7.4 考慮事項

7.4.1 系統環境

在信息安全風險評估的基礎上，首先確定需要保護的資產優先級，然后記錄并綜合考慮如下系統環境信息， 在此基礎上選擇定制合適的IDPS：

– 網絡拓撲圖，詳細說明主機數量和位置、網絡入口以及與外部網絡連接點等；

– 每個主機的操作系統；

– 網絡設備(如路由器、網橋和交換機)的數量和類型；

– 服務器和撥號線路的數量和類型；

– 網絡服務器的描述，包括類型、配置、應用軟件和正在運行的版本；

– 與外部網絡的連接，包括標稱帶寬和支持協議；

– 與引入連接路徑不同的數據返回路徑，即不對稱數據流。

當系統部署于云計算平臺之上時，還需要考慮收集以下系統環境信息：

– 云計算平臺的外部邊界和內部關鍵邊界；

– 云計算平臺所使用的虛擬化平臺軟件信息，包括軟件名稱、配置、版本等。

7.4.2 安全保護機制

在記錄系統環境信息之后，識別已安裝的安全保護機制，包括：

– 非軍事區(DMZ) ；

– 防火墻和過濾路由器的數量、類型和位置；

– 身份鑒別服務器；

– 數據和通信鏈路加密；

– 反惡意軟件或反病毒包；

– 訪問控制產品；

– 專業的安全硬件，如加密硬件；

– 虛擬專用網絡(VPNs) ；

– 其他已安裝的安全機制；

– 當系統部署在云計算平臺上時，云平臺多租戶之間互訪限制及攻擊防護。

7.4.3 IDPS安全策略

在記錄系統環境和通用的安全環境信息基礎上， 制定IDPS的安全策略， 主要考慮如下因素：

– 要監視的信息資產類型；

– 未成功打開或未成功關閉時，采取的策略；

– 需要的IDPS的類型；

– IDPS部署的位置；

– 需要檢測的攻擊的類型；

– 需要記錄的信息的類型；

– 響應或報警的類型；

– 系統環境為云環境時， 采用的流量引入IDPS方式、產品形態、部署模式。

IDPS安全策略體現了組織購買IDPS的目標， 這是從IDPS獲取收益的開始。

為了詳細說明IDPS安全策略目的和目標， 需首先識別內部和外部風險， 在此基礎上， 可將IDPS安全策略定義為一組IDPS產生報警的規則。

需要組織依據對IDPS系統在保密性、完整性、可用性、抗抵賴性(上述四個為標準安全目標) 、隱私、責任保護、易管理性等方面的管理目標需求， 對IDPS安全策略進行評審(需提供針對IDPS需求的模版)。

當IDPS檢測到安全策略違規時， 需確定IDPS的響應策略。當對信息安全策略違規進行響應時，需對IDPS進行配置， 并要求操作人員了解響應策略， 以便正確處理IDPS報警。例如， 可請求執法機構開展調查以幫助解決安全事件， 并將相關信息(包括IDPS日志) 移交執法機構， 以獲取證據。

安全事件管理相關的其他信息可見 GB/T 20985.1-2017。

7.4.4 性能

選擇IDPS時， 還需要考慮性能因素， 至少需包括：

– IDPS需要處理的帶寬的大小；

– 在給定帶寬下，誤報率的最大范圍；

– 能否為選擇高速IDPS提供正當理由， 或者中速或低速的IDPS能否滿足需要；

– 由于IDPS性能局限性， 錯過潛在入侵的后果；

– 當深度包檢測和重組發生時， 對IDPS性能的影響。

組織需避免以下兩類IDPS的產生：在大多數環境中， IDPS會錯過或者漏掉可能是攻擊的一部分流量包； 某些時候， 隨著帶寬和(或) 網絡流量的增加， IDPS不能再有效和持續地檢測入侵(可持續性主要是在給定的可用帶寬范圍內持續檢測攻擊的能力)。

結合負載均衡和調整優化可以提高IDPS效率和性能。例如：

– 需要組織網絡及其脆弱性的相關知識：通過信息安全風險評估過程明確需要保護的網絡資產(每個網絡都是不同的)，這些資產與哪些攻擊特征的調整優化有關。

– 當IDPS用于處理有限數量的網絡流量和服務時， 其性能會更好。例如， 從事電子商務的企業需要監視所有HTTP流量并需要調整優化IDPS， 以便查找僅與web流量相關的攻擊特征。

– 恰當地負載均衡配置能使基于特征的IDPS運行地更快更徹底， 因為基于特征的IDPS不需要遍歷所有攻擊特征的數據庫，只需要遍歷優化后更小的攻擊特征數據庫。

在IDPS的部署中， 負載均衡可用來分割可用帶寬， 但該措施會產生諸如附加成本、管理開銷、流量同步失效、重復報警和漏報等問題。在當前的技術條件下， IDPS與負載均衡的成本效益比可能是最低的。

7.4.5 能力的驗證

僅依靠供應商提供的有關IDPS能力的信息通常是不夠充分的。因此， 選擇IDPS時， 可以要求供應商附加說明， 或者給出適用于組織具體環境及安全目標的IDPS適用性示范。具體而言， 可以要求IDPS供應商[大部分IDPS供應商具有調整其IDPS產品(針對目標網絡擴容) 的經驗， 部分供應商在威脅環境中可以支持新協議標準， 在平臺類型和變更等方面積累了相關經驗] 提供如下信息對IDPS能力進行驗證：

–在特定環境中， IDPS的適用性該做何種假設；

– 為驗證IDPS能力而執行的測試的詳細資料；

–對IDPS操作人員該做何種假設；

– 提供的IDPS接口(例如， 物理接口、通信協議、與關聯引擎交互的報告格式等) ；

– 報警輸出機制或格式，以及它們是否有據可查[例如，格式、系統日志消息或簡單網絡管理協議(SNMP) 消息的管理信息庫(MIB) ] ；

– IDPS接口是否可以配置快捷鍵、配置可定制報警功能以及配置自定義攻擊特征；

– 動態配置IDPS時， 能夠提供的特征是否都有據可查；

– 產品能否適應信息系統的發展和變化；

– IDPS產品能否適應不斷擴大、日益多樣化的網絡；

– IDPS是否具備自動防故障和故障排除能力， 以及這些能力如何與網絡鏈路層上的相同能力集成；

– IDPS是否為報警使用專用網絡， 或者報警與監視是否使用相同的網絡進行傳輸；

– 在質量保證、脆弱性響應和產品性能記錄方面，供應商的信譽如何；

– 當部署于云計算環境時， IDPS在云計算平臺中的適用性該做何種假設。

7.4.6 成本

IDPS成本除了購買IDPS軟硬件花費的實際成本， 其附加成本包括：運行IDPS軟件系統的購置成本、安裝和配置IDPS的成本、人員培訓和維護成本等， 其中最大的成本是管理系統和分析結果的人員成本。目前， 測量IDPS成本常用的方法是投資回報率(ROI) 或成本效益分析。ROI主要基于管理入侵時節省的成本來計算。成本效益分析主要是要確保購買和操作IDPS的成本要與處理報警所需的人員成本以及由于誤報和不恰當響應(如由于無法確定信息系統哪部分遭到損害而重裝信息系統)導致的間接成本相互平衡。

運行IDPS的好處主要包括：

– 可以識別有缺陷的或錯誤配置的設備；

– 提供驗證配置；

– 提供系統使用的統計信息。

選擇IDPS時， 需要考慮IDPS的總成本， 因此需要分析組織內部署IDPS的花費， 主要從如下方面確定：

– 購買IDPS的初始預算；

– IDPS的運行時間(如7×24h或者更少時間) ；

– 處理、分析和報告IDPS輸出需要的基礎設施及其成本；

– 按照安全策略配置的IDPS所需人員和資源， 操作、維護、更新和監視IDPS輸出以及響應報警所需的人員和資源，如無相關人員和資源，如何實現相關功能；

– IDPS培訓的成本；

– IDPS部署的范圍(如H IDPS保護主機的數量) 。

可以通過向遠程管理的IDPS服務外包商外包IDPS監視和維護功能來降低日常管理成本， 從而降低相關成本。

從IDPS提供的功能來看， 響應是IDPS部署中成本最高的部分， 主要涉及確定響應方式、建立響應隊伍、開發與部署響應策略以及培訓和演練。

7.4.7 更新

7.4.7.1 總則

由于多數IDPS基于攻擊特征， 因此IDPS的價值相當于針對事件分析的攻擊特征數據庫。由于不斷發現新的攻擊和脆弱性， 因此， 需持續更新IDPS攻擊特征數據庫。故選擇IDPS時組織至少需考慮如下方面：

– 更新的及時性；

– 內部分發的有效性；

– 更新實施；

– 攻擊特征更新后對系統影響。

7.4.7.2 基于特征的IDPS更新的及時性

只有維護好攻擊特征， 才可以有效檢測出已知攻擊。為確保攻擊特征更新的及時性， 選擇IDPS時需考慮如下方面：

– 當發現漏洞時， IDPS供應商發布攻擊特征更新信息的速度；

– 通知程序的可靠性；

– 攻擊特征更新信息的真實性和完整性；

– 如果需要自定義攻擊特征，是否具備足夠可用的技術；

– 為了立即響應高風險脆弱性或持續攻擊，是否可寫入或者接收自定義攻擊特征。

7.4.7.3 內部分發的有效性和更新實施

攻擊特征更新后，需要向所有相關系統快速分發并實施具體更新。此時需及時修改攻擊特征的更新資料， 以便包括特定站點的IP地址、端口等。因此選擇IDPS時， 在網絡可信邊界需注意如下方面：

– 在手動分發時，管理員或用戶能否在可接受的時間范圍內實施攻擊特征更新；

– 是否具備可有效跟蹤攻擊特征更新的機制。

7.4.7.4 系統影響

為將攻擊特征更新對系統性能的影響最小化， 在選擇IDPS時需注意如下方面：

– 攻擊特征的更新是否影響重要服務或應用的性能；

– 能否選擇性關注攻擊特征的更新，以避免沖突影響服務或應用的性能。

7.4.8 報警策略

IDPS的配置和操作主要基于設定的監視策略。選擇IDPS時， 在報警策略方面需要考慮兼容現有信息基礎設施的報警方法， 諸如電子郵件、網頁、短信系統(SMS) 、SNMP事態以及自動阻止攻擊源等。

當IDPS數據用于取證(包括內部舉證) 時， 需要依據法律法規的要求來處理、管理、應用或提交IDPS數據。

7.4.9 身份管理

7.4.9.1 總則

選擇IDPS時， 還需要考慮IDPS身份管理(用于保護IDPS數據和身份交換的安全、可控) ， 關鍵是IDPS遠程證明和在線升級需要借助可信第三方作為權威機構(類似于公鑰基礎設施中的權威機構) 來進行。此外， IDPS身份管理對無縫、安全、可控的IDPS數據和企業網絡信任邊界的IDPS身份交換也很重要。

7.4.9.2 遠程證明

IDPS包含的代碼可達數百萬行， 可能被攻擊者插入惡意軟件， 從而控制IDPS的輸出。針對此問題， 可以通過遠程證明(在無人發出指令的情況下) ， 基于發起訪問請求的訪問者身份， 對IDPS軟件和硬件的訪問控制進行嚴格的鑒別。

在IDPS硬件中， 遠程證明主要通過產生加密證書或者散列值來驗證硬件設備的身份或者在設備上運行軟件的身份。其中，散列值(表示身份最簡單的形式)可區分不同軟件、設備并發現軟件的變更，加密證書可提供給IDPS用戶請求的遠程方， 還可用于校驗遠程方(即IDPS正在使用預期的和未被改動的軟件) 。當IDPS軟件有改動時， 生成的加密證書中IDPS的編碼也會改變。

遠程證明的目的是檢測IDPS軟件的未授權變更(例如， 如果攻擊者已經替換或者修改了一個IDPS應用或者操作系統的一部分， 遠程服務或其他軟件將無法認可它們) 。因此， 遠程方(如網絡運行中心NOC) 檢測到被病毒或者木馬破壞的IDPS軟件時， 要采取相應措施， 并遠程通知與此IDPS相關聯的其他IDPS(此IDPS受到了損害) ， 并且在此IDPS恢復功能前， 避免其發送相關信息。

因此， IDPS需要借助遠程證明實現如下功能：

– 向遠程方證明或報告其狀態、配置或其他重要信息；

– 評估IDPS的健壯性以及執行大量IDPS配置和更新操作的能力；

– 遠程測試IDPS完整性；

– 匯總IDPS證明報告以提供網絡防御狀態的態勢評估， 作為整個網絡態勢評估的重要組成部分。

7.4.9.3 在線升級

當遠程證明檢測到IDPS存在問題時， 可通過在線升級(業界已采納術語“在線升級”， 涵蓋了為IT設備(也包括IDPS) 安裝正確軟件、執行安全策略及加載配置數據的過程) 解決。這主要通過遠程方向IDPS推送已鑒別配置、軟件更新和補丁等來完成。在線升級尤其是攻擊特征的更新應盡可能的遠程處理， 這樣既可節約人員成本， 又可及時地緩解問題。為行之有效， IDPS在線升級需要從遠程方進行推送，由IDPS安全地拉入即由IDPS安全、自動地從供應商網站上遠程查找并下載已鑒別的更新。