安全轮回 新技术中应用价值

miaocha

长期以来，安全的技术发展始终围绕在产品与方案之间，各种技术的诞生、发展、消亡都贯穿着新老产品的更迭。在早期，这种发展方向并无问题，从某种意义上说，这还促进了技术的进步。
　　但是随着广大企业用户自身的应用水平的不断提高，特别是用户们对于信息化和信息安全理解的不断加深，传统的“技术推动产品，产品拉动应用”的模式已经受到了冲击。用户的需求在变化，传统的单一安全产品越来越不能满足企业的安全防御要求。而各种安全威胁却不断增加，对企业的业务威胁越来越大。

　　在这种情况下，从用户的业务应用出发，将应用和技术进行整合的思路逐渐普及。换句话说，当今的时代是应用的时代，应用需求拉动技术发展将成为日后的主线，而用户的使用与部署也将更加关注整体安全体验。

　　为此，记者特别总结了当前应用拉动技术发展的三个实例，从中展示当今信息安全界的热门成果。有意思的是，当大家把技术与应用的捆绑当做“王道”的时候，也就是安全体验获取的时候。

　　【实例一】Web主动防御

　　自从1990年开始在网络中引入防火墙以来，网络安全解决方案已经定型成为以防火墙为主的方案。这种方案的特点就是：将网络划分成不同安全等级的网段，在网络边界放置防火墙，进行网段隔离和访问控制。即使后来出现了针对应用层威胁的入侵检测技术，也无法动摇防火墙在网络安全方案中的核心地位。

　　通过分析最近两年来的网络安全发展形势，可以看出传统的单一防火墙方案已经无法满足企业用户的应用安全需求了。从安全的发展来看，至少有三点值得反思：

　　第一，大部分的威胁来自网络内部。随着很多企业加速笔记本电脑的普及，移动办公得到了发展，越来越多的计算机终端在企业的内网和外网之间漫游，这样很容易造成网络威胁从外网进入内网，从而在内网进行传播。另外，由于VPN技术的普及，使得企业内网无限扩展，从而变相加大了安全威胁进入内网的机会。

　　第二，基于Web的攻击成为主流。各种蠕虫、病毒、应用层攻击技术频频发作，混合攻击的出现令传统的安全防御变得困难重重。目前来看，大量的混合攻击主要威胁企业的核心服务器和应用，给用户带来了重大损失。一些对网络基础设施进行的DDoS攻击，造成基础设施瘫痪。此外，一些P2P应用，如BT、电驴，以及一些IM应用，如QQ、MSN，对企业的网络带宽提出了挑战。统计表明，这种与业务无关的网络流量对企业网络的核心性能造成了威胁。事实上，此类应用都是基于第七层的，而普通的三、四层防火墙显然无能为力。

　　第三，安全与网络结合。目前，越来越多的病毒和蠕虫是基于网络来传播的，有了网络这个介质，威胁的传播速度大大加快。比如著名的SQL Slammer攻击，10分钟内就感染了全球90%的有漏洞的计算机。不难看出，如果网络对于这些威胁不能识别，不能在其传播扩散的通道上进行阻截，纯粹依靠人工手动的打补丁、升级防病毒软件和在防火墙上设置ACL，根本无法抑制这些蠕虫病毒的大规模泛滥。

　　在这种应用安全的需求之下，基于网络的Web主动防御技术应运而生。其中，入侵防御系统IPS就是这样技术的代表。可以说，IPS的出现就是应用拉动技术发展的一个例证：当前越来越多的企业，其IT部门急需保护应用系统、网络基础设施，并确保应用中的应用安全。

　　从通用的意义上讲，IPS能够阻止蠕虫、木马、病毒、拒绝服务攻击、间谍软件、VoIP攻击以及P2P滥用。通过第七层的流量检测，IPS可以在发生损失之前阻断恶意流量。事实上，由于具有网络架构的保护能力，IPS可以通过全面的数据包检测，从应用层和网络层上进行攻击的拦截。包括保护VoIP系统、路由器、交换机、DNS和其他基础设施，同时防止流量异动。

　　另外，大部分的IPS系统都是工作在在线模式中，即透明地部署到网络当中，对所有流经的流量进行深度分析与检测，实时阻断攻击，同时对正常流量的通过不产生任何影响。

　　不难看出，IPS这种基于Web的主动防御模式，已经重新定义了企业网络安全的理念。从应用安全的效果看，IPS从根本上改变了人们保护企业网络和系统的方式。
　　
　　【实例二】垃圾邮件防御

　　当前垃圾邮件已经成为网络社会的公害，与邮件伴随的各种恶意软件与钓鱼URL攻击层出不穷。作为企业应用中的主要安全隐患，垃圾邮件总体发展趋势是：攻击更隐秘、更复杂、目标更多。

　　具体来看，全球每年垃圾邮件的数量都会比上年翻番增长。根据IDC的统计，全球每天产生的垃圾邮件超过1200亿封。也就是说，地球上每人每天收到20 份垃圾邮件信息。当前的垃圾邮件危险性更大。以往的垃圾邮件攻击的目的主要是为了销售某种产品，而截止到今年一季度，83%以上的垃圾邮件含有URL 链接。伴随着不同恶意软件技术混合的趋势，基于URL 的病毒增长了256%。

　　此外，伴随着垃圾邮件的蔓延，一系列“自我防御僵尸网络”问世。Storm木马病毒是迄今为止观测到的最复杂的僵尸网络病毒。其特性和技术复杂程度都显示，这些程序是由专业工程师开发的。同时，各种病毒不再高调出现。因为病毒编写者已经改变了以往的那种大范围的攻击方式，而病毒形式更加多样化，而且通常与垃圾邮件，以及Feebs、Storm 这样的僵尸网络沆瀣一气。

　　不难看出，2008年已经成为了垃圾邮件的转折点。就在恶意软件设计看起来似乎停滞不前之时，新的攻击技术大量涌现，一些不法专业人士与黑客组织也不断渗透其中。事实上，这些“进展”并不是偶然事件，它们实际上是安全行业自身的产物。

　　用于管理垃圾邮件、病毒和恶意软件的安全控件一度能够有效工作，使大规模、高冲击力的攻击有所减少。但是，这些成就导致了一个不利后果：被它们成功抵挡的威胁被迫改头换面。

　　2008年，许多垃圾邮件、病毒和恶意软件等进行了重大的修改。有分析师表示，垃圾邮件和与其伴随的恶意软件的主要发展趋势仍然是提高复杂度。攻击者依然采用垃圾邮件、恶意软件和数据窃贼等传统的攻击手段。但是，这些攻击却变得更加复杂。

　　越来越多的攻击者放弃了专门设计的单点攻击方法，转而采用可重用平台，周期性、同步地发动动态攻击。垃圾邮件越来越多地被用作进入公司网络的无害网关，并采用社会工程技术使最终用户将恶意软件带入到网络中。与之伴随的是，恶意软件不再使用单步感染。新的攻击分为多个阶段：由设计良好的基础架构提供支持、分发和管理。

　　从应用上分析，垃圾邮件的数量将继续无休止地增长。经济基本面支持这一论断，这对于防垃圾邮件的技术发展也有着重要意义。防垃圾邮件厂商通常以垃圾邮件捕捉率作为衡量标志。但是，最终用户的体验是由邮箱内垃圾邮件的绝对数量决定的。随着垃圾邮件数量的增长，垃圾邮件过滤器必须提高捕捉率。为了完成这一使命需要不断增加投资，这将推动防垃圾邮件行业的整合。

　　此外，混合攻击技术将继续大行其道。这意味着企业安全团队必须通盘考虑自己的安全方法。对电子邮件和Web 数据流进行综合分析并在两者之间共享信息的系统，将优于针对电子邮件和Web 的单一解决方案。综合系统是防范混合攻击的最佳方法。

　　同时，当前越来越多的恶意软件将继续扮演“沉默的杀手”的角色。木马和恶意软件的新变种将更加有针对性，也更加短命。这使得它们更加难以检测到。企业为了确保敏感信息完整性的压力将不断加大。用户的IT安全团队必须采取措施衡量网络中恶意软件的流量，部署包括基于网络的威胁监测和网络访问控制等高级技术的综合系统。
【实例三】上网行为管理
近几年来，随着越来越多的企业用户对互联网应用的逐渐深入与依赖，出现了大量经由内部访问互联网导致的带宽滥用、安全隐患、效率下降、法律风险等问题。在这种情况下，很多企业用户希望可以制定灵活、有效的控制管理策略，提高对互联网访问的控制力度，通过技术手段有效解决因接入互联网而可能引发的问题。

　　正是在这样的一种应用推动之下，上网行为管理技术得到了发展。一般来说，标准的上网行为管理技术至少需要包括六大领域。

　　第一，Web访问过滤。在这方面，最常见的技术是URL过滤。事实上，互联网上的信息非常丰富，企业的管理人员可以通过各种过滤与限制手段来控制网络的访问，包括开展基于业务的访问控制。

　　第二，P2P下载控制。不可否认，各种P2P应用是当前企业网络安全管理中的一大难题。虽然P2P应用具有文件共享的优势，但却常常对网络性能提出挑战。用户目前需要利用上网行为管理技术来规范P2P的使用与带宽控制，这不仅需要对P2P应用的数据流进行监控，而且需要从全局的高度考虑企业核心应用的带宽分配。

　　第三，IM管理。对于流行的IM软件来说，是一个方便、实时的信息沟通渠道。但是IM软件带来的主要问题是工作效率降低和容易造成安全泄密问题。目前，主流用户都希望能够根据需求制定精细化的IM监控策略，在不同时间对不同部门、不同员工实施差异化管理，从而实现使用时间和使用权限的双重管控。

　　第四，流量管理。对于现代企业而言，带宽是否充足，对于关键业务的开展至关重要。在一个企业之中，不同岗位、不同工作对带宽的需求也不尽相同。基于用户、时间段、应用协议的带宽分配策略无疑是有效的。而对各种业务应用的优先级、速率进行设定，也是企业目前考虑的问题。

　　第五，信息监控。当前，通过互联网传递信息已经成为企业的关键应用，然而信息的机密性、健康性、政治性等问题也随之而来。目前企业用户非常渴望能够制定符合企业规章和法律法规的信息收发监控策略，有效控制关键信息的传播范围，包括对于邮件、Web邮件、BBS、IM软件等载体的信息收发监控与关键字过滤。

　　第六，安全审计。随着企业网上活动的逐渐频繁，实时掌握企业用户互联网使用状况可以避免很多的隐藏风险。而上网行为管理技术可以帮助企业用户制定精细化的互联网活动审计策略，确保企业能够掌握员工的互联网使用状况，包括对在线用户状态、Web访问、外发信息、网络应用、带宽使用情况等进行实时监控。

　　不难看出，这六大领域恰恰体现了上网行为管理技术与当前企业主流应用的结合关系。放眼整个信息安全领域，需求、技术、应用的不断演进，反映出用户心态的成熟与市场发展的节奏。应用拉动技术的发展，技术释放应用的活力，其中的相辅相成不仅耐人寻味，而且仍将持续下去。

　　安全发展的新形势

　　■ 单一安全产品不能满足企业的整体防御需求

　　■ 业务应用和安全技术出现整合潮流

　　■ 应用需求拉动技术发展将会获得最佳安全体验

　　■ 用户的心态逐渐成熟，经验越来越丰富

　　■ Web防御、反垃圾邮件、上网行为管理是应用与技术结合的最佳典范

miaocha

长期以来，安全的技术发展始终围绕在产品与方案之间，各种技术的诞生、发展、消亡都贯穿着新老产品的更迭。在早期，这种发展方向并无问题，从某种意义上说，这还促进了技术的进步。
　　但是随着广大企业用户自身的应用水平的不断提高，特别是用户们对于信息化和信息安全理解的不断加深，传统的“技术推动产品，产品拉动应用”的模式已经受到了冲击。用户的需求在变化，传统的单一安全产品越来越不能满足企业的安全防御要求。而各种安全威胁却不断增加，对企业的业务威胁越来越大。

　　在这种情况下，从用户的业务应用出发，将应用和技术进行整合的思路逐渐普及。换句话说，当今的时代是应用的时代，应用需求拉动技术发展将成为日后的主线，而用户的使用与部署也将更加关注整体安全体验。

　　为此，记者特别总结了当前应用拉动技术发展的三个实例，从中展示当今信息安全界的热门成果。有意思的是，当大家把技术与应用的捆绑当做“王道”的时候，也就是安全体验获取的时候。

　　【实例一】Web主动防御

　　自从1990年开始在网络中引入防火墙以来，网络安全解决方案已经定型成为以防火墙为主的方案。这种方案的特点就是：将网络划分成不同安全等级的网段，在网络边界放置防火墙，进行网段隔离和访问控制。即使后来出现了针对应用层威胁的入侵检测技术，也无法动摇防火墙在网络安全方案中的核心地位。

　　通过分析最近两年来的网络安全发展形势，可以看出传统的单一防火墙方案已经无法满足企业用户的应用安全需求了。从安全的发展来看，至少有三点值得反思：

　　第一，大部分的威胁来自网络内部。随着很多企业加速笔记本电脑的普及，移动办公得到了发展，越来越多的计算机终端在企业的内网和外网之间漫游，这样很容易造成网络威胁从外网进入内网，从而在内网进行传播。另外，由于VPN技术的普及，使得企业内网无限扩展，从而变相加大了安全威胁进入内网的机会。

　　第二，基于Web的攻击成为主流。各种蠕虫、病毒、应用层攻击技术频频发作，混合攻击的出现令传统的安全防御变得困难重重。目前来看，大量的混合攻击主要威胁企业的核心服务器和应用，给用户带来了重大损失。一些对网络基础设施进行的DDoS攻击，造成基础设施瘫痪。此外，一些P2P应用，如BT、电驴，以及一些IM应用，如QQ、MSN，对企业的网络带宽提出了挑战。统计表明，这种与业务无关的网络流量对企业网络的核心性能造成了威胁。事实上，此类应用都是基于第七层的，而普通的三、四层防火墙显然无能为力。

　　第三，安全与网络结合。目前，越来越多的病毒和蠕虫是基于网络来传播的，有了网络这个介质，威胁的传播速度大大加快。比如著名的SQL Slammer攻击，10分钟内就感染了全球90%的有漏洞的计算机。不难看出，如果网络对于这些威胁不能识别，不能在其传播扩散的通道上进行阻截，纯粹依靠人工手动的打补丁、升级防病毒软件和在防火墙上设置ACL，根本无法抑制这些蠕虫病毒的大规模泛滥。

　　在这种应用安全的需求之下，基于网络的Web主动防御技术应运而生。其中，入侵防御系统IPS就是这样技术的代表。可以说，IPS的出现就是应用拉动技术发展的一个例证：当前越来越多的企业，其IT部门急需保护应用系统、网络基础设施，并确保应用中的应用安全。

　　从通用的意义上讲，IPS能够阻止蠕虫、木马、病毒、拒绝服务攻击、间谍软件、VoIP攻击以及P2P滥用。通过第七层的流量检测，IPS可以在发生损失之前阻断恶意流量。事实上，由于具有网络架构的保护能力，IPS可以通过全面的数据包检测，从应用层和网络层上进行攻击的拦截。包括保护VoIP系统、路由器、交换机、DNS和其他基础设施，同时防止流量异动。

　　另外，大部分的IPS系统都是工作在在线模式中，即透明地部署到网络当中，对所有流经的流量进行深度分析与检测，实时阻断攻击，同时对正常流量的通过不产生任何影响。

　　不难看出，IPS这种基于Web的主动防御模式，已经重新定义了企业网络安全的理念。从应用安全的效果看，IPS从根本上改变了人们保护企业网络和系统的方式。
　　
　　【实例二】垃圾邮件防御

　　当前垃圾邮件已经成为网络社会的公害，与邮件伴随的各种恶意软件与钓鱼URL攻击层出不穷。作为企业应用中的主要安全隐患，垃圾邮件总体发展趋势是：攻击更隐秘、更复杂、目标更多。

　　具体来看，全球每年垃圾邮件的数量都会比上年翻番增长。根据IDC的统计，全球每天产生的垃圾邮件超过1200亿封。也就是说，地球上每人每天收到20 份垃圾邮件信息。当前的垃圾邮件危险性更大。以往的垃圾邮件攻击的目的主要是为了销售某种产品，而截止到今年一季度，83%以上的垃圾邮件含有URL 链接。伴随着不同恶意软件技术混合的趋势，基于URL 的病毒增长了256%。

　　此外，伴随着垃圾邮件的蔓延，一系列“自我防御僵尸网络”问世。Storm木马病毒是迄今为止观测到的最复杂的僵尸网络病毒。其特性和技术复杂程度都显示，这些程序是由专业工程师开发的。同时，各种病毒不再高调出现。因为病毒编写者已经改变了以往的那种大范围的攻击方式，而病毒形式更加多样化，而且通常与垃圾邮件，以及Feebs、Storm 这样的僵尸网络沆瀣一气。

　　不难看出，2008年已经成为了垃圾邮件的转折点。就在恶意软件设计看起来似乎停滞不前之时，新的攻击技术大量涌现，一些不法专业人士与黑客组织也不断渗透其中。事实上，这些“进展”并不是偶然事件，它们实际上是安全行业自身的产物。

　　用于管理垃圾邮件、病毒和恶意软件的安全控件一度能够有效工作，使大规模、高冲击力的攻击有所减少。但是，这些成就导致了一个不利后果：被它们成功抵挡的威胁被迫改头换面。

　　2008年，许多垃圾邮件、病毒和恶意软件等进行了重大的修改。有分析师表示，垃圾邮件和与其伴随的恶意软件的主要发展趋势仍然是提高复杂度。攻击者依然采用垃圾邮件、恶意软件和数据窃贼等传统的攻击手段。但是，这些攻击却变得更加复杂。

　　越来越多的攻击者放弃了专门设计的单点攻击方法，转而采用可重用平台，周期性、同步地发动动态攻击。垃圾邮件越来越多地被用作进入公司网络的无害网关，并采用社会工程技术使最终用户将恶意软件带入到网络中。与之伴随的是，恶意软件不再使用单步感染。新的攻击分为多个阶段：由设计良好的基础架构提供支持、分发和管理。

　　从应用上分析，垃圾邮件的数量将继续无休止地增长。经济基本面支持这一论断，这对于防垃圾邮件的技术发展也有着重要意义。防垃圾邮件厂商通常以垃圾邮件捕捉率作为衡量标志。但是，最终用户的体验是由邮箱内垃圾邮件的绝对数量决定的。随着垃圾邮件数量的增长，垃圾邮件过滤器必须提高捕捉率。为了完成这一使命需要不断增加投资，这将推动防垃圾邮件行业的整合。

　　此外，混合攻击技术将继续大行其道。这意味着企业安全团队必须通盘考虑自己的安全方法。对电子邮件和Web 数据流进行综合分析并在两者之间共享信息的系统，将优于针对电子邮件和Web 的单一解决方案。综合系统是防范混合攻击的最佳方法。

　　同时，当前越来越多的恶意软件将继续扮演“沉默的杀手”的角色。木马和恶意软件的新变种将更加有针对性，也更加短命。这使得它们更加难以检测到。企业为了确保敏感信息完整性的压力将不断加大。用户的IT安全团队必须采取措施衡量网络中恶意软件的流量，部署包括基于网络的威胁监测和网络访问控制等高级技术的综合系统。
【实例三】上网行为管理
近几年来，随着越来越多的企业用户对互联网应用的逐渐深入与依赖，出现了大量经由内部访问互联网导致的带宽滥用、安全隐患、效率下降、法律风险等问题。在这种情况下，很多企业用户希望可以制定灵活、有效的控制管理策略，提高对互联网访问的控制力度，通过技术手段有效解决因接入互联网而可能引发的问题。

　　正是在这样的一种应用推动之下，上网行为管理技术得到了发展。一般来说，标准的上网行为管理技术至少需要包括六大领域。

　　第一，Web访问过滤。在这方面，最常见的技术是URL过滤。事实上，互联网上的信息非常丰富，企业的管理人员可以通过各种过滤与限制手段来控制网络的访问，包括开展基于业务的访问控制。

　　第二，P2P下载控制。不可否认，各种P2P应用是当前企业网络安全管理中的一大难题。虽然P2P应用具有文件共享的优势，但却常常对网络性能提出挑战。用户目前需要利用上网行为管理技术来规范P2P的使用与带宽控制，这不仅需要对P2P应用的数据流进行监控，而且需要从全局的高度考虑企业核心应用的带宽分配。

　　第三，IM管理。对于流行的IM软件来说，是一个方便、实时的信息沟通渠道。但是IM软件带来的主要问题是工作效率降低和容易造成安全泄密问题。目前，主流用户都希望能够根据需求制定精细化的IM监控策略，在不同时间对不同部门、不同员工实施差异化管理，从而实现使用时间和使用权限的双重管控。

　　第四，流量管理。对于现代企业而言，带宽是否充足，对于关键业务的开展至关重要。在一个企业之中，不同岗位、不同工作对带宽的需求也不尽相同。基于用户、时间段、应用协议的带宽分配策略无疑是有效的。而对各种业务应用的优先级、速率进行设定，也是企业目前考虑的问题。

　　第五，信息监控。当前，通过互联网传递信息已经成为企业的关键应用，然而信息的机密性、健康性、政治性等问题也随之而来。目前企业用户非常渴望能够制定符合企业规章和法律法规的信息收发监控策略，有效控制关键信息的传播范围，包括对于邮件、Web邮件、BBS、IM软件等载体的信息收发监控与关键字过滤。

　　第六，安全审计。随着企业网上活动的逐渐频繁，实时掌握企业用户互联网使用状况可以避免很多的隐藏风险。而上网行为管理技术可以帮助企业用户制定精细化的互联网活动审计策略，确保企业能够掌握员工的互联网使用状况，包括对在线用户状态、Web访问、外发信息、网络应用、带宽使用情况等进行实时监控。

　　不难看出，这六大领域恰恰体现了上网行为管理技术与当前企业主流应用的结合关系。放眼整个信息安全领域，需求、技术、应用的不断演进，反映出用户心态的成熟与市场发展的节奏。应用拉动技术的发展，技术释放应用的活力，其中的相辅相成不仅耐人寻味，而且仍将持续下去。

　　安全发展的新形势

　　■ 单一安全产品不能满足企业的整体防御需求

　　■ 业务应用和安全技术出现整合潮流

　　■ 应用需求拉动技术发展将会获得最佳安全体验

　　■ 用户的心态逐渐成熟，经验越来越丰富

　　■ Web防御、反垃圾邮件、上网行为管理是应用与技术结合的最佳典范

miaocha

长期以来，安全的技术发展始终围绕在产品与方案之间，各种技术的诞生、发展、消亡都贯穿着新老产品的更迭。在早期，这种发展方向并无问题，从某种意义上说，这还促进了技术的进步。
　　但是随着广大企业用户自身的应用水平的不断提高，特别是用户们对于信息化和信息安全理解的不断加深，传统的“技术推动产品，产品拉动应用”的模式已经受到了冲击。用户的需求在变化，传统的单一安全产品越来越不能满足企业的安全防御要求。而各种安全威胁却不断增加，对企业的业务威胁越来越大。

　　在这种情况下，从用户的业务应用出发，将应用和技术进行整合的思路逐渐普及。换句话说，当今的时代是应用的时代，应用需求拉动技术发展将成为日后的主线，而用户的使用与部署也将更加关注整体安全体验。

　　为此，记者特别总结了当前应用拉动技术发展的三个实例，从中展示当今信息安全界的热门成果。有意思的是，当大家把技术与应用的捆绑当做“王道”的时候，也就是安全体验获取的时候。

　　【实例一】Web主动防御

　　自从1990年开始在网络中引入防火墙以来，网络安全解决方案已经定型成为以防火墙为主的方案。这种方案的特点就是：将网络划分成不同安全等级的网段，在网络边界放置防火墙，进行网段隔离和访问控制。即使后来出现了针对应用层威胁的入侵检测技术，也无法动摇防火墙在网络安全方案中的核心地位。

　　通过分析最近两年来的网络安全发展形势，可以看出传统的单一防火墙方案已经无法满足企业用户的应用安全需求了。从安全的发展来看，至少有三点值得反思：

　　第一，大部分的威胁来自网络内部。随着很多企业加速笔记本电脑的普及，移动办公得到了发展，越来越多的计算机终端在企业的内网和外网之间漫游，这样很容易造成网络威胁从外网进入内网，从而在内网进行传播。另外，由于VPN技术的普及，使得企业内网无限扩展，从而变相加大了安全威胁进入内网的机会。

　　第二，基于Web的攻击成为主流。各种蠕虫、病毒、应用层攻击技术频频发作，混合攻击的出现令传统的安全防御变得困难重重。目前来看，大量的混合攻击主要威胁企业的核心服务器和应用，给用户带来了重大损失。一些对网络基础设施进行的DDoS攻击，造成基础设施瘫痪。此外，一些P2P应用，如BT、电驴，以及一些IM应用，如QQ、MSN，对企业的网络带宽提出了挑战。统计表明，这种与业务无关的网络流量对企业网络的核心性能造成了威胁。事实上，此类应用都是基于第七层的，而普通的三、四层防火墙显然无能为力。

　　第三，安全与网络结合。目前，越来越多的病毒和蠕虫是基于网络来传播的，有了网络这个介质，威胁的传播速度大大加快。比如著名的SQL Slammer攻击，10分钟内就感染了全球90%的有漏洞的计算机。不难看出，如果网络对于这些威胁不能识别，不能在其传播扩散的通道上进行阻截，纯粹依靠人工手动的打补丁、升级防病毒软件和在防火墙上设置ACL，根本无法抑制这些蠕虫病毒的大规模泛滥。

　　在这种应用安全的需求之下，基于网络的Web主动防御技术应运而生。其中，入侵防御系统IPS就是这样技术的代表。可以说，IPS的出现就是应用拉动技术发展的一个例证：当前越来越多的企业，其IT部门急需保护应用系统、网络基础设施，并确保应用中的应用安全。

　　从通用的意义上讲，IPS能够阻止蠕虫、木马、病毒、拒绝服务攻击、间谍软件、VoIP攻击以及P2P滥用。通过第七层的流量检测，IPS可以在发生损失之前阻断恶意流量。事实上，由于具有网络架构的保护能力，IPS可以通过全面的数据包检测，从应用层和网络层上进行攻击的拦截。包括保护VoIP系统、路由器、交换机、DNS和其他基础设施，同时防止流量异动。

　　另外，大部分的IPS系统都是工作在在线模式中，即透明地部署到网络当中，对所有流经的流量进行深度分析与检测，实时阻断攻击，同时对正常流量的通过不产生任何影响。

　　不难看出，IPS这种基于Web的主动防御模式，已经重新定义了企业网络安全的理念。从应用安全的效果看，IPS从根本上改变了人们保护企业网络和系统的方式。
　　
　　【实例二】垃圾邮件防御

　　当前垃圾邮件已经成为网络社会的公害，与邮件伴随的各种恶意软件与钓鱼URL攻击层出不穷。作为企业应用中的主要安全隐患，垃圾邮件总体发展趋势是：攻击更隐秘、更复杂、目标更多。

　　具体来看，全球每年垃圾邮件的数量都会比上年翻番增长。根据IDC的统计，全球每天产生的垃圾邮件超过1200亿封。也就是说，地球上每人每天收到20 份垃圾邮件信息。当前的垃圾邮件危险性更大。以往的垃圾邮件攻击的目的主要是为了销售某种产品，而截止到今年一季度，83%以上的垃圾邮件含有URL 链接。伴随着不同恶意软件技术混合的趋势，基于URL 的病毒增长了256%。

　　此外，伴随着垃圾邮件的蔓延，一系列“自我防御僵尸网络”问世。Storm木马病毒是迄今为止观测到的最复杂的僵尸网络病毒。其特性和技术复杂程度都显示，这些程序是由专业工程师开发的。同时，各种病毒不再高调出现。因为病毒编写者已经改变了以往的那种大范围的攻击方式，而病毒形式更加多样化，而且通常与垃圾邮件，以及Feebs、Storm 这样的僵尸网络沆瀣一气。

　　不难看出，2008年已经成为了垃圾邮件的转折点。就在恶意软件设计看起来似乎停滞不前之时，新的攻击技术大量涌现，一些不法专业人士与黑客组织也不断渗透其中。事实上，这些“进展”并不是偶然事件，它们实际上是安全行业自身的产物。

　　用于管理垃圾邮件、病毒和恶意软件的安全控件一度能够有效工作，使大规模、高冲击力的攻击有所减少。但是，这些成就导致了一个不利后果：被它们成功抵挡的威胁被迫改头换面。

　　2008年，许多垃圾邮件、病毒和恶意软件等进行了重大的修改。有分析师表示，垃圾邮件和与其伴随的恶意软件的主要发展趋势仍然是提高复杂度。攻击者依然采用垃圾邮件、恶意软件和数据窃贼等传统的攻击手段。但是，这些攻击却变得更加复杂。

　　越来越多的攻击者放弃了专门设计的单点攻击方法，转而采用可重用平台，周期性、同步地发动动态攻击。垃圾邮件越来越多地被用作进入公司网络的无害网关，并采用社会工程技术使最终用户将恶意软件带入到网络中。与之伴随的是，恶意软件不再使用单步感染。新的攻击分为多个阶段：由设计良好的基础架构提供支持、分发和管理。

　　从应用上分析，垃圾邮件的数量将继续无休止地增长。经济基本面支持这一论断，这对于防垃圾邮件的技术发展也有着重要意义。防垃圾邮件厂商通常以垃圾邮件捕捉率作为衡量标志。但是，最终用户的体验是由邮箱内垃圾邮件的绝对数量决定的。随着垃圾邮件数量的增长，垃圾邮件过滤器必须提高捕捉率。为了完成这一使命需要不断增加投资，这将推动防垃圾邮件行业的整合。

　　此外，混合攻击技术将继续大行其道。这意味着企业安全团队必须通盘考虑自己的安全方法。对电子邮件和Web 数据流进行综合分析并在两者之间共享信息的系统，将优于针对电子邮件和Web 的单一解决方案。综合系统是防范混合攻击的最佳方法。

　　同时，当前越来越多的恶意软件将继续扮演“沉默的杀手”的角色。木马和恶意软件的新变种将更加有针对性，也更加短命。这使得它们更加难以检测到。企业为了确保敏感信息完整性的压力将不断加大。用户的IT安全团队必须采取措施衡量网络中恶意软件的流量，部署包括基于网络的威胁监测和网络访问控制等高级技术的综合系统。
【实例三】上网行为管理
近几年来，随着越来越多的企业用户对互联网应用的逐渐深入与依赖，出现了大量经由内部访问互联网导致的带宽滥用、安全隐患、效率下降、法律风险等问题。在这种情况下，很多企业用户希望可以制定灵活、有效的控制管理策略，提高对互联网访问的控制力度，通过技术手段有效解决因接入互联网而可能引发的问题。

　　正是在这样的一种应用推动之下，上网行为管理技术得到了发展。一般来说，标准的上网行为管理技术至少需要包括六大领域。

　　第一，Web访问过滤。在这方面，最常见的技术是URL过滤。事实上，互联网上的信息非常丰富，企业的管理人员可以通过各种过滤与限制手段来控制网络的访问，包括开展基于业务的访问控制。

　　第二，P2P下载控制。不可否认，各种P2P应用是当前企业网络安全管理中的一大难题。虽然P2P应用具有文件共享的优势，但却常常对网络性能提出挑战。用户目前需要利用上网行为管理技术来规范P2P的使用与带宽控制，这不仅需要对P2P应用的数据流进行监控，而且需要从全局的高度考虑企业核心应用的带宽分配。

　　第三，IM管理。对于流行的IM软件来说，是一个方便、实时的信息沟通渠道。但是IM软件带来的主要问题是工作效率降低和容易造成安全泄密问题。目前，主流用户都希望能够根据需求制定精细化的IM监控策略，在不同时间对不同部门、不同员工实施差异化管理，从而实现使用时间和使用权限的双重管控。

　　第四，流量管理。对于现代企业而言，带宽是否充足，对于关键业务的开展至关重要。在一个企业之中，不同岗位、不同工作对带宽的需求也不尽相同。基于用户、时间段、应用协议的带宽分配策略无疑是有效的。而对各种业务应用的优先级、速率进行设定，也是企业目前考虑的问题。

　　第五，信息监控。当前，通过互联网传递信息已经成为企业的关键应用，然而信息的机密性、健康性、政治性等问题也随之而来。目前企业用户非常渴望能够制定符合企业规章和法律法规的信息收发监控策略，有效控制关键信息的传播范围，包括对于邮件、Web邮件、BBS、IM软件等载体的信息收发监控与关键字过滤。

　　第六，安全审计。随着企业网上活动的逐渐频繁，实时掌握企业用户互联网使用状况可以避免很多的隐藏风险。而上网行为管理技术可以帮助企业用户制定精细化的互联网活动审计策略，确保企业能够掌握员工的互联网使用状况，包括对在线用户状态、Web访问、外发信息、网络应用、带宽使用情况等进行实时监控。

　　不难看出，这六大领域恰恰体现了上网行为管理技术与当前企业主流应用的结合关系。放眼整个信息安全领域，需求、技术、应用的不断演进，反映出用户心态的成熟与市场发展的节奏。应用拉动技术的发展，技术释放应用的活力，其中的相辅相成不仅耐人寻味，而且仍将持续下去。

　　安全发展的新形势

　　■ 单一安全产品不能满足企业的整体防御需求

　　■ 业务应用和安全技术出现整合潮流

　　■ 应用需求拉动技术发展将会获得最佳安全体验

　　■ 用户的心态逐渐成熟，经验越来越丰富

　　■ Web防御、反垃圾邮件、上网行为管理是应用与技术结合的最佳典范