作者简介:本文作者赖左罕为毕业于伦敦大学皇家学院(Royal Holloway, University of London)之信息安全硕士,目前任职顾问公司,担任信息安全顾问一职,主要专长 包含安全管理(Security Management)、信息安全政策制定(Security Policy)、防火墙(Firewall Implementation)、入侵侦测系统(Intrusion Detection Systems)、入侵安全测试(Penetration Testing)、计算机犯罪搜证(Computer forensics)及紧急事件应变程序。 建置与部署入侵侦测系统(Intrusion Detection System;IDS)将成为加强网路安全的一股新力量。在入侵侦测系统的基本介绍上篇中已介绍网路端与主机端入侵侦测系统在侦测系统的差异,以及侦测技术的优缺点;在下篇中则要进一步介绍入侵侦测系统的建置与部署,建议企业应该分段部署,第一步先建置「网路端」入侵侦测系统,接著再建置「主机端」入侵侦测系统。 分段建置部署入侵侦测系统 企业应考虑采用分段式的建置方式,以便能在建置的过程中增加经验,并能够较清楚地确定所需要监听的范围及所需维护的资源。每一种入侵侦测系统的建置方式各有不同,而且入侵侦测系统的建置需要大量的先期准备工作以及持续性与管理者的互动。企业在建置入侵侦测系统前必需先定义适切的安全政策、计画及应对程序,这样当入侵侦测系统产生各种不同的警讯时,相关的人员才有依据可以针对不同的警讯做出适当的反应措施。 在此建议企业用户考虑以混合「网络端」及「主机端」两种系统的方式来建置入侵侦测系统以达到保护企业网络的最佳效果。第一步先建置「网络端」入侵侦测系统,因为它们安装简易而且维护容易,接着在具有特定任务的重要服务器(mission-critical server)上建置「主机端」入侵侦测系统。 建置部署「网络端」入侵侦测系统 建置部署「主机端」入侵侦测系统 入侵侦测系统的前景 部份商业产品的入侵侦测系统因为产生过多的误判警讯,为数频繁的攻击报告,缺乏扩展性以及缺乏与企业管理系统的整合性,因此一直为一般企业大众所垢病。虽然如此,但是商业产品的入侵侦测系统仍然处於快速进步发展的阶段中,因此相信在不久的将来,这些缺点将会一一被提出并得以解决。 入侵侦测系统产品的发展生态其实和防毒程式非常相似∶早期的防毒程式对一般使用者行为产生过多的错误警讯,而且无法有效地防范所有已知的病毒。但经过不断的技术上改善与演进至目前为止,大部份的使用者已经不太会注意到防毒程式的存在,认为它们是一项基本必需的程式,而且有相当的信心它将会捕捉到所有已知的病毒。相信入侵侦测系统产品也将会走到这麽一天。 |