對(duì)于部署入侵檢測(cè)系統(tǒng)的建議

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

入侵檢測(cè)系統(tǒng)（IDS）的選擇，部署和維護(hù)工作是基于需求和公司現(xiàn)有的基礎(chǔ)設(shè)施。一個(gè)產(chǎn)品可能會(huì)很好的為一家公司工作卻不適合另一家。選擇通常是最難做的決定。由于產(chǎn)品必須滿足業(yè)務(wù)需求，預(yù)定的網(wǎng)絡(luò)基礎(chǔ)設(shè)施功能正常，并目前由人為支持。　　

入侵檢測(cè)系統(tǒng)的項(xiàng)目任務(wù)

雖然下面列出的項(xiàng)目任務(wù)具備一般性，但是通常對(duì)于入侵檢測(cè)系統(tǒng)的部署有一定的行業(yè)標(biāo)準(zhǔn)。

開發(fā)管理系統(tǒng)：這應(yīng)該意味著選擇和基于網(wǎng)絡(luò)的、基于主機(jī)的設(shè)備部署的數(shù)量，管理控制臺(tái)的場(chǎng)所，以及整體基礎(chǔ)設(shè)施。

開發(fā)記錄系統(tǒng)：由于一個(gè)入侵檢測(cè)系統(tǒng)可以產(chǎn)生大量的數(shù)據(jù)，應(yīng)該配備記錄系統(tǒng)以允許大量的數(shù)據(jù)收集，備份和恢復(fù)程序，以及存儲(chǔ)設(shè)備。在這一階段，硬件和軟件可能都需要被關(guān)注。

制定審計(jì)策略：這個(gè)緊接著之前的兩個(gè)階段，因?yàn)樵谶@一點(diǎn)上，傳感器和記錄程序的數(shù)量應(yīng)該被選擇。一個(gè)IDS如果沒有IDS記錄的審計(jì)策略就相當(dāng)于完全沒有IDS。日志中的關(guān)鍵事件要每日檢查，其他內(nèi)容每周檢查一次。嚴(yán)重的級(jí)別應(yīng)該制定跟蹤并處理所有事件。這些級(jí)別上的行動(dòng)將包括完成工作的詳細(xì)描述，人們?cè)谡{(diào)用和收集數(shù)據(jù)的記錄，以防真正的惡意活動(dòng)或者對(duì)于關(guān)鍵系統(tǒng)的入侵。

基于網(wǎng)絡(luò)的IDS部署：這項(xiàng)工作應(yīng)該盡快開始以收集數(shù)據(jù)。同樣，基于網(wǎng)絡(luò)的IDS應(yīng)該作為行業(yè)和建議標(biāo)準(zhǔn)的首個(gè)任務(wù)被部署。這種方法應(yīng)該分三個(gè)層次，首先是安全參數(shù)的最遠(yuǎn)延伸，然后是DMZ和其他設(shè)備。

基于主機(jī)的IDS部署：作為一個(gè)行業(yè)標(biāo)準(zhǔn)，基于主機(jī)的IDS部署應(yīng)該在基于網(wǎng)絡(luò)的IDS部署之后。這實(shí)際上可與基于網(wǎng)絡(luò)的同時(shí)完成，但重點(diǎn)還是應(yīng)該首先放在基于網(wǎng)絡(luò)的IDS部署。

完善IDS政策：這一步應(yīng)該在整個(gè)IDS部署過程之后完成。根據(jù)業(yè)務(wù)需要或者威脅而變更政策，因此這是一個(gè)項(xiàng)目中不斷變化的部分。

完善書面標(biāo)準(zhǔn)：正因?yàn)榕c其他系統(tǒng)相關(guān)聯(lián)，所以這里必須有適當(dāng)?shù)墓緲?biāo)準(zhǔn)以確保符合整體標(biāo)準(zhǔn)。IDS標(biāo)準(zhǔn)應(yīng)該在項(xiàng)目開始之前開始，并一直持續(xù)到完成。這些標(biāo)準(zhǔn)應(yīng)該包括配置、政策使用、記錄、審計(jì)和報(bào)告。

IDS以外的項(xiàng)目任務(wù)

眾所周知，一個(gè)有效的入侵檢測(cè)系統(tǒng)必須包括除了硬件和軟件以外的支持。對(duì)于事件響應(yīng)必須制定書面程序，防止在一段時(shí)間內(nèi)如果有針對(duì)公司系統(tǒng)的有效惡意嘗試。以下是除了IDS以外的推薦步驟。

事件響應(yīng)：必須制定一個(gè)事件響應(yīng)的過程以確保一旦針對(duì)公司系統(tǒng)的惡意企圖發(fā)生時(shí)，有一個(gè)可參照的標(biāo)準(zhǔn)。這包括書面程序，實(shí)際下一步所做的，調(diào)用什么，何時(shí)調(diào)用，如何調(diào)用以及通知鏈。IDS要像系統(tǒng)背后的事件響應(yīng)一樣良好。當(dāng)警報(bào)響起，假如有重要信息的損失，該公司需要設(shè)立一個(gè)全面的測(cè)試應(yīng)變程序，以確保沒有任何損失，或者記錄。一個(gè)很好的事件響應(yīng)程序?qū)?huì)確保數(shù)據(jù)的完整性，并確保其在檢查中有完好的歷史證據(jù)鏈。

法醫(yī)工具包（Forensic toolkits）：一旦事故發(fā)生時(shí)，許多產(chǎn)品都能夠完成對(duì)數(shù)據(jù)的審核。這些工具應(yīng)該加以研究來滿足公司的要求并對(duì)現(xiàn)場(chǎng)工作人員進(jìn)行使用的培訓(xùn)。

Gramm-Leach-Bliley 法案

第501和505（b） 規(guī)定了針對(duì)所有銀行的指導(dǎo)方針，建立保護(hù)客戶信息安全的標(biāo)準(zhǔn)。如果你的公司不是一個(gè)金融機(jī)構(gòu)，你仍應(yīng)該考慮下列標(biāo)準(zhǔn)信息安全實(shí)踐中的通用性建議。

掃描和漏洞檢測(cè)：掃描和漏洞檢測(cè)應(yīng)該由第三方來完成，以確保IDS和其他安全措施的執(zhí)行情況。

政策審查：信息安全政策必須經(jīng)常維護(hù)和審查，以確保準(zhǔn)確性和與聯(lián)邦標(biāo)準(zhǔn)的一致性。

防火墻和路由器審查：防火墻和路由器審查應(yīng)該至少在每季度完成，以確保配置實(shí)用的準(zhǔn)確和完整。