛的精確阻斷范圍，擴大可以精確阻斷的事件類型，尤其是針對變種以及無法通過特征來定義的攻擊行為的防御;其二，適應各種組網(wǎng)模式，在確保精確阻斷的情況下，適應電信級骨干網(wǎng)絡的防御需求。

　　我們建議下一代IPS能夠解決三個問題。一是網(wǎng)絡瓶頸的問題。IPS串聯(lián)地部署在網(wǎng)絡出口處，如出故障，勢必影響到網(wǎng)絡性能。二是單點故障問題。IPS實行的是一種失效即阻斷機制，一旦IPS設備出現(xiàn)故障，會造成網(wǎng)絡中斷，影響現(xiàn)網(wǎng)業(yè)務的發(fā)展。三是解決目前云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)對網(wǎng)絡安全的新影響。

　　目前，我們認為融合、協(xié)同、集中管理將是網(wǎng)絡安全的發(fā)展方向。大型企業(yè)需要一體化的安全解決方案，需要更加全面的安全控制手段。中小企業(yè)一邊希望能夠獲得切實的安全保障，一邊又不可能對信息安全有太多的投入。因此，IPS與IDS就仿佛網(wǎng)絡交換與路由的區(qū)分一樣變得模糊而無法分割，成為網(wǎng)絡安全系統(tǒng)的一部分，未來IPS與IDS將成為聯(lián)系更加緊密的融合安全技術。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]