来源：网络世界 作者：张琳

主动挑战全球化安全威胁

　　在网络信息的世界里，安全不是一种状态，而是一个过程。相应的，它所代表的心态也不是高枕无忧，而是如履薄冰。

　　但是，这并不意味着，我们只能高墙壁垒，殚精竭虑把自己包裹起来。“主动”，就是要在威胁和恐惧中，释放沉静的力量。

　　环境:网络的惆怅与反思

　　失掉的比赛

　　如果仅仅从统计的角度来看，信息安全的未来是悲观的，尽管我们采用了花样翻新的安全产品和解决方案，但我们所面临的安全威胁不是减少，而是大大增加了。

　　根据CERT的统计，1995年全世界只报告了171个安全漏洞。自此之后，每年报告的漏洞数量已经增加了几个数量级，而且预计还将会以指数形式增长。根据赛门铁克新的互联网安全威胁报告，仅2004年下半年新增的漏洞就达到1403个，比前半年增长了 13%。而且，漏洞的危害性也在水涨船高，新近发现的漏洞中，有 97% 的严重程度为中等或较高，在这其中，更有 70% 被认为是易于利用的，换句话说，网络系统的弱点正越来越频繁地暴露在攻击威胁之下。

　　与此同时，我们在和病毒、漏洞等安全威胁所展开的速度竞赛中，也逐渐落入下风。随着网络的快速发展，上述这些漏洞平均被黑客利用的时间仅为6天，但是，发现这个漏洞，再经过测试并给其打上补丁却平均需要45～90天的时间。

　　除了速度和时间上的优势，黑客和病毒在“能力”上也是突飞猛进，新一代的蠕虫病毒出现于2002年，比第一代病毒更为危险，加强了自动化功能，而且由于传播途径的多样化更加难以截获。同时，这些病毒也具备了一定程度的智能特性，Bagle、Mydoom和Netsky 等已经可以扫描硬盘(包括硬盘中的文件和文档)来搜索邮件地址和SMTP客户端并传播病毒副本。它们成功地绕过安全措施防线，因为病毒已被加密打包成可执行文件，并具备终止安全软件运行的功能。这些蠕虫病毒还可以包括在代码中集成的或从恶意网络服务器上下载的黑客后门组件中，可执行拒绝访问攻击，有时也会利用软件漏洞自动执行。

　　还有一个值得注意的现象就是，由于网络的发展使得带宽大大增加，不少用户更是24小时在线，这使得一些本已在 90 年代末销声匿迹的古老攻击方式，(例如 land ，其使用类似的源向目标 IP 地址和端口发送 UDP 信息包)，现在又卷土重来。实际上，他们之所以死灰复燃，就是因为计算机并行处理能力和带宽迅速增加带来的“副作用”。这种“过时的”拒绝服务攻击，在很多情况下却显得“非常有效”，让黑客屡屡得手。

　　不归路

　　总结来看，目前网络安全不断受挫的根源有以下两点。

　　首先是病毒发作或漏洞发布到实施攻击的时间窗越来越短。红色代码在24小时内感染了超过30万台主机；Blaster在4小时内破坏了将近15万台计算机；Sasser蠕虫在48小时内感染了多达130万台PC；Slammer病毒更在10分钟内传遍了整个世界。当我们和这些安全威胁进行打补丁或升级特征库的竞赛时，早已变得力不从心，实时保护更是无从谈起。

　　其二，就是我们都已经熟悉的木桶理论，由各种安全产品和方案堆积起来的安全系统，难免百密一疏，而只要一点漏洞，就可能导致全盘崩溃，这正是我们防范的难点，因为攻击的手段和所涉及的技术太过庞杂，比如对SYN 洪水有效的防护措施，对于防护会话攻击来说却无能为力，了解到这一点的攻击者即使没有先进的“武器”，但只要混合多种攻击手段，在一种攻击无效时，迅速采用其他手段，往往就可以达到目的。

　　上述原因的综合作用，带来了一个残酷的现实，那就是，虽然90%的企业机构已经采用了防火墙和防病毒解决方案，但仍有超过一半会受到安全漏洞的影响;尽管对信息安全忧心忡忡的企业已经在该领域投入了数十亿美元，但企业每天受到攻击的次数却以每半年30%的速度增长。

　　显然，如果按原有的方式进行下去，这注定是一场无法赢得的战争，也是一条不归路，现在的我们，需要的不是更多的技术，而是一种新的网络安全思路，这就是“主动安全”。

　　应变:从技术到服务

　　源头入手

　　主动安全的实现，首先一点就是打破原有的“堡垒式”防御，很显然，这是一种过时的防护概念，它不仅使我们在被动的封锁中，只能跟在攻击者的后面，完全丧失了斗争的先机，也使得不同厂商、不同产品所建立的“安全堡垒”的沟通，成为整体系统安全的薄弱环节。

　　要实现主动式的安全，很重要的一点，就是建立一个灵活智能，可以信赖的网络环境。那么，这种网络环境需要达到什么样的要求呢?简单来说，如果一个网络中的行为和行为的结果总是可以预知与可控的，那么这个网络就是安全并且可以信赖的。

　　当然，在现有的技术条件下，要在短期内实现这一目标是不现实的，但是这并不重要，重要的是，这已经为我们给出了一条新的安全思路，我们可以在这一原则之下，更灵活地掌握和控制。

　　说到底，用户最关心的并不是一个完美的，无懈可击的网络，而是如何保证网络所承载业务的正常、安全、可靠地运行。

　　所以，虽然我们面对的信息网络具有各种各样的安全缺陷，只要我们通过适合灵活的安全策略，保证用户业务活动和业务数据的安全，并确保用户业务应用的可用性，那么承载用户业务的这个网络对于该用户来说就是符合要求的安全网络。要实现这一点，不可绕过的一步，就是目前非常火热的网络准入控制技术。

　　撇开复杂的商业利益争夺，各厂商推出的网络准入控制技术虽然称呼各有差异，但核心是基本相同的，具体来讲，该技术的目的，就是在网络节点接入安全网络时，需要对待接入的系统安全状况以及操作该节点系统用户的身份进行充分的评估、认证，以确定该系统是否符合网络的内部安全策略，来决定该网络节点系统是否接入到安全网络中，还是拒绝接入或安全升级后接入。显然，网络准入的机制不仅实现了安全网络“主动”的动态扩展，而且能够有效降低不可信终端系统接入网络所带来的潜在安全风险。

　　网络准入控制是实现主动安全的代表性技术之一，相关的技术产品还有很多，我们在后面的文章里会有更详细的介绍。不过，从市场的角度来看，这些技术更多应该是安全厂商关心的话题，而对于广大用户来说，他们更希望以简单直接的方式获得安全，而这非服务莫属。

　　速溶的“安全冲剂”

　　一些安全界的专家曾经断言过，“在五年后，市场上将不会再有独立的安全产品。相反，安全功能将会被直接嵌入到网络中。真正全面的、自适应的端到端安全将通过‘虚拟安全’实现。”

　　这种预言即使不是完全准确，但也代表了一种不可回避的趋势，那就是，有形的安全产品的意义越来越被淡化，用户需要的是一个已经“安全化”的网络，以及保证网络继续“安全下去”的专业服务。这也是未来安全产业最有潜力的市场。

　　有统计预测，近两年来中国信息安全软件和其他相关产品的销售额，约190亿元，比2003年增长了近30%;中国目前有1400万家中小企业，有信息安全需求的占到40%~50%。

　　而进一步的调查更现实，这些需求正在不断的整合、改变。其指导思想，就是从寻求合适的产品到寻求可靠的保障。

　　具体看来，企业的安全建设从“被动防御”向“主动防御”过渡，即企业从发现问题后再修补的“产品叠加型”防御方式向“以风险管理”为核心的主动防御过渡;安全产品从“孤立的产品形式”向“集中管理”过渡。同时经过几年的安全产品的使用，当用户面对更加复杂的网络安全威胁时，已经认识到“仅有安全产品是不够的”。专业化的安全服务正在成为网络安全的重要内容，是否具有专业化的服务能力已经成为考核厂商实力的一条关键性标准。

　　从去年开始，针对企业级市场的服务之争已初现端倪，更多的厂商把投入重点转到服务上来。对于安全行业来说，基本的服务是保证快速解决用户问题。比如安全厂商大多数采取建立呼叫中心向用户提供服务响应，及时的升级也是必须的服务。在保证这些基本服务前提之下，用户服务需要进一步提升，例如有的企业用户在购买信息安全产品时，不能正确分析自身需求，面对众多安全产品往往出现不知如何选择。这种情况越来越多，厂商们已经开始把竞争的焦点转向对于企业的个性化服务上，帮用户分析自身需求，制订合适的安全策略，甚至让企业用户通过免费试用，来体验解决方案的安全性和可靠性。

　　其实，从本质上来讲，安全产业就是一个服务型产业，这也是“主动”安全从技术辐射到市场层面的必然结果。

　　最后，基于安全界“三分方案、七分管理”的缄言，我们还要关注一下“主动”在安全管理上的实现。


　管理:主动挑战自我

　　攘外先安内

　　人们常说“内忧外患”，对信息安全的威胁也是如此。

　　在主动思路下的管理中，“由内而外”，是一个合理而且正确的思考方式。企业内部人员对信息安全从来并且可能永远都是最大的威胁。由于内部人员比任何外人都更了解企业的网络。如果有人心怀不满，可以很容易把公司的重要商业信息带走，或者把它泄露出去，对企业造成损害。

　　在惯性思维的引导下，通常企业都比较信任内部的员工，差不多两年前，多数的安全设备根本不对企业网络内部的情况进行监视。企业内部的每一个人都得到了充分的信任，可以在网络中随意游走，毫无限制。目前，越来越多的企业意识到了这类威胁，大多数网络安全设备也开始同时监视企业内部和外部的情况，并且对那些可疑的活动类型进行阻止或提出警告。但是，对企业而言，内部的威胁仍然是不可轻视的最大安全隐患。

　　而且，随着信息化发展的进程，网络信息系统和企业的核心业务关联性越来越大，信息的商业价值也水涨船高。这使得越来越多别有用心的人铤而走险，而通过企业的内部获取机密信息，往往是一条最佳“捷径”。

　　IDC报告表明，70%的安全损失是由企业内部原因造成的，另一个为众多安全厂商经常引用的数据来自FBI和CSI，该数据称，超过85%的安全威胁来自企业内部，威胁源头包括内部未授权的存取、专利信息被窃取、内部人员的财务欺骗等。当然更有说服力的，还是国内外一些活生生的例子，包括很多全球知名企业的泄密案等，其损失之巨大，更是足以让后来者引以为戒。

　　虽然我们非常清楚地知道企业内部人员的危险程度有多高，但是，内部人员的犯罪活动是无法预测的。谁都不可能知道哪些员工会在什么时间干出伤害公司利益的事情，人性本身的变化是最难控制与防范的。因此，“主动安全”更多的就是要我们主动出击，防患于未然。

　　比如，针对移动存储设备、外设端口、网络行为三个内部数据泄密的主要途径进行有效管理。对于各类目前已经广泛使用的移动存储设备(如:移动硬盘、闪盘、SD/CF/等)，通过网络安全管理系统对其进行“身份认证”，只有通过认证的移动存储设备才可以在网络内使用，并可以将数据以加密形式存于移动存储设备当中，确保企业实现关键数据的安全。

　　此外，还可以对内部网络所有计算机上的重要信息的存储和传输实施访问控制、数据保护和日志记录，提供完善的集中管理控制机制、有效的安全策略生命周期管理方法和细致清晰的审计分析报告，从而能够有效地防止内部网络重要信息通过各种途径被非法泄漏和破坏。

　　在制度管理方面，防范来自企业内部的安全威胁，首先要建立规范的信息化管理系统，并且具备基本的安全保障系统，比如企业总部与分支机构的网络互联一定要使用VPN;二是要有安全管理制度体系，并且制度能够有效地执行;三是，企业领导对信息安全问题的高度重视。在上述三点中，最难的在于如何有效地制定并执行安全管理制度体系，这涉及到企业的管理风格，业务模式与对信息安全的重视依赖程度，也是最难把握的一个环节。

　　怀疑一切

　　网络安全管理的另一个主要挑战是安全问题的范围、其所涉及的复杂技术和如何建立有效的流程来解决它。

　　针对网络安全采用的方法基于一个简单而强有力的准则:除了被明确地授权允许的访问以外，其它的一切将被自动地拒绝。因此，每一个被授权允许的访问的风险是被仔细评估过的，因而不应该有什么未知的风险。

　　“默认拒绝”意味着设计一套经过深思熟虑的安全策略，并且必须实施集中化的管理;否则这一过程将耗时持久、错误百出、甚至有可能起反作用，特别是在大型网络上，因为庞大的设备数和用户数使严密的安全策略控制变得完全不可行。它同时要求一个基于策略的方案，以建立一套可以在整个网络上主动实施并控制的规则。

　　为了达到预期的效果，IP网络安全策略必须被仔细地、彻底地实施在网络内所有的安全设备上。对于大型网络来说，尤其是在涉及多个厂商的情况下，安全规则的生成和维护是个异常繁琐并且容易出错的过程。随着时间的推移，数以千计的安全规则和数以百计的设备的维护成为一个沉重的负担，并且大大加大了管理员人工错误的可能。其它诸如集群设置、支持虚拟系统的防火墙等，都会进一步给管理带来新的复杂性。

　　解决这些问题需要自动化，并且摒弃逐台管理设备的方式。安全设备、路由器和交换机有自己的过滤器语言;如果人工地设置，每一条指令都需要具体某个设备的专家才能完成。此外，设计过滤规则是一个单调乏味并且容易出错的过程，需要持续的评估规则的影响级别。当规则超过了数百条，出现错误的危险大大增加。

　　主动的安全管理，首先要评估最重要的安全风险，比如哪些安全活动针对哪些核心业务系统?危害程度的高低?以此明确重点防护的方向。再有就是要建立基于策略的安全管理，不同于端到端的设备管理所采用的在网络上逐一配置的方式以获得适当的安全保护度，基于策略的管理通过在网络元素之间建立规则和关系的方式更接近于商业的需要和操作。

　　总之，高效的安全管理系统通过对网络中各种资源以及网络中的行为的监管与关联分析;能够帮助用户从全局角度对网络安全状况进行分析、评估与管理，以获得全局网络安全视图;并能够通过制定安全策略指导或自动完成安全设施的重新部署或响应，来对网络中的异常行为进行控制或对网络中的安全风险进行主动的消减。

　　记者手记　什么是“主动”的真义

　　当安全被当作一个整体而重新认识的时候，更多的问题也随之浮出水面，从病毒蠕虫、漏洞扫描、网络钓鱼、内容过滤一直到身份认证，越来越多的安全威胁被发现潜伏在我们的周围，不同的安全问题需要用户了解不同的技术、购买不同的产品，而这一切又是一个“有机整体”，任何一点的疏忽和薄弱都可能导致整个防护系统的崩溃。

　　复杂所带来的管理和维护上的困扰只是一个方面，更重要的是，它和安全本身，已经成为一对事实上的矛盾。

　　过去，我们一直为网络性能和应用的飞速发展雀跃，然而现在，每一次速度的提升和每一种新应用的诞生，都会带来新的安全问题，比如高流量下的安全内容过滤，再如p2p、即时消息、RSS的红火应用，无一不闪现着安全的阴影。

　　这是一个无法剥离的矛盾共同体:网络的日趋复杂与越来越高的安全要求就是矛盾的两个方面。网络性能越高，越复杂，它的安全性就越差。从某种角度来看，这就像发生交通事故的风险一样。当交通工具越来越快，越来越先进时，一旦发生事故，造成的安全伤害也越大。两个行走的人撞到一起不会有太大的问题，如果是两辆行驶的汽车，就会是一场事故，如果是飞机，那就是一场灾难。

　　但是，正如我们不会因为安全隐患拒绝汽车和飞机一样，我们也不可能阻挡或压制网络的发展与应用，相反，我们会在满足安全的前提下，尽可能的促进和发展它。当然，这需要我们用智慧随时寻找最佳的平衡点，而这种平衡本身就蕴含了我们所追求的“沉静的力量”。

　　“网络”和“安全”正陷入前所未有的困境之中，面对这样的困境，我们的企业不应该忙于算计要雇佣多少安全专业人员、花费多少投资来构筑自己的铜墙铁壁，厂商也不能忙于盘算可以兜售多少安全产品、占据多大的市场份额。而是要从市场、技术、应用等多个层面出发，释放“主动安全”的能量。

　　市场的主动，可以让企业对安全问题有更强的针对性，与其他企业有更紧密的合作，从而创造更安全的产业环境。

　　技术产品的主动，如自防御网络、自动化的补丁管理、病毒主动防御、入侵防御可以在很大程度上，抵御随时出现的安全威胁。

　　应用的主动让我们以应用为中心，通过应用带动安全的发展，把安全从盲目的“深院高墙”概念落实到维护实际的生产力。而所有这一切，不仅表达了“主动”对于安全的真正含义，也由此为我们带来了一个真正无忧的网络应用空间。