IDS 在等級保護中的應用,我覺得有以下幾點應該考慮,第一,一些規避IDS的入侵方法。目前,有專門針對IDS檢測過程中技術環節缺陷的攻擊手法,如多態緩沖溢出攻擊等,等級保護中IDS的應用應該注意這方面的問題;第二,現在IPS的說法很流行,它可以在入侵成功的情況下對攻擊及時進行阻斷,因此在一些國家重要部門的信息系統應該強制要求具備這種能力;第三,當入侵行為發生之后,事后應該通過信息記錄作為電子證據查處入侵行為,因此,入侵行為的取證也要達到一定的要求;第四,是否具有特殊環境下對加密數據流進行檢測的功能,因為國家重要部門的很多應用都是加密的,這種情況下如何進行入侵的檢測是一個比較重要的問題;第五,安全是一個綜合性的復雜行為,有一些入侵從單點或個別信息角度很難準確確定攻擊行為,要通過多點或多種安全產品信息的采集和過濾才能夠更進行準確的判斷,所以IDS對分布式的部署能力有很高的要求。今后,IDS越來越多的是充當管理平臺的角色,因此,是否具備大規模分布式的部署能力以及信息處理和集中管理能力至關重要。
等級保護要解決的一個重要問題是從哪個角度分級,分級的目的是規范產品功能還是性能,這方面現在還沒有一致的意見。我覺得等級保護的分級應該主要從功能方面考慮,要對包括管理功能和實現安全的功能等方面進行規范,性能指標則應該是測評機構來考慮的問題。
此外,產品和等級不一定要掛鉤,因為一個等級里不會只部署一種產品,應該強調幾種產品共同能達到的安全程度。雖然IDS 產品本身可能不能滿足等級保護的需要,但實施集成的時候,系統可以通過幾種安全產品共同實現比較理想的安全效果,這才是最終的目標。
等級保護可以規范行業的發展,避免惡性競爭。根據等級保護指南的要求,產品要具備一定的管理功能,這是企業做產品時比較欠缺的地方。以前企業對于產品的研發不是從安全系統的角度出發,而只是從產品個體出發,忽視產品在系統中的應用。等級保護相關指南出來之后,就會對這些方面有明確的要求,使產品在適應安全體系方面更加完備。
等級保護相關實施指南的制定應該務實,注重操作性,分級要明確,要求要具體。目前,等級保護相關實施指南正在加緊制定,應盡快發布出來,提供給企業,企業就可以根據指南中的要求調整公司發展策略。
