在你开始评估各种入侵检测和防御系统产品之前,你应当回答一些关于自己的网络环境的问题,并要了解你的单位必须满足的一些外部要求。本文对这些问题和要求进行了总结,内容如下:
1、你的网络架构是什么?对这个问题的回答可有助于构建一个网络图示,其中显示的是到达其它网络的所有连接,还有所有主机的位置。
2、每个需要IDS和IPS保护的设备上分别运行着哪些操作系统、网络服务以及应用程序?这个问题的回答有助于针对自己的环境选择优化产品。
3、是否有非安全系统(如网络管理系统)需要与入侵检测和防御系统进行集成?这一点有助于决定是否需要IDS或IPS与其它产品的协同性。
4、你需要IDS和IPS防御哪些类型的威胁(内部威胁或来自外部入侵者的威胁)?对这个问题的回答越具体越好。
5、贵单位有没有明确清晰的安全策略?这些安全策略概述了哪些安全目标(如机密性和可用性)?管理目标是什么,这方面包括隐私保护和法律责任。
6、公司处理违反具体安全策略的过程是什么?哪些类型的侵犯或攻击应当引起自动的直接响应?对这个问题的回答有助于决定所选择的产品的性能。
7、对于违反使用策略或其它的不安全因素,你需要监视用户行为和网络的使用吗?
8、贵单位的审计需求规定了IDS或IPS必须提供某些功能吗?这对于选择适合本单位需要的产品是很有用的。
9、贵单位的系统需要鉴定合格吗?评审机构是否对IDS或IPS有特定的要求?这方面体现出企业外部对企业的安全要求。
10、贵单位必须满足关于IDS或IPS的功能要求(涉及到执法的调查和安全事件的解决)吗?在借助IDS或IPS的日志作为证据时,这一点尤为重要。
11、贵单位必须满足加密要求吗?例如,有的机构必须购买使用了经认证的加密算法的安全产品。
12、贵单位需要IT人员全天候监视IDS或IPS吗?有些产品需要持续地监视和维护,所以如果你并没有专门的人员来做这项工作,就应当考虑购买一种无需人监管的产品。
上述这些问题针对购买IDS或IPS的各个方面,为用户制定IDS或IPS购买决策提供了一个检查清单。任何单位在购买这类安全产品时,都应当针对这些问题的回答做出适当的选择。
