摘要:在现代社会中,数据中心的千兆入侵检测系统的类型多种,但是如何选择它们的类型以及要求呢,下面让我们来了解一下: |
在现代社会中,数据中心的千兆入侵检测系统的类型多种,但是如何选择他们的类型以及要求呢,下面让我们来了解一下:
(1)产品应为国内自主研发,并拥有软件著作权登记证书。
(2)应具备国内权威机构的相关认证:公安部、国家信息安全测评认证中心中国人民解放军信息安全测评认证中心、国家保密局,并提供相关证书编号。
(3)应具备标准l0OOEase-SX(SC)接口;标准l0/100/l0OOBase-TX接口。
(4)最大TCP检测会话数不低于800000,最大IP重组数不低于500000,检测流量800M。
(5)平均无故障时间(MTBF)不小于6万小时。
(6)应支持全中文的图形化界面,支持命令行管理的方式,支持安全管理平台的密码身份认证,支持网络流量及使用状况的检查监视。
(7)应当具备对重点监控对象的自定义功能,可以定义网段或主机。
(8)应当支持对检测规则的临界值进行设定。
(9)应当支持用户自定义策略的分析,对规定事件内的多个相同事件进行合并,简化界面显示。
(10)应当支持协议解码功能,支持IP碎片重组。
(l1)应当支持主流的抗IDS技术,应具备防ARP欺骗的功能。
(12)应当具备检测来自多个位置的多个攻击的能力,能够检测网络层/基于包的
攻击,能够支持会话记录功能。
(13)应当能够进行数据流纪录,针对各种协议及行为进行数据跟踪,支持TCP、UDP、lCMP、IPX、HTTP、FTP、TELNET、SMTP、NFS、rash、DNS、POP2、POP3、IMAP、TFTP、FINGER、SSL、NETBIOS等协议的检测,并集成数据报分析工具进行分析。
(14)应当支持HTTP、POP3、HTTPS、SSH、TELENT、FTP及其他用户自定义端口,支持FTP、TELNET、SMTP、POP3、TFTP、MSN及自定义协议的会话重放。
(15)应当具备反向路由追踪的功能,支持多种响应方式。
(16)应当支持日志的备份,并能够生成备份文件,支持数据库的交叉备份,支持用户自定义的计划备份,支持日志备份文件的合并。
(17)应当提供可定制的报告,可自由选择报表模板,任意定义条件,包括时间范围、探测器、攻击风险、事件类型、事件ID、目标地址、源地址、目标端口、远端口,支持用户对获得报告的时间进行自定义。
(18)探测器与控制台之间应当采用基于密钥的双向通讯,探测器和控制台应当采用双向身份认证机制,探测器和控制台之间的通讯应当采用SSL方式。
(19)应当能够提供自身文件完整性检查,对系统中被修改过的文件报警。
责任编辑:月儿