从2003年Gartner公司副总裁Richard Stiennon发表《入侵检测已寿终正寝,入侵防御将万古长青》的报告引发安全业界震动至今,关于入侵检测系统(IDS)与入侵防御系统(IPS)之间关系的讨论已经趋于平淡。2006年IDC年度安全市场报告更是明确指出IDS和IPS是两个独立的市场,给这场讨论画上了一个句号。
可以说,目前无论是信息安全专业人士还是普通用户,都认为IDS和IPS是两类产品,并不存在IPS要替代IDS的可能。但IPS的出现也的确给用户带来了新的困惑,笔者曾见过用户进行产品选择的时候在产品类型上写着“入侵检测系统或者入侵防御系统”。其实从产品价值和应用角度来分析,就可以很清晰地区分和选择IDS和IPS。
从产品价值角度讲,IDS注重的是网络安全状况的监管。用户进行网络安全建设之前,通常要考虑信息系统面临哪些威胁、威胁的来源以及进入信息系统的途径、信息系统对这些威胁的抵御能力等方面的信息。在信息系统建设中和实施后也要不断地观察信息系统中的安全状况。从而有的放矢地进行系统建设,根据安全状况及时调整安全策略,减少信息系统被破坏的可能。
IPS关注的是对入侵行为的控制。当用户明确信息系统安全建设方案和策略之后,可以在IPS中实施边界防护安全策略。与防火墙类产品可以实施的安全策略不同,IPS可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是IDS所做不到的。
从产品应用角度来讲,为了达到可以全面检测网络安全状况的目的,IDS需要部署在网络内部的中心点,需要观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,以达到掌控整个信息系统安全状况的目的。
而为了实现对外部攻击的防御,IPS需要部署在网络的边界。所有来自外部的数据必须串行通过IPS,IPS通过实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。
明确了这些区别,用户就可以比较理性地进行产品类型选择:
若用户计划在一次项目中实施较为完整的安全解决方案,则应同时选择和部署IDS和IPS两类产品。在全网部署IDS,在网络的边界点部署IPS;若用户计划分布实施安全解决方案,可以考虑先部署IDS进行网络安全状况监控,后期再部署IPS;若用户仅仅关注网络安全状况的监控(如金融监管部门,电信监管部门等),只需在目标信息系统中部署IDS即可。
合理地选择产品类型之后,下一个问题就是选择什么样的IDS或IPS才是最有效的?
启明星辰认为,任何产品的开发应该围绕着核心产品价值展开,产品的各种能力都应该为核心产品价值服务。因此IDS必须能够全面检测网络中各类安全事件,也就是说检测的全面性是考量IDS产品优劣的主要标准;而IPS必须能精确阻断关键网络威胁,对关键网络威胁的防御能力以及防御的准确性是考量IPS产品优劣的主要标准。
