入侵检测系统(Intrusion Detection System,IDS)以及它们的近亲—入侵防御系统(Intrusion Prevention System,IPS)是网络安全的入侵警报器。我们知道,防火墙只能阻止通信量,而一个IDS能够检测出恶意通信量(如果存在恶意通信的话),然后向系统管理员或者IT安全人员发出警报。而IPS则不仅仅能察觉恶意入侵,还能试图对其修复。 对于拥有错综复杂的网络的大公司,很自然的需要安装和设置这种检测系统以及防范系统。
IDS和IPS通常是较大规模网络安全结构的一部份,并且是随着防火墙一道安装的。 但是对于只有小型网络和若干IT工作人员的中……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
入侵检测系统(Intrusion Detection System,IDS)以及它们的近亲---入侵防御系统(Intrusion Prevention System,IPS)是网络安全的入侵警报器。我们知道,防火墙只能阻止通信量,而一个IDS能够检测出恶意通信量(如果存在恶意通信的话),然后向系统管理员或者IT安全人员发出警报。而IPS则不仅仅能察觉恶意入侵,还能试图对其修复。
对于拥有错综复杂的网络的大公司,很自然的需要安装和设置这种检测系统以及防范系统。IDS和IPS通常是较大规模网络安全结构的一部份,并且是随着防火墙一道安装的。
但是对于只有小型网络和若干IT工作人员的中小型企业(SMB)来说,IDS可能显得有点奢侈。而且,还需要有工作人员能全天全周侯待命以监控IDS。然而,中小型企业光有防火墙来实施保护是不够的。
这里有两种使用IDS和IPS的低预算方案,中小型企业可以考虑尝试。你可以使用适合较小公司小型网络的产品,或者也可以利用外包商们专为中小型企业提供的检测和预警服务。
但在你做任何决定之前,请先考虑一下评测IDS或者IPS的基本标准:你的网络的规模和范围,需要保护的数据和基础设施的类型,以及IDS将如何融入你现有的事故应对策略。
网络的规模和范围:你的网络的规模和范围是很重要的,因为IDS就像任何其他网络中的应用程序,可能影响网络性能。IDS只是一种安全硬件,和你的防火墙以及病毒、垃圾邮件、内容管理过滤器一样。对于一个极小的网络来说,它会是一个很大的负担。如果是这样的话,具有良好处理能力的防火墙,会比完备的IDS更好控制。记住,防火墙能阻止不必要的通信量,但并不总会记录它。IDS记录不必要的通信量,但不一定能阻止它,除非还有IPS。所以防火墙和IDS就像是硬币的正反面,功能互补?lt;/p>
另外,最近有很多产品结合了IDS、防火墙、过滤以及其他功能,成为一种全能便利的应用软件。当中小型企业在考虑为小型网络购买一个价廉物美的设备时,可以考虑考虑这种产品。
数据和基础设施类型:中小型企业绝不能单单依赖IDS来实施保护。IDS应该是一个多层防御系统的一部份,这个防御系统还应包括防火墙、安全进入管理、和桌面服务器硬件硬化。
另外,要想真正有效实施保护,入侵检测系统必须被安装在防火墙的两边以及内网和外网的通信量流入的网关处。IDS并不是独立工作。它需要检测从各方来的通信量,无论是来自内部的还是外部的。把不同网段的检测结果进行比较,那么就能确定攻击的来源或者试图入侵的恶意程序了。内部攻击相当普遍,而且可以被确定,例如通过IDS对内部(而不是外部)网段可疑活动的检测。
为了让IDS融入你当前的应对策略,应当对你的服务器上存储的东西进行详细的风险分析:
1. 是可能导致客户身份暴露或者对你公司提起诉讼的重要客户信息吗?还是不仅仅关乎个人利益的人口和销售数据呢?
2. 你的服务器存储了私人公司信息或者计划吗?
3. 你的服务器存储了包括工资税和社会安全号码的员工信息吗?
如果数据风险不高,那么简单的防火墙就足以防止入侵。据说,黑客经常先闯入较低保护的系统作为后门,然后进入关键系统。低风险系统和存有高风险数据的服务器是隔离的吗?在安装IDS时,不仅要考虑数据风险级别,也要考虑系统结构和低风险到高风险的可进入性。
审查系统时,要检查它如何发送警报和发给谁。如果你的IT店只有一个人,那这个人能够应付得了没完没了的事故警报吗?而且其中很多可能是假警报。应该发送电子邮件吗?IDS系统还会产生大量日志数据,大多数起不到任何作用。评测数据---及时处理以检测出真正的入侵---确实不容易。这种情况下,可以考虑使用那些可以帮助审查警报数据,并且能从黑客例行试探网络的普通无用数据找出真正入侵的产品。
作者
相关推荐
-
思科通过收购Duo来增强云安全性
思科宣布以23.5亿美元收购Duo Security公司,此次收购将为该网络公司的云安全产品组合增添了两步身份 […]
-
Accenture公司的Tammy Moskites探讨CISO职位变化
首席信息安全官(CISO)职位仍在不断发展和成熟,对于这些变化,或许没有人比Tammy Moskites更有话 […]
-
企业没有从过往网络安全事件中吸取教训
根据Pluralsight作家同时也是安全专家Troy Hunt表示,反复发生的网络安全事件表明企业仍然在基础 […]
-
微软公司提供IE浏览器零日“双杀”漏洞补丁
微软公司2018年五月份的周二补丁日提供了IE浏览器零日漏洞补丁修复,该漏洞上个月已经被外部攻击者利用。(译注 […]