邊界，本來的含義指不同國家之間領(lǐng)土劃分時采用的一條界線。在網(wǎng)絡(luò)安全領(lǐng)域也應(yīng)當(dāng)有邊界：如果我們能在不同的程序與文件進(jìn)入計算機(jī)前劃定一條嚴(yán)格的邊界、進(jìn)入之后進(jìn)行嚴(yán)密的監(jiān)控，那么就相當(dāng)于鎖定了防御的范圍，也才有防御的可能。

[[113225]]

之前，信息安全企業(yè)就一直嘗試通過技術(shù)手段，將外部的不安全因素控制在內(nèi)部網(wǎng)絡(luò)之外。但是，外界的病毒及入侵事件還是不可避免的發(fā)生了。原因在于：傳統(tǒng)的反病毒軟件基于黑名單技術(shù)，沒有搭載邊界管理功能;缺乏精細(xì)化管控的反病毒老產(chǎn)品，很難應(yīng)對今天的邊界多樣化和模糊化后的安全防護(hù)需求。

我們到底允許什么樣的文件或者程序可以通過什么方式進(jìn)入計算機(jī)網(wǎng)絡(luò)?之前缺少終端管控策略和技術(shù)時，文件與程序進(jìn)入前是未知的，進(jìn)入時的方式是多樣的，進(jìn)入之后是不可控的。我們注意到：文件與程序進(jìn)入前的未知體現(xiàn)在他們是否含毒、被注入木馬并不知道，是否讓他們互聯(lián)網(wǎng)、郵件、網(wǎng)絡(luò)、移動設(shè)備等入口進(jìn)入并放行更不知道;進(jìn)入之后，相關(guān)程序是否進(jìn)行違規(guī)操作，我們也不知道。

進(jìn)入時沒有邊界，進(jìn)入后沒有監(jiān)控，就相當(dāng)于一切都在一個黑盒子中運行，計算機(jī)的內(nèi)部世界始終處于混沌與未知狀態(tài)。如果我們能在所有的文件和程序進(jìn)入終端前進(jìn)行前置掃描，文件和程序進(jìn)入計算機(jī)后進(jìn)行監(jiān)控、檢查、文件傳送記錄，以強(qiáng)管控的模式實現(xiàn)對邊界的掌控，則能最大限度地達(dá)成企業(yè)內(nèi)部計算機(jī)的安全防護(hù)。

有研究表示，超過90%的安全威脅，都是從應(yīng)用終端的邊界進(jìn)入。這些邊界包括互聯(lián)網(wǎng)下載、移動設(shè)備拷貝、郵件傳輸、即時通信傳送、網(wǎng)絡(luò)共享等，許多企業(yè)因為大量資料沒有能夠?qū)ζ溥M(jìn)行安全保護(hù)，成為攻擊者的重點目標(biāo)。雖然之前傳統(tǒng)的企業(yè)殺毒軟件中已經(jīng)在嘗試研究邊界防御的技術(shù)(通過掃描+進(jìn)程監(jiān)控的方式達(dá)成邊界的控制)，然而邊界對象不明確，單點執(zhí)行，功能之間無有效協(xié)同等缺點，導(dǎo)致了傳統(tǒng)企業(yè)殺毒軟件在技術(shù)上早已不能應(yīng)對終端邊界的復(fù)雜形勢。一旦一臺計算機(jī)被病毒感染，將可能導(dǎo)致整個網(wǎng)絡(luò)內(nèi)所有終端PC感染病毒。

我們需要將反病毒軟件的邊界防御技術(shù)提高到邊界精細(xì)化智能管理，并有效達(dá)成對邊界的全面管控，也只有這樣，才能有效保護(hù)企業(yè)網(wǎng)絡(luò)和應(yīng)用的邊界安全。我們認(rèn)為，邊界的精細(xì)化智能管控可以達(dá)到如下價值：

控邊界：通過對邊界來源進(jìn)行細(xì)分，當(dāng)程序進(jìn)入電腦時，通過對外界程序進(jìn)入電腦的監(jiān)控、檢查，在病毒尚未被運行時即可被判定為安全或不安全，讓病毒程序得不到執(zhí)行的機(jī)會，實現(xiàn)前置主動防御。

持續(xù)行為監(jiān)控：當(dāng)文件經(jīng)過入口監(jiān)控進(jìn)入環(huán)境后，通過增加進(jìn)程監(jiān)控、注冊表監(jiān)控、驅(qū)動監(jiān)控、聯(lián)動防御云等方式，對其行為等綜合安全性進(jìn)行判斷，確保未知、定向攻擊、間接白文件利用等威脅手法入侵環(huán)境。

文件管理：通過對海量信息的采集、分析、關(guān)聯(lián)、匯聚和統(tǒng)一處理，實時輸出分析報告，便于事后分析與決策。此外，選配動靜態(tài)鑒定器后還將具有強(qiáng)大的灰文件處理能力。

這樣的技術(shù)原理是受到物業(yè)管理的啟發(fā)，認(rèn)為企業(yè)網(wǎng)絡(luò)環(huán)境就像小區(qū)環(huán)境一樣，通過對進(jìn)入的業(yè)主掃門禁卡、汽車使用停車證、摩托車車牌登記等進(jìn)行分類別管理，數(shù)據(jù)統(tǒng)一登記存儲。在小區(qū)內(nèi)部，通過攝像頭監(jiān)控各小區(qū)環(huán)境(包含人、車的各種動向)，并把圖像存儲在服務(wù)器端，一旦發(fā)現(xiàn)有可疑人員或事件發(fā)生，即可調(diào)集數(shù)據(jù)與進(jìn)入的數(shù)據(jù)進(jìn)行比對分析，或者在事件未發(fā)生之前，即可通過對圖像中的行為進(jìn)行判斷，及時發(fā)現(xiàn)可疑點并遏制。從而實現(xiàn)進(jìn)出口信息、小區(qū)監(jiān)控信息、樓道信息的關(guān)聯(lián)。

“基于未知安全的邊界管理才是新一代企業(yè)反病毒軟件的核心。”金山安全專家關(guān)成雷說：“基于海量黑白知識庫才能管好邊界，憑借云端安全策略才能達(dá)成智能防范。”根據(jù)這一思想，金山在5月16日推出的企業(yè)終端防護(hù)優(yōu)化系統(tǒng)V8.0新產(chǎn)品中增加的邊界管理，可對各種進(jìn)入終端的未知文件進(jìn)行前置掃描、分類管理、來源管理、事后追溯及安全審計。用戶選配金山的智能鑒定系統(tǒng)后還將具有強(qiáng)大的未知文件處理能力，從而實現(xiàn)對病毒、木馬等惡意軟件的前置主動防御，達(dá)成對未知文件的處理，這相當(dāng)于給企業(yè)的內(nèi)網(wǎng)構(gòu)建了一條“安全護(hù)城河”。

無邊界，不安全;無邊界管理的企業(yè)反病毒軟件終將被市場所淘汰。