四、入侵检测系统的一些比较
1、入侵检测系统和等其他安全产品的区别
不同的安全产品会起到不同的作用。单位虽然有了防火墙,但只能对外部来的网络攻击起到防御作用,对于调制解调器的后门却是毫无能力。据国际IDC统计,70%以上的攻击都是来自防火墙管不到的网络内部。依据目前黑客所掌握的攻击能力,使得现有的安全产品如防火墙、身份认证、防病毒、加密等,在现有的操作系统本身以及各种应用软件的环境下, 都不能阻止黑客对系统网络的攻击。
另外,针对不同的行业需求, 比如金融机构对数据防篡改、防抵赖、身份认证的高度重视程度,政府机构对信息的保密性、隐蔽性、防窃密、防泄密的要求,以及电信、电力等行业对数据业务连续性的保障需求等等,我们应该利用各种安全产品的不同功效提出不同的解决方案,同时也要考虑到一些黑客的攻击的共性,例如操作系统一旦被攻破,整个系统的数据和业务都将全部被黑客掌握,信息网络安全的保密性、防篡改性、业务连续性都将被彻底破坏。这些问题是值得各行各业都要关注和重视的。相关安全产品对比表如下:
功能 产品 |
防火墙 |
网络型 IDS |
主机型 IDS |
审计系统 |
安全体系分布 |
最外层 |
网络通道 |
服务器 |
服务器 / 外加 |
检测入侵时间 |
不能 |
预警 / 实时 |
实时 / 事后 |
事后 |
阻断攻击 |
可以 |
可以(全网) |
仅限制本机 |
不能 |
防范黑客型病毒 |
不能 |
可以(全网) |
仅限制本机 |
不能 |
防止后门 |
不能 |
可以(全网) |
仅限制本机 |
不能 |
保护内网 |
不能 |
可以(全网) |
仅限制本机 |
可以(事后) |
影响原系统负荷 |
有 |
无 |
有 |
有 |
防范纯网络型攻击 |
可以 |
可以 |
不能 |
不能 |
与防火墙互动 |
当然 |
可以 |
不能 |
不能 |
网络安全审计 |
部分 |
有 |
不能 |
部分 |
主机安全审计 |
无 |
无 |
有 |
部分 |
