构建主动防御安全体系要走标准化道路

“主动防御”从提出到现在已有四年光景。目前在技术上已得到广泛认可，其阵营也几乎包含了大部分网络安全厂商。现在如果哪家安全厂商不提“主动防御”，似乎就等于告诉人们自己已经落伍。而对于普通计算机用户来说，对“主动防御”最直观的感受来自于反病毒软件。在思科组织NAC（网络准入控制）联盟后，并没有借“主动防御”这个概念来炒作自己的产品，倒是防病毒软件厂商因为这概念似乎感到终于可以跑到病毒前面了，大肆渲染主动防御如何了得，宣称已经打破了杀毒总是滞后于病毒的状况，可以未雨绸缪地阻挡未知病毒的威胁，已经摆脱了病毒码的束缚。

但是也有用户指出，现在反病毒厂商所推出的最新版杀毒软件只是主动防御技术的初级应用，和真正意义上的主动防御还有一定的距离。一些网络安全专家也表示，主动防御不能满足于现状，也不应该被简单地认为只是一种网络安全防范技术，而是应该从整体安全系统建设的角度出发，让整个网络都具备主动应对威胁的能力。

主动防御技术缺乏成熟标准

主动防御作为一种概念被提出来以后，在技术实现上没有固定的标准，产品间缺乏相互开放的端口，这在很大程度上阻碍了主动防御的发展，而最终仅归于加强了个体安全产品性能这个狭隘的范畴。

“主动防御”是什么？这个问题争论了几年时间，到现在也没有形成统一、确切的定义，更谈不上有什么标准可言。最浅显的看法是，只要能“防范未知病毒”就是做到了主动防御。如果稍微领先一点，则会认为“能智能地判断网络操作的行为，采取相应的措施”就是主动防御。这样看待主动防御的人不在少数。

众所周知，只靠技术是无法保障网络安全的，所谓“三分技术，七分管理”也正是对网络安全最好的诠释。所以谈主动防御，只谈其技术还是远远不够的。技术固然是一种新应用的核心部分，但是只依赖技术的应用往往缺乏生命力。主动防御也是如此，如果只是在技术层面谈论主动防御，那么主动防御的发展可能也就止步于今年了。因此，在技术之上我们更应该关注一下主动防御的标准化问题。

主动防御技术在一个完善的安全体系标准环境下才具有实际意义。我们可以发现，现在的网络病毒威胁传播速度快、隐蔽性强、杀伤力大，要么窃取机密信息，要么盗用信用卡账号，都带有明显的经济利益目的。除此以外，诸如垃圾邮件、间谍软件、网络钓鱼等各种网络威胁也是接踵而至，甚至是利用社会工程学手段，直接利用人们的心理状态进行非法活动。在这种网络环境下，目前防病毒软件所用的主动防御技术或者模块并不能完全应对，其借主动防御所突出的安全性也只是相对而言。

其实企业也好，个人用户也罢，只做好某一层面的安全防范并不够，现在需要的是立体的安全防御体系，而不是某些安全产品。打个比方，如果一间房子大门很安全，防盗锁、电子眼、监控设备一应俱全，能做到阻挡一切从大门而来的入侵，但是这间房子有个窗户，而且仅仅是虚掩上的，于是不法分子翻窗而入，直接进入房间内部行窃，在这种情况下，大门的安全效果大打折扣。所以说到这里，无非是想要告诉大家一个道理，主动防御技术虽然是核心，但是需要标准、策略，甚至“人”来驱动。思科公司网络安全专家卢佐华女士在接受《中国电子报》记者采访时也有颇多感受，“实现主动防御，不仅要突破以往传统被动的安全防御模式，更重要的是要建立一个可信赖的网络安全环境，强制的安全策略更是其中的关键环节。”

易观国际也在2007年底发表报告，提醒企业用户“对众多宣称具有主动防御技术的安全产品要谨慎对待，主动防御技术尚不能给行业用户带来实效”。据易观国际分析，目前所有的主动防御技术都只是局部的主动，市场上并没有完全具有主动防御技术的产品出现。

主动防御标准模型谁来打造

反病毒厂商的产品只是主动防御技术的直接体现，他们无法引领主动防御体系的建设，更难以倡导主动防御的标准化，那么谁来做这样的事更合适呢？是否应该由安全服务提供商、系统集成商，甚至网络基础设备供应商牵头呢？思科、 等公司都有自己的安全组织，这是否可以作为主动防御体系标准的雏形呢？

构建主动防御体系标准从理念到实际执行，需要从三个层面来考虑：标准制定、架构搭建、运行维护。这个环节看似简单，但即便是标准制定这个最初的环节，又有多少企业能完成呢！在标准制定问题上，很多IT巨头企业都有很丰富的经验，但是落实到主动防御这个问题上，似乎标准出台变得颇为棘手。

以思科、Juniper等为代表的网络厂商近年来推行了很多新概念。思科的NAC(网络准入控制)和Juniper的UAC(统一准入控制)，都是由于当前企业网络应用环境的日益复杂，传统终端安全技术难以保障用户网络应用而推行的基于安全策略的方案，以便持续、动态、主动地维护网络安全。NAC和UAC阵营中包含了不少安全厂商，或者是关注安全领域的系统商。这些厂商从最前端的反病毒到最后端的网络底层都有涉及。所以，如果主动防御标准由思科或者Juniper来推行，显然要容易很多。不过二者分属于不同阵营，似乎谁向谁都难以妥协。

微软也一直对主动防御十分关注，虽然微软目前在主动性安全产品上还不尽如人意，但是以微软的地位来说，出面牵头推行主动防御标准似乎也顺理成章，毕竟微软在标准问题上一直颇有办法。目前微软也联合了部分主流网络安全解决方案提供商组成联盟，共同探讨主动防御的标准模型，像趋势科技、飞塔、迈克菲等都是其中的成员。

再看IBM，由于能提供从咨询、设计、实施到运维的端到端安全服务，IBM一直倡导帮企业“变被动为主动”。IBM确实也在这样做，并从业务策略和整体系统上考虑了企业的安全架构。IBM完成“主动防御”的想法是靠两个方面来推动的，一是收购、一是转型。收购方面，IBM将企业安全服务领域的主流公司ISS收至麾下；转型方面，IBM提出“服务产品化”，并推出了“企业IT安全服务”的产品线。这原本是ISS的主动防御集成安全平台安全解决方案，IBM收购后完善了自身的企业IT安全服务能力，从而在预防性安全防护体系方面离“主动防御”越来越近。

以上无论是阵营也好、联盟也罢，似乎都形成了各自的技术群体，这无论对哪个领域的标准化问题而言，都是十分头疼的事。未来，在SOA(面向服务的体系结构)环境下，主动防御的标准化是否可以推出，记者还是持乐观态度的。毕竟，SOA是大势所趋，也得到了普遍认可，而且没有独立阵营存在，在这种情况下，主动防御标准化过程将不再存在妥协问题。

相关链接

主动防御的部分典型应用

既然易观国际2007年底的报告称“主动防御技术尚不能给行业用户带来实效，主动防御技术都只是局部的主动，市场上并没有完全具有主动防御技术的产品出现”，那么我们就来看一下主动防御技术在安全市场目前的具体应用。
硬件防火墙：防火墙是介于两个网络之间的设备，用来控制两个网络之间的通信。举个例子来说明一下防火墙的工作原理，在A网络与B网络之间安装一台防火墙，B网络要访问A网络时，会根据防火墙的规则表使用相应的访问策略，策略包括允许、阻止或报告。在默认的情况下，A网络访问B网络是无需遵守任何访问策略的，也就是说，如果攻击者在A网络中，将会对A网络的安全产生巨大的威胁。通过防火策略，可以有效地阻挡外来的网络攻击和一些病毒的入侵，这就是主动防御技术的最初应用。
IDS(入侵检测系统)：IDS是为监测内网的非法访问而开发的设备，根据入侵检测识别库的规则，判断网络中是否存在非法的访问。管理员通过分析这些事件，来对网络的安全状况进行评估，再采取对应的防护策略。相对硬件防火墙而言，IDS是基于主动防御技术的更高一级应用。
IPS(入侵防护系统)：一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。与IDS和硬件防火墙相比，IPS更智能，可以通过分析来决定是否允许数据包通行，这也是主动防御技术的最典型应用。
杀毒软件：在病毒越来越猖狂，破坏力越来越强大的不利形势下，过于陈旧的模式让传统的杀毒软件已经无法承担保护计算机安全的重任。正因为此，杀毒软件厂商才推出了集成了主动防御技术的杀毒软件，不过他们的主动防御技术只是对网页、注册表、恶意脚本增加了监测功能而已，只能说是最初级的主动防御技术应用，距离真正的主动防御还有一定的距离。
总的来说，就安全市场的现状而言，真正的主动防御技术应用范围还很窄。而在身份认证、内容过滤等更多安全领域，主动防御还没有形成主流。即便是从产品技术的应用范围来看，主动防御技术的普及时代还没有真正到来。