入侵檢測(cè)系統(tǒng)（IDS）的選擇，部署和維護(hù)工作是基于需求和公司現(xiàn)有的基礎(chǔ)設(shè)施。一個(gè)產(chǎn)品可能會(huì)很好的為一家公司工作卻不適合另一家。選擇通常是最難做的決定，由于產(chǎn)品必須滿足業(yè)務(wù)需求，預(yù)定的網(wǎng)絡(luò)基礎(chǔ)設(shè)施功能正常，并目前由人為支持。

大多數(shù)入侵檢測(cè)系統(tǒng)的行業(yè)標(biāo)準(zhǔn)都支持基于網(wǎng)絡(luò)的和基于主機(jī)的入侵檢測(cè)系統(tǒng)?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通過監(jiān)測(cè)網(wǎng)絡(luò)特定部分的所有可能包含惡意流量或有誤意圖的流量來對(duì)網(wǎng)絡(luò)提供保護(hù)?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的唯一功能是監(jiān)測(cè)該網(wǎng)絡(luò)流量?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)是部署在那些具有基函數(shù)的設(shè)備上，例如Web服務(wù)器，數(shù)據(jù)庫服務(wù)器和其他主機(jī)設(shè)備?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)提供如用戶認(rèn)證，文件修改/刪除和其他基于主機(jī)的信息，因此，將其劃定為網(wǎng)絡(luò)中設(shè)備的第二級(jí)保護(hù)。

起初行業(yè)標(biāo)準(zhǔn)的入侵檢測(cè)系統(tǒng)部署規(guī)定使用基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，然后是基于主機(jī)的入侵檢測(cè)系統(tǒng)。這確保網(wǎng)絡(luò)、主機(jī)設(shè)備得到了保護(hù)。任何公司的核心基礎(chǔ)都是網(wǎng)絡(luò)基礎(chǔ)設(shè)施，然后是這些網(wǎng)絡(luò)中的設(shè)備。入侵檢測(cè)系統(tǒng)應(yīng)該按照相同的方式部署。

在三等級(jí)方法中基于主機(jī)的入侵檢測(cè)系統(tǒng)應(yīng)該是作為第二級(jí)任務(wù)部署的，在基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)之后。一級(jí)部署包括網(wǎng)絡(luò)中位于關(guān)鍵主機(jī)設(shè)備的外部參數(shù)。這些設(shè)備包括關(guān)鍵Web，郵件和其它位于DMZ或企業(yè)外部網(wǎng)的設(shè)備。第二級(jí)由大多數(shù)DMZ設(shè)備中其他非關(guān)鍵DMZ設(shè)備組成。最后，第三級(jí)會(huì)包括位于非軍事區(qū)中受保護(hù)私有網(wǎng)絡(luò)的所有其他設(shè)備，它們是關(guān)鍵的或者包含諸如客戶，金融和數(shù)據(jù)庫的機(jī)密數(shù)據(jù)。如上所述，獨(dú)立的設(shè)備組成了網(wǎng)絡(luò)，并應(yīng)受到保護(hù)，但是只有在第一次網(wǎng)絡(luò)安全。

基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的建議

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)應(yīng)部署在外部DMZ部分，然后才是DMZ部分。這將允許監(jiān)控所有的外部和DMZ的惡意活動(dòng)。所有的外部網(wǎng)絡(luò)部分都應(yīng)該予以監(jiān)控，包括入站和出站流量。這將確保連接到外部惡意網(wǎng)絡(luò)的所有設(shè)備都受到了監(jiān)控和檢查。這些建議都是業(yè)界用來跟蹤外部網(wǎng)，內(nèi)部網(wǎng)和DMZ環(huán)境下惡意活動(dòng)的標(biāo)準(zhǔn)。對(duì)于所有入境點(diǎn)使用基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的額外保護(hù)需要首先確保是針對(duì)公司資源的所有惡意企圖，不僅是眾所周知的網(wǎng)絡(luò)連接，還包括所有已知的外部鏈接。

策略和工具推薦

對(duì)于入侵檢測(cè)系統(tǒng)部署的額外建議應(yīng)該包括事故應(yīng)急手冊(cè)，程序和工具的開發(fā)。由于入侵檢測(cè)系統(tǒng)的工作像防盜報(bào)警，因此報(bào)警聲后的人為干預(yù)是必要的。擁有和使用好的事故應(yīng)急技術(shù)可以加強(qiáng)從入侵檢測(cè)系統(tǒng)收集到的數(shù)據(jù)的價(jià)值，以便進(jìn)一步的檢查。針對(duì)事件調(diào)查的軟件工具也應(yīng)該推行，以確保這些工具可以用來研究，評(píng)估和報(bào)告結(jié)果。如果在任何時(shí)候因?yàn)閻阂饣顒?dòng)，公司被迫采取合法行動(dòng)，這些工具將會(huì)伴隨著政策和標(biāo)準(zhǔn)的建立而被用來提供證據(jù)。如果沒有工具或者政策，該公司可能無法采取合法行動(dòng)或者制止肇事者。

產(chǎn)品部署

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)應(yīng)該立即部署在外部Internet網(wǎng)絡(luò)部分，然后是DMZ部分?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)應(yīng)該部署在DMZ的所有關(guān)鍵主機(jī)設(shè)備。最后，任何其他主要的主機(jī)設(shè)備也應(yīng)該擁有一個(gè)基于主機(jī)的入侵檢測(cè)系統(tǒng)應(yīng)用，以確保這些系統(tǒng)同樣也受到保護(hù)。

入侵檢測(cè)系統(tǒng)的項(xiàng)目任務(wù)

雖然下面列出的項(xiàng)目任務(wù)具備一般性，但是通常對(duì)于入侵檢測(cè)系統(tǒng)的部署有一定的行業(yè)標(biāo)準(zhǔn)。

開發(fā)管理系統(tǒng)：這應(yīng)該意味著選擇和基于網(wǎng)絡(luò)的、基于主機(jī)的設(shè)備部署的數(shù)量，管理控制臺(tái)的場(chǎng)所，以及整體基礎(chǔ)設(shè)施。

開發(fā)記錄系統(tǒng)：由于一個(gè)入侵檢測(cè)系統(tǒng)可以產(chǎn)生大量的數(shù)據(jù)，應(yīng)該配備記錄系統(tǒng)以允許大量的數(shù)據(jù)收集，備份和恢復(fù)程序，以及存儲(chǔ)設(shè)備。在這一階段，硬件和軟件可能都需要被關(guān)注。

制定審計(jì)策略：這個(gè)緊接著之前的兩個(gè)階段，因?yàn)樵谶@一點(diǎn)上，傳感器和記錄程序的數(shù)量應(yīng)該被選擇。一個(gè)IDS如果沒有IDS記錄的審計(jì)策略就相當(dāng)于完全沒有IDS。日志中的關(guān)鍵事件要每日檢查，其他內(nèi)容每周檢查一次。嚴(yán)重的級(jí)別應(yīng)該制定跟蹤并處理所有事件。這些級(jí)別上的行動(dòng)將包括完成工作的詳細(xì)描述，人們?cè)谡{(diào)用和收集數(shù)據(jù)的記錄，以防真正的惡意活動(dòng)或者對(duì)于關(guān)鍵系統(tǒng)的入侵。

基于網(wǎng)絡(luò)的IDS部署：這項(xiàng)工作應(yīng)該盡快開始以收集數(shù)據(jù)。同樣，基于網(wǎng)絡(luò)的IDS應(yīng)該作為行業(yè)和建議標(biāo)準(zhǔn)的首個(gè)任務(wù)被部署。這種方法應(yīng)該分三個(gè)層次，首先是安全參數(shù)的最遠(yuǎn)延伸，然后是DMZ和其他設(shè)備。

基于主機(jī)的IDS部署：作為一個(gè)行業(yè)標(biāo)準(zhǔn)，基于主機(jī)的IDS部署應(yīng)該在基于網(wǎng)絡(luò)的IDS部署之后。這實(shí)際上可與基于網(wǎng)絡(luò)的同時(shí)完成，但重點(diǎn)還是應(yīng)該首先放在基于網(wǎng)絡(luò)的IDS部署。

完善IDS政策：這一步應(yīng)該在整個(gè)IDS部署過程之后完成。根據(jù)業(yè)務(wù)需要或者威脅而變更政策，因此這是一個(gè)項(xiàng)目中不斷變化的部分。

完善書面標(biāo)準(zhǔn)：正因?yàn)榕c其他系統(tǒng)相關(guān)聯(lián)，所以這里必須有適當(dāng)?shù)墓緲?biāo)準(zhǔn)以確保符合整體標(biāo)準(zhǔn)。IDS標(biāo)準(zhǔn)應(yīng)該在項(xiàng)目開始之前開始，并一直持續(xù)到完成。這些標(biāo)準(zhǔn)應(yīng)該包括配置、政策使用、記錄、審計(jì)和報(bào)告。

IDS以外的項(xiàng)目任務(wù)

眾所周知，一個(gè)有效的入侵檢測(cè)系統(tǒng)必須包括除了硬件和軟件以外的支持。對(duì)于事件響應(yīng)必須制定書面程序，防止在一段時(shí)間內(nèi)如果有針對(duì)公司系統(tǒng)的有效惡意嘗試。以下是除了IDS以外的推薦步驟。

事件響應(yīng)：必須制定一個(gè)事件響應(yīng)的過程以確保一旦針對(duì)公司系統(tǒng)的惡意企圖發(fā)生時(shí)，有一個(gè)可參照的標(biāo)準(zhǔn)。這包括書面程序，實(shí)際下一步所做的，調(diào)用什么，何時(shí)調(diào)用，如何調(diào)用以及通知鏈。IDS要像系統(tǒng)背后的事件響應(yīng)一樣良好。當(dāng)警報(bào)響起，假如有重要信息的損失，該公司需要設(shè)立一個(gè)全面的測(cè)試應(yīng)變程序，以確保沒有任何損失，或者記錄。一個(gè)很好的事件響應(yīng)程序?qū)?huì)確保數(shù)據(jù)的完整性，并確保其在檢查中有完好的歷史證據(jù)鏈。

法醫(yī)工具包（Forensic toolkits）：一旦事故發(fā)生時(shí)，許多產(chǎn)品都能夠完成對(duì)數(shù)據(jù)的審核。這些工具應(yīng)該加以研究來滿足公司的要求并對(duì)現(xiàn)場(chǎng)工作人員進(jìn)行使用的培訓(xùn)。

Gramm-Leach-Bliley 法案

第501和505（b） 規(guī)定了針對(duì)所有銀行的指導(dǎo)方針，建立保護(hù)客戶信息安全的標(biāo)準(zhǔn)。如果你的公司不是一個(gè)金融機(jī)構(gòu)，你仍應(yīng)該考慮下列標(biāo)準(zhǔn)信息安全實(shí)踐中的通用性建議。

掃描和漏洞檢測(cè)：掃描和漏洞檢測(cè)應(yīng)該由第三方來完成，以確保IDS和其他安全措施的執(zhí)行情況。

政策審查：信息安全政策必須經(jīng)常維護(hù)和審查，以確保準(zhǔn)確性和與聯(lián)邦標(biāo)準(zhǔn)的一致性。

防火墻和路由器審查：防火墻和路由器審查應(yīng)該至少在每季度完成，以確保配置實(shí)用的準(zhǔn)確和完整。  

【編輯推薦】

1. 智能分析系統(tǒng)讓IDS入侵檢測(cè)系統(tǒng)浴火重生
2. 綠盟“冰之眼”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)