一、内网安全防护侧重点随不同人员或部门的关注不同而有所不同

    事实上，内网安全也可以看成是计算机网络上的信息安全，凡涉及网络信息的可靠性、保密性、完整性、有效性、可控性和拒绝否认性的理论、技术与管理都属于内网安全的研究范畴，只是不同人员或部门对内网安全关注的侧重点有所不同。

    内网安全研究人员更关注从理论上采用数学方法精确描述安全属性，通过安全模型来解决内网安全问题。

    内网安全工程人员则从实际应用角度出发，对成熟的内网安全解决方案和新型内网安全产品更感兴趣，注重于各种安全防范工具、操作系统防护技术和安全应急处理措施。

    内网安全评估人员较多关注的是内网安全评价标准、内网安全等级划分、内网安全产品测评方法与工具、网络信息采集以及网络攻击技术。

    内网管理或内网安全管理人员通常更关心内网安全管理策略、身份认证、访问控制、入侵检测、内网安全审计、内网安全应急响应和计算机病毒防治等局域网内网安全管理技术，因为他们的主要职责便是配置与维护网络，即在保护授权用户方便快捷地访问网络资源的同时，必须防范非法访问、病毒感染、黑客攻击、服务中断和垃圾邮件等各种威胁，一旦系统遭到破坏，造成数据或文件丢失，能够采取相应的内网安全应急响应措施予以补救。

    对国家安全保密部门来说，必须了解网络信息泄露、网络窃听和上网过滤的各种技术手段，避免涉及国家政治、军事、经济等重要机密信息的无意或有意泄露；抑制和过滤威胁国家安全的反动与邪教等意识形态信息传播，以免给国家的稳定带来不利的影响，甚至危害到国家安全。

    对公共安全部门而言，应当熟悉国家和行业部门颁布的常用内网安全监察法律法规、内网安全取证、内网安全审计、知识产权保护、社会文化安全等技术，一旦发现窃取或破坏商业机密信息、软件盗版、电子出版物侵权、色情与暴力信息传播等各种网络违法犯罪行为，能够取得可信的、完整的、准确的、符合国家法律法规的诉讼证据。

    军事人员则更关心信息对抗、信息加密、安全通信协议、无线网络安全、入侵攻击和网络基础设施，打赢未来信息战争。当然，并非只有这些专业部门、人员需要关注内网安全问题，我们每个人都无法置身度外。当网络为工作、生活和学习带来便捷的同时，我们更加关心如何保护个人隐私和商业信息不被窃取、篡改、破坏和非法存取，确保网络信息保密性、完整性、有效性和拒绝否认性。

二、内网安全管理技术中研究自动入侵响应系统的重要性

    从内网安全管理技术角度看，对于研究自动入侵响应系统的意义主要体现在以下两点。

    ①解决及时响应问题。从IDS检测到入侵到实施入侵响应有一个时间差，我们称这一时间差为响应时间窗口。对于通知类型和半自动类型的入侵响应系统，需要网络管理人员对报警的信息进行手工分析，然后根据具体情况进行响应决策，并实施响应。

    所以其响应时间窗口短则几分钟，长则几个小时甚至几天。而这一时间窗口越长，入侵的成功率越高，入侵所造成的损失越大。因此，缩短从检测到响应的这段时间，对于成功地防止入侵、恢复系统、消除或降低入侵所带来的损失至关重要。在各类入侵响应系统中，自动入侵响应系统的响应速度更快。一旦检测到入侵，只有自动入侵响应系统才可以做到在任何时刻对入侵进行及时处理。

    ②解决正确响应问题。当IDS报警后，网络管理人员常常需要对报警的信息做出进一步的分析，然后根据具体情况，才能做出响应。而这种响应是否合适，能否达到理想的效果，往往取决于网络管理人员能否对报警信息做出分析，并在此基础上综合各方面的情况进行正确的推理、决策，选择合适的响应措施。

    这就要求网络管理人员对网络原理、主机操作系统、网络安全等方面的知识具有较深的了解。所以，当入侵发生的时候，如果没有这样的专家在场，即使检测到入侵，也无法进行及时、有效的响应。自动入侵响应系统中的响应决策机制就是集相关知识于一体的专家系统，它可以自动对报警信息进行分析，然后综合各种实际情况进行推理决策。

    总之，如果入侵检测系统只能检测，不能进行自动化的报警分析、处理，不能正确、及时地响应，即使能够检测到入侵的发生，入侵检测系统也不能发挥真正的作用。

    报警分析、处理技术和入侵响应技术提升了报警的信息质量和信息共享范围，集成了多种网络安全系统，使这些系统之间可以优势互补，充分发挥各自的作用，实现网络的全方位、纵深防御。所以，不论是IDS还是IPS、IMS，报警的自动分析、处理以及自动入侵响应对于发挥系统的安全保护作用都至关重要。