谈IDS与IPS各自的应用价值与部署目标

作者: 沈颖 出处:51CTO.com　2007-08-24 10:21　   砖    好    评论  条 　进入论坛

阅读提示：目前无论是信息安全专业人士还是普通用户，都认为IDS和IPS是两类产品，并不存在IPS要替代IDS的可能。但IPS的出现也的确给用户带来了新的困惑……

【51CTO.com 综合报道】从2003年Gartner公司副总裁Richard Stiennon发表《入侵检测已寿终正寝，入侵防御将万古长青》的报告引发安全业界震动至今，关于入侵检测系统（IDS）与入侵防御系统（IPS）之间关系的讨论已经趋于平淡。2006年IDC年度安全市场报告更是明确指出IDS和IPS是两个独立的市场，给这场讨论画上了一个句号。
可以说，目前无论是信息安全专业人士还是普通用户，都认为IDS和IPS是两类产品，并不存在IPS要替代IDS的可能。但IPS的出现也的确给用户带来了新的困惑，笔者曾见过用户进行产品选择的时候在产品类型上写着“入侵检测系统或者入侵防御系统”。其实从产品价值和应用角度来分析，就可以很清晰地区分和选择IDS和IPS。
从产品价值角度讲，IDS注重的是网络安全状况的监管。用户进行网络安全建设之前，通常要考虑信息系统面临哪些威胁、威胁的来源以及进入信息系统的途径、信息系统对这些威胁的抵御能力等方面的信息。在信息系统建设中和实施后也要不断地观察信息系统中的安全状况。从而有的放矢地进行系统建设，根据安全状况及时调整安全策略，减少信息系统被破坏的可能。
IPS关注的是对入侵行为的控制。当用户明确信息系统安全建设方案和策略之后，可以在IPS中实施边界防护安全策略。与防火墙类产品可以实施的安全策略不同，IPS可以实施深层防御安全策略，即可以在应用层检测出攻击并予以阻断，这是防火墙所做不到的，当然也是IDS所做不到的。
从产品应用角度来讲，为了达到可以全面检测网络安全状况的目的，IDS需要部署在网络内部的中心点，需要观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，以达到掌控整个信息系统安全状况的目的。
而为了实现对外部攻击的防御，IPS需要部署在网络的边界。所有来自外部的数据必须串行通过IPS，IPS通过实时分析网络数据，发现攻击行为立即予以阻断，保证来自外部的攻击数据不能通过网络边界进入网络。
明确了这些区别，用户就可以比较理性地进行产品类型选择：
若用户计划在一次项目中实施较为完整的安全解决方案，则应同时选择和部署IDS和IPS两类产品。在全网部署IDS，在网络的边界点部署IPS；若用户计划分布实施安全解决方案，可以考虑先部署IDS进行网络安全状况监控，后期再部署IPS；若用户仅仅关注网络安全状况的监控（如金融监管部门，电信监管部门等），只需在目标信息系统中部署IDS即可。
合理地选择产品类型之后，下一个问题就是选择什么样的IDS或IPS才是最有效的？
启明星辰认为，任何产品的开发应该围绕着核心产品价值展开，产品的各种能力都应该为核心产品价值服务。因此IDS必须能够全面检测网络中各类安全事件，也就是说检测的全面性是考量IDS产品优劣的主要标准；而IPS必须能精确阻断关键网络威胁，对关键网络威胁的防御能力以及防御的准确性是考量IPS产品优劣的主要标准。