编者按：        

　随着网络安全风险系数不断提高，曾经作为最主要的安全防范手段的防火墙，已经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充，IDS（入侵检测系统）能够帮助网络系统快速发现攻击的发生，提高了信息安全基础结构的完整性。近几年，IPS(入侵防御系统)的引入让网络安全产品发展又进入新的阶段。IDS（入侵检测系统）以及IPS（入侵预防系统）是目前应用最为广泛的安全系统，近期，中国联通开启“2011年中国联通IT承载网网络扩容改造工程IDS入侵检测系统招标”。但是许多企业在部署的时候存在疑惑：到底使用IPS还是使用IDS，或是两者都使用？IPS是否将替代IDS？

针对IDS、IPS在企业尤其是在电信运营商的部署情况及其未来发展趋势，来自产业链的多为专家共同进行了探讨。

　　对话嘉宾：

　　迈克菲北亚区网络安全产品总监 袁楠丁

　　东软网络安全资深产品经理 姚伟栋

　　绿盟科技IPS/IDS产品市场经理 蔡立军

　　运营商青睐IDS系统

　　《通信世界周刊》：IPS/IDS技术已经应用多年，目前企业用户对IPS/IDS需求情况如何？运营商IDS、IPS应用现状以及有哪些新需求？

　　袁楠丁：除安装传统的防火墙以外，企业级用户越来越依赖于设置入侵检测和防御系统来保护他们的网络和系统安全。我们认为防护技术呈现着两个新的发展趋势。

　　第一，部署的广度。企业级用户一般都希望安全解决方案不仅能阻拦来自外部网络的攻击，还能有效防御来自内网的威胁。因此，这些用户不仅在外围部署入侵检测/防御系统，同时在一些关键网络的易感染部分也专门进行了设置，如广域网（WAN）、虚拟专用网络（VPN）或合作伙伴连接(Partner Connections)，许多用户还会为他们的关键服务器部署入侵检测/防御系统。一些用户甚至用入侵检测/防御系统去隔离他们的内网。例如：如果一个主机被外接的USB设备感染上了蠕虫病毒，用户会去采用监测防御，阻止蠕虫病毒的扩散，以防止这个病毒袭击其他网络。

　　第二，检测的深度。随着许多用户不幸成为一些高级持续性威胁(APT)的攻击对象。这些高级持续性威胁往往目标明确，并且难于捕捉，因此用户需要除了传统的基于签名检测的第一代入侵检测/防御系统以外更好的保护。

　　大多数运营商依赖于入侵检测系统（IDS）帮助他们监测威胁和攻击。只有少数一部分通信行业的用户依赖入侵防护系统（IPS）去前瞻性地保护客户托管在互联网数据中心（IDC）的服务器。

　　另外，运营商面临的最大挑战在于如何从自己的网络中检测并且阻止分布式拒绝服务攻击（DDoS）。DDoS的一个关键要素是僵尸网络，许多通信行业的用户现在越来越重视防御僵尸网络的攻击。他们希望在僵尸程序发布DDoS攻击或发送垃圾邮件前从自己的网络里能抢先一步识别出僵尸网络，控制住攻击。

　　黄海峰

　　姚伟栋：在信息安全领域，技术专家对行业技术趋势的引导作用要明显高于其他领域，这些技术专家或者来自独立的研究组织，或者来自于设备厂商，或者来自于信息主管职能部门。因此目前企业用户对IPS/IDS的需求也在跟随着这种技术潮流而变化，但无论如何，IPS/IDS目前依然是企业用户最常选择的信息防护技术之一。

　　在通信行业，IDS/IPS的应用主要位于运营商支撑类网络、OA系统中，而在承载网则面临着增强应用业务识别能力、提高设备处理性能的需求，而非常见的攻击检测防御。

　　蔡立军：IDS/IPS入侵检测与防护类产品可以弥补传统防火墙不能深入分析应用层数据的不足，已被各界用户所认可和广泛应用，成为信息安全建设的必备产品。通信行业作为网络基础及增值服务提供商，对信息安全的要求非常高，IDS/IPS产品得到了大量使用。而随着云计算、虚拟化、三网融合等新技术和新应用的发展，就要求传统IPS/IDS产品能够适应新的变化。

　　IPS是否替代IDS存争议

　　《通信世界周刊》：有人认为传统IPS和IDS系统已无法满足目前网络安全需求，对此您如何看？另外，IPS是否将替代IDS？什么样的场景适合什么样的安全防御检测系统？

　　姚伟栋：不然。检测、防护是信息安全的基本环节，IPS、IDS是其中的重要产品实现，不可或缺。无论产品、技术如何演变，检测必不可少，它或许会改头换面，但基本职能不变，我们的信息系统依然需要一个强大的独立检测审计系统的存在。

　　至于IPS是否替代IDS，所谓合久必分、分久必合。IPS无非是IDS+FW的混合体而已。前几年IPS替代IDS的呼声甚嚣尘上，在近期又开始偃旗息鼓。所以，不排除日后又出现专职专责的检测设备、访问控制设备。大概说来，多功能于一身的综合类安全设备必须提供良好的性价比才对，包括IPS、UTM这类产品，更加适合信息安全投入少、人力薄弱的中型企业用户，而流量压力大的大型企业尤其是运营商则会把精力放在可提供强大性能的专用设备上。

　　蔡立军：传统入侵检测与防护类“铁盒子”产品基于协议异常和特征指纹分析发现入侵行为并进行阻断的工作方式，已经难以满足当前网络安全的新需求：如何满足虚拟化环境的入侵防护需求？如何防止用户网内漫游获得越权访问？如何防范APT（Advanced Persistent Threat）攻击？如何解决协议复用问题？传统IDS/IPS产品必须做出改变以适应新的安全需求。

　　IPS替代IDS产品是大势所趋。NIDS与防火墙产品的一体化防护方案，曾经一度被广泛采用。但因为该方案存在的响应滞后和阻断策略粒度粗等不足，将逐渐被提供主动防御能力的NIPS所取代。

　　根据咨询机构IDC最新发布的《中国I T 安全硬件市场2011~2015预测与分析（2011年上半年）》报告显示，中国入侵防御硬件市场到2015年的市场容量将达到1.604亿美元，年复合增长率高达18.2%；入侵检测硬件市场在经历了2008~2010连续3年的负增长后，到2015年的年复合增长率为3.4%，市场容量有0.504亿美元。

　　但因为旁路部署不会对网络造成任何影响的优势，在对业务连续性以及实时性要求比较高的网络环境中，IDS产品在一段时间内依然会被大量使用。

　　袁楠丁：传统的入侵检测/防御系统，或者第一代入侵检测/防御系统，对于目前Web2.0纷繁复杂的应用场景已经无法应付。根据 Gartner 公司的报告，这些威胁“通常会安装恶意的可执行文件到用户的电脑里，采用先进的技术阻止监测并用僵尸网络操纵进程从而实现多级攻击”。“网络的IPS主要的发展还没有三年时间，而威胁和攻击正是在利用了这个漏洞。虽然签名技术的质量和精准性正在不断的提高，但网络IPS主要还是在监测和锁定那些利用已知漏洞发起的攻击。”（引用自《Gartner下一代入侵防御系统（IPS）的定义》，2011年10月）

(责任编辑：)