IDS与IPS纷争不再

企业信息化系统经过多年的发展建设，目前信息化程度已达到了较高水平。信息技术在提高管理水平、促进业务创新、提升企业竞争力方面发挥着日益重要的作用。

随着企业信息化的深入发展，企业业务系统对信息技术的高度依赖，网络信息安全问题也变得日益严重，新的安全威胁不断涌现，并且成为黑客攻击的重要对象。

面对越来越严重的威胁，企业需要建设主动的、深层的、立体的信息安全保障体系，保障业务系统的正常运转，保障企业经营使命的顺利实现。

在面对不断发展的安全威胁时，许多企业不断地扩充自己的安全体系，希望通过不断地部署安全产品，来确保网络的安全。在企业部署安全体系的时候，遇到了一个相同的问题，即防范恶意攻击、降低安全风险，应该用入侵检测产品还是入侵防护产品？

实际上，几年前，很多企业都利用入侵检测监控风险，了解网络中的脆弱点。随着近几年入侵防护技术的出现，企业在建立安全架构的时候，面对入侵检测和入侵防护，不知何去何从？

从2003年Gartner公司副总裁Richard・Stiennon发表的《入侵检测已寿终正寝，入侵防御将万古长青》报告引发的安全业界震动至今，关于入侵检测系统与入侵防御系统之间关系的讨论已经趋于平淡，2006年IDC年度安全市场报告更是明确指出入侵检测系统和入侵防御系统是两个独立的市场，给这个讨论画上了一个句号。

可以说，目前无论是从业于信息安全行业的专业人士还是普通用户，都认为入侵检测系统和入侵防御系统是两类产品，并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现，给用户带来新的困惑:到底什么情况下该选择入侵检测产品，什么时候该选择入侵防御产品呢？启明星辰公司产品管理中心总工程师万卿表示，“在入侵防护产品刚出来的时候，有些用户对于选择入侵防护还是入侵检测拿不定主意，不知何去何从？实际上，入侵检测和入侵防护根本就不是同类的产品。两者不是互相取代或升级的关系。企业需要根据自身的网络环境和系统环境，选择合适的产品。”具体的两种产品的选型上来讲，需要从产品的价值和产品的应用角度出发，就能够明确自己的需求了。

从产品价值角度讲，入侵检测系统注重的是网络安全状况的监管。用户进行网络安全建设之前，通常要考虑信息系统面临哪些威胁;这些威胁的来源以及进入信息系统的途径;信息系统对这些威胁的抵御能力如何等方面的信息。

在信息系统安全建设中以及实施后也要不断的观察信息系统中的安全状况，了解网络威胁发展趋势。只有这样才能有的放矢的进行信息系统的安全建设，才能根据安全状况及时调整安全策略，减少信息系统被破坏的可能。

入侵防御系统关注的是对入侵行为的控制。当用户明确信息系统安全建设方案和策略之后，可以在入侵防御系统中实施边界防护安全策略。与防火墙类产品可以实施的安全策略不同，入侵防御系统可以实施深层防御安全策略，即可以在应用层检测出攻击并予以阻断，这是防火墙所做不到的，当然也是入侵检测产品所做不到的。

从产品应用角度来讲，为了达到可以全面检测网络安全状况的目的，入侵检测系统需要部署在网络内部的中心点，需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，即每子网部署一个入侵检测分析引擎，并统一进行引擎的策略管理以及事件分析，以达到掌控整个信息系统安全状况的目的。

而为了实现对外部攻击的防御，入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统，入侵防御系统即可实时分析网络数据，发现攻击行为立即予以阻断，保证来自外部的攻击数据不能通过网络边界进入网络。

入侵检测系统的核心价值在于通过对全网信息的分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整，而入侵防御系统的核心价值在于安全策略的实施―对黑客行为的阻击;入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据，入侵防御系统则必须部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。

明确了入侵检测和入侵防护的区别之后，万卿提出了三种不同的应用环境:若用户计划在一次项目中实施较为完整的安全解决方案，则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统，在网络的边界点部署入侵防御系统。若用户计划分布实施安全解决方案，可以考虑先部署入侵检测系统进行网络安全状况监控，后期再部署入侵防御系统。若用户仅仅关注网络安全状况的监控（如金融监管部门，电信监管部门等），则可在目标信息系统中部署入侵检测系统即可。

合理的选择产品类型之后，下一个问题就是选择什么样的入侵检测系统或者入侵防御系统才能最有效的发挥作用呢？

万卿表示，任何产品的开发应该围绕着核心产品价值展开，产品的各种能力都应该为核心产品价值服务。

因此入侵检测系统应该是能够全面检测网络中各类安全事件，也就是说检测的全面性是考量入侵检测产品的优劣的主要标准;而入侵防御系统应该是能够精确阻断关键网络威胁，也就是说对关键网络威胁的防御能力以及防御的准确性是考量入侵防御系统优劣的主要标准。

ids和ips(IDP)满足的是用户不同的安全需求。两种技术在相当长的时间里，会和防火墙技术一起共存，并在用户的信息安全保障体系中担当不同的角色，并协同工作。