网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > IDS/IPS > 文章  
警钟再鸣 防御在入侵的那一刻
文章来源: 中国计算机用户 文章作者: 李玮 发布时间: 2006-02-08   字体: [ ]
 

  IPS 拦截攻击的功能,对于无法加固的脆弱系统,起到举足轻重的保护作用。比如,在用户生产系统和大型数据库系统中,可能存在一些漏洞。由于补丁程序与系统冲突,容易引起系统瘫痪,所以用户不会轻易给系统打补丁。可是,不打补丁,系统势必处于安全威胁中。此时,运用IPS,可以阻挡可能的攻击,进而减少安全风险。

  技术瓶颈难以逾越

  IPS好是好,目前,却遇到了尚未逾越的技术瓶颈。

  首先是安全性。它沿习了IDS技术优势之时,也继承了它的某些致命缺陷。IDS误报漏报率一直存在,至今仍未克服。IPS继承了这一弱势。比IDS更糟的是,IDS误报最多给用户带来频繁报警的骚扰,IPS误报将会把正常的访问请求阻挡,修改系统合理应用,破坏用户业务。

  其次是应用效果。IPS技术与防病毒技术有相似之处。有效防范病毒,必须时时更新病毒特征库,这样才能识别和扼杀不断涌现的新病毒。IPS也一样,它同样要具备快速更新攻击特征库的能力。但IPS面临的问题比防病毒技术更为繁杂,需要归纳、分析的安全事件的种类和形态太多,特征不易收集(同时还要基于应用层进行防护),更新难度非常之大。

  最后是性能消耗。传统的IDS是旁路监听网络,不会影响网络应用。现在的IPS是串联在网络中的,而且基于应用层检测。这意味着所有与系统应用相关的访问,都要经过IPS过滤。尽管诞生了有如NP(NetWork Processor,网络处理器)、ASIC(Applications Specific Integrated Circuit,供专门应用的集成电路)等高性能处理芯片,可以帮助改善处理性能,然而,联动的应用太多,还是会消耗部分性能,降低运行速度。

  应用障碍不可抗拒

如果说IDS让用户还有所认知,IPS则让用户知之甚少,也就谈不上对IPS的重视了。

  许多用过IDS的用户都没有认识到,使用IDS的最大价值是分析网络状况。我国的网管人员对安全知识和技术的掌握有限,对安全设备管理的能力不强,加之繁琐的网络管理工作,没有精力顾及安全的深度防御问题。

  我接触过不少用户,发现很少有用户认真分析过防火墙日志,又很少有人通过这些分析制定出有效的反击策略。IDS独有的分析功能几乎没有被网管人员充分利用和挖掘,而白白葬送掉IDS的使用价值。在这些企业网中,IDS形同虚设。与IDS类似的IPS的应用遭遇,大家可想而知了。

  一些应用水平高、安全意识强的用户自信有能力用好IPS,但他们怀疑IPS的性能问题,并担心IPS会影响关键业务。

  可见,IPS的应用,无论是对于高级用户还是初级用户来说,都是任重而道远。

  跳出产品考虑全局

IPS是一个产品,安全保护是整体工程,里面涉及方方面面的深度防御工作。绝对不是一两个安全产品就可以解决的。

  近来,市场上关于UTM(Unified Threat Management)的呼声越来越高。UTM是什么,它是统一威胁管理,它把防毒、防火墙、IPS等多种安全功能集成在一起,并基于硬件芯片处理技术,提供了一种统一的安全管理手段。其最大的优势是能够统一处理安全事件。

  我个人认为,UTM还是一个产品,只要是产品,它就逃脱不掉单纯的防御模式。企业网络所面临的安全威胁,从管理的角度看,必须充分考虑企业的需求,整体考虑安全防范问题。即使涉及IPS单项功能,也要结合整体安全策略,制定IPS的防范规则,预测它所面临的风险,设计发挥它的优势及与响应其他安全功能的措施。

  因此,我建议用户从以下几个方面看待和使用IPS等安全产品及应用。

  冷静看待产品。把网管人员遇到的现有的产品管理好,可以大大减少网络及产品的安全风险。问题是,有的用户连现有的产品都没管好,服务器系统经常忘记升级补丁程序,防火墙日志不看也不分析,这样,选择再多的安全设备,对安全防范也会无济于事。

  整体考虑安全。建议用户从整个信息生命周期管理的视角去建设和管理安全系统。把重点放在统一监控、统一管理、统一时间响应等方面。一旦出现安全问题,采取什么措施,如何响应,都应该在事前有一个统筹的考虑。把安全防范贯彻到整个业务运行当中。

  从需求出发。认真分析自身的需求,到底是不是急需使用IPS,采用IPS前要想清楚,是否牵扯网络结构的调整、网络系统的重新部署;之后,还要搞明白,怎样用好IPS,做到及时更新特征库,分析IPS反映的一些数据,防患于未然。一句话,要将检测、响应、审计统一在一起综合考虑。

--
原文链接: http://security.ccidnet.com/art/231/20060207/423465_1.html

 
推荐文章
·技术知识入门:反NIDS技术应用介
·入侵检测系统逃避技术和对策的介
·安全防护 - 入侵检测实战之全面
·十大入侵检测系统高风险事件及其
·术语详解: IDS
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统面临的三大挑战
·入侵检测应该与操作系统绑定
·入侵检测术语全接触
·IDS:网络安全的第三种力量
·我们需要什么样的入侵检测系统
·IDS的数据收集机制
 
 
共5页: 上一页 [1] [2] [3] [4] 5 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·IPS vs. IDS 势不两立还
·我们需要什么样的入侵检
·入侵检测系统逃避技术和
·技术知识入门:反NIDS技
·IDS逃避技术和对策
·理解IDS的主动响应机制
·四项下一代入侵检测关键
·术语详解: IDS
相关分类
相关文章
·深度包检测技术的演进历
·十大入侵检测系统高风险
·IPS的快跑与慢走—简析I
·分析筛选IPS的八大定律
·四项下一代入侵检测关键
·新型蜜罐提高入侵检测准
·有效使用IDS/IPS的最佳
·网络向导之IDS/IPS的购
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $