3.反垃圾邮件产品

关键字:行为判别技术

3.1.目前存在的问题

国内外主要的反垃圾邮件系统，普遍采用的是关键字内容过滤技术，采取“截获样本，解析特征，生成规则，规则下发，内容过滤” 这种类似传统杀病毒系统的原理，而这种技术存在着许多难以克服的问题:
n
垃圾邮件内容变化快，数量远远大于病毒，任何一家安全公司都很难保证样本采集的数量和及时性，也就很难保证反垃圾邮件的使用效果和效果的持久性;
n
必须比对完所有的关键字规则，一封信才能被确信不是垃圾邮件，导致效率低下、资源消耗大、网关系统不稳定，尤其是在遭受巨量邮件攻击时，可能导致系统崩溃;
n
依赖关键字规则判别垃圾邮件，导致误判率较高，垃圾邮件识别准确性低，效果差;
系统自维护能力差，管理员维护大量规则库，工作量大;n

n
信件必须接收完整才能进行内容过滤，导致国际网络流量费用高;
n
通过拆信检查内容的方式进行反垃圾邮件，侵犯了公民电子邮件通信自由权和隐私权，这种内容过滤技术将受到广泛的法律质疑。

传统反垃圾邮件技术，只能提升信噪比，以免垃圾邮件淹没正常邮件，但垃圾邮件与病毒邮件仍然占用了大量带宽与存储资源，垃圾邮件的发送仍处于非受控状态。

3.2.主动行为识别技术

要想从根本上解决反垃圾邮件的技术难题，就要采用主动型垃圾邮件行为模式识别的技术，这样才能做到主动的邮件攻击行为防御、主动的垃圾邮件阻断，从而最大程度地提高垃圾邮件识别率、拦截率，降低资源消耗，真正达到电信级的网关处理速度。

行为模式识别模型包含了邮件发送过程中的各类行为要素，例如:时间、频度、发送ip、协议声明特征、发送指纹等。在统计分析中，可以发现在行为特征上，垃圾邮件与正常邮件具有极高的区分度，且不论内容如何均相对为固有特征，特别是对大量的采用动态ip发送的邮件更是如此。垃圾邮件行为模式识别模型在理论计算上有着较高的垃圾邮件区分度(>90%)，在实证分析中也暗合“小偷的行为心理异于常人”的道理，经得起逻辑和哲学理论的推敲。

采用垃圾邮件行为模式识别模型不仅大大提高了垃圾邮件辨别的准确率，而且不需要对信件的全部内容进行扫描，所以又可以大大提高计算处理能力，为电信级的邮件过滤打下了坚实的基础。

此外，采用垃圾邮件行为模式识别模型识别垃圾邮件，也可以从另一方面给垃圾邮件攻击者以压力，迫使发送者必须按照一定的规范发送邮件。也就是说迫使邮件发送者只能从正常渠道，以正常方式发送邮件，从而使得邮件的发送处于受控状态。

垃圾邮件行为模式识别模型是完全不同其他邮件过滤技术或算法的技术，虽说依然是站在巨人的肩膀上，但通过推出这种行为识别技术，可以说是将目前的邮件过滤技术带入到下一代的技术革新中。相信不久的将来，在全球的邮件过滤器上都会应用到行为识别技术。

4.防火墙

关键字：多种技术齐头并进

作为网络安全领域的旗舰产品，防火墙发挥了重要的网络保护作用。但是随着网络应用的发展，对于各种网络危机的防范，传统的状态检测防火墙显得捉襟见肘。需求产生新的市场，市场促进技术发展，这个规则在网络安全领域同样有效。目前的防火墙已经不仅仅只是进行状态检测，还提供了更多的安全功能，从各个方面对网络安全威胁进行防护，主动扩大战线。

新一代np技术

用cpu、asic还是np，一直是大家不断争论的一个问题，其实这个问题非常简单。在能达到同样性能的情况下，优选cpu，其次是np，然后是asic。目前很多厂商使用cpu+特定业务asic来实现高速处理，这是比较常见的方式。在性能不能解决的情况下，选择np是必然的做法。但不管是ibm，还是intel的np，一个主要问题是开发成本太高，微码的开发难度和进度都不是普通公司能够短期搞定的，而带来的维护成本和对客户的响应速度都是很大的问题。这两年推出的新一代网络业务np，通过直接集成多个通用cpu在一个处理器中，既可以保证高性能，又能借助软件的灵活性处理高层业务数据。新一代np直接支持c语言和标准协议栈，性能高达10g，是期望中的业务网关处理芯片。使用新一代np技术的防火墙将会获得性能和功能上两全的保障。

4.1.防火墙深包检测

防火墙最初的功能就是进行访问控制、状态检测，以及地址转换功能。通过对报文网络层信息的检测，来实现在网络层上对报文的控制。比如，哪些用户可以访问哪些地址(访问控制)，哪些流量可以从外网进入内网(状态检测)，如何隐藏内部网络的地址(地址转换)。随着网络应用的发展，高层协议得到越来越多的应用，互联网也从多种协议并驾齐驱发展成少数应用协议成为主流。而针对这些协议，用户需要进行控制。比如，需要控制用户不能访问非法网址，带有恶意信息的报文不能进入内网。而这些功能，仅仅依靠传统防火墙技术实现的对网络层信息进行检查和判断，是不能实现的，需要检查报文中的更深层次的内容，于是发展出了深度检测技术。深度检测可以检测报文中的内容信息，从而实现url过滤、ftp命令过滤、网页中activex控件过滤等功能，达到控制应用内容的目的。集成深包检测的防火墙将会越来越多。通过深包检测对内容进行控制，而不仅仅是对网络层信息进行控制，使防火墙对智能攻击有了主动防护能力。

4.2.应用状态检测

安全领域中长期依赖、发挥最大作用的无非是状态防火墙，通过协议状态检测技术实现数据访问单向流动，从而有效的保护内部网络不受攻击。而对服务器，采取暴露端口的形式。随着应用的增多和对安全性要求的提高，对这种开放端口的服务器同样需要保护，在网络层状态检查的基础上需要扩展到应用层的状态检查，从而对暴露在网络中的服务器进行保护。这种趋势会产生一系列的应用层安全网关，比如web安全网关、语音安全网关等专用协议网关。当然，其网络位置不必是整个网络的出口，只要在保护资源的通路上即可。目前的专有过滤网关就是这一趋势的一个表现。这种技术在具体产品形态上表现为:防垃圾邮件网关——针对目前网络垃圾邮件泛滥的产品;应用防火墙——专门保护应用层安全的防火墙，其中的代表是web应用防火墙。

4.3.安全技术融合

传统的网络层安全技术，如nat、状态防火墙、vpn将不再作为专有设备，网络中路由器、交换机性能的提升和硬件构架的换代将直接提供网络层的安全功能，传统意义上的防火墙功能可以集成在路由器中。而另一方面，随着协议和接口的统一，防火墙也可以取代路由器或者交换机的位置。安全厂商或许会变化成网络设备厂商，网络设备厂商也能变为安全厂商，而由于积累的不同，网络设备厂商具有更大的优势。比如，现在的交换机成本和以前的hub一样，但是抛弃了原来的交换芯片，使用新的硬件，不但提供交换，而且提供安全和业务特性，将来会直接把安全延伸到整个内部网络，彻底解决目前的内网安全问题。那么，传统的安全厂商如何发展?
1、把自己融合进网络设备厂商。

2、向安全的新领域—业务安全(而不是网络安全)进军。

3、组建安全联盟，形成一个大的安全体系，自己成为其中一个基石。

4.4.vpn功能集成

从厂商的角度来说，希望一个环境中既使用vpn设备，又使用防火墙。但是，由于vpn设备对数据的隧道封装会导致防火墙设备上对vpn数据检测出现失准的现象，而同时维护两套配置策略也是没有必要的。为了减少重复处理，降低维护工作，提高防火墙的防护范围，直接在防火墙上集成vpn功能是非常有效的方法。如ipsec vpn、ssl vpn、l2tp vpn直接通过防火墙来支持，应用效果提高，而且降低了用户的投入成本。

防火墙技术在新的挑战下会继续向前发展，提供越来越多的智能和主动防御功能。防火墙中各个功能的协调工作，以及和网络中其他硬件、软件组件的配合联动，才能达到真正意义上的智能安全和主动防御。而这些，都需要安全厂商不断的创新。

5.反间谍软件

关键字：标准

与其他网络安全产品相比，反间谍软件可谓后起之秀，但它却是今年最耀眼的产品之一。

5.1.判断间谍软件的标准

对付间谍软件，第一个任务就是要有一个清晰的标准来定义它，并以此作为准绳进行判断和查杀。但难点恰巧是这个标准很难定义。通常情况下我们可以这样定义:任何在计算机用户不知不觉的情况下，秘密搜集使用者的相关信息，并将其发给幕后操纵者的软件都可以称之为间谍软件，但是，很多合法的广告软件实现的也是类似的功能，这使得界定起来非常困难。

有的人认为，可以通过传送信息的最终结果是否带有恶意来进行判定，但实际上，是否具有“恶意”，人类能够通过智力和直觉来判断，但要没有意识的计算机软件来进行区分，却难以实现。

由于缺乏统一的标准，不同的厂家都有不同的方式，像赛门铁克所采取的“风险影响模型”，就是综合多种行为因素，包括能否让用户自由选择删除等，来判定是不是间谍软件。

5.2.解决方案及向应机制

反间谍软件和防病毒类似，都需要一种可靠的解决方案和专门的研究及响应机制，来跟踪新的间谍软件风险，并及时提供随威胁变化而变化的升级版本。虽然恶意软件与传统病毒存在区别，但是防范它们的目标是相同的，即保护客户电脑不受有害软件的侵扰。

由于防病毒厂商能够迅速探测到全球爆发的威胁，在第一时间内发布计算机防护和恢复的安全更新，并且能够集中管理已部署解决方案，因此面对不断增长的间谍软件风险，防病毒厂商在提供长期全面解决方案方面拥有无可比拟的优势。

一款好的反间谍软件工具，要给用户提供实时的保护。不仅应该能够检测尽可能多的间谍软件，毫无残留地消除“间谍”在系统每一个角落中留下的残渣余孽，避免死灰复燃，还应该安装和部署简便，可以方便地升级间谍软件特征表。好的反间谍工具应该提供迅捷明了的状态显示报告，可以让用户及时了解间谍软件给公司造成多大的损害，最大的风险和威胁在哪里。当然，在企业中，一个方便管理的中央控制台也是必不可少的。反间谍软件可见的发展趋势和防病毒软件类似，也是依靠行为识别技术实现主动防御。

5.3.部署位置

目前，“从什么位置阻挡间谍软件是最有效的”这个问题还有争论。有的厂商认为应当从桌面阻止，因为移动技术在企业内的大量应用，使得越来越多的计算设备脱离了由网关所划定的安全疆域，如果用户在网关的保护之外感染了间谍软件，然后又再次接入网络，这台机器本身就成了协助“间谍”潜入的跳板。所以，先要保证每一个“内部成员”的可靠性。

而另外一部分厂商则认为，桌面工具始终是被动防线，“更好的”间谍软件总会突破这道防线。因此，应该在网关处采取防护措施。

当然，如果资金足够，企业应该采取多层次的防护措施来阻止间谍软件，这样才能收到理想的效果。