植入“主动防御”因子

 当黑客冒用华盛顿著名艺术家的eBay帐户，让用户一头雾水、饱受惊吓时；当窃贼在微软毫无觉察的情况下，带着源代码悠然离去时；当越来越多的蠕虫病毒、间谍程序等网络“杀手”以“闪电战”、“迂回战”等多种战术肆虐于网络时……

我们似乎总是显得有些手足无措，病毒的传播速度是如此的惊人——几小时便能传播到全世界，而防病毒补丁却总是姗姗来迟——这有点像警匪大片中的结尾，警察总是要慢上一拍，等好戏结束了再来收拾残局。

这种“被动挨打”的日子越来越不好过了。过去，网管人员只需要每个星期，甚至每个月做一次补丁更新便可高枕无忧。但是今天，网管人员即使每天都在实时的做着更新，可网络还是随时面临着被攻击的威胁。

在这场不可避免的网络安全大战中，是继续亡羊补牢、被动挨打，还是未雨绸缪、主动防御？

面对日益严峻的网络安全，我们该如何抉择？让我们从现在开始，从“主动防御”做起……

为什么是“主动防御”

为什么我们要在网络安全中植入“主动防御”的因子？还是让我们先从为什么“主动防御”会被提上安全日程上说开吧。

“安全问题是我们所处的行业有史以来遇到的最大也是最重要的挑战之一，这不仅仅是一个凭借修补漏洞就可以解决的问题。”今年以来，比尔·盖茨在不同场合下重复着此话。

众所周知，在网络应用日益普及的今天，信息资源已成为现代企业中不可或缺的宝贵资源。而在现有的网络环境下，安全威胁愈演愈烈，“混合型”、“复合型”病毒一浪高过一浪，企业用户面临的安全风险也越来越大，于是大多数用户在边界安装了防火墙、在桌面上安装了防病毒和防间谍软件工具、使用了多层的信息加密技术发送和保存数据，不断更新、升级自己的网络安全系统。不仅如此，微软等各大安全厂商也在不断增强安全工具和补丁程序，但企业仍然无法摆脱病毒、黑客等网络危机的梦魇。

问题到底出在了哪儿？难道厂商、用户做得还不够？其实，主要问题出在我们的劲敌越来越狡猾，采用的技术手段越来越先进、复杂，他们不断在新的思路上升级其破坏性，而网络安全市场的多数产品都是“被动防御”，以“兵来将挡，水来土掩”的策略，防火墙、杀毒、入侵检测“老三样”等片面方式应对病毒、黑客，用户更是对各种杀毒软件的“病毒特征码”库升级形成了依赖，但不幸的是，这种依赖却并不可靠，而且愈来愈形同虚设。试想一下，在这场不断扩大的追捕——分析——升级的安全“缉拿战”中，如果还是在原有的传统安全理念中束手束脚，以不变应万变，那么面对层出不穷的安全威胁，自然是应接不暇，无奈的叹息不绝于耳。与其被动挨打，不如主动出击。就像老练的反扒专家能从熙熙攘攘的人群中看出谁是小偷一样。“主动防御”能从川流不息的网络流量中准确地发现威胁，并在其造成危害之前就将其消灭。

对于几家网络安全厂商来说，“主动防御”可以说是最新最完备的安全理念，更是未来网络安全发展的主导趋势，而对用户来说，则略有疑惑，真有包治百病的“神丹妙药”么？还有人笑称，这不过是“厂商忽悠咱用户的技巧，换个说法推出新品而已，只不过现在是好几个厂商不约而同扎堆儿组团忽悠咱罢了”。到底是怎样呢？

“主动防御”是什么

那么“主动防御”是什么？目前，在安全厂商和网络专家中并没有形成统一、确切的定义，不过，仁者见仁，智者见智。作为全球网络端点保护与安全策略强制市场的领导厂商——Sygate技术公司大中国区副总经理刘伟有着自己独到的见解：一般来讲，对已知病毒的防护是被动的，相对于未知病毒的防护就是“主动”的。这里的“主动防御”并不是指一个单纯的工具型产品或者一项技术，它是一个较为全方位的体系，在这个体系中包含着一系列的主动安全技术、安全管理策略和安全管理的理念，因为仅仅靠技术是无法解决网络安全问题的，所谓“三分技术，七分管理”就在于此。对于厂商来说，就是要将安全技术、策略、理念以及服务整合起来，帮助用户建立或重整一套安全管理的流程，满足用户的安全需求。

要实现“主动防御”，不仅要突破以往传统被动的安全防御模式，改变只能跟在攻击者后面的状况，还要建立一个良好、可以信赖的网络安全环境，其中就必须做好安全策略强制。这好比中国的黄河，泥沙沉积越来越多，水位越来越高，两岸的河堤就要越筑越高，这样下去黄河最终就会成为地上河，问题也始终不会被解决，如果黄河发大水，就可能会出现决堤，造成的危害是不可估量的。但如果我们寻找源头，找到如黄河上游乱砍滥伐、水土流失等原因，进行相应的治理，黄河发大水的问题就会得到解决。

网络安全亦是如此。网络是由什么组成？是由一个个节点组成的，这节点有可能是PC、台式机、工作站、服务器，还可能是网络设备。如果网络受到威胁，出现了网络疫情，受害的可能是交换机、PC、服务器这样的设备，但攻击的源头在哪儿？一定是一台一台的PC，是有人使用了这些PC，它在发起攻击，那么如果能把这些终端进行有效控制，问题也会随之得到解决。黄河里的水犹如网络上的流量，那么它所携带的泥沙就相当于非正常的流量、黑客的攻击、一些恶意的源代码等，就像我们在黄河上游防止水土流失，禁止乱砍滥伐一样，泥沙无法进入黄河，黄河水就会变得清澈，网络也就会变得“干净”起来，自然就会安全。

PC的端点是安全的最后一公里，也是最核心的地方，所以这就需要对网络进行控制，进行策略的强制，从源头入手，把安全做进端点，通过确保网络中每一个“端点”安全措施的完整，来保护整个网络的安全和Web应用的正常。这里的安全策略强制与现在所提的网络准入是一个概念的整合，虽然称呼各有不同，但核心与目的基本相同。即利用策略强制，在网络节点接入安全网络时，需要对接入的系统安全状况及系统用户的身份进行充分的分析、评估、认证，以此确认该系统是否符合网络的内部安全策略，是否达标，最后再决定是否需要给予该网络节点系统的接入权限，还是拒绝接入或是安全升级后再接入。这就相当于我们在分辨“好人”、“坏人”时进行了换位思考，在我们一时无法分辨清楚的时候，可以先把“好人”挑出来，列入“白名单”，剩下那些“坏人”和暂时无法分辨的人列入“黑名单”，进行阻断、分析。如同可信计算一样，确保了所有接入到网络上的端点是可信的。这样网络就不会被滥用，有效降低了潜在的安全风险。（王雪/本文刊于《中国传媒科技》2005.9）

封面故事 　植入“主动防御”因子　

（责任编辑:朱彦荣）