作者簡介：本文作者賴左罕為畢業(yè)于倫敦大學(xué)皇家學(xué)院（Royal Holloway, University of London）之信息安全碩士，目前任職顧問公司，擔(dān)任信息安全顧問一職，主要專長 包含安全管理（Security Management）、信息安全政策制定（Security Policy）、防火墻（Firewall Implementation）、入侵偵測系統(tǒng)（Intrusion Detection Systems）、入侵安全測試（Penetration Testing）、計(jì)算機(jī)犯罪搜證（Computer forensics）及緊急事件應(yīng)變程序。

建置與部署入侵偵測系統(tǒng)（Intrusion Detection System；IDS）將成為加強(qiáng)網(wǎng)路安全的一股新力量。在入侵偵測系統(tǒng)的基本介紹上篇中已介紹網(wǎng)路端與主機(jī)端入侵偵測系統(tǒng)在偵測系統(tǒng)的差異，以及偵測技術(shù)的優(yōu)缺點(diǎn)；在下篇中則要進(jìn)一步介紹入侵偵測系統(tǒng)的建置與部署，建議企業(yè)應(yīng)該分段部署，第一步先建置「網(wǎng)路端」入侵偵測系統(tǒng)，接著再建置「主機(jī)端」入侵偵測系統(tǒng)。

分段建置部署入侵偵測系統(tǒng)
在每一個(gè)大型的企業(yè)系統(tǒng)安全架構(gòu)上建置入侵偵測系統(tǒng)是一項(xiàng)必要的措施。然而以目前市面上所提供的入侵偵測系統(tǒng)的各項(xiàng)瓶頸，例如：對于安全技術(shù)相當(dāng)有限的系統(tǒng)管理人才來說，仔細(xì)詳盡的入侵偵測系統(tǒng)規(guī)劃、先期的準(zhǔn)備工作、系統(tǒng)評估與測試，以及專業(yè)的訓(xùn)練，對建置一個(gè)有效的入侵偵測系統(tǒng)都將是一大考驗(yàn)。有鑒于此，企業(yè)在選擇一個(gè)入侵偵測系統(tǒng)策略及方案前，必須先考慮到建置前的需求分析，是否兼容于其現(xiàn)存的企業(yè)網(wǎng)絡(luò)架構(gòu)？是否符合其企業(yè)內(nèi)部政策？是否有足夠的資源或人力來進(jìn)行建置以及事后的管理維護(hù)？

企業(yè)應(yīng)考慮采用分段式的建置方式，以便能在建置的過程中增加經(jīng)驗(yàn)，并能夠較清楚地確定所需要監(jiān)聽的范圍及所需維護(hù)的資源。每一種入侵偵測系統(tǒng)的建置方式各有不同，而且入侵偵測系統(tǒng)的建置需要大量的先期準(zhǔn)備工作以及持續(xù)性與管理者的互動(dòng)。企業(yè)在建置入侵偵測系統(tǒng)前必需先定義適切的安全政策、計(jì)畫及應(yīng)對程序，這樣當(dāng)入侵偵測系統(tǒng)產(chǎn)生各種不同的警訊時(shí)，相關(guān)的人員才有依據(jù)可以針對不同的警訊做出適當(dāng)?shù)姆磻?yīng)措施。

在此建議企業(yè)用戶考慮以混合「網(wǎng)絡(luò)端」及「主機(jī)端」兩種系統(tǒng)的方式來建置入侵偵測系統(tǒng)以達(dá)到保護(hù)企業(yè)網(wǎng)絡(luò)的最佳效果。第一步先建置「網(wǎng)絡(luò)端」入侵偵測系統(tǒng)，因?yàn)樗鼈儼惭b簡易而且維護(hù)容易，接著在具有特定任務(wù)的重要服務(wù)器（mission-critical server）上建置「主機(jī)端」入侵偵測系統(tǒng)。

建置部署「網(wǎng)絡(luò)端」入侵偵測系統(tǒng)
「網(wǎng)絡(luò)端」入侵偵測系統(tǒng)的部署位置可以有許多不同的方式，不同的位置各司其不同的目的：
位置：建置在每一個(gè)外部防火墻之后。
目的：可以偵測到由外部對內(nèi)部網(wǎng)絡(luò)主要進(jìn)入點(diǎn)而來的攻擊行為、可以對防火墻的政策及效能做評估確認(rèn)，看其是否設(shè)定不當(dāng)。
位置：建置在一個(gè)外部防火墻之前。
目的：可以證明由網(wǎng)際網(wǎng)絡(luò)而來對內(nèi)部網(wǎng)絡(luò)攻擊的頻率、可以證明并記錄由網(wǎng)際網(wǎng)絡(luò)而來對內(nèi)部網(wǎng)絡(luò)攻擊的手法。
位置：建置在主要的網(wǎng)絡(luò)骨干上。
目的：可以偵測在內(nèi)部網(wǎng)絡(luò)中未經(jīng)授權(quán)的網(wǎng)絡(luò)行為，并可監(jiān)聽大量的內(nèi)部網(wǎng)絡(luò)流量。
位置：在重要的內(nèi)部網(wǎng)段上。
目的：可以偵測到對重要資源的攻擊行為。

建置部署「主機(jī)端」入侵偵測系統(tǒng)
當(dāng)企業(yè)在建置「網(wǎng)絡(luò)端」入侵偵測系統(tǒng)之后，再建置「主機(jī)端」入侵偵測系統(tǒng)可以為企業(yè)網(wǎng)絡(luò)安全帶來多一層的保障。但是要在企業(yè)網(wǎng)絡(luò)中的每一臺主機(jī)上建置「主機(jī)端」入侵偵測系統(tǒng)可以說是一項(xiàng)近乎「不可能的任務(wù)」的工作。因此，通常會(huì)建議只在賦予重要任務(wù)（mission-critical）的服務(wù)器上安裝主機(jī)端入侵偵測系統(tǒng)。這樣的建置方式主要可以降低整體的建置成本，并且可讓有限的人力專注在處理重要任務(wù)服務(wù)器上所產(chǎn)生的警訊。一旦建置「主機(jī)端」入侵偵測系統(tǒng)的運(yùn)作及維護(hù)進(jìn)入例行程序，一些對安全較為重視的企業(yè)可以考慮在大部份的服務(wù)器上也開始建置「主機(jī)端」入侵偵測系統(tǒng)。在這樣的情況下，建議考慮選購具有使用簡明特色的中央管理接口（centralised management console）以及完整報(bào)告功能的「主機(jī)端」入侵偵測系統(tǒng)，以簡化建置程序及人力資源。

入侵偵測系統(tǒng)的前景
大約在西元1985年起，入侵偵測系統(tǒng)的研究與發(fā)展一直相當(dāng)活躍且持續(xù)在進(jìn)步中，但是在商業(yè)領(lǐng)域上的廣泛采用卻是到西元1996年才逐漸開始。在過去的幾年之中，商業(yè)產(chǎn)品的入侵偵測系統(tǒng)銷售量一直持續(xù)攀升，分析家預(yù)估銷售市場將會(huì)繼續(xù)擴(kuò)大成長。

部份商業(yè)產(chǎn)品的入侵偵測系統(tǒng)因?yàn)楫a(chǎn)生過多的誤判警訊，為數(shù)頻繁的攻擊報(bào)告，缺乏擴(kuò)展性以及缺乏與企業(yè)管理系統(tǒng)的整合性，因此一直為一般企業(yè)大眾所垢病。雖然如此，但是商業(yè)產(chǎn)品的入侵偵測系統(tǒng)仍然處於快速進(jìn)步發(fā)展的階段中，因此相信在不久的將來，這些缺點(diǎn)將會(huì)一一被提出并得以解決。

入侵偵測系統(tǒng)產(chǎn)品的發(fā)展生態(tài)其實(shí)和防毒程式非常相似∶早期的防毒程式對一般使用者行為產(chǎn)生過多的錯(cuò)誤警訊，而且無法有效地防范所有已知的病毒。但經(jīng)過不斷的技術(shù)上改善與演進(jìn)至目前為止，大部份的使用者已經(jīng)不太會(huì)注意到防毒程式的存在，認(rèn)為它們是一項(xiàng)基本必需的程式，而且有相當(dāng)?shù)男判乃鼘?huì)捕捉到所有已知的病毒。相信入侵偵測系統(tǒng)產(chǎn)品也將會(huì)走到這麼一天。