融合型IDS/IPS將成入侵防護(hù)系統(tǒng)主導(dǎo)

　　IPS重控制IDS重管理

　　IDS即是對(duì)入侵行為的發(fā)覺(jué)。IPS則是一種主動(dòng)、智能的入侵檢測(cè)、防范、阻止系統(tǒng)，它不需要人為干預(yù)就可以預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失。

　　有這樣一種觀點(diǎn)認(rèn)為，檢測(cè)入侵實(shí)際上是為了防范，入侵檢測(cè)的發(fā)展方向是IPS，所以在IPS出現(xiàn)后，很多人在不慎了解和熟悉IPS的情況下，完全拋棄IDS，轉(zhuǎn)而投入IPS。目前應(yīng)用表明，IDS和IPS由于各自技術(shù)特點(diǎn)，在入侵安全防范領(lǐng)域都有存在的價(jià)值。

　　IPS是串聯(lián)接入網(wǎng)絡(luò)的，關(guān)注的是串行線路上的入侵防御;IDS是旁路接入的，其側(cè)重點(diǎn)是發(fā)現(xiàn)、了解、統(tǒng)計(jì)、分析入侵危險(xiǎn)狀況。前者重控制，后者重管理。由于IPS在線工作，相比較IDS而言，IPS增加數(shù)據(jù)轉(zhuǎn)發(fā)環(huán)節(jié)，這對(duì)系統(tǒng)資源是一個(gè)新的消耗，因此，IPS對(duì)系統(tǒng)速度的影響比IDS要大，但I(xiàn)PS對(duì)事件響應(yīng)機(jī)制要比IDS更精確、更迅速。IPS重在深層防御，追求精確阻斷，是防御入侵的最佳方案，彌補(bǔ)防火墻或IDS對(duì)入侵?jǐn)?shù)據(jù)實(shí)時(shí)阻斷效果的不足;IDS重在全面檢測(cè)，追求有效呈現(xiàn)，有利于進(jìn)行安全審計(jì)和事后追蹤，對(duì)于追溯和阻止拒絕服務(wù)攻擊能提供有價(jià)值的線索。IDS注重的是對(duì)整個(gè)網(wǎng)絡(luò)安全狀況的監(jiān)控，IPS更關(guān)注對(duì)不同入侵行為的如何分別處理。

　　運(yùn)營(yíng)商需求在企業(yè)內(nèi)網(wǎng)和增值服務(wù)

　　IDS和IPS由于部署目標(biāo)的不同而應(yīng)用于不同的場(chǎng)景。那么企業(yè)該如何選擇與部署IDS和IPS呢？

　　目前這兩種系統(tǒng)應(yīng)用場(chǎng)景有3種部署方向。第一種企業(yè)需要IPS而不需要IDS，主要是低風(fēng)險(xiǎn)行業(yè)企業(yè)，如一些非IT公司的中小企業(yè)，這一類企業(yè)通常不需要及時(shí)地了解安全狀況到底有什么樣的變化，而只關(guān)注防護(hù)措施是否能使網(wǎng)絡(luò)免遭攻擊。第二種是既需要IDS又需要IPS的企業(yè)，這類企業(yè)一般是高風(fēng)險(xiǎn)行業(yè)，比如政府、金融行業(yè)，因?yàn)樗麄兺瑫r(shí)關(guān)注風(fēng)險(xiǎn)管理，也關(guān)注風(fēng)險(xiǎn)控制，而且通過(guò)風(fēng)險(xiǎn)管理不斷地完善風(fēng)險(xiǎn)控制措施。第三種是只需要IDS不需要IPS，需求者通常屬于監(jiān)測(cè)、監(jiān)管機(jī)構(gòu)，或是遠(yuǎn)程監(jiān)控中心。他們主要是想及時(shí)了解網(wǎng)絡(luò)安全狀況和變化，便于做審查、管理或提供服務(wù)。

　　電信企業(yè)是最早接受IDS和IPS的行業(yè)之一，電信企業(yè)網(wǎng)絡(luò)分為公網(wǎng)(骨干網(wǎng))和企業(yè)私網(wǎng),目前主要是企業(yè)網(wǎng)在用IDS和IPS。電信級(jí)骨干網(wǎng)很少使用IPS和IDS，原因一是骨干網(wǎng)規(guī)模大，安全級(jí)別要求高且有大規(guī)模專門專業(yè)的維護(hù)人員，嚴(yán)格確保網(wǎng)絡(luò)的安全。

　　通信行業(yè)企業(yè)網(wǎng)一般指辦公網(wǎng)，和其他中小企業(yè)網(wǎng)絡(luò)一樣，辦公網(wǎng)屬于企業(yè)內(nèi)網(wǎng)，與骨干網(wǎng)相比規(guī)模小，安全級(jí)別要求略低，專業(yè)維護(hù)人員少。所以企業(yè)內(nèi)網(wǎng)一般會(huì)選擇使用IDS和IPS設(shè)備來(lái)保障內(nèi)網(wǎng)的安全。由于IDS設(shè)備是旁路掛在網(wǎng)絡(luò)上的，所以在電信運(yùn)營(yíng)商的網(wǎng)監(jiān)部門及需要重要監(jiān)控地方一般會(huì)部署IDS設(shè)備。

　　另外，IPS/IDS作為電信企業(yè)的一項(xiàng)IDC增值產(chǎn)品，通過(guò)與網(wǎng)絡(luò)安全廠家合作，為中小型企業(yè)提供設(shè)備租賃服務(wù)，解決中小型企業(yè)人員、成本不足的問(wèn)題。為了確保設(shè)備的維護(hù)，一般與廠商進(jìn)行合作，通信運(yùn)營(yíng)商自己提供渠道，廠商提供售后服務(wù)。

　　中國(guó)聯(lián)通自2008年開(kāi)始發(fā)展IPS和IDS網(wǎng)絡(luò)安全增值服務(wù)，至今已經(jīng)有3年時(shí)間，產(chǎn)品已經(jīng)發(fā)展比較成熟,成立了專門的IDC運(yùn)營(yíng)中心，由合作廠家提供專業(yè)的安全維護(hù)人員7×24小時(shí)遠(yuǎn)程監(jiān)控客戶網(wǎng)絡(luò)，并隨時(shí)為客戶提供咨詢及響應(yīng)服務(wù)。目前中國(guó)聯(lián)通提供的IDS/IPS產(chǎn)品有入侵檢測(cè)設(shè)備(IDS)租賃和監(jiān)控套餐服務(wù);入侵防御設(shè)備(IPS)租賃和監(jiān)控套餐服務(wù)。中國(guó)聯(lián)通發(fā)展的主要客戶有國(guó)家檔案局、國(guó)家郵政等政府類客戶。

　　未來(lái)將趨向融合

　　IPS、IDS等技術(shù)是在硬件防火墻里逐漸集成實(shí)現(xiàn)的，即便是市場(chǎng)中陸續(xù)推出的所謂IPS或IDS的更加智能化的獨(dú)立技術(shù)，也是在參考雙方相互的優(yōu)勢(shì)如在IPS中增加更加強(qiáng)勁的處理單元以實(shí)現(xiàn)IDS的全面數(shù)據(jù)檢測(cè)和在IDS中嵌入流量控制和應(yīng)用層的數(shù)據(jù)阻斷功能模塊。

　　所以，IPS與IDS已經(jīng)不再是當(dāng)初獨(dú)立的技術(shù)概念，未來(lái)發(fā)展方向應(yīng)該有以下兩個(gè)方面：其一，更加廣泛的精確阻斷范圍，擴(kuò)大可以精確阻斷的事件類型，尤其是針對(duì)變種以及無(wú)法通過(guò)特征來(lái)定義的攻擊行為的防御;其二，適應(yīng)各種組網(wǎng)模式，在確保精確阻斷的情況下，適應(yīng)電信級(jí)骨干網(wǎng)絡(luò)的防御需求。

　　我們建議下一代IPS能夠解決三個(gè)問(wèn)題。一是網(wǎng)絡(luò)瓶頸的問(wèn)題。IPS串聯(lián)地部署在網(wǎng)絡(luò)出口處，如出故障，勢(shì)必影響到網(wǎng)絡(luò)性能。二是單點(diǎn)故障問(wèn)題。IPS實(shí)行的是一種失效即阻斷機(jī)制，一旦IPS設(shè)備出現(xiàn)故障，會(huì)造成網(wǎng)絡(luò)中斷，影響現(xiàn)網(wǎng)業(yè)務(wù)的發(fā)展。三是解決目前云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)對(duì)網(wǎng)絡(luò)安全的新影響。

　　目前，我們認(rèn)為融合、協(xié)同、集中管理將是網(wǎng)絡(luò)安全的發(fā)展方向。大型企業(yè)需要一體化的安全解決方案，需要更加全面的安全控制手段。中小企業(yè)一邊希望能夠獲得切實(shí)的安全保障，一邊又不可能對(duì)信息安全有太多的投入。因此，IPS與IDS就仿佛網(wǎng)絡(luò)交換與路由的區(qū)分一樣變得模糊而無(wú)法分割，成為網(wǎng)絡(luò)安全系統(tǒng)的一部分，未來(lái)IPS與IDS將成為聯(lián)系更加緊密的融合安全技術(shù)。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]