姚伟栋:在信息安全领域,技术专家对行业技术趋势的引导作用要明显高于其他领域,这些技术专家或者来自独立的研究组织,或者来自于设备厂商,或者来自于信息主管职能部门。因此目前企业用户对IPS/IDS的需求也在跟随着这种技术潮流而变化,但无论如何,IPS/IDS目前依然是企业用户最常选择的信息防护技术之一。
在通信行业,IDS/IPS的应用主要位于运营商支撑类网络、OA系统中,而在承载网则面临着增强应用业务识别能力、提高设备处理性能的需求,而非常见的攻击检测防御。
蔡立军:IDS/IPS入侵检测与防护类产品可以弥补传统防火墙不能深入分析应用层数据的不足,已被各界用户所认可和广泛应用,成为信息安全建设的必备产品。通信行业作为网络基础及增值服务提供商,对信息安全的要求非常高,IDS/IPS产品得到了大量使用。而随着云计算、虚拟化、三网融合等新技术和新应用的发展,就要求传统IPS/IDS产品能够适应新的变化。
IPS是否替代IDS存争议
《通信世界周刊》:有人认为传统IPS和IDS系统已无法满足目前网络安全需求,对此您如何看?另外,IPS是否将替代IDS?什么样的场景适合什么样的安全防御检测系统?
姚伟栋:不然。检测、防护是信息安全的基本环节,IPS、IDS是其中的重要产品实现,不可或缺。无论产品、技术如何演变,检测必不可少,它或许会改头换面,但基本职能不变,我们的信息系统依然需要一个强大的独立检测审计系统的存在。
至于IPS是否替代IDS,所谓合久必分、分久必合。IPS无非是IDS+FW的混合体而已。前几年IPS替代IDS的呼声甚嚣尘上,在近期又开始偃旗息鼓。所以,不排除日后又出现专职专责的检测设备、访问控制设备。大概说来,多功能于一身的综合类安全设备必须提供良好的性价比才对,包括IPS、UTM这类产品,更加适合信息安全投入少、人力薄弱的中型企业用户,而流量压力大的大型企业尤其是运营商则会把精力放在可提供强大性能的专用设备上。
蔡立军:传统入侵检测与防护类“铁盒子”产品基于协议异常和特征指纹分析发现入侵行为并进行阻断的工作方式,已经难以满足当前网络安全的新需求:如何满足虚拟化环境的入侵防护需求?如何防止用户网内漫游获得越权访问?如何防范APT(Advanced Persistent Threat)攻击?如何解决协议复用问题?传统IDS/IPS产品必须做出改变以适应新的安全需求。
IPS替代IDS产品是大势所趋。NIDS与防火墙产品的一体化防护方案,曾经一度被广泛采用。但因为该方案存在的响应滞后和阻断策略粒度粗等不足,将逐渐被提供主动防御能力的NIPS所取代。
根据咨询机构IDC最新发布的《中国I T 安全硬件市场2011~2015预测与分析(2011年上半年)》报告显示,中国入侵防御硬件市场到2015年的市场容量将达到1.604亿美元,年复合增长率高达18.2%;入侵检测硬件市场在经历了2008~2010连续3年的负增长后,到2015年的年复合增长率为3.4%,市场容量有0.504亿美元。
但因为旁路部署不会对网络造成任何影响的优势,在对业务连续性以及实时性要求比较高的网络环境中,IDS产品在一段时间内依然会被大量使用。
袁楠丁:传统的入侵检测/防御系统,或者第一代入侵检测/防御系统,对于目前Web2.0纷繁复杂的应用场景已经无法应付。根据 Gartner 公司的报告,这些威胁“通常会安装恶意的可执行文件到用户的电脑里,采用先进的技术阻止监测并用僵尸网络操纵进程从而实现多级攻击”。“网络的IPS主要的发展还没有三年时间,而威胁和攻击正是在利用了这个漏洞。虽然签名技术的质量和精准性正在不断的提高,但网络IPS主要还是在监测和锁定那些利用已知漏洞发起的攻击。”(引用自《Gartner——下一代入侵防御系统(IPS)的定义》,2011年10月)
