入侵檢測系統(tǒng)（IDS）的選擇，部署和維護工作是基于需求和公司現(xiàn)有的基礎設施。一個產品可能會很好的為一家公司工作卻不適合另一家。選擇通常是最難做的決定，由于產品必須滿足業(yè)務需求，預定的網絡基礎設施功能正常，并目前由人為支持。

大多數(shù)入侵檢測系統(tǒng)的行業(yè)標準都支持基于網絡的和基于主機的入侵檢測系統(tǒng)?；诰W絡的入侵檢測系統(tǒng)通過監(jiān)測網絡特定部分的所有可能包含惡意流量或有誤意圖的流量來對網絡提供保護?；诰W絡的入侵檢測系統(tǒng)的唯一功能是監(jiān)測該網絡流量。基于主機的入侵檢測系統(tǒng)是部署在那些具有基函數(shù)的設備上，例如Web服務器，數(shù)據庫服務器和其他主機設備?；谥鳈C的入侵檢測系統(tǒng)提供如用戶認證，文件修改/刪除和其他基于主機的信息，因此，將其劃定為網絡中設備的第二級保護。

起初行業(yè)標準的入侵檢測系統(tǒng)部署規(guī)定使用基于網絡的入侵檢測系統(tǒng)，然后是基于主機的入侵檢測系統(tǒng)。這確保網絡、主機設備得到了保護。任何公司的核心基礎都是網絡基礎設施，然后是這些網絡中的設備。入侵檢測系統(tǒng)應該按照相同的方式部署。

在三等級方法中基于主機的入侵檢測系統(tǒng)應該是作為第二級任務部署的，在基于網絡的入侵檢測系統(tǒng)之后。一級部署包括網絡中位于關鍵主機設備的外部參數(shù)。這些設備包括關鍵Web，郵件和其它位于DMZ或企業(yè)外部網的設備。第二級由大多數(shù)DMZ設備中其他非關鍵DMZ設備組成。最后，第三級會包括位于非軍事區(qū)中受保護私有網絡的所有其他設備，它們是關鍵的或者包含諸如客戶，金融和數(shù)據庫的機密數(shù)據。如上所述，獨立的設備組成了網絡，并應受到保護，但是只有在第一次網絡安全。

基于網絡入侵檢測系統(tǒng)的建議

基于網絡的入侵檢測系統(tǒng)應部署在外部DMZ部分，然后才是DMZ部分。這將允許監(jiān)控所有的外部和DMZ的惡意活動。所有的外部網絡部分都應該予以監(jiān)控，包括入站和出站流量。這將確保連接到外部惡意網絡的所有設備都受到了監(jiān)控和檢查。這些建議都是業(yè)界用來跟蹤外部網，內部網和DMZ環(huán)境下惡意活動的標準。對于所有入境點使用基于網絡的入侵檢測系統(tǒng)的額外保護需要首先確保是針對公司資源的所有惡意企圖，不僅是眾所周知的網絡連接，還包括所有已知的外部鏈接。

策略和工具推薦

對于入侵檢測系統(tǒng)部署的額外建議應該包括事故應急手冊，程序和工具的開發(fā)。由于入侵檢測系統(tǒng)的工作像防盜報警，因此報警聲后的人為干預是必要的。擁有和使用好的事故應急技術可以加強從入侵檢測系統(tǒng)收集到的數(shù)據的價值，以便進一步的檢查。針對事件調查的軟件工具也應該推行，以確保這些工具可以用來研究，評估和報告結果。如果在任何時候因為惡意活動，公司被迫采取合法行動，這些工具將會伴隨著政策和標準的建立而被用來提供證據。如果沒有工具或者政策，該公司可能無法采取合法行動或者制止肇事者。

產品部署

基于網絡的入侵檢測系統(tǒng)應該立即部署在外部Internet網絡部分，然后是DMZ部分?；谥鳈C的入侵檢測系統(tǒng)應該部署在DMZ的所有關鍵主機設備。最后，任何其他主要的主機設備也應該擁有一個基于主機的入侵檢測系統(tǒng)應用，以確保這些系統(tǒng)同樣也受到保護。

入侵檢測系統(tǒng)的項目任務

雖然下面列出的項目任務具備一般性，但是通常對于入侵檢測系統(tǒng)的部署有一定的行業(yè)標準。

開發(fā)管理系統(tǒng)：這應該意味著選擇和基于網絡的、基于主機的設備部署的數(shù)量，管理控制臺的場所，以及整體基礎設施。

開發(fā)記錄系統(tǒng)：由于一個入侵檢測系統(tǒng)可以產生大量的數(shù)據，應該配備記錄系統(tǒng)以允許大量的數(shù)據收集，備份和恢復程序，以及存儲設備。在這一階段，硬件和軟件可能都需要被關注。

制定審計策略：這個緊接著之前的兩個階段，因為在這一點上，傳感器和記錄程序的數(shù)量應該被選擇。一個IDS如果沒有IDS記錄的審計策略就相當于完全沒有IDS。日志中的關鍵事件要每日檢查，其他內容每周檢查一次。嚴重的級別應該制定跟蹤并處理所有事件。這些級別上的行動將包括完成工作的詳細描述，人們在調用和收集數(shù)據的記錄，以防真正的惡意活動或者對于關鍵系統(tǒng)的入侵。

基于網絡的IDS部署：這項工作應該盡快開始以收集數(shù)據。同樣，基于網絡的IDS應該作為行業(yè)和建議標準的首個任務被部署。這種方法應該分三個層次，首先是安全參數(shù)的最遠延伸，然后是DMZ和其他設備。

基于主機的IDS部署：作為一個行業(yè)標準，基于主機的IDS部署應該在基于網絡的IDS部署之后。這實際上可與基于網絡的同時完成，但重點還是應該首先放在基于網絡的IDS部署。

完善IDS政策：這一步應該在整個IDS部署過程之后完成。根據業(yè)務需要或者威脅而變更政策，因此這是一個項目中不斷變化的部分。

完善書面標準：正因為與其他系統(tǒng)相關聯(lián)，所以這里必須有適當?shù)墓緲藴室源_保符合整體標準。IDS標準應該在項目開始之前開始，并一直持續(xù)到完成。這些標準應該包括配置、政策使用、記錄、審計和報告。

IDS以外的項目任務

眾所周知，一個有效的入侵檢測系統(tǒng)必須包括除了硬件和軟件以外的支持。對于事件響應必須制定書面程序，防止在一段時間內如果有針對公司系統(tǒng)的有效惡意嘗試。以下是除了IDS以外的推薦步驟。

事件響應：必須制定一個事件響應的過程以確保一旦針對公司系統(tǒng)的惡意企圖發(fā)生時，有一個可參照的標準。這包括書面程序，實際下一步所做的，調用什么，何時調用，如何調用以及通知鏈。IDS要像系統(tǒng)背后的事件響應一樣良好。當警報響起，假如有重要信息的損失，該公司需要設立一個全面的測試應變程序，以確保沒有任何損失，或者記錄。一個很好的事件響應程序將會確保數(shù)據的完整性，并確保其在檢查中有完好的歷史證據鏈。

法醫(yī)工具包（Forensic toolkits）：一旦事故發(fā)生時，許多產品都能夠完成對數(shù)據的審核。這些工具應該加以研究來滿足公司的要求并對現(xiàn)場工作人員進行使用的培訓。

Gramm-Leach-Bliley 法案

第501和505（b） 規(guī)定了針對所有銀行的指導方針，建立保護客戶信息安全的標準。如果你的公司不是一個金融機構，你仍應該考慮下列標準信息安全實踐中的通用性建議。

掃描和漏洞檢測：掃描和漏洞檢測應該由第三方來完成，以確保IDS和其他安全措施的執(zhí)行情況。

政策審查：信息安全政策必須經常維護和審查，以確保準確性和與聯(lián)邦標準的一致性。

防火墻和路由器審查：防火墻和路由器審查應該至少在每季度完成，以確保配置實用的準確和完整。  

【編輯推薦】

1. 智能分析系統(tǒng)讓IDS入侵檢測系統(tǒng)浴火重生
2. 綠盟“冰之眼”網絡入侵檢測系統(tǒng)