對國內眾多企業用戶來說，兩年來入侵檢測與防護（IDS/IPS）設備已經脫離了原有的奢侈形象，成為了企業不可或缺的標準配置。為此，本報特別整理了企業的網管人員、IT 經理及信息主管在選購此類設備時的評估標準，以饗讀者。

環境決定部署
企業部署防火墻之后，是否還需要進一步提升安全防護能力呢？答案是肯定的。雖然，防火墻稱得上是安全防護的防線，同時部署防火墻也是對依靠互聯網擴展業務的企業的基本要求。但是，僅有一道防線的城池仍非固若金湯。
當前的應用系統發展與Web更加緊密，從辦公系統到交易系統，這種趨勢日益明顯。在這樣的背景下，大多數傳統的防火墻對于企業網絡的安全，已經無法實施100%的控制，對于合法內容中混入的可疑流量、DoS攻擊、蠕蟲病毒、間諜軟件等威脅，幾乎沒有有效的反擊措施。
據了解，在2005年，僅拒絕服務（DoS）攻擊導致的平均損失就高達150萬美元，同 2004 年相比增長了五倍。
從全球的統計數字來看，垃圾郵件、郵件病毒、郵件攻擊已經成為了當前企業網的主要威脅，同時其影響力還在不斷擴大。特別是夾雜在“合法”郵件中的非法信息，令企業網絡處于危險的潛在威脅之中。
例如將木馬病毒隱藏在看似合法的SMTP郵件中，并隨時準備對企業關鍵信息發起攻擊，已經成為近期的主流。因此，各大企業都在利用入侵檢測與防護系統為網絡建構多層防護體系，其中Juniper IDP、Radware DefensePro、McAfee IntruShield都是國內應用較多的產品。

六項準則
入侵檢測與防護系統能夠保護企業免受重大安全威脅和經濟損失，進而保護企業的生存。但企業在選擇和部署網絡安全解決方案時，也要考慮成本效益的因素，因此找出利弊的平衡點尤為重要。
為有效評估入侵檢測與防護系統，可以將評估標準劃分為六個方面。

1.全面保護
對于任何安全系統而言，入侵檢測與防護系統提供的全面保護應該能夠準確識別威脅并有效保證網絡的安全。但是，許多產品在這方面先天不足。網絡郵件傳輸存在固有的復雜性，包括支持大量網絡層協議(如IP、TCP、UDP、ICMP等) 和應用層協議(如HTTP、FTP、SMTP、DNS、POP3、IMAP等)，這些都為攻擊者提供了無數可供利用的漏洞。
Juniper的工程師認為，除了這種固有的復雜性外，攻擊者還可以采取不同的形式和手段，并可隨意選擇攻擊時間進行攻擊。如果系統不支持其中的一種協議或攻擊類型，就會忽略并遺漏這種攻擊，從而使企業網絡及其重要信息處于失去保護的狀態。為了對付攻擊者，安全設備必須能夠處理并有效防護所有類型郵件中潛在的攻擊。

2. 準確性
準確性是高品質、高效率入侵檢測與防護系統的關鍵。要實現高度的準確性，系統必須能夠跟蹤所有網絡通信、理解每個通信的意圖，然后針對攻擊企圖準確地做出安全決策。如果系統準確性不夠，就可能檢測不到攻擊，而合法郵件也可能因被視為攻擊行為而發出告警。
國內主要安全設備的總代理商騰蒙公司指出，從國內部署的實際情況看，遭遇攻擊檢測不出來的情況是最危險的。這意味著此時網絡極易受到攻擊，而且網管人員必須從源頭推斷發生了什么情況。
如果誤報數量令網管人員應接不暇，甚至超過了實際支持能力，情況將會更加不利。因為網管人員不得不浪費寶貴的時間找出誤報，同時網管人員對系統的信任度也會隨之下降。因此，整套系統必須非常可靠，并且要能夠準確檢測出網絡中的所有攻擊。

3.郵件處理能力
高效的郵件處理能力，是入侵檢測與防護系統應具備的另一要素。系統必須迅速處理郵件、立即做出安全決策并及時向網管人員提交相關信息，從而確保隨時掌握系統的實時狀況。防護系統如果動作遲緩，跟不上網絡通信速度，就有可能遺漏攻擊，增加企業網絡的危險性。
不過，Juniper的工程師強調，雖然主流的入侵檢測與防護廠家的設備可以滿足千兆網絡的需求，但他們還是建議企業的網絡管理員，為設備選擇適當的性能級別，以滿足企業的應用特點，并確保帶寬受到最佳保護。因為這些設備需要始終保持最佳效能，以便網管人員在任何時間都能精確了解網絡中發生的情況。

4.阻止攻擊
像Juniper、Radware等廠商的工程師都認為，入侵檢測與防護系統是否能有效阻止攻擊到達目的地，是對其防護能力進行評估的基本條件。如果一個入侵檢測系統需要其它系統的配合才能阻止攻擊，那么它的作用何在？但事實是，IDS產品只能這樣。
IDS只能發送指令到防火墻甚至是攻擊目標本身，讓他們終止攻擊。所有這些防護機制都是在攻擊已經到達目標之后才發揮作用。因此，即使這些防護機制成功檢測到了攻擊，也需要網管人員調查攻擊可能造成的后果，然后才能執行阻止攻擊。
為此，這些廠家建議，如果用戶非常關注實時的安全攻擊行為，或者頻繁遭到各種攻擊，那么用戶應直接選擇IPS設備或者結合了IPS功能的統一安全管理UTM設備。
從理論上說，只有這類設備能夠提供真正的安全防護：真正有效的在檢測過程主動阻止攻擊，并刪除惡意郵件。這樣可以確保攻擊永遠無法得逞，從而確保企業網絡和關鍵信息萬無一失。

5.易用性
對于入侵檢測與防護系統的易用性，在NSS報告中給出的解釋是：更高水平的可控性和安全性。換句話說，如果網管人員能夠快速查看系統相關的關鍵信息并做出相應調整，他們就能保證企業網絡不會受到最新威脅的攻擊，并且可以確保最新安全政策的有效執行。
相應的，如果設備易用性差，那么網管人員就不得不花費額外時間查詢信息，以便做出相關響應。對于安全解決方案來說，除了能為最關鍵類型的事件快速提供總結報告外，還應具備迅速追溯原始信息的能力，以便對個別事件進行分析。
對此，騰蒙公司曾經多次呼吁，希望這些安全大廠在新產品中能夠以直觀的方式為網管人員提供豐富的控制層，這樣做不僅可以確保系統滿足用戶特定的安全需求，同時還可以減少所需的時間并節省資源。

6. 安裝維護簡便
對于當今業務機構高度分散的企業來說，入侵檢測與防護設備需要既能輕松地安裝維護，又要節約成本。企業不可能在每次更改企業安全政策，或者是檢測到新的攻擊后，花費大量時間和資源更新企業網絡中的每臺設備。系統快速安裝并定義安全政策，以及由中央站點輕松完成全球系統更新，可以確保企業分散在各個地區的IT部門全面、實時地掌握系統和網絡。 

入侵檢測與防護系統的評估
■ 針對各類網絡攻擊提供全面保護
·系統采用何種攻擊檢測方式？
·系統支持哪些網絡協議?
·系統支持哪些應用協議？
■ 確保高度的準確性
·系統采用多少種檢測機制？
·這些檢測機制是否兼容并共享信息？
·系統如何定位流量中的攻擊？
■ 高效流量分析
·系統處理流量的速度？
·系統為郵件檢測提供了哪些選項？
·系統如何達到最佳性能？
■ 迅速解決事件
·系統如何防止入侵者逃避系統檢測？
·系統提供何種響應機制？
· 針對個別攻擊，系統能否支持用戶定義的特定響應？
■ 易用性
·網絡管理員如何設置檢測內容？
·如何更改系統工作模式？
· 檢查和管理安全數據記錄是否方便？