入侵检测系统的真正价值
吴凡表示,入侵检测系统的真正价值主要体现在量化威胁、定位威胁、威胁处理操作指导和安全建设效果评估四个方面(如图1所示)。
通过对所检测信息系统的威胁数值进行统计计算,入侵检测系统能够明确信息系统威胁状况,帮助用户了解信息系统中的关键威胁所在。
图1 入侵检测系统的功能
当发现明确的威胁或者未知威胁所带来的信息系统异常时,入侵检测系统能够准确定位威胁来源,便于用户进行相应的处理。
入侵检测系统能够向用户提供详细、可操作的事件处理指导意见,指导用户调整网络安全策略和防护手段,这种指导通常不仅仅是针对威胁事件中所出现的主机,也包含对整个信息系统安全策略调整以及安全技术实施的建议。
当用户进行新一轮的安全建设之后或者进行安全策略调整之后,入侵检测系统通过对比当时及历史威胁值,可评估安全建设或者安全策略调整的效果。
防护、检测、响应,一个都不能少。这三者相互关联,才能达到结构性的安全平衡。清楚地了解入侵检测系统的价值,可以帮助企业客户选择合适的入侵检测系统;另一方面,也给入侵检测系统的继续发展指明了方向:更加专注于检测、指导及评估方面的发展。
如何用好入侵检测系统
入侵检测系统所发挥的作用类似于评估工具,并不直接抵御威胁,所以并不适用于那些企图通过购买入侵检测系统来防御攻击的企业用户。作为威胁管理类产品,入侵检测系统适用于需要实现风险管理和自主掌控内部异常信息的企业用户。
入侵检测产品并不直接提升网络的防护水平,而是提供一个呈现网络安全现状的窗口,需要使用者实时关注其报警信息,并按照系统的指导建议进行操作。吴凡认为,定期分析报表,籍此了解网络安全趋势,是用好入侵检测系统必不可少的工作。
