Определение окружения IDS
Во-первых, следует понимать, в каком окружении IDS должна функционировать. Это важно, поскольку если IDS не развернута с учетом информационных источников, которые доступны системе, она может не иметь возможности видеть все, что делается в сети или системе – как атаку, так и нормальную деятельность.
- Технические спецификации окружения систем
Во-первых, следует специфицировать технические характеристики окружения систем. Такая спецификация должна включать топологию сети с учетом количества и расположения хостов, ОС на каждом хосте, количества и типов сетевых устройств, таких как роутеры, мосты, коммутаторы, количества и типов граничных маршрутизаторов и dial-up соединений. Должно быть сделано описание всех серверов, включая типы, конфигурации, прикладное ПО и версии, выполняющиеся на каждом из них. Если работает система управления сетью, то нужно описать ее функционирование.
- Технические спецификации используемой системы безопасности
После того как описаны технические характеристики окружения системы, следует определить возможности системы обеспечения безопасности, которые уже существуют.
Следует специфицировать количество, типы и расположение сетевых firewall’ов, серверов идентификации и аутентификации, устройств шифрования данных и соединений, антивирусные пакеты, ПО управления доступом, специализированную аппаратуру обеспечения безопасности (такую как аппаратный крипто-акселератор для web-серверов), VPNs и любые другие механизмы обеспечения безопасности.
- Цели организации
Некоторые IDS разработаны для обеспечения определенных нужд конкретной индустрии или ниши рынка, например, электронная коммерция, здравоохранение, финансовые рынки. Следует определить соответствие возможностей системы целям организации.
- Возможность формализации окружения системы и принципы управления, используемые в организации
Организационные стили могут сильно отличаться, в зависимости от функций организации и ее традиций. Например, военные или аналогичные организации, которые имеют дело с проблемами национальной безопасности, стремятся функционировать с высокой степенью формализации своей деятельности, особенно в сравнении с университетами или другими академическими средами.
Некоторые IDS предлагают возможности, которые поддерживают создание конфигураций с формально заданными политиками и с возможностями создания расширенных отчетов, детализирующих нарушения политики.