安全轮回 新技术中的应用价值

【实例二】垃圾邮件防御

当前垃圾邮件已经成为网络社会的公害，与邮件伴随的各种恶意软件与钓鱼URL攻击层出不穷。作为企业应用中的主要安全隐患，垃圾邮件总体发展趋势是：攻击更隐秘、更复杂、目标更多。

具体来看，全球每年垃圾邮件的数量都会比上年翻番增长。根据IDC的统计，全球每天产生的垃圾邮件超过1200亿封。也就是说，地球上每人每天收到20 份垃圾邮件信息。当前的垃圾邮件危险性更大。以往的垃圾邮件攻击的目的主要是为了销售某种产品，而截止到今年一季度，83%以上的垃圾邮件含有URL 链接。伴随着不同恶意软件技术混合的趋势，基于URL 的病毒增长了256%。

此外，伴随着垃圾邮件的蔓延，一系列“自我防御僵尸网络”问世。Storm木马病毒是迄今为止观测到的最复杂的僵尸网络病毒。其特性和技术复杂程度都显示，这些程序是由专业工程师开发的。同时，各种病毒不再高调出现。因为病毒编写者已经改变了以往的那种大范围的攻击方式，而病毒形式更加多样化，而且通常与垃圾邮件，以及Feebs、Storm 这样的僵尸网络沆瀣一气。

不难看出，2008年已经成为了垃圾邮件的转折点。就在恶意软件设计看起来似乎停滞不前之时，新的攻击技术大量涌现，一些不法专业人士与黑客组织也不断渗透其中。事实上，这些“进展”并不是偶然事件，它们实际上是安全行业自身的产物。

用于管理垃圾邮件、病毒和恶意软件的安全控件一度能够有效工作，使大规模、高冲击力的攻击有所减少。但是，这些成就导致了一个不利后果：被它们成功抵挡的威胁被迫改头换面。

2008年，许多垃圾邮件、病毒和恶意软件等进行了重大的修改。有分析师表示，垃圾邮件和与其伴随的恶意软件的主要发展趋势仍然是提高复杂度。攻击者依然采用垃圾邮件、恶意软件和数据窃贼等传统的攻击手段。但是，这些攻击却变得更加复杂。

越来越多的攻击者放弃了专门设计的单点攻击方法，转而采用可重用平台，周期性、同步地发动动态攻击。垃圾邮件越来越多地被用作进入公司网络的无害网关，并采用社会工程技术使最终用户将恶意软件带入到网络中。与之伴随的是，恶意软件不再使用单步感染。新的攻击分为多个阶段：由设计良好的基础架构提供支持、分发和管理。

从应用上分析，垃圾邮件的数量将继续无休止地增长。经济基本面支持这一论断，这对于防垃圾邮件的技术发展也有着重要意义。防垃圾邮件厂商通常以垃圾邮件捕捉率作为衡量标志。但是，最终用户的体验是由邮箱内垃圾邮件的绝对数量决定的。随着垃圾邮件数量的增长，垃圾邮件过滤器必须提高捕捉率。为了完成这一使命需要不断增加投资，这将推动防垃圾邮件行业的整合。

此外，混合攻击技术将继续大行其道。这意味着企业安全团队必须通盘考虑自己的安全方法。对电子邮件和Web 数据流进行综合分析并在两者之间共享信息的系统，将优于针对电子邮件和Web 的单一解决方案。综合系统是防范混合攻击的最佳方法。

同时，当前越来越多的恶意软件将继续扮演“沉默的杀手”的角色。木马和恶意软件的新变种将更加有针对性，也更加短命。这使得它们更加难以检测到。企业为了确保敏感信息完整性的压力将不断加大。用户的IT安全团队必须采取措施衡量网络中恶意软件的流量，部署包括基于网络的威胁监测和网络访问控制等高级技术的综合系统。

【实例三】上网行为管理

近几年来，随着越来越多的企业用户对互联网应用的逐渐深入与依赖，出现了大量经由内部访问互联网导致的带宽滥用、安全隐患、效率下降、法律风险等问题。在这种情况下，很多企业用户希望可以制定灵活、有效的控制管理策略，提高对互联网访问的控制力度，通过技术手段有效解决因接入互联网而可能引发的问题。

正是在这样的一种应用推动之下，上网行为管理技术得到了发展。一般来说，标准的上网行为管理技术至少需要包括六大领域。

第一，Web访问过滤。在这方面，最常见的技术是URL过滤。事实上，互联网上的信息非常丰富，企业的管理人员可以通过各种过滤与限制手段来控制网络的访问，包括开展基于业务的访问控制。

第二，P2P下载控制。不可否认，各种P2P应用是当前企业网络安全管理中的一大难题。虽然P2P应用具有文件共享的优势，但却常常对网络性能提出挑战。用户目前需要利用上网行为管理技术来规范P2P的使用与带宽控制，这不仅需要对P2P应用的数据流进行监控，而且需要从全局的高度考虑企业核心应用的带宽分配。

第三，IM管理。对于流行的IM软件来说，是一个方便、实时的信息沟通渠道。但是IM软件带来的主要问题是工作效率降低和容易造成安全泄密问题。目前，主流用户都希望能够根据需求制定精细化的IM监控策略，在不同时间对不同部门、不同员工实施差异化管理，从而实现使用时间和使用权限的双重管控。

第四，流量管理。对于现代企业而言，带宽是否充足，对于关键业务的开展至关重要。在一个企业之中，不同岗位、不同工作对带宽的需求也不尽相同。基于用户、时间段、应用协议的带宽分配策略无疑是有效的。而对各种业务应用的优先级、速率进行设定，也是企业目前考虑的问题。

第五，信息监控。当前，通过互联网传递信息已经成为企业的关键应用，然而信息的机密性、健康性、政治性等问题也随之而来。目前企业用户非常渴望能够制定符合企业规章和法律法规的信息收发监控策略，有效控制关键信息的传播范围，包括对于邮件、Web邮件、BBS、IM软件等载体的信息收发监控与关键字过滤。

第六，安全审计。随着企业网上活动的逐渐频繁，实时掌握企业用户互联网使用状况可以避免很多的隐藏风险。而上网行为管理技术可以帮助企业用户制定精细化的互联网活动审计策略，确保企业能够掌握员工的互联网使用状况，包括对在线用户状态、Web访问、外发信息、网络应用、带宽使用情况等进行实时监控。

不难看出，这六大领域恰恰体现了上网行为管理技术与当前企业主流应用的结合关系。放眼整个信息安全领域，需求、技术、应用的不断演进，反映出用户心态的成熟与市场发展的节奏。应用拉动技术的发展，技术释放应用的活力，其中的相辅相成不仅耐人寻味，而且仍将持续下去。

安全发展的新形势

■ 单一安全产品不能满足企业的整体防御需求

■ 业务应用和安全技术出现整合潮流

■ 应用需求拉动技术发展将会获得最佳安全体验

■ 用户的心态逐渐成熟，经验越来越丰富

■ Web防御、反垃圾邮件、上网行为管理是应用与技术结合的最佳典范