“主動(dòng)防御”從提出到現(xiàn)在已有四年光景。目前在技術(shù)上已得到廣泛認(rèn)可，其陣營(yíng)也幾乎包含了大部分網(wǎng)絡(luò)安全廠商?，F(xiàn)在如果哪家安全廠商不提“主動(dòng)防御”，似乎就等于告訴人們自己已經(jīng)落伍。而對(duì)于普通計(jì)算機(jī)用戶來(lái)說(shuō)，對(duì)“主動(dòng)防御”最直觀的感受來(lái)自于反病毒軟件。在思科組織NAC(網(wǎng)絡(luò)準(zhǔn)入控制)聯(lián)盟后，并沒(méi)有借“主動(dòng)防御”這個(gè)概念來(lái)炒作自己的產(chǎn)品，倒是防病毒軟件廠商因?yàn)檫@概念似乎感到終于可以跑到病毒前面了，大肆渲染主動(dòng)防御如何了得，宣稱已經(jīng)打破了殺毒總是滯后于病毒的狀況，可以未雨綢繆地阻擋未知病毒的威脅，已經(jīng)擺脫了病毒碼的束縛。

但是也有用戶指出，現(xiàn)在反病毒廠商所推出的最新版殺毒軟件只是主動(dòng)防御技術(shù)的初級(jí)應(yīng)用，和真正意義上的主動(dòng)防御還有一定的距離。一些網(wǎng)絡(luò)安全專家也表示，主動(dòng)防御不能滿足于現(xiàn)狀，也不應(yīng)該被簡(jiǎn)單地認(rèn)為只是一種網(wǎng)絡(luò)安全防范技術(shù)，而是應(yīng)該從整體安全系統(tǒng)建設(shè)的角度出發(fā)，讓整個(gè)網(wǎng)絡(luò)都具備主動(dòng)應(yīng)對(duì)威脅的能力。

主動(dòng)防御技術(shù)缺乏成熟標(biāo)準(zhǔn)

主動(dòng)防御作為一種概念被提出來(lái)以后，在技術(shù)實(shí)現(xiàn)上沒(méi)有固定的標(biāo)準(zhǔn)，產(chǎn)品間缺乏相互開(kāi)放的端口，這在很大程度上阻礙了主動(dòng)防御的發(fā)展，而最終僅歸于加強(qiáng)了個(gè)體安全產(chǎn)品性能這個(gè)狹隘的范疇。

“主動(dòng)防御”是什么？這個(gè)問(wèn)題爭(zhēng)論了幾年時(shí)間，到現(xiàn)在也沒(méi)有形成統(tǒng)一、確切的定義，更談不上有什么標(biāo)準(zhǔn)可言。最淺顯的看法是，只要能“防范未知病毒”就是做到了主動(dòng)防御。如果稍微領(lǐng)先一點(diǎn)，則會(huì)認(rèn)為“能智能地判斷網(wǎng)絡(luò)操作的行為，采取相應(yīng)的措施”就是主動(dòng)防御。這樣看待主動(dòng)防御的人不在少數(shù)。

眾所周知，只靠技術(shù)是無(wú)法保障網(wǎng)絡(luò)安全的，所謂“三分技術(shù)，七分管理”也正是對(duì)網(wǎng)絡(luò)安全最好的詮釋。所以談主動(dòng)防御，只談其技術(shù)還是遠(yuǎn)遠(yuǎn)不夠的。技術(shù)固然是一種新應(yīng)用的核心部分，但是只依賴技術(shù)的應(yīng)用往往缺乏生命力。主動(dòng)防御也是如此，如果只是在技術(shù)層面談?wù)撝鲃?dòng)防御，那么主動(dòng)防御的發(fā)展可能也就止步于今年了。因此，在技術(shù)之上我們更應(yīng)該關(guān)注一下主動(dòng)防御的標(biāo)準(zhǔn)化問(wèn)題。

主動(dòng)防御技術(shù)在一個(gè)完善的安全體系標(biāo)準(zhǔn)環(huán)境下才具有實(shí)際意義。我們可以發(fā)現(xiàn)，現(xiàn)在的網(wǎng)絡(luò)病毒威脅傳播速度快、隱蔽性強(qiáng)、殺傷力大，要么竊取機(jī)密信息，要么盜用信用卡賬號(hào)，都帶有明顯的經(jīng)濟(jì)利益目的。除此以外，諸如垃圾郵件、間諜軟件、網(wǎng)絡(luò)釣魚(yú)等各種網(wǎng)絡(luò)威脅也是接踵而至，甚至是利用社會(huì)工程學(xué)手段，直接利用人們的心理狀態(tài)進(jìn)行非法活動(dòng)。在這種網(wǎng)絡(luò)環(huán)境下，目前防病毒軟件所用的主動(dòng)防御技術(shù)或者模塊并不能完全應(yīng)對(duì)，其借主動(dòng)防御所突出的安全性也只是相對(duì)而言。

其實(shí)企業(yè)也好，個(gè)人用戶也罷，只做好某一層面的安全防范并不夠，現(xiàn)在需要的是立體的安全防御體系，而不是某些安全產(chǎn)品。打個(gè)比方，如果一間房子大門很安全，防盜鎖、電子眼、監(jiān)控設(shè)備一應(yīng)俱全，能做到阻擋一切從大門而來(lái)的入侵，但是這間房子有個(gè)窗戶，而且僅僅是虛掩上的，于是不法分子翻窗而入，直接進(jìn)入房間內(nèi)部行竊，在這種情況下，大門的安全效果大打折扣。所以說(shuō)到這里，無(wú)非是想要告訴大家一個(gè)道理，主動(dòng)防御技術(shù)雖然是核心，但是需要標(biāo)準(zhǔn)、策略，甚至“人”來(lái)驅(qū)動(dòng)。思科公司網(wǎng)絡(luò)安全專家盧佐華女士在接受《中國(guó)電子報(bào)》記者采訪時(shí)也有頗多感受，“實(shí)現(xiàn)主動(dòng)防御，不僅要突破以往傳統(tǒng)被動(dòng)的安全防御模式，更重要的是要建立一個(gè)可信賴的網(wǎng)絡(luò)安全環(huán)境，強(qiáng)制的安全策略更是其中的關(guān)鍵環(huán)節(jié)?！?

易觀國(guó)際也在2007年底發(fā)表報(bào)告，提醒企業(yè)用戶“對(duì)眾多宣稱具有主動(dòng)防御技術(shù)的安全產(chǎn)品要謹(jǐn)慎對(duì)待，主動(dòng)防御技術(shù)尚不能給行業(yè)用戶帶來(lái)實(shí)效”。據(jù)易觀國(guó)際分析，目前所有的主動(dòng)防御技術(shù)都只是局部的主動(dòng)，市場(chǎng)上并沒(méi)有完全具有主動(dòng)防御技術(shù)的產(chǎn)品出現(xiàn)。

主動(dòng)防御標(biāo)準(zhǔn)模型誰(shuí)來(lái)打造

反病毒廠商的產(chǎn)品只是主動(dòng)防御技術(shù)的直接體現(xiàn)，他們無(wú)法引領(lǐng)主動(dòng)防御體系的建設(shè)，更難以倡導(dǎo)主動(dòng)防御的標(biāo)準(zhǔn)化，那么誰(shuí)來(lái)做這樣的事更合適呢？是否應(yīng)該由安全服務(wù)提供商、系統(tǒng)集成商，甚至網(wǎng)絡(luò)基礎(chǔ)設(shè)備供應(yīng)商牽頭呢？思科、 等公司都有自己的安全組織，這是否可以作為主動(dòng)防御體系標(biāo)準(zhǔn)的雛形呢？

構(gòu)建主動(dòng)防御體系標(biāo)準(zhǔn)從理念到實(shí)際執(zhí)行，需要從三個(gè)層面來(lái)考慮：標(biāo)準(zhǔn)制定、架構(gòu)搭建、運(yùn)行維護(hù)。這個(gè)環(huán)節(jié)看似簡(jiǎn)單，但即便是標(biāo)準(zhǔn)制定這個(gè)最初的環(huán)節(jié)，又有多少企業(yè)能完成呢！在標(biāo)準(zhǔn)制定問(wèn)題上，很多IT巨頭企業(yè)都有很豐富的經(jīng)驗(yàn)，但是落實(shí)到主動(dòng)防御這個(gè)問(wèn)題上，似乎標(biāo)準(zhǔn)出臺(tái)變得頗為棘手。

以思科、Juniper等為代表的網(wǎng)絡(luò)廠商近年來(lái)推行了很多新概念。思科的NAC(網(wǎng)絡(luò)準(zhǔn)入控制)和Juniper的UAC(統(tǒng)一準(zhǔn)入控制)，都是由于當(dāng)前企業(yè)網(wǎng)絡(luò)應(yīng)用環(huán)境的日益復(fù)雜，傳統(tǒng)終端安全技術(shù)難以保障用戶網(wǎng)絡(luò)應(yīng)用而推行的基于安全策略的方案，以便持續(xù)、動(dòng)態(tài)、主動(dòng)地維護(hù)網(wǎng)絡(luò)安全。NAC和UAC陣營(yíng)中包含了不少安全廠商，或者是關(guān)注安全領(lǐng)域的系統(tǒng)商。這些廠商從最前端的反病毒到最后端的網(wǎng)絡(luò)底層都有涉及。所以，如果主動(dòng)防御標(biāo)準(zhǔn)由思科或者Juniper來(lái)推行，顯然要容易很多。不過(guò)二者分屬于不同陣營(yíng)，似乎誰(shuí)向誰(shuí)都難以妥協(xié)。

微軟也一直對(duì)主動(dòng)防御十分關(guān)注，雖然微軟目前在主動(dòng)性安全產(chǎn)品上還不盡如人意，但是以微軟的地位來(lái)說(shuō)，出面牽頭推行主動(dòng)防御標(biāo)準(zhǔn)似乎也順理成章，畢竟微軟在標(biāo)準(zhǔn)問(wèn)題上一直頗有辦法。目前微軟也聯(lián)合了部分主流網(wǎng)絡(luò)安全解決方案提供商組成聯(lián)盟，共同探討主動(dòng)防御的標(biāo)準(zhǔn)模型，像趨勢(shì)科技、飛塔、邁克菲等都是其中的成員。

再看IBM，由于能提供從咨詢、設(shè)計(jì)、實(shí)施到運(yùn)維的端到端安全服務(wù)，IBM一直倡導(dǎo)幫企業(yè)“變被動(dòng)為主動(dòng)”。IBM確實(shí)也在這樣做，并從業(yè)務(wù)策略和整體系統(tǒng)上考慮了企業(yè)的安全架構(gòu)。IBM完成“主動(dòng)防御”的想法是靠?jī)蓚€(gè)方面來(lái)推動(dòng)的，一是收購(gòu)、一是轉(zhuǎn)型。收購(gòu)方面，IBM將企業(yè)安全服務(wù)領(lǐng)域的主流公司ISS收至麾下；轉(zhuǎn)型方面，IBM提出“服務(wù)產(chǎn)品化”，并推出了“企業(yè)IT安全服務(wù)”的產(chǎn)品線。這原本是ISS的主動(dòng)防御集成安全平臺(tái)安全解決方案，IBM收購(gòu)后完善了自身的企業(yè)IT安全服務(wù)能力，從而在預(yù)防性安全防護(hù)體系方面離“主動(dòng)防御”越來(lái)越近。

以上無(wú)論是陣營(yíng)也好、聯(lián)盟也罷，似乎都形成了各自的技術(shù)群體，這無(wú)論對(duì)哪個(gè)領(lǐng)域的標(biāo)準(zhǔn)化問(wèn)題而言，都是十分頭疼的事。未來(lái)，在SOA(面向服務(wù)的體系結(jié)構(gòu))環(huán)境下，主動(dòng)防御的標(biāo)準(zhǔn)化是否可以推出，記者還是持樂(lè)觀態(tài)度的。畢竟，SOA是大勢(shì)所趨，也得到了普遍認(rèn)可，而且沒(méi)有獨(dú)立陣營(yíng)存在，在這種情況下，主動(dòng)防御標(biāo)準(zhǔn)化過(guò)程將不再存在妥協(xié)問(wèn)題。

相關(guān)鏈接

主動(dòng)防御的部分典型應(yīng)用

既然易觀國(guó)際2007年底的報(bào)告稱“主動(dòng)防御技術(shù)尚不能給行業(yè)用戶帶來(lái)實(shí)效，主動(dòng)防御技術(shù)都只是局部的主動(dòng)，市場(chǎng)上并沒(méi)有完全具有主動(dòng)防御技術(shù)的產(chǎn)品出現(xiàn)”，那么我們就來(lái)看一下主動(dòng)防御技術(shù)在安全市場(chǎng)目前的具體應(yīng)用。

硬件防火墻：防火墻是介于兩個(gè)網(wǎng)絡(luò)之間的設(shè)備，用來(lái)控制兩個(gè)網(wǎng)絡(luò)之間的通信。舉個(gè)例子來(lái)說(shuō)明一下防火墻的工作原理，在A網(wǎng)絡(luò)與B網(wǎng)絡(luò)之間安裝一臺(tái)防火墻，B網(wǎng)絡(luò)要訪問(wèn)A網(wǎng)絡(luò)時(shí)，會(huì)根據(jù)防火墻的規(guī)則表使用相應(yīng)的訪問(wèn)策略，策略包括允許、阻止或報(bào)告。在默認(rèn)的情況下，A網(wǎng)絡(luò)訪問(wèn)B網(wǎng)絡(luò)是無(wú)需遵守任何訪問(wèn)策略的，也就是說(shuō)，如果攻擊者在A網(wǎng)絡(luò)中，將會(huì)對(duì)A網(wǎng)絡(luò)的安全產(chǎn)生巨大的威脅。通過(guò)防火策略，可以有效地阻擋外來(lái)的網(wǎng)絡(luò)攻擊和一些病毒的入侵，這就是主動(dòng)防御技術(shù)的最初應(yīng)用。

IDS(入侵檢測(cè)系統(tǒng))：IDS是為監(jiān)測(cè)內(nèi)網(wǎng)的非法訪問(wèn)而開(kāi)發(fā)的設(shè)備，根據(jù)入侵檢測(cè)識(shí)別庫(kù)的規(guī)則，判斷網(wǎng)絡(luò)中是否存在非法的訪問(wèn)。管理員通過(guò)分析這些事件，來(lái)對(duì)網(wǎng)絡(luò)的安全狀況進(jìn)行評(píng)估，再采取對(duì)應(yīng)的防護(hù)策略。相對(duì)硬件防火墻而言，IDS是基于主動(dòng)防御技術(shù)的更高一級(jí)應(yīng)用。

IPS(入侵防護(hù)系統(tǒng))：一般來(lái)說(shuō)，IPS系統(tǒng)都依靠對(duì)數(shù)據(jù)包的檢測(cè)。IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。與IDS和硬件防火墻相比，IPS更智能，可以通過(guò)分析來(lái)決定是否允許數(shù)據(jù)包通行，這也是主動(dòng)防御技術(shù)的最典型應(yīng)用。

殺毒軟件：在病毒越來(lái)越猖狂，破壞力越來(lái)越強(qiáng)大的不利形勢(shì)下，過(guò)于陳舊的模式讓傳統(tǒng)的殺毒軟件已經(jīng)無(wú)法承擔(dān)保護(hù)計(jì)算機(jī)安全的重任。正因?yàn)榇?，殺毒軟件廠商才推出了集成了主動(dòng)防御技術(shù)的殺毒軟件，不過(guò)他們的主動(dòng)防御技術(shù)只是對(duì)網(wǎng)頁(yè)、注冊(cè)表、惡意腳本增加了監(jiān)測(cè)功能而已，只能說(shuō)是最初級(jí)的主動(dòng)防御技術(shù)應(yīng)用，距離真正的主動(dòng)防御還有一定的距離。

總的來(lái)說(shuō)，就安全市場(chǎng)的現(xiàn)狀而言，真正的主動(dòng)防御技術(shù)應(yīng)用范圍還很窄。而在身份認(rèn)證、內(nèi)容過(guò)濾等更多安全領(lǐng)域，主動(dòng)防御還沒(méi)有形成主流。即便是從產(chǎn)品技術(shù)的應(yīng)用范圍來(lái)看，主動(dòng)防御技術(shù)的普及時(shí)代還沒(méi)有真正到來(lái)。