你应该注意两点:首先是别人的时候读这篇文章。 首先,我们没有"一刀切"的入侵检测系统的解决方案,对市场的今天,我对此表示高度无疑会有一个很快的。 入侵检测系统产品的景观是一个多样化的一个。 产品如国际空间站realsecure是易于安装,有各种各样的功能,但往往下降,在高带宽的环境。 enterasys公司龙做得好,是喜欢大多数unix -精明个人,但它的用户界面和良好的学习曲线与产品将拒绝承保最新台币为重点的管理员。 blackice的原始力量和简单性可能诱使一些小规模的机构,但是当你需要管理成千上万的事件,思科的入侵检测系统与思科安全策略管理器( cspm )是一个更易于管理的解决方案。 总之,组织需要了解什么,他们的参数,并采取了产品最符合这些要求。
|
|
第二,产品余额的变化几乎每年。 例如,在1999年至2000年,思科到过最严重的国家之一用户界面(惠普openview攻击) ,在市场,以最好的时期之一( cspm ) 。 在三年时间,该产品称为身份证轨道,从该公司所谓的互联网工具非法获取axent ,扩大后, relabeled作为netprowler ,后来收购赛门铁克当axent和赛门铁克合并。 nfr保安公司( nfr )是前进道路上的入侵检测技术曲线在1998年,被认为是最被有些滞后,在2001年。 底线是这样的:考虑在评论这一文本中,评语是发表在杂志上,而且什么问题,否则,你可能会发现在互联网上,但必须意识到时代的信息。 这些问题将留有点不断,但谁,以及他们如何处理可能改变,在短短的时间内六个月。 虽然产品,如防火墙是相当成熟,而现在大多是有区别的,由特点,速度和价格,市场上的入侵检测系统是什么,但成熟。 只有一件事,你可以肯定对身份证阵地,是不会出什么依然如故。
当选择了一个入侵检测系统,了解你所选择的两件事:一)产品及b )合伙人(卖方)将更新该产品。 虽然卖方(或队,在案件的开放源代码解决方案)的产品背后,总是考虑后,它变得更加危急,在入侵检测市场。 由于智能决策支持系统是如此时间敏感,所以依赖于产品的更新,一个好的制度一定会越来越少有益的,如果不是参加了妥善,并定期举行。 评价卖主以往的纪录,对于产品更新,是一个值得努力。
在产品方面,有许多问题和特点,可以发现一个入侵检测系统,而不是在另一个。 不过,不少"编钟和口哨"的,这些产品只是-可爱的特点。 确保你评价的核心组成部分:第一,然后再研究奖金的特点。 以下是名单上的核心部件,你会想要准确评估时,入侵检测系统选择的决定:
• 深度报道。其中一个重要的组成部分入侵检测系统是它能够发现各种各样的攻击。 虽然一个伟大的后端引擎,多样化的定制选项,其中一个花言巧语的管理界面,都是强有力的卖点,如果产品无法检测一个多极少数的攻击,它会不大好。 确保任何网络入侵检测系统的解决方案,你看看是捆绑在一个健康的攻击签名。 关于接口方面,肯定的是,产品是否超过检查数的日志文件,为少数事件,并确保该产品支持所有平台,你需要监测。 举例说,假如该主机代理商只支持windows nt的,但你都solaris和linux机器,你要来了,在短期方面,以整体的报道。
-准确的报道。这是一个努力的因素,以确定没有进行彻底测试,但应该指出的是,并非所有的签名,已经创造了平等的。 假阳性结果是一个很大的问题,与大多数网络入侵检测系统的解决方案,并在大环境中,这些故障可能危及整体效能,入侵检测工作。 产品设计与降低假阳性结果记将变得更加理想,在未来数年。
-健全的体系结构。有多个部件,以入侵检测解决方案,这是很重要的,无论是引擎和入侵检测系统的框架本身已设计强度为依归。 对发动机/代理商方面,产品应能经受住这两个攻击和基本规避技巧。 虽然规避传统上一直是一个问题一直困扰着网络入侵检测设备,并极有可能继续闹事,他们一段时间后,有见地厂商还不断试图解决这些问题。 较少见地的厂商会选择不理会他们,这不仅降低了生产效率,而且降低了信心,其中包括安全专业人士。
• 可扩展性。有多个组件,智能决策支持系统的影响,对"攀"上,但两个最大的是在该地区的高带宽监测和数据管理。 带宽的问题,适用于网络入侵检测设备,在许多产品有问题,监测的高带宽,高会议环境。 关于管理方面,部分产品的斗争与监测,存储,并提出了大量的警报数据。 举例来说,如果你部署了几十个传感器(主机或基于网络的)就high-traffic/high-alert网络,他们会被抽了大量的数据备份到中央数据库和/或控制台等。 有些后端系统会崩溃,在这种负载,或者更糟的是,数据量将使令人难以置信的努力,为安全人员的清理,通过警报。 但是,应该指出的是,这些问题是不相关的所有环境。 例如,如果你正期望发生数式装置,以监视数t1连接,你可能不会遇到带宽和数据存储的问题。
• 管理框架。正能够探测到攻击,是非常重要的一个身份证,但同样重要的是能够清楚而有效率,目前相关的数据,以这些攻击。 如果保安人员无法轻易获得的攻击和报警数据,但整体的效用ids的影响将是有限的。 当评价入侵侦测系统,务必使用管理控制台的一个现场直播的环境。 确保您舒适的一个制度的管理框架,并确保它允许你查阅资料,你想轻松。 总之,管理架构,这是用来控制和监测设备几乎是一样重要的主机和网络入侵检测系统装置本身。
-及时更新。很像在脆弱性评估( v a)的产品领域,作为新的攻击继续表面需要及时入侵检测产品更新变得至关重要。 经营一个过时的入侵检测系统是类似于经营机场的雷达。 虽然更新是一个更大的问题,对于网络入侵检测系统产品,这个问题仍是有关向所有的入侵检测系统模型。
• 可定制性。一些入侵侦测产品,让各种不同的定制生产,而另一些是比较静态和僵化。 对一些组织来说,相cus tomization特点,将不是什么大问题,因为他们将会营运入侵检测系统的解决方案出来- - -箱配置。 为他人,定制是一项要务。 但是,当选择了一个入侵检测系统厂商,它的智慧,以评估你的需要,现在,以及在未来的。 虽然你也许不要求写作能力定制签名今天,你可能会需要这种功能,在未来的。
-技能要求。入侵检测设备,应该像对待任何其他成分的企业i t-受过适当训练的工作人员应该操作的解决办法。 不幸的是,一件事都管理员和管理人员都似乎抛开其他问题也正在围绕入侵检测维修。
Online: 371 users browsing the articles directory
|
|