IDS方案

　　这里有两个有趣的为中小型企业设计的应用软件，它们分别来自iPolicy Networks Private有限公司和TriGeo网络安全公司。

　　iPolicy 3.0版，发布于去年12月，使用了被称之为Real-Time Vulnerability Correlation (RVC)的程序。IPolicy的RVC利用的是来自Nessus的数据(Nessus是Tenable网络安全公司的一种流行的扫描工具)以及eEye公司的Retina，Retina可以将实时威胁信息与Common Vulnerabilities and Exposures和BugTraq(两个IT安全界中有名的漏洞数据库)中的数据进行比较。用户可以根据资产的价值和风险级别来调整iPolicy，RVC然后通过资产的价值来确定威胁程度，并从它的IDS和IPS处发出警报。IPolicy还包括抗滤过性病毒保护;它还可以监控因特网协议语音传输网络、即时信息和其它点对点式的通信(即使它使用的是非标准端口或者忙碌端口)。

　　TriGeo的 Security Information Manager(安全信息管理器)因它的实时日志分析而出名，而且它像iPolicy一样能分析实况数据和网络行为以实行更细致入微的入侵检测。该产品能够把日志信息聚集合计成一个单一的实用报告。而不是从头至尾过滤多重日志，在通常情况下，TriGeo把每个时间排列整齐，那么，你的IT人员只需要扫一眼，便知道该采取何种行动。

　　中小型企业还可以通过外包给那些专门从事入侵监控和事故应对的公司来实施保护。有三种厂商向中小型企业提供这种服务：位于亚特兰大的互联网安全系统公司(Internet Security Systems Inc.)，位于加州Redwood Shores的Qualys公司和位于加州Cupertino的Symantec公司。这些公司都有专门的工作人员，他们都是事故应对和处理入侵方面的专家。不需要使用硬件IDS，这些公司可以从他们的操作中心对中小型企业系统进行远程扫描和管理网络。

　　同样提供IDS应用软件的ISS公司，利用的是来自它的X-Force安全情报服务中心的信息，并且有一个门户网站，为客户提供实时更新。Qualys是先根据资产的价值和风险分级，然后根据级别进行监测。Symantec的DeepSight威胁管理系统能够通过分析公司系统的特定区域来检测攻击。

　　Symantec同时也是Sourcefire公司的一个安全管理服务供应商合作伙伴，Sourcefire公司是Snort的生产公司---著名的开源IDS软件。Snort也可以作为一个不需要外包支持的独立产品，是一个可靠的受欢迎IDS，中小型企业可以考虑使用Snort。

　　由于安全威胁已经混合在一起，从硬件到网络和软件，所以需要入侵检测来实施保护。入侵检测已经成为一个较大的安全保护的一部份，还包括防火墙和漏洞管理，网络接入控制和端点安全。IDS应当仅被视为中小型企业IT安全计划的一部份，不是全部。

作者简介：Joel Dubin，CISSP，是一名独立的计算机安全咨询师。他是微软MVP，专注于Web及应用安全，著有《The Little Black Book of Computer Security》一书。同时，他还主持芝加哥的一个有关计算机安全，名为“WIIT”的广播节目，并运行IT安全博客（www.theitsecurityguy.com）。