“主動(dòng)防御”從提出到現(xiàn)在已有四年光景。目前在技術(shù)上已得到廣泛認(rèn)可，其陣營也幾乎包含了大部分網(wǎng)絡(luò)安全廠商。現(xiàn)在如果哪家安全廠商不提“主動(dòng)防御”，似乎就等于告訴人們自己已經(jīng)落伍。而對于普通計(jì)算機(jī)用戶來說，對“主動(dòng)防御”最直觀的感受來自于反病毒軟件。在思科組織NAC(網(wǎng)絡(luò)準(zhǔn)入控制)聯(lián)盟后，并沒有借“主動(dòng)防御”這個(gè)概念來炒作自己的產(chǎn)品，倒是防病毒軟件廠商因?yàn)檫@概念似乎感到終于可以跑到病毒前面了，大肆渲染主動(dòng)防御如何了得，宣稱已經(jīng)打破了殺毒總是滯后于病毒的狀況，可以未雨綢繆地阻擋未知病毒的威脅，已經(jīng)擺脫了病毒碼的束縛。

但是也有用戶指出，現(xiàn)在反病毒廠商所推出的最新版殺毒軟件只是主動(dòng)防御技術(shù)的初級應(yīng)用，和真正意義上的主動(dòng)防御還有一定的距離。一些網(wǎng)絡(luò)安全專家也表示，主動(dòng)防御不能滿足于現(xiàn)狀，也不應(yīng)該被簡單地認(rèn)為只是一種網(wǎng)絡(luò)安全防范技術(shù)，而是應(yīng)該從整體安全系統(tǒng)建設(shè)的角度出發(fā)，讓整個(gè)網(wǎng)絡(luò)都具備主動(dòng)應(yīng)對威脅的能力。

主動(dòng)防御技術(shù)缺乏成熟標(biāo)準(zhǔn)

主動(dòng)防御作為一種概念被提出來以后，在技術(shù)實(shí)現(xiàn)上沒有固定的標(biāo)準(zhǔn)，產(chǎn)品間缺乏相互開放的端口，這在很大程度上阻礙了主動(dòng)防御的發(fā)展，而最終僅歸于加強(qiáng)了個(gè)體安全產(chǎn)品性能這個(gè)狹隘的范疇。

“主動(dòng)防御”是什么？這個(gè)問題爭論了幾年時(shí)間，到現(xiàn)在也沒有形成統(tǒng)一、確切的定義，更談不上有什么標(biāo)準(zhǔn)可言。最淺顯的看法是，只要能“防范未知病毒”就是做到了主動(dòng)防御。如果稍微領(lǐng)先一點(diǎn)，則會(huì)認(rèn)為“能智能地判斷網(wǎng)絡(luò)操作的行為，采取相應(yīng)的措施”就是主動(dòng)防御。這樣看待主動(dòng)防御的人不在少數(shù)。

眾所周知，只靠技術(shù)是無法保障網(wǎng)絡(luò)安全的，所謂“三分技術(shù)，七分管理”也正是對網(wǎng)絡(luò)安全最好的詮釋。所以談主動(dòng)防御，只談其技術(shù)還是遠(yuǎn)遠(yuǎn)不夠的。技術(shù)固然是一種新應(yīng)用的核心部分，但是只依賴技術(shù)的應(yīng)用往往缺乏生命力。主動(dòng)防御也是如此，如果只是在技術(shù)層面談?wù)撝鲃?dòng)防御，那么主動(dòng)防御的發(fā)展可能也就止步于今年了。因此，在技術(shù)之上我們更應(yīng)該關(guān)注一下主動(dòng)防御的標(biāo)準(zhǔn)化問題。

主動(dòng)防御技術(shù)在一個(gè)完善的安全體系標(biāo)準(zhǔn)環(huán)境下才具有實(shí)際意義。我們可以發(fā)現(xiàn)，現(xiàn)在的網(wǎng)絡(luò)病毒威脅傳播速度快、隱蔽性強(qiáng)、殺傷力大，要么竊取機(jī)密信息，要么盜用信用卡賬號，都帶有明顯的經(jīng)濟(jì)利益目的。除此以外，諸如垃圾郵件、間諜軟件、網(wǎng)絡(luò)釣魚等各種網(wǎng)絡(luò)威脅也是接踵而至，甚至是利用社會(huì)工程學(xué)手段，直接利用人們的心理狀態(tài)進(jìn)行非法活動(dòng)。在這種網(wǎng)絡(luò)環(huán)境下，目前防病毒軟件所用的主動(dòng)防御技術(shù)或者模塊并不能完全應(yīng)對，其借主動(dòng)防御所突出的安全性也只是相對而言。

其實(shí)企業(yè)也好，個(gè)人用戶也罷，只做好某一層面的安全防范并不夠，現(xiàn)在需要的是立體的安全防御體系，而不是某些安全產(chǎn)品。打個(gè)比方，如果一間房子大門很安全，防盜鎖、電子眼、監(jiān)控設(shè)備一應(yīng)俱全，能做到阻擋一切從大門而來的入侵，但是這間房子有個(gè)窗戶，而且僅僅是虛掩上的，于是不法分子翻窗而入，直接進(jìn)入房間內(nèi)部行竊，在這種情況下，大門的安全效果大打折扣。所以說到這里，無非是想要告訴大家一個(gè)道理，主動(dòng)防御技術(shù)雖然是核心，但是需要標(biāo)準(zhǔn)、策略，甚至“人”來驅(qū)動(dòng)。思科公司網(wǎng)絡(luò)安全專家盧佐華女士在接受《中國電子報(bào)》記者采訪時(shí)也有頗多感受，“實(shí)現(xiàn)主動(dòng)防御，不僅要突破以往傳統(tǒng)被動(dòng)的安全防御模式，更重要的是要建立一個(gè)可信賴的網(wǎng)絡(luò)安全環(huán)境，強(qiáng)制的安全策略更是其中的關(guān)鍵環(huán)節(jié)。”

易觀國際也在2007年底發(fā)表報(bào)告，提醒企業(yè)用戶“對眾多宣稱具有主動(dòng)防御技術(shù)的安全產(chǎn)品要謹(jǐn)慎對待，主動(dòng)防御技術(shù)尚不能給行業(yè)用戶帶來實(shí)效”。據(jù)易觀國際分析，目前所有的主動(dòng)防御技術(shù)都只是局部的主動(dòng)，市場上并沒有完全具有主動(dòng)防御技術(shù)的產(chǎn)品出現(xiàn)。

主動(dòng)防御標(biāo)準(zhǔn)模型誰來打造

反病毒廠商的產(chǎn)品只是主動(dòng)防御技術(shù)的直接體現(xiàn)，他們無法引領(lǐng)主動(dòng)防御體系的建設(shè)，更難以倡導(dǎo)主動(dòng)防御的標(biāo)準(zhǔn)化，那么誰來做這樣的事更合適呢？是否應(yīng)該由安全服務(wù)提供商、系統(tǒng)集成商，甚至網(wǎng)絡(luò)基礎(chǔ)設(shè)備供應(yīng)商牽頭呢？思科、 等公司都有自己的安全組織，這是否可以作為主動(dòng)防御體系標(biāo)準(zhǔn)的雛形呢？

構(gòu)建主動(dòng)防御體系標(biāo)準(zhǔn)從理念到實(shí)際執(zhí)行，需要從三個(gè)層面來考慮：標(biāo)準(zhǔn)制定、架構(gòu)搭建、運(yùn)行維護(hù)。這個(gè)環(huán)節(jié)看似簡單，但即便是標(biāo)準(zhǔn)制定這個(gè)最初的環(huán)節(jié)，又有多少企業(yè)能完成呢！在標(biāo)準(zhǔn)制定問題上，很多IT巨頭企業(yè)都有很豐富的經(jīng)驗(yàn)，但是落實(shí)到主動(dòng)防御這個(gè)問題上，似乎標(biāo)準(zhǔn)出臺變得頗為棘手。

以思科、Juniper等為代表的網(wǎng)絡(luò)廠商近年來推行了很多新概念。思科的NAC(網(wǎng)絡(luò)準(zhǔn)入控制)和Juniper的UAC(統(tǒng)一準(zhǔn)入控制)，都是由于當(dāng)前企業(yè)網(wǎng)絡(luò)應(yīng)用環(huán)境的日益復(fù)雜，傳統(tǒng)終端安全技術(shù)難以保障用戶網(wǎng)絡(luò)應(yīng)用而推行的基于安全策略的方案，以便持續(xù)、動(dòng)態(tài)、主動(dòng)地維護(hù)網(wǎng)絡(luò)安全。NAC和UAC陣營中包含了不少安全廠商，或者是關(guān)注安全領(lǐng)域的系統(tǒng)商。這些廠商從最前端的反病毒到最后端的網(wǎng)絡(luò)底層都有涉及。所以，如果主動(dòng)防御標(biāo)準(zhǔn)由思科或者Juniper來推行，顯然要容易很多。不過二者分屬于不同陣營，似乎誰向誰都難以妥協(xié)。

微軟也一直對主動(dòng)防御十分關(guān)注，雖然微軟目前在主動(dòng)性安全產(chǎn)品上還不盡如人意，但是以微軟的地位來說，出面牽頭推行主動(dòng)防御標(biāo)準(zhǔn)似乎也順理成章，畢竟微軟在標(biāo)準(zhǔn)問題上一直頗有辦法。目前微軟也聯(lián)合了部分主流網(wǎng)絡(luò)安全解決方案提供商組成聯(lián)盟，共同探討主動(dòng)防御的標(biāo)準(zhǔn)模型，像趨勢科技、飛塔、邁克菲等都是其中的成員。

再看IBM，由于能提供從咨詢、設(shè)計(jì)、實(shí)施到運(yùn)維的端到端安全服務(wù)，IBM一直倡導(dǎo)幫企業(yè)“變被動(dòng)為主動(dòng)”。IBM確實(shí)也在這樣做，并從業(yè)務(wù)策略和整體系統(tǒng)上考慮了企業(yè)的安全架構(gòu)。IBM完成“主動(dòng)防御”的想法是靠兩個(gè)方面來推動(dòng)的，一是收購、一是轉(zhuǎn)型。收購方面，IBM將企業(yè)安全服務(wù)領(lǐng)域的主流公司ISS收至麾下；轉(zhuǎn)型方面，IBM提出“服務(wù)產(chǎn)品化”，并推出了“企業(yè)IT安全服務(wù)”的產(chǎn)品線。這原本是ISS的主動(dòng)防御集成安全平臺安全解決方案，IBM收購后完善了自身的企業(yè)IT安全服務(wù)能力，從而在預(yù)防性安全防護(hù)體系方面離“主動(dòng)防御”越來越近。

以上無論是陣營也好、聯(lián)盟也罷，似乎都形成了各自的技術(shù)群體，這無論對哪個(gè)領(lǐng)域的標(biāo)準(zhǔn)化問題而言，都是十分頭疼的事。未來，在SOA(面向服務(wù)的體系結(jié)構(gòu))環(huán)境下，主動(dòng)防御的標(biāo)準(zhǔn)化是否可以推出，記者還是持樂觀態(tài)度的。畢竟，SOA是大勢所趨，也得到了普遍認(rèn)可，而且沒有獨(dú)立陣營存在，在這種情況下，主動(dòng)防御標(biāo)準(zhǔn)化過程將不再存在妥協(xié)問題。

相關(guān)鏈接

主動(dòng)防御的部分典型應(yīng)用

既然易觀國際2007年底的報(bào)告稱“主動(dòng)防御技術(shù)尚不能給行業(yè)用戶帶來實(shí)效，主動(dòng)防御技術(shù)都只是局部的主動(dòng)，市場上并沒有完全具有主動(dòng)防御技術(shù)的產(chǎn)品出現(xiàn)”，那么我們就來看一下主動(dòng)防御技術(shù)在安全市場目前的具體應(yīng)用。

硬件防火墻：防火墻是介于兩個(gè)網(wǎng)絡(luò)之間的設(shè)備，用來控制兩個(gè)網(wǎng)絡(luò)之間的通信。舉個(gè)例子來說明一下防火墻的工作原理，在A網(wǎng)絡(luò)與B網(wǎng)絡(luò)之間安裝一臺防火墻，B網(wǎng)絡(luò)要訪問A網(wǎng)絡(luò)時(shí)，會(huì)根據(jù)防火墻的規(guī)則表使用相應(yīng)的訪問策略，策略包括允許、阻止或報(bào)告。在默認(rèn)的情況下，A網(wǎng)絡(luò)訪問B網(wǎng)絡(luò)是無需遵守任何訪問策略的，也就是說，如果攻擊者在A網(wǎng)絡(luò)中，將會(huì)對A網(wǎng)絡(luò)的安全產(chǎn)生巨大的威脅。通過防火策略，可以有效地阻擋外來的網(wǎng)絡(luò)攻擊和一些病毒的入侵，這就是主動(dòng)防御技術(shù)的最初應(yīng)用。

IDS(入侵檢測系統(tǒng))：IDS是為監(jiān)測內(nèi)網(wǎng)的非法訪問而開發(fā)的設(shè)備，根據(jù)入侵檢測識別庫的規(guī)則，判斷網(wǎng)絡(luò)中是否存在非法的訪問。管理員通過分析這些事件，來對網(wǎng)絡(luò)的安全狀況進(jìn)行評估，再采取對應(yīng)的防護(hù)策略。相對硬件防火墻而言，IDS是基于主動(dòng)防御技術(shù)的更高一級應(yīng)用。

IPS(入侵防護(hù)系統(tǒng))：一般來說，IPS系統(tǒng)都依靠對數(shù)據(jù)包的檢測。IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。與IDS和硬件防火墻相比，IPS更智能，可以通過分析來決定是否允許數(shù)據(jù)包通行，這也是主動(dòng)防御技術(shù)的最典型應(yīng)用。

殺毒軟件：在病毒越來越猖狂，破壞力越來越強(qiáng)大的不利形勢下，過于陳舊的模式讓傳統(tǒng)的殺毒軟件已經(jīng)無法承擔(dān)保護(hù)計(jì)算機(jī)安全的重任。正因?yàn)榇耍瑲⒍拒浖S商才推出了集成了主動(dòng)防御技術(shù)的殺毒軟件，不過他們的主動(dòng)防御技術(shù)只是對網(wǎng)頁、注冊表、惡意腳本增加了監(jiān)測功能而已，只能說是最初級的主動(dòng)防御技術(shù)應(yīng)用，距離真正的主動(dòng)防御還有一定的距離。

總的來說，就安全市場的現(xiàn)狀而言，真正的主動(dòng)防御技術(shù)應(yīng)用范圍還很窄。而在身份認(rèn)證、內(nèi)容過濾等更多安全領(lǐng)域，主動(dòng)防御還沒有形成主流。即便是從產(chǎn)品技術(shù)的應(yīng)用范圍來看，主動(dòng)防御技術(shù)的普及時(shí)代還沒有真正到來。