一、认清需求

　　在许多时候，第一个障碍是说服管理层这个投资是必要的，因为他们不一定有IT背景。设备、招收员工和培训所造成的增加成本也应该讨论。关键是要论证需要保护的并不是服务器、工作站、文件服务器或其它网络设备，而是这些设备上的公司数据。对以下问题认真考虑能够有助于说明增强网络安全的重要性：

　　1、公司数据的安全有多重要?

　　如果有一天早晨你发现所有的数据库都成了空白的或被修改了，那该怎么办?如果研究了一年的新产品落到竞争者的手中该怎么办?

　　2、潜在的损失是什么?

　　丢失数据可能会造成因恢复或重建数据而带来的额外成本，还会造成公司内部失去信任，长远来说这可能代价更高。

　　客户愿意相信他们的个人信息是安全的，而商业伙伴希望共享的公司秘密也是如此。

　　3、未来被攻击的潜在可能性有多少?

　　公司以前成为过攻击目标吗?相似的公司是否受到过攻击?公司是否涉及敏感或有争议的领域?与政府机构之间的关系是否会增加受到攻击的可能性?

　　二、全面了解入侵检测系统

　　要保证真正地理解IDS的意图。网络安全并不是一个单个系统所能完成的工作，需要配合口令系统的使用和管理、反病毒程序的安装、文件系统的许可和审核以及全面优良的的网络实践及策略。IDS不会“包治百病”，它所能做的是对那些可能危害网络结构以及存储数据完整性的行为进行检测、报告和有限的响应。

　　1、IDS系统的检测方式

　　IDS通常使用异常检测和特征检测两种方式判断行为是否有害：

　　(1)异常检测方式

　　这种方式下，IDS首先要学习并了解一个系统的基本情况，包括CPU、文件使用、用户登录及其它行为，然后根据是否发生了异常举动进而采取对策。例如，如果一个用户通常是在星期一至星期五的上午8点到下午5点之间登录进来的，而突然试图在星期六的凌晨2点登录，这就会警告管理员这个行为对于这个用户来说是不正常的。

　　(2)特征检测方式

　　这种方式下，IDS会对每个信息包进行特征内容核查，看是否与那些已知的攻击模式相匹配。例如，字符串"/cgi-bin/phf?"就可触发一个报警，表明可能有人在web 服务器上寻找一个CGI脚本漏洞。许多商业 IDS系统都是基于特征的，它们的数据库一般都有几百个特征。

　　遗憾的是，不论基于异常行为还是特征内容的检测都不完美，两种产品都有误报，会出现对用户、资源和目的系统本来合法的行为作为事件来报告。误报的概率永远无法完全消除，但是系统管理员通过仔细研究报警信息及其原因，对检测系统进行微调就可以降低误报的发生几率。另外，一个IDS产品有一定数量的误报总比无视可能的入侵要好。

　　2、IDS系统的种类

　　除了检测方法上的不同方式外，还有许多不同类型的入侵检测系统，基于网络的、基于主机的，其功能各有千秋：

　　1)基于网络的IDS系统

　　这种IDS系统用于检测网络上所有的信息包。根据多种因素，要想全面覆盖网络，可能需要一个以上的网络IDS。基于网络的IDS的优势是：

　　● 基于网络的IDS购买成本低，放置在一个重要网络入口处的IDS可为多个系统提供安全。

　　● 基于网络的IDS能够检测数据包报头和有效负载，不会漏掉基于主机的IDS系统可能会错过的攻击。

　　● 对识别出来的攻击进行实时检测和各种响应，包括通知、中止会话、记录会话日志用于分析和证据。

　　● 检测和记录不成功的攻击，用于评估安全状态和策略。

　　● 基于网络的IDS在检测攻击时并不依赖于操作系统，而基于主机的IDS要依赖操作系统、应用程序或其它系统的日志来识别攻击。

　　2)基于主机的IDS系统

　　这种IDS系统用于检测发往一个计算机的信息包，通常在高度敏感的系统上使用。基于主机的IDS的优势是：

　　● 能够校验出攻击是成功还是失败，因为处理结果是在对系统日志中所记录下来事件的分析基础上做出的。

　　● 可使特定的系统行为受到严密监控，例如文件访问、对文件许可的变更、用户上网和下网的情况，其监控程度比基于网络的IDS要详细得多。

　　● 基于网络的IDS可以检测出没有通过受保护网络入口的攻击，基于主机的IDS能够检测和报告监控服务器上的键盘动作。

　　● 基于网络的IDS对经过加密的攻击往往“有眼无珠”，而基于主机的IDS会在主机操作系统对信息包解密之后再进行检验。

　　● 基于主机的IDS安装在现有服务器上，不需要额外的系统支持，降低了初始配置成本。

　　基于网络和基于主机的IDS都各有优势和用途，前者“主外”，为整个网络提供全面保护，后者“主内”，为选中的系统提供特殊保护，二者联合起来就能够提供全面的保护。

　　三、详细了解网络现状

　　详细理解现有网络的拓扑结构、各种系统的用途和功能是很必要的。一般情况下，需要对网络进行以下检查：

　　1、存在网络管理部门吗?

　　有没有一个单独的网络管理部门，或者网络管理功能是否被分给了多个功能不同的部门?识别域控制器和邮件服务器很重要，但只是个开始，还需要知道其他部门比如人力资源部有没有一个数据库服务器?其中是否包含了敏感的员工保险记录?

　　2、网络有多少个入口?

　　如果一次成功的入侵没有被基于网络的IDS检测到，其原因是“入侵者从另一个未知的、未受保护的门进入”，那么就需要彻底打扫一下“卫生”了，看看哪个地方还有“黑洞”?

　　3、网络中安装了防火墙吗?

　　如果安装，那么需要进一步确定基于网络的IDS是安装于防火墙前还是后。IDS位于防火墙前面，就能记录下可能会被防火墙阻挡在外的攻击，从而利用这些数据调整IDS的配置。IDS位于防火墙后面，就只能报告穿越防火墙的攻击。

　　4、网络上有没有交换机?

　　这个信息用于决定IDS系统的放置场所及其部署类型。

　　5、可用资金有多少?

　　钱的数量会对选择造成直接的影响。为了保护特殊系统，即使买不起基于网络的IDS系统，也要“省吃俭用”购置一套基于主机的IDS系统以保护重点对象。

　　四、评估IDS系统

　　评估IDS系统是很费时间的，但是绝对重要和必要，值得“千呼万唤始出来”。除了基于网络和主机的系统外，还需考虑以下因素：

　　● 基于网络和主机的系统能组合到一个管理系统中，从而允许在同一个控制台上发出报警吗?

　　● 有没有事件相关功能，从而减少触发和响应时间?

　　● 支持何种操作系统?

　　● 特征数据库多久升级一次?

　　● 哪种IDS能够显示网络拓扑结构?

　　● 哪种系统与现有操作系统最适应?