如何選購壹款優秀的網絡入侵防護系統

綠盟網絡入侵防護系統的引入，確實幫了很大的忙。現在我們的網絡與辦公環境又重新變得幹凈、高效。不僅得到了領導和其他部門的認可，自己的工作也輕松了很多。”某大型制造企業的網絡管理員小李如是說。 初次接觸，驚喜大過意外 小李第壹次“近距離接觸”網絡入侵防護系統(以下簡稱NIPS)還是在半年前的壹次“國際信息安全高峰論壇暨展覽會”上，綠盟科技安全顧問的宣講讓他對這類產品及市場的發展有了壹個較為完整的認識。 早期，NIPS的推廣都離不開國外知名安全廠商的推波助瀾，受市場需求的驅動，這些廠商大舉推廣“入侵防護化”概念，通過自主研發或資本並購等方式，紛紛進入了入侵防護市場，此類案例不勝枚舉。回顧國內市場，直到2005年，綠盟科技推出國內首家擁有完全自主知識產權的綠盟網絡入侵防護系統(以下簡稱NSFOCUS NIPS)，才算是填補了主流安全廠商國產NIPS的空白。 隨著入侵檢測和入侵防護兩個市場格局的逐漸明朗，國內入侵防護硬件市場需求快速膨脹，壹舉躍為增長速度最快的安全類子市場，用戶也慢慢接受了這壹類技術和產品，在最近的2年內，國內NIPS產品如雨後春筍般地不斷湧現，這預示著國內入侵防護硬件市場即將邁入下壹個新的高峰。 任何壹種新產品的出現都離不開兩個決定性因素：市場需求的累積和技術發展的演變，NIPS亦是如此。傳統邊界型防火墻受制於管理員的風險管理意識和能動性，往往難以處理動態演變中的風險、數據驅動型攻擊和未知隱患，入侵檢測系統則只能檢測惡意和非法的網絡流量，卻不能做進壹步的主動式攔截，而NIPS在線部署，不但可以早壹步檢測到黑客攻擊，而且還可以直接將有害的流量阻擋於網絡之外。 “主動式入侵防禦，第壹時間阻斷攻擊流量，保障企業關鍵應用不中斷正常運轉!”這不正是我們壹直尋求的入侵防禦解決方案嗎?小李壹拍大腿，就是它了! 超越期望，贏得滿堂喝彩 小李所在的大型制造企業花了很長時間才構築了壹個相對完整的基礎信息平臺，防火墻、入侵檢測系統也已經融入了企業的網絡架構，但仍遭受了多次網絡蠕蟲侵襲和幾次疑似拒絕服務攻擊，企業的Web服務器也曾長時間無法對外提供正常服務。信息資產遭受損壞，客戶抱怨增加，生產效率下降，這些都是不能容忍的，尤其近年來針對應用系統的安全攻擊事件越演越烈，信息管理部王經理和小李都面臨沈重的運維負擔，NSFOCUS NIPS正是在這種情況下被引入到了企業的網絡之中。 NSFOCUS NIPS提供壹種動態的風險識別與控制能力，當作用於企業網絡邊界流量匯聚點時，可以同時分析網絡上下遊的深層威脅，諸如木馬、掛馬和間諜軟件等並進行實時告警和阻斷，杜絕了業務數據的失泄密風險。在履行傳統邊界防護職責的同時，NSFOCUSNIPS更加專註於對數據流量的深度檢測和對數據驅動型攻擊的敏感識別，從而最大限度地杜絕諸如蠕蟲、SQL註入、拒絕服務攻擊等高級入侵手段。 NSFOCUS NIPS上線後的這段時間裏，小李最大的感觸是：投訴和救急電話少了，企業的核心生產服務器再也沒有出現運行中斷的故障!當然企業中也有少許抱怨的聲音，P2P下載速度較以前慢了很多，在線視頻無法正常觀看了，網絡遊戲也沒法玩了。小李得意地暗自偷笑，“早該這樣了，以前更多的員工抱怨網頁無法正常瀏覽，ERP服務器訪問速度過慢，原來是這些垃圾流量在吞噬企業寶貴的帶寬。” 小李有了閑暇之心，他決定將自己積累的NIPS使用心得向身邊的人推廣，讓大家和他壹樣，成為企業最得力的安全管理員。 如何選擇，實踐出真知 當談到如何選擇適合企業自身特點的NIPS時，王經理和小李有著不同的感悟。“因為是網關設備，NIPS上線後，不能成為企業網絡的瓶頸，系統必須具備極佳的處理性能。”王經理首先提出了壹個大家都非常關註的問題，“卓越的處理性能表示NIPS不僅能夠完全適應多千兆網絡環境，還應該提供很強的協議分析、處理能力，準確識別並阻斷包括黑客攻擊在內的各種異常網絡流量，同時保證不會對合法流量進行攔截，絲毫不影響網絡性能。” 小李很快接下了話題，攻擊檢測能力也是NIPS的核心。作為在線設備，壹旦出現誤報或漏報，必然會影響企業正常業務，因此精確的檢測能力無疑是評判NIPS優劣的壹個重要指標，也就是說，系統具備很低的漏報率(漏過真正的攻擊事件，沒有及時給與報警)和誤報率(把正常的網絡活動評定為攻擊)，能夠準確識別正常網絡流量和異常攻擊流量，迅速定位安全風險，並給與最佳解決方案，而不必擔心系統產生的誤報影響企業正常業務運轉，或是真正的攻擊行為穿透系統進入企業內網。 除了處理性能和攻擊檢測能力這兩個關鍵評判指標外，小李又提出了另外兩個他所關心的問題：部署和管理的易用性。 “我們企業花了很長時間才建立起現在這套基礎信息平臺，所以我們在後續部署安全產品時，希望能夠不影響現有的網絡拓撲，例如能夠以透明橋接方式迅速接入企業網絡。當然壹款優秀的NIPS還應該支持包括路由、NAT在內的多種部署方式，以適應可能發生變更的網絡環境。” 緩了緩，小李接著說，“無論是防火墻，還是NIPS，我希望它們都是能夠協助企業控制安全風險的利刃，而不是高不可攀的高科技產品。產品的管理和配置界面壹定簡潔且結構化，操作能夠輕松上手，能夠極大降低管理員的工作強度和維護開銷。” “每個企業都有自己的信息化戰略目標。”王經理接過話題，“不管是通過管理制度，還是技術手段，我們希望企業的每個員工能夠更好地執行企業頒布的安全策略，規範自己的上網行為，通過節省網絡帶寬和保護企業關鍵業務應用，不斷提升IT產出率和收益率!另外，雖然企業會逐年增加信息安全建設方面的投資，但我們希望采購的產品具備可擴展的防護能力，避免面對同樣或相似的安全需求，出現反復投資的情況。” 小李最後羅列了幾點評判指標，他認為壹款優秀的NIPS，應該至少具備以下幾方面的特性： 1、 滿足高性能要求，提供強大的應用分析和處理能力，保證正常網絡通信的質量; 2、 準確識別各種網絡流量，具備較低的漏報和誤報率，避免影響正常的業務通訊; 3、 能夠實時檢測和阻斷各類攻擊，具備豐富的訪問控制能力，在任何未授權活動開始前發現攻擊，避免或減緩攻擊可能給企業帶來的損失; 4、 全面、精細的流量控制和用戶上網行為監管功能，節省企業寶貴的網絡帶寬資源，確保關鍵業務持續穩定運轉; 5、 具備豐富的高可用性，提供硬件、軟件等多個層面的可靠性保障措施; 6、 可擴展的多鏈路IPS防護能力，避免不必要的重復安全投資; 7、 提供靈活的部署方式，支持在線模式，第壹時間把攻擊阻斷在企業網絡之外，同時也支持旁路模式部署，用於攻擊檢測，適合不同層面的用戶需要。 總結 隨著企業信息化需求程度的提高，業務邏輯和流程體系對於信息系統的依賴程度不斷增加，信息安全的盲點和隱患日漸凸現，信息損失的代價也愈加昂貴，尤其以導致價值流失風險的“入侵威脅”受到了普遍關註。 當信息安全保障從壹種輔助措施轉化為IT建設難以規避的基礎策略，動態響應式的信息安全防護理論應運而生。NIPS實現最大程度識別信息資產面臨的威脅隱患，規避已知和未知安全事件，消除或轉移風險觸發的條件和幾率，已經成為企業建立壹個安全、高效、可靠的業務運作環境的最佳選擇。