對于部署入侵檢測系統(tǒng)的建議

申請免費試用、咨詢電話：400-8352-114

入侵檢測系統(tǒng)（IDS）的選擇，部署和維護工作是基于需求和公司現(xiàn)有的基礎設施。一個產(chǎn)品可能會很好的為一家公司工作卻不適合另一家。選擇通常是最難做的決定。由于產(chǎn)品必須滿足業(yè)務需求，預定的網(wǎng)絡基礎設施功能正常，并目前由人為支持。　　

入侵檢測系統(tǒng)的項目任務

雖然下面列出的項目任務具備一般性，但是通常對于入侵檢測系統(tǒng)的部署有一定的行業(yè)標準。

開發(fā)管理系統(tǒng)：這應該意味著選擇和基于網(wǎng)絡的、基于主機的設備部署的數(shù)量，管理控制臺的場所，以及整體基礎設施。

開發(fā)記錄系統(tǒng)：由于一個入侵檢測系統(tǒng)可以產(chǎn)生大量的數(shù)據(jù)，應該配備記錄系統(tǒng)以允許大量的數(shù)據(jù)收集，備份和恢復程序，以及存儲設備。在這一階段，硬件和軟件可能都需要被關注。

制定審計策略：這個緊接著之前的兩個階段，因為在這一點上，傳感器和記錄程序的數(shù)量應該被選擇。一個IDS如果沒有IDS記錄的審計策略就相當于完全沒有IDS。日志中的關鍵事件要每日檢查，其他內(nèi)容每周檢查一次。嚴重的級別應該制定跟蹤并處理所有事件。這些級別上的行動將包括完成工作的詳細描述，人們在調(diào)用和收集數(shù)據(jù)的記錄，以防真正的惡意活動或者對于關鍵系統(tǒng)的入侵。

基于網(wǎng)絡的IDS部署：這項工作應該盡快開始以收集數(shù)據(jù)。同樣，基于網(wǎng)絡的IDS應該作為行業(yè)和建議標準的首個任務被部署。這種方法應該分三個層次，首先是安全參數(shù)的最遠延伸，然后是DMZ和其他設備。

基于主機的IDS部署：作為一個行業(yè)標準，基于主機的IDS部署應該在基于網(wǎng)絡的IDS部署之后。這實際上可與基于網(wǎng)絡的同時完成，但重點還是應該首先放在基于網(wǎng)絡的IDS部署。

完善IDS政策：這一步應該在整個IDS部署過程之后完成。根據(jù)業(yè)務需要或者威脅而變更政策，因此這是一個項目中不斷變化的部分。

完善書面標準：正因為與其他系統(tǒng)相關聯(lián)，所以這里必須有適當?shù)墓緲藴室源_保符合整體標準。IDS標準應該在項目開始之前開始，并一直持續(xù)到完成。這些標準應該包括配置、政策使用、記錄、審計和報告。

IDS以外的項目任務

眾所周知，一個有效的入侵檢測系統(tǒng)必須包括除了硬件和軟件以外的支持。對于事件響應必須制定書面程序，防止在一段時間內(nèi)如果有針對公司系統(tǒng)的有效惡意嘗試。以下是除了IDS以外的推薦步驟。

事件響應：必須制定一個事件響應的過程以確保一旦針對公司系統(tǒng)的惡意企圖發(fā)生時，有一個可參照的標準。這包括書面程序，實際下一步所做的，調(diào)用什么，何時調(diào)用，如何調(diào)用以及通知鏈。IDS要像系統(tǒng)背后的事件響應一樣良好。當警報響起，假如有重要信息的損失，該公司需要設立一個全面的測試應變程序，以確保沒有任何損失，或者記錄。一個很好的事件響應程序?qū)_保數(shù)據(jù)的完整性，并確保其在檢查中有完好的歷史證據(jù)鏈。

法醫(yī)工具包（Forensic toolkits）：一旦事故發(fā)生時，許多產(chǎn)品都能夠完成對數(shù)據(jù)的審核。這些工具應該加以研究來滿足公司的要求并對現(xiàn)場工作人員進行使用的培訓。

Gramm-Leach-Bliley 法案

第501和505（b） 規(guī)定了針對所有銀行的指導方針，建立保護客戶信息安全的標準。如果你的公司不是一個金融機構(gòu)，你仍應該考慮下列標準信息安全實踐中的通用性建議。

掃描和漏洞檢測：掃描和漏洞檢測應該由第三方來完成，以確保IDS和其他安全措施的執(zhí)行情況。

政策審查：信息安全政策必須經(jīng)常維護和審查，以確保準確性和與聯(lián)邦標準的一致性。

防火墻和路由器審查：防火墻和路由器審查應該至少在每季度完成，以確保配置實用的準確和完整。