无论是互联网的设计者还是我们这些生存于其中的有机体，一个令我们始料未及的意外正改变着我们对它的认识，这就是随着网络的大规模膨胀以及网络应用的日趋复杂和多样性，“安全”似乎已是越来越遥远的理想国度，而现实则是一个混乱且充满危险的数字空间。

网络安全的新特征与趋势

　　今天，当一台不做认真加固的主机接入互联网，大约30秒后就已经被病毒或木马所感染！就在过去的一年里，曾经遭受到病毒、木马以及恶意代码威胁的用户已经超过全部网络用户的90%！在这些惊人的数字背后，我们发现网络安全问题正呈现出一系列新的特征和趋势。

特征之一 “攻防技术的不对称性正在加剧”

　　从前，开发一个新的“木马”需要经过复杂的漏洞分析；攻击代码的开发；病毒或被植入代码的开发；溢出后处理与植入过程开发；复杂且隐蔽的私有通信协议的实现。完成所有这些工作，需要对软件设计、网络通信技术、操作系统实现、硬件技术、甚至是被攻击对象的设计与实现有着深入的理解和丰富的经验。

　　而今天，各种黑客软件甚至是病毒或木马的开发工具包可以轻易的在互联网上获得。一个完整的木马开发工具包不但提供了具有良好的结构化设计的木马开发环境，还有大量的实例和恶意代码资源提供，一个“年轻”的黑客学徒只需要点点鼠标，一个制作精良的已知木马的变种就诞生了。

　　而那些“资深”黑客则将更多的精力投入新的漏洞的发现，一旦新的漏洞被发现，他只需要将攻击这个漏洞的模块加入木马的开发工具包，然后点点鼠标，一个我们所不知道的新型木马就这样诞生了。且在它对网络构成明显的大规模危害之前，我们根本不会注意到它的存在。即便是在我们惊恐地发现它之后，通过逆向工程的方法找出它所利用的漏洞，并修补这个漏洞，此时我们所花费的时间和代价已经远远超过制造它时的花费，更糟的是此时互联网中可能已经有超过50%的主机被感染。新的补丁虽然能够亡羊补牢，但对已经造成的损失则毫无办法。

特征之二 “威胁的形态呈现出多样化和快速蔓延趋势”

　　从引导型病毒开始，通常在一个技术时期里我们所遭受的主要威胁只是少数的几种形态。而今天，随着基于应用的各种新的威胁形态的出现，以及传统技术与新技术的融合导致新的威胁在形态方面与从前相比变得更加复杂和多样。尤其是在传统网络安全体系对应用安全的防护能力不足的现实条件下，针对应用的安全威胁在种类和数量上都呈现出快速增长和蔓延的趋势。

　　在速度方面基于网络传播的各种病毒、木马和恶意代码的扩散速度和效率早已远远超过了人为响应的速度和效率极限。如下图：2005年主要的安全威胁形态统计（源自：IDC，2005）

特征之三 “威胁制造者的目的更具有现实的危险性”

　　这是信息安全危害向传统意义刑事犯罪发展的一个重要特征。与早期互联网黑客出于对技术的追求以及恶作剧的心理相比。今天出现的诸如网络钓鱼、网络恐怖主义等行为已经超出了传统“网络安全”的技术内涵。这一趋势将使得信息安全的威胁变得更加现实和紧迫。

特征之四 “非传统信息安全问题正在迅速蔓延”

　　与具有明确利益驱动的安全威胁相比较，VOIP以及P2P应用造成的带宽滥用；垃圾邮件；以及IM应用造成的信息泄漏和管理成本的上升，对企业用户在网络资源的管理，关键业务的保障，以及传统的企业管理方面构成了新的挑战。

信息安全需求与产品现状之间的差距

　　回顾传统的网络安全技术的发展，防火墙技术的出现为早期的网络带来了里程碑式的技术革命，然而好景不长，很快我们就发现早期的“包过滤”技术只是“一道浅浅的篱笆墙”而已，随后出现的应用代理技术是一个堪称理想的创意，然而巨大的性能瓶颈导致我们最终不得不放弃这个复杂的设计。

　　在这之后出现的就是我们今天所熟悉的“基于状态”的防火墙技术，这多少是带有一些工程化的折衷方案特点的结果。为了弥补由于这种“折衷”所带来的缺陷——防火墙在应用层检测能力的不足，IDS出现了。

　　IDS的巧妙之处在于它几乎完全回避了设备自身的性能和实效性问题对网络通信造成的影响。然而缺点也是显而易见的——IDS几乎不能对网络中的活动采取任何干预行为。另一个令人头痛的问题是由于IDS的“误警”与“漏警”而导致其技术可信度的严重下降。

　　与此同时，用户在面临安全问题时所采取的主要措施仍然是购买安全产品，在IDC的调查报告中我们发现，超过97%的被访者都购置了不同种类和规模的安全设备，但一个有趣的现象是在遇到安全威胁时有80%的被访者认为还是需要靠自己解决问题。

　　一部分原因是由于现有的单一安全产品大多是为解决某一类具体问题而设计的，因此无法满足愈加复杂和多样化的安全需求，比如传统的防火墙等单纯的访问控制类产品在设计上就缺乏对于应用和内容安全的检查能力。

　　另一方面，一些安全产品则根本不具备解决问题的能力，比如IDS由于采用旁路监听的工作模式，所以也就谈不上“主动防御”了。而防病毒系统和补丁系统由于大量分布于网络中很难做到有效和统一管理。这使得用户不得不花费大量精力试图将这些单一的产品简单组合或集成起来工作，以弥补各自的缺陷，然而这一努力尽管异常复杂但却收效甚微。

　　这就形成了一个尴尬的局面，用户一面在不停的购买各种安全产品，另一方面，当复杂的威胁发生时却发现手中的诸多安全设备竟不能有效的解决问题。这正好印证了著名的“木桶理论”，即由于现有的单一安全产品在设计上都存在一些明显的“短板”，导致在面临某些复杂和多元化的安全需求时恰好都显得无能为力。而试图将这些功能各异的产品集成在一起以弥补各自“缺陷”的努力，不但极大的增加了维护工作得复杂度和工作量，且往往无法达到预期的效果。

UTM与IPS的市场呼唤

　　正是由于在安全技术的发展过程中越来越清晰地呈现出的安全需求与产品现状之间的差距，使我们开始重新构思新的技术和产品。那么，首先要做的就是根据“木桶理论”弥补现有产品中的“短板”，使新的产品具备更完整和更有效的功能。其次是需要这项技术应该拥有至少与防火墙相同的网络活动干预能力和部署特点；应该具备一个全新的检测模型，从而消除“精度缺陷”所带来的困扰。最后，也是最重要的，这项技术的实现方案应该保证具有与其应用环境相匹配的性能与可靠性。

　　统一威胁管理（UTM）与网络入侵防护(IPS)作为新锐安全技术的象征，正逐渐成为市场的新宠。那么，这两类产品（或者说技术）究竟是如何诞生和发展的？他们在产品技术和市场定位上又有何渊源？如何解读这两类产品与我们客观的安全需求之间的契合与差距？未来的技术和市场发展会有哪些可能的趋势？