【IT168 报道】90%的机构已经采用了防火墙和防病毒解决方案；但是，仍然有超过一半的机构会受到安全漏洞的影响。尽管人们已经在安全领域投入了数十亿美元的资金，现有的信息安全方式仍不足以解决每天都在发生变化的安全威胁。人们需要的不是更多的技术，而是一种新的网络安全思路。

    自防御网络

    一种针对迅速变化的世界的安全解决方案

    全球各地的机构都很清楚非法的蠕虫和病毒感染全球网络的速度。网络运营商过去主要依靠补丁和独立产品来保护网络的安全，但是这些方式显然已经不足以应付当今各种狡猾的、破坏性极强的网络威胁。

    在特征码升级竞赛中失利

    现有的安全解决方案――例如防火墙和防病毒技术――完全建立在被动的升级更新的基础上。基于特征的安全技术出现于20世纪90年代中期，当时的安全漏洞数量相当有限：根据CERT的统计，1995年全世界只报告了171个安全漏洞。这意味着基于特征的产品可以相对较为有效地提供准确的网络安全防御。但是，从那时起到现在，每年报告的漏洞数量增加了几个数量级，而且预计还将会以指数形式增长。今天，每天出现的新特征大约有20个。显然，在我们与这些看来似乎精力越来越充沛的、意志坚定的对手举行的这场看不到终点的马拉松赛跑中，我们已经被远远地抛在了后面。

    内部敌人

    除此以外，目前最具破坏性的安全攻击并不是来自于外部黑客、病毒或蠕虫，而是来自于内部员工。根据Gartner的统计，他们占到了信息系统非法访问事件的70%以上。传统的“堡垒”方式假定每个通过周边检查的人都是“安全的”，从而形成了一种“外紧内松”的安全形势。显然，这种做法并不适用于今天的环境，因为即便是最清白的用户也可能会在无意之中在网络内部传播病毒、蠕虫或者特洛伊木马。这种方式的另外一个缺点在于，随着企业需要为各种群体――包括员工、供应商、承包商和来宾――提供随时随地的网络访问，“网络周边”的定义现在已经发生了很大的变化。

 
    网络是一项战略性资产

    很多安全系统都包括一组经过挑选的独立安全解决方案，每个关注于一个特定的安全问题。它们之间很少（或者根本不会）互相协调，而且几乎所有这些解决方案都采用了一种相对静止的、过时的网络概念：将网络视为一些简单的数据通道的组合。但是，今天的网络实际上是高度灵活的、智能的信息和应用系统，可以在整个供应链中为利益相关者提供实际的价值。考虑到这种复杂性，大部分安全解决方案都不能涵盖网络的所有接入点。

    智能信息网络的安全机制

    值得高兴的是，现在已经出现了可以防止数字信息和通信基础设施遭受安全威胁的核心技术。但是，人们需要的并不是在现有技术的基础上添加更多的安全技术，而是需要用一种新的方式处理安全威胁。

    与任何生命体一样，企业并不是一个封闭的系统。它们需要不断地、智能地与周围的环境交互，适应环境的变化。对于企业来说，它们需要与客户、供应商和合作伙伴，以及整个宏观经济环境进行交互。为了消除外部和内部威胁，生命体必须建立一个智能的、多层次的、与其体内的其他生物系统紧密集成的防御系统。即使某个威胁穿过了外部防线（这种情况肯定会出现），该系统也能够加以处理，并继续保持正常的生理机能。

    过去，网络管理人员关注于通过防火墙、VPN和其他设备将威胁挡在网络外面。但是现在，企业网络正在日益紧密地与大量的合作伙伴交织到一起，从而让“堡垒”方式失去了作用，因为很多外部人员需要进出企业网络。网络还从简单的数据通道发展成为了人们执行各种对于现代企业的日常功能至关重要的复杂任务的基础。这种智能信息网络的出现需要一种让它可以在不中断业务运营的情况下自动发现、制止和消除威胁的安全解决方案。

    为此，思科提供了一个名为“自防御网络”的解决方案。它实际上代表了一种不仅限于技术的新的安全手段，标志着网络安全架构的巨大变革。自防御网络是一种全面的战略，可以为智能信息网络提供覆盖整个系统的安全性。

    自防御网络的早期发展经历了两个不同的阶段，它们对于为在不影响正常业务的情况下制止攻击而建立一个稳固的平台具有重要的意义。第一个阶段――集成化安全――关注于通过将安全功能集成到网络设备（例如路由器、交换机和集线器等），整合IP和安全技术。通过让每个通信节点都变成安全节点，思科率先采用了将相同的数据分组交由同一个节点的一组互相协调的安全策略审查的方法。下一个阶段――协作式安全系统――推出了具有突破性意义的网络准入控制（NAC）计划，它是业界第一项旨在加强网络发现、防范和消除安全威胁的集体行动。思科与包括IBM、Computer Associates、McAfee Security、Symantec和Trend Micro，金山，瑞星在内的多家著名IT公司共同创建NAC计划。

    自适应威胁防御可以将自防御网络的保护能力提高到新的水平

    自防御网络的第三个阶段――也可能是最关键的――自适应威胁防御（ATD），它可以帮助客户更加有效地管理和消除它们的网络业务系统和应用所面临的风险。ATD通过在多个层次动态地消除威胁最大限度降低了网络安全风险，有助于加强对网络流量、终端、用户和应用的控制。这种创新的方式将安全功能、多层智能、应用保护、网络控制和威胁隔离等集成到了同一个高性能的解决方案中。

    自防御网络的概念框架

    ATD的主要组件包括：
    •Anti-X防御。它可以通过一组创新的流量和内容安全服务防范和制止网络威胁。Anti-X防御汇聚了核心的安全执行技术，其中包括防火墙、入侵防范系统（IPS）、异常检测和分布式拒绝服务（DDoS）防御技术，并且结合了多种应用检测服务，例如网络防病毒、防间谍软件和URL过滤等。这种融合可以为关键的网络安全控制点带来精确的流量检测服务，从而在恶意流量传播到整个网络之前加以遏制。
    •应用安全。它可以通过使用应用级访问控制和应用检测技术，实施适当的应用使用、Web应用控制和交易隐私等策略，提供增强的业务应用保护功能。
    •通过安全技术的虚拟化实现网络的控制和隔离。它可以提供复杂的审核和关联功能，并能够利用主动的管理和限制功能控制和保护任何网络组件或服务（例如VoIP）。

    这些补充性安全解决方案的部署将可以提供广泛的、层次化的保护，提高业务流程和应用的运行效率。为了促进ATD的前期发展，思科在这三个关键领域推出了十多款新型产品和技术创新。对于现有客户，ATD可以有效地保护他们的投资：如果他们此前投资购买的产品和服务目前仍处于维护期内，他们能够以极低的成本或者免费地升级到ATD。对于正打算投资于安全技术的企业而言，现在无疑是在整个企业网络中建立集成化的多层次防御系统的非常好的时机。ATD建立在思科提出的自防御网络理念的基础上，让客户能够在这个不断变化的、威胁不断增多的世界中更加有效地保护关键的业务资产。

    “自适应威胁防御加强了思科的一种认识：在五年后，市场上将不会再有独立的安全产品。相反，安全功能将会被直接嵌入到网络结构中。真正全面的、自适应的端到端安全将通过‘虚拟安全’实现。今天，我们正在利用自适应威胁防御――我们的自防御网络发展蓝图的最新成果――迈出这重要的一步。”