对于部署入侵检测系统的建议

申请免费试用、咨询电话：400-8352-114

入侵检测系统（IDS）的选择，部署和维护工作是基于需求和公司现有的基础设施。一个产品可能会很好的为一家公司工作却不适合另一家。选择通常是最难做的决定。由于产品必须满足业务需求，预定的网络基础设施功能正常，并目前由人为支持。　　

入侵检测系统的项目任务

虽然下面列出的项目任务具备一般性，但是通常对于入侵检测系统的部署有一定的行业标准。

开发管理系统：这应该意味着选择和基于网络的、基于主机的设备部署的数量，管理控制台的场所，以及整体基础设施。

开发记录系统：由于一个入侵检测系统可以产生大量的数据，应该配备记录系统以允许大量的数据收集，备份和恢复程序，以及存储设备。在这一阶段，硬件和软件可能都需要被关注。

制定审计策略：这个紧接着之前的两个阶段，因为在这一点上，传感器和记录程序的数量应该被选择。一个IDS如果没有IDS记录的审计策略就相当于完全没有IDS。日志中的关键事件要每日检查，其他内容每周检查一次。严重的级别应该制定跟踪并处理所有事件。这些级别上的行动将包括完成工作的详细描述，人们在调用和收集数据的记录，以防真正的恶意活动或者对于关键系统的入侵。

基于网络的IDS部署：这项工作应该尽快开始以收集数据。同样，基于网络的IDS应该作为行业和建议标准的首个任务被部署。这种方法应该分三个层次，首先是安全参数的最远延伸，然后是DMZ和其他设备。

基于主机的IDS部署：作为一个行业标准，基于主机的IDS部署应该在基于网络的IDS部署之后。这实际上可与基于网络的同时完成，但重点还是应该首先放在基于网络的IDS部署。

完善IDS政策：这一步应该在整个IDS部署过程之后完成。根据业务需要或者威胁而变更政策，因此这是一个项目中不断变化的部分。

完善书面标准：正因为与其他系统相关联，所以这里必须有适当的公司标准以确保符合整体标准。IDS标准应该在项目开始之前开始，并一直持续到完成。这些标准应该包括配置、政策使用、记录、审计和报告。

IDS以外的项目任务

众所周知，一个有效的入侵检测系统必须包括除了硬件和软件以外的支持。对于事件响应必须制定书面程序，防止在一段时间内如果有针对公司系统的有效恶意尝试。以下是除了IDS以外的推荐步骤。

事件响应：必须制定一个事件响应的过程以确保一旦针对公司系统的恶意企图发生时，有一个可参照的标准。这包括书面程序，实际下一步所做的，调用什么，何时调用，如何调用以及通知链。IDS要像系统背后的事件响应一样良好。当警报响起，假如有重要信息的损失，该公司需要设立一个全面的测试应变程序，以确保没有任何损失，或者记录。一个很好的事件响应程序将会确保数据的完整性，并确保其在检查中有完好的历史证据链。

法医工具包（Forensic toolkits）：一旦事故发生时，许多产品都能够完成对数据的审核。这些工具应该加以研究来满足公司的要求并对现场工作人员进行使用的培训。

Gramm-Leach-Bliley 法案

第501和505（b） 规定了针对所有银行的指导方针，建立保护客户信息安全的标准。如果你的公司不是一个金融机构，你仍应该考虑下列标准信息安全实践中的通用性建议。

扫描和漏洞检测：扫描和漏洞检测应该由第三方来完成，以确保IDS和其他安全措施的执行情况。

政策审查：信息安全政策必须经常维护和审查，以确保准确性和与联邦标准的一致性。

防火墙和路由器审查：防火墙和路由器审查应该至少在每季度完成，以确保配置实用的准确和完整。