公安部公共信息网络安全监察局2002年在全国范围内组织开展了计算机病毒疫情调查活动。调查显示：在被调查用户中，我国感染计算机病毒的用户数量已由2001年的73%上升到2002年的83.98%；遭受计算机病毒破坏造成损失的已由2001年的43%升至2002年的64.05%；通过网络下载和浏览感染病毒的用户数量明显增加；国外流行计算机病毒通过互联网侵袭我国计算机用户的同时，国内也出现了一些本土化的计算机病毒，其传播能力和破坏性比较强。
　　网络安全技术发展到今天，除了防火墙和杀毒系统的防护，入侵检测技术也成为抵御黑客攻击的有效方式，网络安全防御已成为世界范围内普遍关注的热门话题。当传统的防火墙等防御手段远远不能满足日益发展的安全需求的时候，网络入侵防御系列产品脱颖而出，与现有的网络安全解决方案相比较能够以更全面、更智能的检测方法，使用户的网络免受多种类型的网络入侵与攻击。带着对IPS(入侵防御)的应用问题，本刊记者近日采访了入侵防御解决方案提供商Top Layer网络公司大中华区总经理陈劲夫先生。
　　
　　网络安全的需求
　　
　　陈劲夫先生认为，企业只要与公网连接，就有解决网络安全问题的需求。目前，网络攻击应分为两类 ：一类是来自外部的黑客主动攻击 ；更多的一类则是无意的被动型攻击，也就是说，企业员工可能浏览到被感染的外网，电脑被感染后在内网上传播。另外，由于目前企业特别是中小企业IT管理人员工作繁忙，知识更新速度慢，又由于资源有限的原因，安全管理也不可能外包给专业的公司，所以面临的安全漏洞就更多。陈劲夫先生说，随着法律的不断完善我们必须重视的一个问题就是企业除了保护自己以外，还要对自身的安全负责，不要使自己成为黑客攻击的跳板。比如，某企业由于浏览了您的网络而使他的客户遭到攻击这种第三方受害的例子在国外该企业是要负责的。
　　
　　传统安全解决方案的缺陷
　　
　　现今的安全架构在对付日益复杂和精密的网络攻击时已显现出诸多不足。许多入侵可穿过防火墙和仅有检测和记录功能的传统网络入侵检测系统。陈劲夫先生介绍，事实上，根据CSI/FBI安全报告显示，90％的攻击可以绕过防火墙，使网络很容易遭受攻击，造成巨大损失，如生意丢单、服务器重建、知识产权丢失以及一些法律问题。防火墙在网络安全方面发挥着重要作用，但若单独使用也容易使网络遭受攻击。大部分防火墙会配置开放端口，黑客就可通过这些开放端口入侵系统。此外，防火墙也不能有效地阻止诸如HTTP蠕虫等普通攻击、混合攻击和Ddos/Dos攻击。事实上，当防火墙不能抵挡某次攻击时，其自身也会成为DoS之源。
　　陈劲夫先生说，IPS出现的另一个主要原因是IDS的不足逐渐引起人们的不满；抗DoS攻击技术的不成熟使市场急需新技术。IDS的误报和漏报问题一直困扰着用户，1：60000的海量误报率常使用户忽略掉其中包含的真正的危险攻击；而IDS另一个缺陷是它只能报警而不能采取阻断措施，用户往往在得到报警的同时，攻击已经发生了，报警毫无用处 ； Gartner最新报告显示，2003年底，如果IDS误报不能减少90%，那么90%的IDS部署将宣告失败。将IDS功能与抗DoS技术结合起来的新技术IPS是未来解决各类攻击的新希望。IPS必须是在线设备，能够准确检测和精确阻止攻击。能够在灾害发生之前正确地阻断攻击。
　　
　　IPS的应用效果和规划方案
　　
　　陈劲夫先生介绍，北京市政府已经有两个部门部署了IPS系统。AC Nielson是美国一家从事电视收视率调查的专业公司，今年夏天，欧洲的一个网站被黑掉了，后来发现攻击的病毒是绕到防火墙后边的。部署了IPS系统以后，运行了4到5个月，没有遇到服务中断。但从安全报表上可以经常看到来自外部的攻击。更惊讶地发现，一个月内有30到40次员工在浏览网页时，带入了红色代码病毒，但整个网络没有受到感染。“IPS在狼来的时候作出了反应。”陈劲夫先生说。
　　昂贵的部署费用又是阻碍IDS发展的另一个主要原因。企业关心的是网络不受到攻击，业务能够正常运转，对黑客来自何方并不非常关心。陈劲夫先生建议企业构建安全架构的顺序应该是防火墙→IPS→IDS→……，具有了防火墙和IPS，漏掉的部分再用IDS，这时IDS的工作量小得多了，可以选择带宽较小的IDS产品，相对价格就会较低。部门级、企业级IPS的价格一般在40万到60万人民币以下，同时选择IDS和IPS 的价格不会超过单独选择IDS的价格，但功能却远远不同。但IDS和IPS都不能100%防止攻击，仍要有更进一步的防范措施，比如内容管理过滤等。
　　虽然病毒与反病毒之间的斗争始终没有停止过，总是道高一尺，魔高一丈，但新技术让我们看到了未来抵抗各类攻击的新方向，未来黑客攻击应该没有以前那样容易得逞了。市场如何发展，用户如何使用应该是厂商和用户共同面临的挑战，我们期盼着网络和平的日子就在今天。
　　
　　相关链接
　　IDS：入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术，被认为是防火墙之后的第二道安全闸门。IDS主要用来监视和分析用户及系统的活动，可以识别反映已知进攻的活动模式并向相关人士报警。对异常行为模式，IDS要以报表的形式进行统计分析。产品提供的功能还要评估重要系统和数据文件的完整性。网络IDS的用途是监控网络攻击的踪迹、侦察可疑的网络行为。当IDS发现了奇怪的网络活动之后，它就会向专业的网络安全维护人员发送警报，同时还记录和报告入侵的详细过程。IDS无法阻止正在进行的网络攻击。
　　IPS：入侵防御是一种在线的解决方案，它可以阻击由防火墙漏掉的或IDS只能检测而不能处理的网络攻击，从而减少因网络攻击而受到的损失，增强网络的性能和可用性。IPS在对恶意的进攻-诸如混合性攻击、HTTP蠕虫，SYN floods，协议和数据量异常，DoS（拒绝服务式攻击）和DDoS（分布式拒绝服务攻击）进行阻断的同时，还可以保障对良性的数据具有良好的通行能力，可以使良性的数据快速通过。IPS可以找出入侵迹象，同时观察网络上特定计算机的可疑网络行为。当服务器执行反常操作的时候，IPS就会自动地采取适当的对策阻止攻击。