“主動防御”從提出到現(xiàn)在已有四年光景。目前在技術(shù)上已得到廣泛認(rèn)可，其陣營也幾乎包含了大部分網(wǎng)絡(luò)安全廠商。現(xiàn)在如果哪家安全廠商不提“主動防御”，似乎就等于告訴人們自己已經(jīng)落伍。而對于普通計算機用戶來說，對“主動防御”最直觀的感受來自于反病毒軟件。在思科組織NAC(網(wǎng)絡(luò)準(zhǔn)入控制)聯(lián)盟后，并沒有借“主動防御”這個概念來炒作自己的產(chǎn)品，倒是防病毒軟件廠商因為這概念似乎感到終于可以跑到病毒前面了，大肆渲染主動防御如何了得，宣稱已經(jīng)打破了殺毒總是滯后于病毒的狀況，可以未雨綢繆地阻擋未知病毒的威脅，已經(jīng)擺脫了病毒碼的束縛。

但是也有用戶指出，現(xiàn)在反病毒廠商所推出的最新版殺毒軟件只是主動防御技術(shù)的初級應(yīng)用，和真正意義上的主動防御還有一定的距離。一些網(wǎng)絡(luò)安全專家也表示，主動防御不能滿足于現(xiàn)狀，也不應(yīng)該被簡單地認(rèn)為只是一種網(wǎng)絡(luò)安全防范技術(shù)，而是應(yīng)該從整體安全系統(tǒng)建設(shè)的角度出發(fā)，讓整個網(wǎng)絡(luò)都具備主動應(yīng)對威脅的能力。

主動防御技術(shù)缺乏成熟標(biāo)準(zhǔn)

主動防御作為一種概念被提出來以后，在技術(shù)實現(xiàn)上沒有固定的標(biāo)準(zhǔn)，產(chǎn)品間缺乏相互開放的端口，這在很大程度上阻礙了主動防御的發(fā)展，而最終僅歸于加強了個體安全產(chǎn)品性能這個狹隘的范疇。

“主動防御”是什么？這個問題爭論了幾年時間，到現(xiàn)在也沒有形成統(tǒng)一、確切的定義，更談不上有什么標(biāo)準(zhǔn)可言。最淺顯的看法是，只要能“防范未知病毒”就是做到了主動防御。如果稍微領(lǐng)先一點，則會認(rèn)為“能智能地判斷網(wǎng)絡(luò)操作的行為，采取相應(yīng)的措施”就是主動防御。這樣看待主動防御的人不在少數(shù)。

眾所周知，只靠技術(shù)是無法保障網(wǎng)絡(luò)安全的，所謂“三分技術(shù)，七分管理”也正是對網(wǎng)絡(luò)安全最好的詮釋。所以談主動防御，只談其技術(shù)還是遠(yuǎn)遠(yuǎn)不夠的。技術(shù)固然是一種新應(yīng)用的核心部分，但是只依賴技術(shù)的應(yīng)用往往缺乏生命力。主動防御也是如此，如果只是在技術(shù)層面談?wù)撝鲃臃烙敲粗鲃臃烙陌l(fā)展可能也就止步于今年了。因此，在技術(shù)之上我們更應(yīng)該關(guān)注一下主動防御的標(biāo)準(zhǔn)化問題。

主動防御技術(shù)在一個完善的安全體系標(biāo)準(zhǔn)環(huán)境下才具有實際意義。我們可以發(fā)現(xiàn)，現(xiàn)在的網(wǎng)絡(luò)病毒威脅傳播速度快、隱蔽性強、殺傷力大，要么竊取機密信息，要么盜用信用卡賬號，都帶有明顯的經(jīng)濟利益目的。除此以外，諸如垃圾郵件、間諜軟件、網(wǎng)絡(luò)釣魚等各種網(wǎng)絡(luò)威脅也是接踵而至，甚至是利用社會工程學(xué)手段，直接利用人們的心理狀態(tài)進(jìn)行非法活動。在這種網(wǎng)絡(luò)環(huán)境下，目前防病毒軟件所用的主動防御技術(shù)或者模塊并不能完全應(yīng)對，其借主動防御所突出的安全性也只是相對而言。

其實企業(yè)也好，個人用戶也罷，只做好某一層面的安全防范并不夠，現(xiàn)在需要的是立體的安全防御體系，而不是某些安全產(chǎn)品。打個比方，如果一間房子大門很安全，防盜鎖、電子眼、監(jiān)控設(shè)備一應(yīng)俱全，能做到阻擋一切從大門而來的入侵，但是這間房子有個窗戶，而且僅僅是虛掩上的，于是不法分子翻窗而入，直接進(jìn)入房間內(nèi)部行竊，在這種情況下，大門的安全效果大打折扣。所以說到這里，無非是想要告訴大家一個道理，主動防御技術(shù)雖然是核心，但是需要標(biāo)準(zhǔn)、策略，甚至“人”來驅(qū)動。思科公司網(wǎng)絡(luò)安全專家盧佐華女士在接受《中國電子報》記者采訪時也有頗多感受，“實現(xiàn)主動防御，不僅要突破以往傳統(tǒng)被動的安全防御模式，更重要的是要建立一個可信賴的網(wǎng)絡(luò)安全環(huán)境，強制的安全策略更是其中的關(guān)鍵環(huán)節(jié)。”

易觀國際也在2007年底發(fā)表報告，提醒企業(yè)用戶“對眾多宣稱具有主動防御技術(shù)的安全產(chǎn)品要謹(jǐn)慎對待，主動防御技術(shù)尚不能給行業(yè)用戶帶來實效”。據(jù)易觀國際分析，目前所有的主動防御技術(shù)都只是局部的主動，市場上并沒有完全具有主動防御技術(shù)的產(chǎn)品出現(xiàn)。

主動防御標(biāo)準(zhǔn)模型誰來打造

反病毒廠商的產(chǎn)品只是主動防御技術(shù)的直接體現(xiàn)，他們無法引領(lǐng)主動防御體系的建設(shè)，更難以倡導(dǎo)主動防御的標(biāo)準(zhǔn)化，那么誰來做這樣的事更合適呢？是否應(yīng)該由安全服務(wù)提供商、系統(tǒng)集成商，甚至網(wǎng)絡(luò)基礎(chǔ)設(shè)備供應(yīng)商牽頭呢？思科、 等公司都有自己的安全組織，這是否可以作為主動防御體系標(biāo)準(zhǔn)的雛形呢？

構(gòu)建主動防御體系標(biāo)準(zhǔn)從理念到實際執(zhí)行，需要從三個層面來考慮：標(biāo)準(zhǔn)制定、架構(gòu)搭建、運行維護。這個環(huán)節(jié)看似簡單，但即便是標(biāo)準(zhǔn)制定這個最初的環(huán)節(jié)，又有多少企業(yè)能完成呢！在標(biāo)準(zhǔn)制定問題上，很多IT巨頭企業(yè)都有很豐富的經(jīng)驗，但是落實到主動防御這個問題上，似乎標(biāo)準(zhǔn)出臺變得頗為棘手。

以思科、Juniper等為代表的網(wǎng)絡(luò)廠商近年來推行了很多新概念。思科的NAC(網(wǎng)絡(luò)準(zhǔn)入控制)和Juniper的UAC(統(tǒng)一準(zhǔn)入控制)，都是由于當(dāng)前企業(yè)網(wǎng)絡(luò)應(yīng)用環(huán)境的日益復(fù)雜，傳統(tǒng)終端安全技術(shù)難以保障用戶網(wǎng)絡(luò)應(yīng)用而推行的基于安全策略的方案，以便持續(xù)、動態(tài)、主動地維護網(wǎng)絡(luò)安全。NAC和UAC陣營中包含了不少安全廠商，或者是關(guān)注安全領(lǐng)域的系統(tǒng)商。這些廠商從最前端的反病毒到最后端的網(wǎng)絡(luò)底層都有涉及。所以，如果主動防御標(biāo)準(zhǔn)由思科或者Juniper來推行，顯然要容易很多。不過二者分屬于不同陣營，似乎誰向誰都難以妥協(xié)。

微軟也一直對主動防御十分關(guān)注，雖然微軟目前在主動性安全產(chǎn)品上還不盡如人意，但是以微軟的地位來說，出面牽頭推行主動防御標(biāo)準(zhǔn)似乎也順理成章，畢竟微軟在標(biāo)準(zhǔn)問題上一直頗有辦法。目前微軟也聯(lián)合了部分主流網(wǎng)絡(luò)安全解決方案提供商組成聯(lián)盟，共同探討主動防御的標(biāo)準(zhǔn)模型，像趨勢科技、飛塔、邁克菲等都是其中的成員。

再看IBM，由于能提供從咨詢、設(shè)計、實施到運維的端到端安全服務(wù)，IBM一直倡導(dǎo)幫企業(yè)“變被動為主動”。IBM確實也在這樣做，并從業(yè)務(wù)策略和整體系統(tǒng)上考慮了企業(yè)的安全架構(gòu)。IBM完成“主動防御”的想法是靠兩個方面來推動的，一是收購、一是轉(zhuǎn)型。收購方面，IBM將企業(yè)安全服務(wù)領(lǐng)域的主流公司ISS收至麾下；轉(zhuǎn)型方面，IBM提出“服務(wù)產(chǎn)品化”，并推出了“企業(yè)IT安全服務(wù)”的產(chǎn)品線。這原本是ISS的主動防御集成安全平臺安全解決方案，IBM收購后完善了自身的企業(yè)IT安全服務(wù)能力，從而在預(yù)防性安全防護體系方面離“主動防御”越來越近。

以上無論是陣營也好、聯(lián)盟也罷，似乎都形成了各自的技術(shù)群體，這無論對哪個領(lǐng)域的標(biāo)準(zhǔn)化問題而言，都是十分頭疼的事。未來，在SOA(面向服務(wù)的體系結(jié)構(gòu))環(huán)境下，主動防御的標(biāo)準(zhǔn)化是否可以推出，記者還是持樂觀態(tài)度的。畢竟，SOA是大勢所趨，也得到了普遍認(rèn)可，而且沒有獨立陣營存在，在這種情況下，主動防御標(biāo)準(zhǔn)化過程將不再存在妥協(xié)問題。

相關(guān)鏈接

主動防御的部分典型應(yīng)用

既然易觀國際2007年底的報告稱“主動防御技術(shù)尚不能給行業(yè)用戶帶來實效，主動防御技術(shù)都只是局部的主動，市場上并沒有完全具有主動防御技術(shù)的產(chǎn)品出現(xiàn)”，那么我們就來看一下主動防御技術(shù)在安全市場目前的具體應(yīng)用。

硬件防火墻：防火墻是介于兩個網(wǎng)絡(luò)之間的設(shè)備，用來控制兩個網(wǎng)絡(luò)之間的通信。舉個例子來說明一下防火墻的工作原理，在A網(wǎng)絡(luò)與B網(wǎng)絡(luò)之間安裝一臺防火墻，B網(wǎng)絡(luò)要訪問A網(wǎng)絡(luò)時，會根據(jù)防火墻的規(guī)則表使用相應(yīng)的訪問策略，策略包括允許、阻止或報告。在默認(rèn)的情況下，A網(wǎng)絡(luò)訪問B網(wǎng)絡(luò)是無需遵守任何訪問策略的，也就是說，如果攻擊者在A網(wǎng)絡(luò)中，將會對A網(wǎng)絡(luò)的安全產(chǎn)生巨大的威脅。通過防火策略，可以有效地阻擋外來的網(wǎng)絡(luò)攻擊和一些病毒的入侵，這就是主動防御技術(shù)的最初應(yīng)用。

IDS(入侵檢測系統(tǒng))：IDS是為監(jiān)測內(nèi)網(wǎng)的非法訪問而開發(fā)的設(shè)備，根據(jù)入侵檢測識別庫的規(guī)則，判斷網(wǎng)絡(luò)中是否存在非法的訪問。管理員通過分析這些事件，來對網(wǎng)絡(luò)的安全狀況進(jìn)行評估，再采取對應(yīng)的防護策略。相對硬件防火墻而言，IDS是基于主動防御技術(shù)的更高一級應(yīng)用。

IPS(入侵防護系統(tǒng))：一般來說，IPS系統(tǒng)都依靠對數(shù)據(jù)包的檢測。IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。與IDS和硬件防火墻相比，IPS更智能，可以通過分析來決定是否允許數(shù)據(jù)包通行，這也是主動防御技術(shù)的最典型應(yīng)用。

殺毒軟件：在病毒越來越猖狂，破壞力越來越強大的不利形勢下，過于陳舊的模式讓傳統(tǒng)的殺毒軟件已經(jīng)無法承擔(dān)保護計算機安全的重任。正因為此，殺毒軟件廠商才推出了集成了主動防御技術(shù)的殺毒軟件，不過他們的主動防御技術(shù)只是對網(wǎng)頁、注冊表、惡意腳本增加了監(jiān)測功能而已，只能說是最初級的主動防御技術(shù)應(yīng)用，距離真正的主動防御還有一定的距離。

總的來說，就安全市場的現(xiàn)狀而言，真正的主動防御技術(shù)應(yīng)用范圍還很窄。而在身份認(rèn)證、內(nèi)容過濾等更多安全領(lǐng)域，主動防御還沒有形成主流。即便是從產(chǎn)品技術(shù)的應(yīng)用范圍來看，主動防御技術(shù)的普及時代還沒有真正到來。