保护企业的网络关键是选择可有效阻止攻击以及补充现有安全控制的入侵检测和防御系统（IDS/IPS）产品。

1. 你有没有做好功课？

在评估现有入侵检测工具时，有着显著的学习曲线。

你可以让区域增值经销商（VAR）来帮助你联系到他们的主题专家以及制造商的代表和独立顾问。最好的增值经销商愿意为企业花时间，因为他们知道从长远来看这会给他们带来回报。他们不想卖给你不合适的产品，并且他们希望带来对其他项目的某种形式的商业回报。他们可以根据你企业的需求，帮助你确定你需要询问供应商的问题。

此外，基于你行业的合规监管进行的风险评估可以帮助确定需要保护哪些资源以及何种程度。你需要确保你清楚地了解风险情况和相关的指标以帮助你进行项目规划。

在做出选择时，你的选择应该基于解决企业风险所需要的功能。你可以使用功能矩阵来比较竞争产品；这可以简单地在文字处理表或电子表格中实现。根据选择过程的不同，功能矩阵将包含针对必要功能的简单的复选框（通过/不通过），以及针对可选功能的可行性的加权数值范围。

2. 你企业的网络团队是否支持你的选择？

IDS/IPS技术的部署最好需要企业网络工作人员的积极参与。很多任务应该由网络专家来完成，例如配置网络交换机SPAN端口或安装网络tap。由于IDS/IPS技术本质上是突破性的技术，网络人员必须了解这一技术的工作原理。

通过与网络工作人员合作来确定监测点，安全和网络团队都可以更好地了解什么样的流量需要进行检测。网络人员可以帮助确定是否需要专门设备（例如负载均衡器或网络聚合器）来帮助检测网络攻击，同时保持网络的高可用性。

3. 你的项目计划是否从成本角度考虑替代产品？

网络速度也将影响可部署的IDS/IPS传感器的数量。一般来说，网络段越快，传感器越昂贵。在现在的市场上，10GB传感器比1GB传感器要贵三到四倍。

为了解决这个问题，企业可以采用多种方法；第一种方法是采用分阶段部署，分摊资本支出到多年时间里。另一种方法是使用网络聚合技术，以允许单个IDS传感器来监控多个网络段。还有一种方法是使用已部署的统一威胁管理（UTM）防火墙中的IPS功能来监控一些网络段。最后，如果企业拥有良好的开源技术，Snort IDS传感器可以部署在现有硬件来覆盖低风险领域—这是商业IDS/IPS产品不会解决的领域。

请继续阅读《企业如何评估入侵检测工具？（二）》