漏报与误报：在Risk与Benefit之间做Load-balance

　　两周之前，记者曾发表了一篇关于IPS的技术特写，其中对于当前安全设备的漏报与误报，做了一些分析。不想一石激起千层浪，多日来小编的信箱快被发爆了，有认可的、有拍砖的、还有要拉出去“单练”的。在此，笔者希望能够借道评论栏目，倾吐一下自己的感受。（类似邮件恕不能一一回复）

　　第一句话：漏报与误报是永远存在且不可避免的。

　　因为当前的这些安全设备，无论是防火墙、IDS还是IPS，只要是基于特征匹配的原理，都会出现误报与漏报的问题。因此笔者不接受有些读者说的，可以忽略不计的说法。因为不论是NSS还是网络世界评测实验室，目前的第三方评测机构皆无法提供证据。记者也希望广大读者应该理解，误报漏报的存在是客观的，但不一定意味着致命缺陷！

　　第二句话：接受漏还是接受误？请平衡考虑。

　　既然明确了漏报与误报的客观存在，那么用户自身必须有一个平衡考虑。这并不是危言耸听，国内读者可以访问一下国外或者港台地区的安全类BBS，上面对于平衡的考虑五花八门。粗略意见是：对于IDS设备，可以多误少漏。毕竟是off line设备，误报多仅仅是烦，但错不致死；对于IPS设备，可以多漏少误，因为on line设备一旦采取行动无法挽回，还是宽大些好。

　　第三句话：Load-balance也要讨巧。

　　用户担心安全设备出事故，但前提是自己要知道自身应用的细节。请读者考虑个案例：如果某用户的系统中仅仅采用了Oracle的数据库，那么是否可以把安全设备中的针对SQL攻击的过滤器关掉？因为即便公司某个内贼出于某些意图，自己编写了一个SQL攻击程序，是不是也不会带来损失？相应的，通过减少安全设备的特征匹配数量，恰恰是降低误报率，提高性能的捷径。像这样的细节，非常的多，读者都了解么？

　　第四句话：误信浮夸，自己明白。

　　不多说，再举个例子：各家安全设备厂商都宣称自己支持IPS/IDS欺诈攻击。那么到底是仅仅停留在IP层面，还是TCP层面也覆盖？同样，反欺诈打开后的性能下降有多少，是否成为“可远观而不可亵玩”，请读者自己留个心眼。

　　啰里啰唆一大篇，目的只有一个：希望国内用户能够关心安全、用好安全设备、实现安全保障。（当然还要关心《网络世界》安全版啦……一点点私心）最后，还有哪位要灌水的，请网站拍砖。