入侵检测及网络安全发展技术探讨(3)

四、网络安全的发展方向

1．检测和访问控制技术将共存共荣

以IDS为代表的检测技术和以防火墙为代表的访问控制技术从根本上来说是两种截然不同的技术行为。

（1）防火墙是网关形式，要求高性能和高可靠性。因此防火墙注重吞吐率、延时、HA等方面的要求。防火墙最主要的特征应当是通（传输）和断（阻隔）两个功能，所以其传输要求是非常高的。

（2）而IDS是一个以检测和发现为特征的技术行为，其追求的是漏报率和误报率的降低。其对性能的追求主要在：抓包不能漏、分析不能错，而不是微秒级的快速结果。IDS由于较高的技术特征，所以其计算复杂度是非常高的。

从这个意义上来讲，检测和访问控制技术将在一个较长的时期内更加关注其自身的特点，各自提高性能和可靠性，既不会由一方取代另一方，也不会简单的形成融合技术。

2．检测和访问控制的协同是必然趋势

虽然检测技术和访问控制技术存在着一定程度的差异，但是两个技术的协同工作和在应用上的融合又是一个迫切的要求和必然趋势。

安全产品的融合、协同、集中管理是网络安全的发展方向。大型企业需要一体化的安全解决方案，需要细力度的安全控制手段。中小企业一边希望能够获得切实的安全保障，一边又不可能对信息安全有太多的投入。从早期的主动响应入侵检测系统到入侵检测系统与防火墙联动，再到IPS和IMS，形成了一个不断完善的解决安全需求的过程。

3．如何进行技术融合

“集中检测，分布控制”这个观点对于如何看待检测技术和访问控制技术的走向是非常重要的。一个准确度不能完全令人满意的IDS，经过人工的分析可以变得准确。同样，经过大规模的IDS部署后的集中分析以及和其他检测类技术关联分析，可以获得更加精确的结果。这样局部的事件检测就向全局性的事件检测方向发展。根据全局性的检测结果就可以进行全局性的响应和控制。

全局性的检测可以有效解决检测的准确率问题，但是同时带来的就是检测过程变长，局部速度不够快的问题。所以，面对一些局部事件和可以准确地判断出的问题，阻断后带来的负面效应相对较少，针对其检测可以比较快速的时候，IPS就是一个比较好的方案了。

4．人仍是网络安全管理的决定因素

不可否认的是，人的因素仍然是网络安全管理的决定因素，网络安全最薄弱的环节也并不是系统漏洞，而是人的漏洞。安全问题的核心问题就是人的问题。因为一切不安全的因素全来自人（或者说一部分人）。那么我们与信息网络安全威胁的斗争，实际上是与人（或者说一部分人）的斗争，这样性质的斗争，自不待言，注定了它的艰巨性、复杂性和持久性。

因此，单纯依靠安全技术和软、硬件产品解决网络安全问题的想法是不现实也是不明智的，提高企业的网络安全意识，加大整体防范网络入侵和攻击的能力，并在此基础上形成一支高素质的网络安全管理专业队伍，及时准确地应对各式各样的网络安全事件，才能从根本上解决我们面临的威胁和困扰。