随着网络安全风险系数不断提高,曾经作为最主要的安全防范手段的防火墙,已经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,提高了信息安全基础结构的完整性。近几年,IPS(入侵防御系统)的引入让网络安全产品发展又进入新的阶段。而未来IPS并不会替代IDS,双方都会在企业网络安全系统中扮演重要角色,并成为联系更加紧密的融合安全技术。
IPS重控制IDS重管理
IDS即是对入侵行为的发觉。IPS则是一种主动、智能的入侵检测、防范、阻止系统,它不需要人为干预就可以预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失。
有这样一种观点认为,检测入侵实际上是为了防范,入侵检测的发展方向是IPS,所以在IPS出现后,很多人在不慎了解和熟悉IPS的情况下,完全抛弃IDS,转而投入IPS。目前应用表明,IDS和IPS由于各自技术特点,在入侵安全防范领域都有存在的价值。
IPS是串联接入网络的,关注的是串行线路上的入侵防御;IDS是旁路接入的,其侧重点是发现、了解、统计、分析入侵危险状况。前者重控制,后者重管理。由于IPS在线工作,相比较IDS而言,IPS增加数据转发环节,这对系统资源是一个新的消耗,因此,IPS对系统速度的影响比IDS要大,但IPS对事件响应机制要比IDS更精确、更迅速。IPS重在深层防御,追求精确阻断,是防御入侵的最佳方案,弥补防火墙或IDS对入侵数据实时阻断效果的不足;IDS重在全面检测,追求有效呈现,有利于进行安全审计和事后追踪,对于追溯和阻止拒绝服务攻击能提供有价值的线索。IDS注重的是对整个网络安全状况的监控,IPS更关注对不同入侵行为的如何分别处理。
运营商需求在企业内网和增值服务
IDS和IPS由于部署目标的不同而应用于不同的场景。那么企业该如何选择与部署IDS和IPS呢?
目前这两种系统应用场景有3种部署方向。第一种企业需要IPS而不需要IDS,主要是低风险行业企业,如一些非IT公司的中小企业,这一类企业通常不需要及时地了解安全状况到底有什么样的变化,而只关注防护措施是否能使网络免遭攻击。第二种是既需要IDS又需要IPS的企业,这类企业一般是高风险行业,比如政府、金融行业,因为他们同时关注风险管理,也关注风险控制,而且通过风险管理不断地完善风险控制措施。第三种是只需要IDS不需要IPS,需求者通常属于监测、监管机构,或是远程监控中心。他们主要是想及时了解网络安全状况和变化,便于做审查、管理或提供服务。
电信企业是最早接受IDS和IPS的行业之一,电信企业网络分为公网(骨干网)和企业私网,目前主要是企业网在用IDS和IPS。电信级骨干网很少使用IPS和IDS,原因一是骨干网规模大,安全级别要求高且有大规模专门专业的维护人员,严格确保网络的安全。
通信行业企业网一般指办公网,和其他中小企业网络一样,办公网属于企业内网,与骨干网相比规模小,安全级别要求略低,专业维护人员少。所以企业内网一般会选择使用IDS和IPS设备来保障内网的安全。由于IDS设备是旁路挂在网络上的,所以在电信运营商的网监部门及需要重要监控地方一般会部署IDS设备。
另外,IPS/IDS作为电信企业的一项IDC增值产品,通过与网络安全厂家合作,为中小型企业提供设备租赁服务,解决中小型企业人员、成本不足的问题。为了确保设备的维护,一般与厂商进行合作,通信运营商自己提供渠道,厂商提供售后服务。
中国联通自2008年开始发展IPS和IDS网络安全增值服务,至今已经有3年时间,产品已经发展比较成熟,成立了专门的IDC运营中心,由合作厂家提供专业的安全维护人员7×24小时远程监控客户网络,并随时为客户提供咨询及响应服务。目前中国联通提供的IDS/IPS产品有入侵检测设备(IDS)租赁和监控套餐服务;入侵防御设备(IPS)租赁和监控套餐服务。中国联通发展的主要客户有国家档案局、国家邮政等政府类客户。
未来将趋向融合
IPS、IDS等技术是在硬件防火墙里逐渐集成实现的,即便是市场中陆续推出的所谓IPS或IDS的更加智能化的独立技术,也是在参考双方相互的优势如在IPS中增加更加强劲的处理单元以实现IDS的全面数据检测和在IDS中嵌入流量控制和应用层的数据阻断功能模块。
所以,IPS与IDS已经不再是当初独立的技术概念,未来发展方向应该有以下两个方面:其一,更加广泛的精确阻断范围,扩大可以精确阻断的事件类型,尤其是针对变种以及无法通过特征来定义的攻击行为的防御;其二,适应各种组网模式,在确保精确阻断的情况下,适应电信级骨干网络的防御需求。
我们建议下一代IPS能够解决三个问题。一是网络瓶颈的问题。IPS串联地部署在网络出口处,如出故障,势必影响到网络性能。二是单点故障问题。IPS实行的是一种失效即阻断机制,一旦IPS设备出现故障,会造成网络中断,影响现网业务的发展。三是解决目前云计算、物联网、移动互联网对网络安全的新影响。
目前,我们认为融合、协同、集中管理将是网络安全的发展方向。大型企业需要一体化的安全解决方案,需要更加全面的安全控制手段。中小企业一边希望能够获得切实的安全保障,一边又不可能对信息安全有太多的投入。因此,IPS与IDS就仿佛网络交换与路由的区分一样变得模糊而无法分割,成为网络安全系统的一部分,未来IPS与IDS将成为联系更加紧密的融合安全技术。
【编辑推荐】
