融合型IDS/IPS將成入侵防護系統主導
隨著網絡安全風險系數不斷提高,曾經作為最主要的安全防范手段的防火墻,已經不能滿足人們對網絡安全的需求。作為對防火墻及其有益的補充,IDS(入侵檢測系統)能夠幫助網絡系統快速發現攻擊的發生,提高了信息安全基礎結構的完整性。近幾年,IPS(入侵防御系統)的引入讓網絡安全產品發展又進入新的階段。而未來IPS并不會替代IDS,雙方都會在企業網絡安全系統中扮演重要角色,并成為聯系更加緊密的融合安全技術。
IPS重控制IDS重管理
IDS即是對入侵行為的發覺。IPS則是一種主動、智能的入侵檢測、防范、阻止系統,它不需要人為干預就可以預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成任何損失。
有這樣一種觀點認為,檢測入侵實際上是為了防范,入侵檢測的發展方向是IPS,所以在IPS出現后,很多人在不慎了解和熟悉IPS的情況下,完全拋棄IDS,轉而投入IPS。目前應用表明,IDS和IPS由于各自技術特點,在入侵安全防范領域都有存在的價值。
IPS是串聯接入網絡的,關注的是串行線路上的入侵防御;IDS是旁路接入的,其側重點是發現、了解、統計、分析入侵危險狀況。前者重控制,后者重管理。由于IPS在線工作,相比較IDS而言,IPS增加數據轉發環節,這對系統資源是一個新的消耗,因此,IPS對系統速度的影響比IDS要大,但IPS對事件響應機制要比IDS更精確、更迅速。IPS重在深層防御,追求精確阻斷,是防御入侵的最佳方案,彌補防火墻或IDS對入侵數據實時阻斷效果的不足;IDS重在全面檢測,追求有效呈現,有利于進行安全審計和事后追蹤,對于追溯和阻止拒絕服務攻擊能提供有價值的線索。IDS注重的是對整個網絡安全狀況的監控,IPS更關注對不同入侵行為的如何分別處理。
運營商需求在企業內網和增值服務
IDS和IPS由于部署目標的不同而應用于不同的場景。那么企業該如何選擇與部署IDS和IPS呢?
目前這兩種系統應用場景有3種部署方向。第一種企業需要IPS而不需要IDS,主要是低風險行業企業,如一些非IT公司的中小企業,這一類企業通常不需要及時地了解安全狀況到底有什么樣的變化,而只關注防護措施是否能使網絡免遭攻擊。第二種是既需要IDS又需要IPS的企業,這類企業一般是高風險行業,比如政府、金融行業,因為他們同時關注風險管理,也關注風險控制,而且通過風險管理不斷地完善風險控制措施。第三種是只需要IDS不需要IPS,需求者通常屬于監測、監管機構,或是遠程監控中心。他們主要是想及時了解網絡安全狀況和變化,便于做審查、管理或提供服務。
電信企業是最早接受IDS和IPS的行業之一,電信企業網絡分為公網(骨干網)和企業私網,目前主要是企業網在用IDS和IPS。電信級骨干網很少使用IPS和IDS,原因一是骨干網規模大,安全級別要求高且有大規模專門專業的維護人員,嚴格確保網絡的安全。
通信行業企業網一般指辦公網,和其他中小企業網絡一樣,辦公網屬于企業內網,與骨干網相比規模小,安全級別要求略低,專業維護人員少。所以企業內網一般會選擇使用IDS和IPS設備來保障內網的安全。由于IDS設備是旁路掛在網絡上的,所以在電信運營商的網監部門及需要重要監控地方一般會部署IDS設備。
另外,IPS/IDS作為電信企業的一項IDC增值產品,通過與網絡安全廠家合作,為中小型企業提供設備租賃服務,解決中小型企業人員、成本不足的問題。為了確保設備的維護,一般與廠商進行合作,通信運營商自己提供渠道,廠商提供售后服務。
中國聯通自2008年開始發展IPS和IDS網絡安全增值服務,至今已經有3年時間,產品已經發展比較成熟,成立了專門的IDC運營中心,由合作廠家提供專業的安全維護人員7×24小時遠程監控客戶網絡,并隨時為客戶提供咨詢及響應服務。目前中國聯通提供的IDS/IPS產品有入侵檢測設備(IDS)租賃和監控套餐服務;入侵防御設備(IPS)租賃和監控套餐服務。中國聯通發展的主要客戶有國家檔案局、國家郵政等政府類客戶。
未來將趨向融合
IPS、IDS等技術是在硬件防火墻里逐漸集成實現的,即便是市場中陸續推出的所謂IPS或IDS的更加智能化的獨立技術,也是在參考雙方相互的優勢如在IPS中增加更加強勁的處理單元以實現IDS的全面數據檢測和在IDS中嵌入流量控制和應用層的數據阻斷功能模塊。
所以,IPS與IDS已經不再是當初獨立的技術概念,未來發展方向應該有以下兩個方面:其一,更加廣泛的精確阻斷范圍,擴大可以精確阻斷的事件類型,尤其是針對變種以及無法通過特征來定義的攻擊行為的防御;其二,適應各種組網模式,在確保精確阻斷的情況下,適應電信級骨干網絡的防御需求。
我們建議下一代IPS能夠解決三個問題。一是網絡瓶頸的問題。IPS串聯地部署在網絡出口處,如出故障,勢必影響到網絡性能。二是單點故障問題。IPS實行的是一種失效即阻斷機制,一旦IPS設備出現故障,會造成網絡中斷,影響現網業務的發展。三是解決目前云計算、物聯網、移動互聯網對網絡安全的新影響。
目前,我們認為融合、協同、集中管理將是網絡安全的發展方向。大型企業需要一體化的安全解決方案,需要更加全面的安全控制手段。中小企業一邊希望能夠獲得切實的安全保障,一邊又不可能對信息安全有太多的投入。因此,IPS與IDS就仿佛網絡交換與路由的區分一樣變得模糊而無法分割,成為網絡安全系統的一部分,未來IPS與IDS將成為聯系更加緊密的融合安全技術。
【編輯推薦】
