邊界，本來的含義指不同國家之間領土劃分時采用的一條界線。在網(wǎng)絡安全領域也應當有邊界：如果我們能在不同的程序與文件進入計算機前劃定一條嚴格的邊界、進入之后進行嚴密的監(jiān)控，那么就相當于鎖定了防御的范圍，也才有防御的可能。

[[113225]]

之前，信息安全企業(yè)就一直嘗試通過技術手段，將外部的不安全因素控制在內(nèi)部網(wǎng)絡之外。但是，外界的病毒及入侵事件還是不可避免的發(fā)生了。原因在于：傳統(tǒng)的反病毒軟件基于黑名單技術，沒有搭載邊界管理功能;缺乏精細化管控的反病毒老產(chǎn)品，很難應對今天的邊界多樣化和模糊化后的安全防護需求。

我們到底允許什么樣的文件或者程序可以通過什么方式進入計算機網(wǎng)絡?之前缺少終端管控策略和技術時，文件與程序進入前是未知的，進入時的方式是多樣的，進入之后是不可控的。我們注意到：文件與程序進入前的未知體現(xiàn)在他們是否含毒、被注入木馬并不知道，是否讓他們互聯(lián)網(wǎng)、郵件、網(wǎng)絡、移動設備等入口進入并放行更不知道;進入之后，相關程序是否進行違規(guī)操作，我們也不知道。

進入時沒有邊界，進入后沒有監(jiān)控，就相當于一切都在一個黑盒子中運行，計算機的內(nèi)部世界始終處于混沌與未知狀態(tài)。如果我們能在所有的文件和程序進入終端前進行前置掃描，文件和程序進入計算機后進行監(jiān)控、檢查、文件傳送記錄，以強管控的模式實現(xiàn)對邊界的掌控，則能最大限度地達成企業(yè)內(nèi)部計算機的安全防護。

有研究表示，超過90%的安全威脅，都是從應用終端的邊界進入。這些邊界包括互聯(lián)網(wǎng)下載、移動設備拷貝、郵件傳輸、即時通信傳送、網(wǎng)絡共享等，許多企業(yè)因為大量資料沒有能夠?qū)ζ溥M行安全保護，成為攻擊者的重點目標。雖然之前傳統(tǒng)的企業(yè)殺毒軟件中已經(jīng)在嘗試研究邊界防御的技術(通過掃描+進程監(jiān)控的方式達成邊界的控制)，然而邊界對象不明確，單點執(zhí)行，功能之間無有效協(xié)同等缺點，導致了傳統(tǒng)企業(yè)殺毒軟件在技術上早已不能應對終端邊界的復雜形勢。一旦一臺計算機被病毒感染，將可能導致整個網(wǎng)絡內(nèi)所有終端PC感染病毒。

我們需要將反病毒軟件的邊界防御技術提高到邊界精細化智能管理，并有效達成對邊界的全面管控，也只有這樣，才能有效保護企業(yè)網(wǎng)絡和應用的邊界安全。我們認為，邊界的精細化智能管控可以達到如下價值：

控邊界：通過對邊界來源進行細分，當程序進入電腦時，通過對外界程序進入電腦的監(jiān)控、檢查，在病毒尚未被運行時即可被判定為安全或不安全，讓病毒程序得不到執(zhí)行的機會，實現(xiàn)前置主動防御。

持續(xù)行為監(jiān)控：當文件經(jīng)過入口監(jiān)控進入環(huán)境后，通過增加進程監(jiān)控、注冊表監(jiān)控、驅(qū)動監(jiān)控、聯(lián)動防御云等方式，對其行為等綜合安全性進行判斷，確保未知、定向攻擊、間接白文件利用等威脅手法入侵環(huán)境。

文件管理：通過對海量信息的采集、分析、關聯(lián)、匯聚和統(tǒng)一處理，實時輸出分析報告，便于事后分析與決策。此外，選配動靜態(tài)鑒定器后還將具有強大的灰文件處理能力。

這樣的技術原理是受到物業(yè)管理的啟發(fā)，認為企業(yè)網(wǎng)絡環(huán)境就像小區(qū)環(huán)境一樣，通過對進入的業(yè)主掃門禁卡、汽車使用停車證、摩托車車牌登記等進行分類別管理，數(shù)據(jù)統(tǒng)一登記存儲。在小區(qū)內(nèi)部，通過攝像頭監(jiān)控各小區(qū)環(huán)境(包含人、車的各種動向)，并把圖像存儲在服務器端，一旦發(fā)現(xiàn)有可疑人員或事件發(fā)生，即可調(diào)集數(shù)據(jù)與進入的數(shù)據(jù)進行比對分析，或者在事件未發(fā)生之前，即可通過對圖像中的行為進行判斷，及時發(fā)現(xiàn)可疑點并遏制。從而實現(xiàn)進出口信息、小區(qū)監(jiān)控信息、樓道信息的關聯(lián)。

“基于未知安全的邊界管理才是新一代企業(yè)反病毒軟件的核心。”金山安全專家關成雷說：“基于海量黑白知識庫才能管好邊界，憑借云端安全策略才能達成智能防范。”根據(jù)這一思想，金山在5月16日推出的企業(yè)終端防護優(yōu)化系統(tǒng)V8.0新產(chǎn)品中增加的邊界管理，可對各種進入終端的未知文件進行前置掃描、分類管理、來源管理、事后追溯及安全審計。用戶選配金山的智能鑒定系統(tǒng)后還將具有強大的未知文件處理能力，從而實現(xiàn)對病毒、木馬等惡意軟件的前置主動防御，達成對未知文件的處理，這相當于給企業(yè)的內(nèi)網(wǎng)構(gòu)建了一條“安全護城河”。

無邊界，不安全;無邊界管理的企業(yè)反病毒軟件終將被市場所淘汰。