目前，市場上的入侵檢測產(chǎn)品大大小小有上百家，如何選擇適合自己的產(chǎn)品，是一件擺在廣大安全管理員和企業(yè)技術決策者面前很頭痛的事。下面我們就根據(jù)產(chǎn)品的綜合性能，談談采購過程中的基本原則。

　　1.產(chǎn)品的攻擊檢測數(shù)量為多少？是否支持升級？

　　IDS的主要指標是它能發(fā)現(xiàn)的入侵方式的數(shù)量，幾乎每個星期都有新的漏洞和攻擊方法出現(xiàn)，產(chǎn)品的升級方式是否靈活直接影響到它功能的發(fā)揮。一個好的實時檢測產(chǎn)品應該能經(jīng)常性升級，并可通過互聯(lián)網(wǎng)或下載升級包在本地升級。

　　2.對于網(wǎng)絡入侵檢測系統(tǒng)，最大可處理流量(PPS)是多少？

　　首先，要分析網(wǎng)絡入侵檢測系統(tǒng)所布署的網(wǎng)絡環(huán)境，如果在512K或2M專線上布署網(wǎng)絡入侵檢測系統(tǒng)，則不需要高速的入侵檢測引擎，而在負荷較高的環(huán)境中，性能是一個非常重要的指標。

　　3.產(chǎn)品容易被攻擊者躲避嗎？

　　有些常用的躲開入侵檢測的方法，如：分片、TTL欺騙、異常TCP分段、慢掃描、協(xié)同攻擊等。產(chǎn)品在設計時是否考慮到這一點。

　　4.能否自定義異常事件？

　　IDS對特殊的監(jiān)控需求只能通過用戶自己定制監(jiān)控策略實現(xiàn)。一個優(yōu)秀的IDS產(chǎn)品，必須提供靈活的用戶自定義策略能力，包括對服務、訪問者、被訪問者、端口、關鍵字以及事件的響應方式等策略。

　　5.產(chǎn)品系統(tǒng)結(jié)構(gòu)是否合理？

　　一個成熟的產(chǎn)品，必須是集成了基于百兆網(wǎng)絡、基于千兆網(wǎng)絡、基于主機的三種技術和系統(tǒng)。

　　傳統(tǒng)的IDS大多是兩層結(jié)構(gòu)，即“控制臺→探測器”結(jié)構(gòu)，一些先進的IDS產(chǎn)品開始采用三層架構(gòu)進行部署，即“控制臺→事件收集器＋安全數(shù)據(jù)庫→探測器”結(jié)構(gòu)，對于大型網(wǎng)絡來說，三層結(jié)構(gòu)更加易于實現(xiàn)分布部署和集中管理，從而提高安全決策的集中性。如果沒有遠程管理能力，對于大型網(wǎng)絡基本不具備可用性。

　　6.產(chǎn)品的誤報和漏報率如何？

　　有些IDS系統(tǒng)經(jīng)常發(fā)出許多假警，假警報常常掩蓋了真攻擊。這些產(chǎn)品在假警報重負下一再崩潰，而當真正攻擊出現(xiàn)時，有些IDS產(chǎn)品不能捕獲攻擊，而另一些IDS產(chǎn)品的報告混雜在假警報中，很容易被錯過。過分復雜的界面使關掉假警報非常困難，幾乎所有IDS產(chǎn)品在默認設置狀態(tài)下都會產(chǎn)生非常多的假警報，給用戶帶來許多麻煩。

　　7.系統(tǒng)本身是否安全？

　　IDS系統(tǒng)記錄了企業(yè)最敏感的數(shù)據(jù)，必須有自我保護機制，防止成為黑客的攻擊目標。

　　8.產(chǎn)品實時監(jiān)控性能如何？

　　由IDS通信造成的對網(wǎng)絡的負載不能影響正常的網(wǎng)絡業(yè)務，必須對數(shù)據(jù)進行實時分析，否則無法在有攻擊時保護網(wǎng)絡，所以必須考慮網(wǎng)絡入侵檢測產(chǎn)品正常工作的最大帶寬數(shù)。

　　9.系統(tǒng)是否易用？

　　系統(tǒng)的易用性包括五個方面：

　　界面易用——全中文界面，方便易學，操作簡便靈活。

　　幫助易用——在監(jiān)控到異常事件時能夠立刻查看報警事件的幫助信息，同時在聯(lián)機幫助中能夠按照多種方式查看產(chǎn)品幫助。

　　策略編輯易用——能否提供單獨的策略編輯器？可否同時編輯多個策略？是否提供策略打印功能。

　　日志報告易用——是否提供靈活的報告定制能力。

　　報警事件優(yōu)化技術——是否針對報警事件進行優(yōu)化處理，將用戶從海量日志中解放出來，先進的IDS能夠?qū)⒁欢〞r間內(nèi)的類似事件經(jīng)過優(yōu)化處理后合并進行報警，這樣，用戶面對的日志信息不僅更為清晰而且避免錯過重要報警信息。

　　10.特征庫升級與維護的費用怎樣？

　　像反病毒軟件一樣，入侵檢測的特征庫需要不斷更新才能檢測出新出現(xiàn)的攻擊方法。

　　11.產(chǎn)品是否通過了國家權威機構(gòu)的評測？

　　主要的權威評測機構(gòu)有：國家信息安全評測認證中心、公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心等。

　　另外，購買IDS產(chǎn)品需要考慮多種因素，上面只是基本的要點。由于用戶的實際情況不同，用戶可根據(jù)自己的安全需要綜合考慮。

最新評論