堵住黑客非法进侵的11点原则

核心提示：目前，市场上的进侵检测产品大大小小有上百家，如何选择合适自己的产品，是1件摆在广大安全治理员和企业技术决策者眼前很头痛的事。下面我们就根据产品的综合性能，谈谈采购进程中的基本原则。

目前，市场上的进侵检测产品大大小小有上百家，如何选择合适自己的产品，是1件摆在广大安全治理员和企业技术决策者眼前很头痛的事。下面我们就根据产品的综合性能，谈谈采购进程中的基本原则。

1.产品的攻击检测数目为多少？是否是支持升级？

IDS的主要指标是它能发现的进侵方式的数目，几近每个星期都有新的漏洞和攻击方法出现，产品的升级方式是否是灵活直接影响到它功能的发挥。1个好的实时检测产品应当能常常性升级，并可通过互联网或下载升级包在本地升级。

2.对网络进侵检测系统，最大可处理流量(PPS)是多少？

首先，要分析网络进侵检测系统所布署的网络环境，假设在512K或2M专线上布署网络进侵检测系统，则不需要高速的进侵检测引擎，而在负荷较高的环境中，性能是1个非常重要的指标。

3.产品轻易被攻击者躲避吗？

有些常常使用的躲开进侵检测的方法，如：分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。产品在设计时是否是考虑到这1点。

4.能否自定义异常事件？

IDS对特殊的监控需求只能通过用户自己定制监控策略实现。1个优秀的IDS产品，必须提供灵活的用户自定义策略能力，包括对服务、访问者、被访问者、端口、关键字和事件的响应方式等策略。

5.产品系统结构是否是公道？

1个成熟的产品，必须是集成了基于百兆网络、基于千兆网络、基于主机的3种技术和系统。

传统的IDS大多是两层结构，即“控制台→探测器”结构，1些先进的IDS产品开始采取3层架构进行部署，即“控制台→事件搜集器＋安全数据库 →探测器”结构，对大型网络来讲，3层结构更加易于实现散布部署和集中治理，从而进步安全决策的集中性。假设没有远程治理能力，对大型网络基本不具有可用性。

6.产品的误报和漏报率如何？

有些IDS系统常常发出很多假警，假警报常常掩盖了真攻击。这些产品在假警报重负下1再崩溃，而认真正攻击出现时，有些IDS产品不能捕捉攻击，而另1些IDS产品的报告混杂在假警报中，很轻易被错过。过分复杂的界面使关掉假警报非常困难，几近所有IDS产品在默许设置状态下都会产生非常多的假警报，给用户带来很多麻烦。

7.系统本身是否是安全？

IDS系统记录了企业最敏感的数据，必须有自我保护机制，避免成为黑客的攻击目标。

8.产品实时监控性能如何？

由IDS通讯酿成的对网络的负载不能影响正常的网络业务，必须对数据进行实时分析，否则没法在有攻击时保护网络，所以必须考虑网络进侵检测产品正常工作的最大带宽数。

9.系统是否是易用？

系统的易用性包括5个方面：

界面易用——全中文界面，方便易学，操纵简便灵活。

帮助易用——在监控到异常事件时能够立即查看报警事件的帮助信息，同时在联机帮助中能够依照多种方式查看产品帮助

策略编辑易用——能否提供单独的策略编辑器？可否同时编辑多个策略？是否是提供策略打印功能。

日志报告易用——是否是提供灵活的报告定制能力。

报警事件优化技术——是否是针对报警事件进行优化处理，将用户从海量日志中解放出来，先进的IDS能够将1定时间内的类似事件经过优化处理后合并进行报警，这样，用户面对的日志信息不但更加清楚而且避免错太重要报警信息。

10.特点库升级与保护的用度怎样？

像反病毒软件1样，进侵检测的特点库需要不断更新才能检测出新出现的攻击方法。

11.产品是否是通过了国家权威机构的评测？

主要的权威评测机构有：***安全评测认证中心、公安部计算机信息系统安全产品质量监视检验中心等。

另外，购买IDS产品需要考虑多种因素，上面只是基本的要点。由于用户的实际情况不同，用户可根据自己的安全需要综合考虑。

评论加载中... 内容： 评论者： 验证码：