安全内容管理伴随隐患激增应运而生

　　在美国蛮荒西部的鼎盛时期，在每个县治安官的办公室外面张贴通缉布告足以控制不法分子。但是一旦后来人口不断增加、文明程度越来越高，张贴通缉布告的做法应付不了犯罪活动数量增长、日益复杂的形势。

　　你怎么才能知道某个人是不是被宣布无罪还是受到了不公正的指控?蹲过班房、不再逍遥法外的人该怎么办?谁也不知道幕后凶手的犯罪案例该怎么处理?结果，司法体系随之完善起来。

　　如今的企业领域出现了类似的一幕。近些年来，向为作为安全基石的反病毒软件一直步履维艰，这主要归因于企业内容数量呈爆炸式增长。

　　IDC公司安全管理部门的研究经理Brian Burke说：“互联网、消息传送以及万维网内容的出现，已经改变了员工处理日常业务活动的方式。因而，CIO和IT管理人员日益寻求解决方案，以便有助于执行公司政策、遵守隐私法规、减小法律责任、提高员工生产力，并且降低网络带宽的耗用。”

　　在他看来，内容已经改变了企业安全的要求，并揭露了这个事实：再也不能光靠反病毒软件了。如今出现了名为安全内容管理(SCM)的一个新市场，从而满足人们对基于策略的互联网管理工具的要求，以便管理万维网内容、消息传送安全、病毒防护以及可下载应用程序的执行。

　　据IDC公司的一项调查显示，预计2007年全球SCM软件的收入增长至62亿美元;在接下来的五年，每年增长率有望达到18.4%。最终，这个市场将涵盖反病毒软件市场(目前该市场收入为16.7亿美元)，并且规模大大超过后者。

　　反病毒软件的不足

　　几年前的“梅丽莎”和“爱虫”攻击实际上改变了游戏规则。只要有人打开受感染的附件，服务器就会遭到破坏、公司网络的安全岌岌可危。随着病毒数量急剧增长，反病毒软件厂商们采取的对策是迅速发布病毒特征的更新版本。不过等到这时，破坏局面常常业已造成。

　　如此看来，反病毒软件从本质上来说是一种被动的安全方案，酷似美国蛮荒西部时期的通缉布告：不法分子杀了人，随后县治安官制作通缉布告，四处张贴;类似的是，病毒破坏了数千个企业系统上的文件，随后安全厂商发布新的病毒特征，供人下载。这对受害者来说安慰实在很小。而且不能保证同一个不法分子稍加改头换面之后，再次行凶;改头换面之后的病毒变种长驱直入、突破现有的安全防线，等厂商们发现这个新变种、开发出另一批病毒特征后，为时已晚。

　　一波波新的威胁进一步体现了以反病毒软件为中心的安全所担负的责任。用户用不着打开邮件，就可以让网络暴露无遗。如今，人们只要连接到网络上，就会被感染。而让情况更糟糕的是，现代攻击采取了混合方法――它们通过电子邮件、下载软件、网页元素、甚至共享文件夹等途径来扩散。

　　Burke说：“像‘红色代码’和‘尼姆达’这些最近的网络攻击清楚地证明了这点，即如今黑客和骇客的能力得到了大大提高。精心设计的混合威胁就是为了突破采取单点解决方案的安全产品。”

　　如今，攻击者可以偷偷建立管理员帐户、覆盖文件、导出数据、把病毒传输到地址簿上的其他用户，以及生成大批量流量让电子邮件服务器和网络不堪重负。Klex及无数变种以及随后在2003年出现的SoBig、Lirva、SQL Slammer和Yaha等病毒攻击证明了，这类威胁如何能够在短短几分钟迅速传播开来。还要留意最新一代的攻击，它们借助于利用对等网络、手持设备、手机和即时通讯的病毒来实施。

　　在如今的企业领域，单单反病毒软件应对不了内容安全方面的挑战，比如混合病毒威胁、间谍软件、成人内容网站、可下载的音频和视频(这涉及严重的版权责任)、公司机密信息以及ActiveX和Java等内容代码。一旦遇到复杂的内容，反病毒软件采用的反应迟钝的Yes/No逻辑系统就无能为力。

　　比如说，就电子邮件这么简单的内容而言，公司的反病毒软件产品(内置了垃圾邮件过滤器)常常会阻挡合法流量。尤其是新客户机通常被标为垃圾邮件，发送图形文件到营销部门、或者发送PowerPoint演示文档到公关部门的合作伙伴也是如此。

　　此外，有些采购人员和IT员工把自己列入白名单，才能收到来自某些渠道的许多产品宣布以及资讯内容，以便随时获取某些方面的最新近况和宣布。可是这类流量通常被标为垃圾邮件。

　　安全管理需要提升到新水平

　　如果你考虑到诸如 Active X 和 Java 之类的内容代码，基于反病毒软件的产品更是摇摇欲坠。许多企业软件系统利用了嵌入式活动代码用于日常的企业对企业(B2B)交易。有些组织机构也利用嵌入式代码为成员授予访问只向成员开放的门户网站的权限。在这种情况下，你就得求助于IT部门改动权限，以便可以访问这类代码。

　　因而，内容需要一种新的安全方案以及相关方法，这种方案既包括了现有反病毒技术的强项，又把企业安全带到了更高的水平。

　　Burke说：“为公司网络提供全面保护的最佳方式就是，借助于利用了分层安全应用程序的集成方案。由于混合威胁携带危害性更大的恶意内容，分层方案将变得更加至关重要。”

　　虽然像赛门铁克和Network Associates这些确立了牢固地位的安全领导厂商似乎仍在采取这种做法：为基于反病毒技术的现有平台逐步添加附件，但冠群(CA)公司已采取了一种不同的战略，围绕SCM概念重新构建其安全平台。正因为如此，反病毒软件只是更全面的安全平台的一部分。

　　如此看来，SCM的四大支柱是：

　　·反病毒软件

　　·电子邮件与内容安全

　　·万维网安全

　　·恶意代码防范机制

　　冠群公司的首席安全战略师Ron Moritz说：“不像仅仅阻挡不够有效的反病毒软件，内容安全需要一种不同的思路，以便同时满足业务需要和安全需要。”

　　就拿电子邮件来说。需要智能过滤技术，利用多个参数把宝贵流量与垃圾邮件分离开来，而不是采用简单的过滤器来阻挡某几类特定的流量。万维网安全方面也是同样：应当允许哪些访问以提高公司的生产力、阻挡哪些访问?为了把使办公室员工分心的网站与带来价值的网站正确分离开来，同样需要加强智能化。

　　如果你考虑往往不太重要的格式，比如MP3，很快就会发现需要智能过滤。比方说，加利福尼亚南方葡萄酒与烈酒公司(SWS)的IT员工需要腾出宝贵的存储空间;他们经过一番简单的搜索后，把占用大量空间的MP3格式文件标了出来。

　　这家公司的网络主管Robert Madewell说：“我们删除了营销部门的演示文档中所用的大批MP3文件。要是我们不删除这些文件，就会遇到大麻烦。”

　　遗憾的是，许多公司不是这么幸运;它们删除或者阻挡了大量的合法流量。而SCM工具有助于正确地把与业务有关的内容标出来。

　　如今第一代SMC产品开始出现在市面上。它们一般包括以下功能：反病毒;只阻挡恶意代码的主动识别功能;针对垃圾邮件和不良URL的智能过滤功能;防范通过电子邮件传输专有信息和机密信息的关键字识别功能;以及集中管理所有方面、从而简化安全管理任务的功能。

　　不过，至于SCM最终会不会结束企业安全的蛮荒时期，还是攻击者们完全开发出更狡猾的办法绕过组织机构的防线，那还需拭目以待。