三、安全的可管理性

安全的可管理性表现了对安全易于管理的程度。通过各种管理手段可以方便用户对安全信息的掌握和对安全的控制。可管理性主要分为以下两种：

1. 信息的可管理性

首先，系统通过建立主机IP地址和内部员工之间的映射关系来完成内部员工的管理。通过IP地址可以反查用户名，通过用户名可以查IP地址。KIDS中的主机名绑定功能就提供了一个包含IP地址和主机名称之间映射关系的列表，供用户在需要时查询。

其次，系统对安全风险管理的对象进行分类，如：员工对象、服务对象、服务器对象等。然后，对各种对象进行分类管理，如：内部员工管理、服务管理、服务器管理。对安全信息进行分类有助于用户对信息的浏览，并迅速识别其关注的事件。

再次，系统还具有网络流量的统计功能，可以随时监控网段的使用情况。一旦发现某一时刻网络流量异常则网络管理员可以通过其他指标分析目前网络中是否存在资源滥用的现象并采取相应的措施。KIDS的流量图功能可以使网络管理员随时查看网络的流量状况。

除此之外，还需要对一组重要服务器（目标地址）或一组可疑的或特定的主机（源地址）进行专门管理: 加入到重要服务器组中的对象可以是在网络中起关键作用、需要重点保护的主机，加入到重点检测组中的对象应当是有攻击嫌疑的内部或外部主机。KIDS系统不但提供了对特定源地址或目标地址的管理，还可以根据监控情况生成相应的报表，实现了监控和报表的一体化。新版本的KIDS当中还将推出资源的概念，对网络中的资产、传感器等进行分组管理。

2. 控制的可管理性

IDS对网络的控制手段有：根据黑名单断开、根据灰名单报警、阻塞HTTP请求、通知防火墙阻断、通过SNMP Trap报警和执行用户自定义程序等。

网络管理员经过一段时间的观察之后，可能总结出一些有重大攻击嫌疑的地址或一些可能包含带毒文件的网页。对于这类需要阻断的地址，管理员可以将其添加到黑名单列表中，以后，不管是这些主机访问网上资源，还是网上其他主机访问黑名单列表中的主机，IDS都将实施阻断，这种双向阻断的管理策略为网络安全提供了高度的保障。另外，对于一些虽然可疑，但问题“情节”并不十分严重的主机，可以将其添加到灰名单列表，灰名单列表的监控功能也是双向的，一旦访问的源地址或目标地址中出现了灰名单列表中的IP地址，IDS会根据预先设定的方式报警。

拥有防火墙的用户如能使IDS和防火墙联动，则控制功能可以进一步加强: 当IDS发现入侵时，可以在报警的同时通知防火墙拦截可疑的数据包，实现对入侵行为全方位的控制。对于网络中原先就使用网管软件的用户来说，如果IDS产生的报警消息可以被他们的网管软件所接收，那就意味着其现有资源可以得到最大限度的利用，而且可以实现对包括入侵在内的各种网络异常现象的统一管理。IDS可以通过SNMP Trap消息将报警事件发送到网管平台，实现与各类网管平台的集成。

四、结束语

综上所述，只有全面掌握安全风险才能有效进行安全管理，入侵检测系统（IDS）在安全风险可见性上具有天然优势，而这种优势必须通过可视化的管理手段才能发挥出来。管理可视化主要体现在安全