IDS 在等级保护中的应用,我觉得有以下几点应该考虑,第一,一些规避IDS的入侵方法。目前,有专门针对IDS检测过程中技术环节缺陷的攻击手法,如多态缓冲溢出攻击等,等级保护中IDS的应用应该注意这方面的问题;第二,现在IPS的说法很流行,它可以在入侵成功的情况下对攻击及时进行阻断,因此在一些国家重要部门的信息系统应该强制要求具备这种能力;第三,当入侵行为发生之后,事后应该通过信息记录作为电子证据查处入侵行为,因此,入侵行为的取证也要达到一定的要求;第四,是否具有特殊环境下对加密数据流进行检测的功能,因为国家重要部门的很多应用都是加密的,这种情况下如何进行入侵的检测是一个比较重要的问题;第五,安全是一个综合性的复杂行为,有一些入侵从单点或个别信息角度很难准确确定攻击行为,要通过多点或多种安全产品信息的采集和过滤才能够更进行准确的判断,所以IDS对分布式的部署能力有很高的要求。今后,IDS越来越多的是充当管理平台的角色,因此,是否具备大规模分布式的部署能力以及信息处理和集中管理能力至关重要。
等级保护要解决的一个重要问题是从哪个角度分级,分级的目的是规范产品功能还是性能,这方面现在还没有一致的意见。我觉得等级保护的分级应该主要从功能方面考虑,要对包括管理功能和实现安全的功能等方面进行规范,性能指标则应该是测评机构来考虑的问题。
此外,产品和等级不一定要挂钩,因为一个等级里不会只部署一种产品,应该强调几种产品共同能达到的安全程度。虽然IDS 产品本身可能不能满足等级保护的需要,但实施集成的时候,系统可以通过几种安全产品共同实现比较理想的安全效果,这才是最终的目标。
等级保护可以规范行业的发展,避免恶性竞争。根据等级保护指南的要求,产品要具备一定的管理功能,这是企业做产品时比较欠缺的地方。以前企业对于产品的研发不是从安全系统的角度出发,而只是从产品个体出发,忽视产品在系统中的应用。等级保护相关指南出来之后,就会对这些方面有明确的要求,使产品在适应安全体系方面更加完备。
等级保护相关实施指南的制定应该务实,注重操作性,分级要明确,要求要具体。目前,等级保护相关实施指南正在加紧制定,应尽快发布出来,提供给企业,企业就可以根据指南中的要求调整公司发展策略。