| 出版日期:2005-06-06 总期号:1417 本年期号:40 |
|
 |
怎样才算主动防御
陈思 主动防御并不等同于一两项技术或功能,而是包含了整个安全防护的技术体系。 主动防御早在几年前就提出了,但—— 
赛门铁克的主动安全体系 主动安全要保证可用性 主动防御并不等同于一两项技术或功能,而是包含了整个安全防护的技术体系发展。它是一个理念,即不管什么样的技术,用户真正需要的是一种无需人工干预、能够自动防护的解决方案。 对于主动防御的方案,业界各个厂商的侧重与焦点并不相同。我们采访了国内厂商金山、国外厂商赛门铁克、国内外合作的厂商方正熊猫,听听来自主流厂商的见解。 并不是采用了主动防御理念的主动安全体系就能保证100%的安全,因此,既要防御系统免受入侵,又要保证在入侵后可以随时保证业务的连续性和可用性,这是赛门铁克几年来一直倡导的主动安全理念。赛门铁克公司中国区技术经理郭训平认为,主动安全不是单一的或几种特定的技术,不仅仅是某一个产品中采用多种技术,也不是只针对未知病毒,主动安全是一个安全体系,是在任何时候都能够保证信息、网络、系统、应用的可用性。 主动安全体系的需求应包括:有效地使用信息,就必须相信信息;相信信息就必须保护信息的安全;保护信息的安全,就必须对其进行管理;管理信息,就必须有科学的方法和手段。为此,赛门铁克的主动安全体系包括信息安全性和信息可用性两大部分,而且都有相对应的产品和服务。其中,由于赛门铁克收购了VERITAS,在信息可用性方面的完善将是其主动安全防御体系中新的亮点。信息可用性要保证集中管理以保持网络技术最新和一致,使用自动更新来解放安全人员,防护并防御环境安全风险,防止业务中断,通过集中控制所有硬件和硬件资产,通过快速恢复和还原,大幅降低业务影响和IT费用以及提供业务连续性等。 郭训平透露,赛门铁克即将推出的防护客户端和服务端的防病毒新品中就将集成更新备份的功能,以确保用户在遭受意外攻击后,仍然能够尽可能减轻损失,从一个重要的侧面来保证可用性。 据悉,赛门铁克对信息安全性包括四个方面。一、预警。它可以精确地告诉用户问题是什么,问题在哪,如何解决这些问题及限制它们的危害。对应的方案与服务包括Symantec DeepSight警报服务与威胁管理系统、赛门铁克安全意识教育、咨询服务等。二、防护。即客户端、网关和服务器上的保护,即使在危险的威胁面前也保持信息可用。它可以降低运营风险,通过集中和自动的流程简化操作,有效防止损害并快速恢复。郭训平表示,防护中包括很多新兴技术,如行为阻截、协议异常分析、病毒扼杀、通用漏洞阻截等。三、响应。攻击前准备和攻击后减轻损害。郭训平认为,响应或应急都不该是被动的,用户需要轻松快速地实施新的安全措施,在攻击发生前主动响应威胁,以保证在攻击之前、期间和之后不间断的业务运营。对应的方案包括Symantec LiveUpdate、客户支持解决方案。四、管理。需要更紧密地结合IT和业务目标,影响安全的业务行为,可适当减少风险的安全保护能力。对应的方案和服务包括Symantec ESM、Symantec Incident Manger、Symantec SESA平台、托管安全服务等。 主动防御是网络安全战略 金山毒霸技术总监陈睿表示,主动防御的核心在于“主动性”,即无需人工干预就能作出防御行为,并具备对未知攻击的防御能力。主动防御在不同的阶段有不同的体现。在5年前,可以说如果杀毒软件能够做到文件实时监控,就具有主动防御能力。而现在,主动防御需要一些更创新的技术来支撑,甚至需要以整个网络作为一个整体来实现。近日,在金山第一款面向中小企业安全市场的杀毒软件——金山毒霸2005中小企业版正式上市之时,陈睿就首次向外界透露了金山实施已久的主动防御计划(ADP)。据陈睿介绍,ADP是金山致力于改善信息安全的一个长远规划,是一个多侧面的网络安全战略,其目标是提高整个网络防御和对抗安全威胁的能力。ADP整个计划可分为三个层次,贯穿于金山毒霸的整个产品线中。 终端自防御(TSD)是指基于桌面计算机及服务器主机的自我防御,通过安装在主机上的执行终端强大的主动防御能力,有效降低内部和外部的安全威胁。该层的核心技术主要应用于金山毒霸单机版以及网络版的客户端中。对应在功能上有“主动实时升级”、“主动漏洞扫描及修复”、“各种实时监控”、“启发式扫描未知病毒”、“纯行为识别的主动拦截技术”等等。 网络自防御(NSD)是指网络间的关联互动,它将网络划分为安全区域和威胁区域,通过区域辨别隔离以实现网络的主动防御。该层的核心技术主要应用于金山毒霸的企业版中。对应在功能上有全网主动实时升级、全网分布式漏洞扫描、智能的身份认证技术、分布式安全审计、自适应的分布式网络访问控制技术、主动的病毒爆发预警及控制技术、与网络设备互动实现网络访问等。金山与思科、华为等网络设备的技术合作即为此层中的与网络设备互动实现网络访问功能。 整体防御(WSD)的主动防御计划最终将致力于为业界提供一个开放的信息安全管理平台及相关标准,并联合主要的信息安全厂商,实现所有信息安全产品的互动,实现对整个网络环境的全方位的主动防御。 依据该计划,金山毒霸2005以及中小企业版目前已实现了第二层,正在研发之中的下一代金山毒霸企业版正朝着第三层努力。陈睿强调,主动防御是一个概念和范畴,并不等同于一两项技术或功能,而是包含了整个安全防护的技术体系发展,涉及到安全防护产品的研发定位、研发理念、技术实现的策略以及产品功能的各方面体现。他还透露了位于珠海的金山毒霸研发部正在研发一系列全新的预防性“主动防御”技术,包括网络恶意数据包检测技术以及可疑事件关联和行为拦截技术,它们将在今年运用到金山毒霸的下一代产品中。 焦点技术是查杀未知病毒 作为欧洲最大的杀毒软件厂商熊猫软件及其中国唯一合作伙伴,方正信息安全技术有限公司早在两年前就开始致力于对未知病毒、入侵和攻击的预防性技术的研究,并推出了“TruPrevent”主动防御技术。方正安全技术总经理金锴认为,从主动防御技术方面来看,以病毒特征代码库升级为基础的杀毒软件已经无法面对新病毒的强大攻势,可以肯定,未知病毒的查杀技术将成为未来病毒技术的发展趋势,也是主动防御现阶段在技术领域的焦点。 主动安全解决方案必须具有预防性并可以预先解决问题。预防性IT保护不必等到系统能够识别新的攻击时就可以阻挡它们。由于恶意代码的行为是超前的,而这正是现有技术的不足,所以新的保护技术必须直接扫描TCP/IP协议,以检测造成缓冲区溢出和写入代码的企图,并且必须包括对于新一代传播方式的检测技术。因此,熊猫软件一直致力于研发一系列的预防性技术,包括行为扫描技术,它在阻挡未知病毒和其它攻击时非常有效。 |
||||||||||||||||||||
