奇葩的入侵检测系统中标公告，让人鄙视！

入侵检测系统，简称IDS。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视的系统，它尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

上面的比喻非常形象非常直观。不用过多解释IDS的工作原理和价值，因为我们都知道任何一个场所的监视系统它所存在的价值和意义。

但现实社会中，受金钱利益的影响，国内某些厂商、某些所谓的专家，无视IDS其本身存在的价值，非常悖论的用IDS只能监控不能阻断的言论，在一些要求建设入侵检测系统的招标项目中，去采购入侵防御系统来代替入侵检测系统。也就是本文标题所讲的某项目采购入侵检测系统，却被人为的采购成了入侵防御系统。

其无视中华人民共和国等级保护标准中要求建设入侵检测系统的法规要求的做法，实在是让蛋疼君深恶痛绝不止。

看官可能会问，你又为什么会这么深恶痛绝呢？你和IDS有何渊源？

其实，君我只是一名混迹安全圈不到20年的一个匆匆过客。对入侵检测、入侵防御、防火墙、审计、大数据、云等略微有所了解的普通技术。深恶痛觉的根本原因是对那些偷换概念、只谋一时私利，却对用户的安全视而不见的人和做法深表厌恶，对那些被某些所谓的专家洗了脑的用户深表同情。

那么，入侵防御系统，又是什么？它简称IPS。IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。

目前无论是从业于信息安全行业的专业人士还是普通用户，除了那一小部分人之外，大家都认为入侵检测系统和入侵防御系统是两类产品，并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现，给用户带来了困惑：到底什么情况下该选择入侵检测产品，什么时候该选择入侵防御产品呢?

从产品价值角度讲：入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同，入侵防御系统可以实施深层防御安全策略，即可以在应用层检测出攻击并予以阻断，这是防火墙所做不到的，当然也是入侵检测产品所做不到的。那么我们也就能清楚的知道，为了不造成误阻断，入侵防御系统的安全策略必然要非常精准才能保证其价值的体现，也就是它的安全策略至少从数量上和入侵检测系统就不是一个数量级。

从产品应用角度来讲：为了达到可以全面检测网络安全状况的目的，入侵检测系统需要部署在网络内部的中心点，需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，即每子网部署一个入侵检测分析引擎，并统一进行引擎的策略管理以及事件分析，以达到掌控整个信息系统安全状况的目的。

而为了实现对外部攻击的防御，入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统，入侵防御系统即可实时分析网络数据，发现攻击行为立即予以阻断，保证来自外部的攻击数据不能通过网络边界进入网络。

入侵检测系统IDS的核心价值在于通过对全网信息的收集、分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整，而入侵防御系统IPS的核心价值在于对数据的深度分析及安全策略的实施---对黑客行为的阻击；入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据，入侵防御系统则必须部署在网络边界，抵御来自外部的入侵。

我们再试想一下，地铁站里明明有闸机和安检设备来保证人员的出入对地铁站的安全防护进行保障，但没有任何一个地铁站不去建设监视系统，没有任何人说地铁站的监视系统因为不能阻挡坏人的坏行为而认为不该建设监视系统。试问当地铁站里面，当一名渣男对一位美女进行猥亵骚扰的时候，你是希望能够被监视系统记录下来还是寄希望于让闸机去阻断他的行为？那么到了安全系统的建设，凭什么要用入侵防御系统IPS来代替入侵检测系统IDS呢？

文章出处：蛋疼君 黑手党的黑板报