变化中的必然

应该说，相对于信息安全的其他部分，内容安全目前是一个庞大而复杂的新生事物。其诞生并非单纯依靠某种安全技术的突破，而是一系列终端用户的需求与全社会、乃至全世界整体安全环境变革中催生的产物。

换句话说，内容安全并非单一产品，也不是一蹴而就的某种安全方案，其发展的基础是用户具有固定的IT计算环境，包括了基础设施建设基本齐全、具有基本的技术维护力量，更重要的，企业的IT资产已经成为企业的核心资产之一，其与企业的业务运营密切相连。在这种基础上，随着企业对于安全更加关注，对于风险管控有了自己的安全意识，才会进一步催生内容安全的需求。

此前ArcSight中国区技术顾问崔玥先生在接受本报独家专访时表示，目前实际的市场环境发出了一个明确的信号：内容安全毫无疑问已经成为安全发展的必然趋势，在安全基础设施完备后，内容安全即成为安全防护的必然选择。因为据调查，现有的安全攻击，高达70%是从内部攻击或威胁引起，所以除了对基础设施需要做好安全防御，如何监控内网用户的行为已经成为内容安全所要掌控的问题。

对此持同样看法的还有卫士通公司副总工程师罗俊先生。他说：“随着防火墙等访问控制设备、VPN等加密认证网关、CA等公钥基础设施这些网络安全基础设施的基本建成，安全的传输信息的问题已经得到解决，那么如何安全地使用信息呢？信息高速公路的最终目的是提供有用的信息，为了保证信息的可用性，内容安全将是信息安全的下一步发展趋势和终极目标。而内容安全所固有的复杂性和多变性，决定了内容安全将是信息安全永恒的主题。”

不过需要指出的是，事物的发展并非绝对。此前记者曾在《用哲学的观点看安全》一文中表示，安全是运动的，其自身的发展体现了一个辩证的过程，因为没有用户敢说自己的网络、系统是绝对安全的，这也是业界存在诸多安全解决方案的原因之一。

本着这个看法，深信服公司高级产品经理邱德文先生谨慎地表示，内容安全的兴起是对传统安全的一个有力补充。由于信息技术的持续深化应用，在这个过程中大家发现单纯依靠传统的安全措施已经不够安全，这才促使内容安全的兴起。但是否谓之“必然”，目前不能过早得出结论，还需要看内容安全的推动力如何才行。

技术井喷

内容安全技术的演变过程体现了一个逐步积累，从量变到质变的过程。根据IDC的定义，一个标准的内容安全管理（Security Content Management）领域至少需要包括防病毒（恶意代码、间谍软件等）、网页过滤、邮件过滤、加密、异常行为分析以及安全管理。
与两年前相比，进入2008年以来，随着互联网环境的变化，内容安全技术自身不仅在不断变革，而且出现了百花齐放，诸多技术齐头并进的局面。

想象一下，一个与Internet互联的局域网，安全的问题不外乎是由于“人”借助“终端设备”访问和使用各种“网络应用”而引起的，所以内容安全显然包括Web浏览、Email收发、网络发帖、IM聊天等网络应用，但究竟如何对这些网络应用进行安全检查和过滤，各厂商因实力不同而效果不同了。

除此之外，邱德文认为当前需要对“人”和“终端”加以特别关注，而这是很多用户经常会忽略的一个问题。“业界诸多设备和解决方案各有专司，但都是为了强化客户的安全环境而出现。这些设备和解决方案之间丝毫没有竞争是不现实的，关键是要看客户当前面临的最大问题是什么、最迫切需要解决的问题是什么。”

而浪潮集团信息安全技术总监孙大军认为，如果把内容安全当成一个技术概念来理解的话，其主要是指对网络上流入流出的应用数据进行控制，如：哪些可以用、哪些不用能，哪些能通过，哪此不能通过等等。而对于产品来说，其表现形式是多种多样的，再加上安全产品也正在向多种功能融合的方向发展，所以很多传统安全产品都集成了内容安全的功能（应用防火墙、终端安全管理），也有一些专门的内容安全产品融合其他传统安全的安全功能（上网行为管理、Web防御产品）。

当然，同属内容安全的范畴，并不意味着产品的侧重也相同。对此罗俊分别介绍说，应用防火墙综合性比较强，涵盖内容过滤、垃圾邮件处理、防病毒和入侵防御的各个方面，有的厂家还提供代理对应用进行加速；上网行为管理着重点在于对于企业内网用户的网络行为进行管控，完整的上网行为管理产品一般包括Web过滤、应用控制、外联控制、带宽管理、信息监控、行为审计和P2P/IM管理等功能；URL过滤、Web安全防御属于加强型的专有安全设备，功能相对单一，性能优势明显；风险分析属于安全管理和安全保障范畴，源自内容安全，又服务于内容安全。

另外，细心的读者也许还记得，在今年四月份本报组织的“2008中国网络安全巡展”活动中，趋势科技产品营销经理徐学龙先生提出，当前内容安全技术正一步一步从“近身肉搏技术”向“远程防御技术”演变。

近身肉搏技术是指，只有恶意信息进入被保护的网络后才进行识别防护，常用的技术形态如特征码比对、启发式智能分析、关键字过滤等。
而远程防御技术则主要是指，在恶意信息尚未进入被保护网络的时候，当连接建立时就对目标信息源的安全等级进行评估，及时对高风险恶意信息进行阻止。常用的技术形态如邮件信誉评估、Web信誉评估、文件信誉评估等。

之所以发生这样的演变，主是是因为恶意程序的数量急剧增长，已知恶意程序占所有恶意程序的百分比越来越小，必须采用更加动态、灵活的安全技术才能有效地解决面临的安全风险。

最后，崔玥提醒企业用户注意一点，当前业内提出的各种安全技术或产品都是从不同的角度和层面去针对内容安全进行防护和监测，这些技术或产品之间更多的是互补关系，而非竞争关系，因为针对内容安全防护和监测的技术和手段是取决于被保护对象和防御对象的。

比如，针对内部员工行为的内容安全防护和针对互联网内容安全攻击的防护，两者需要的技术是不同的，即使同时针对内部员工行为管理，上网行为内容、系统操作行为内容等等不同层面的管理也需要不同的技术来实现。

他认为当前的技术需要一种能够“融合”的交集，因为以上种种的技术或产品都会提供不同层面的安全信息，可是如何把这种种信息连接起来并作出关联比较，从中找出真正要解决的内部威胁，以至加强对带有嫌疑的员工的监控，这就需要一个管理平台去收集各种的日志与事件加以分析。

突破性能瓶颈

一般来说，凡是涉及到应用层安全的设备，都会面对性能瓶颈的挑战，这方面目前有无良好的解决方案？多核算是一个好的选择么？硬件是否会比软件更有优势呢？

针对当前主流用户的质疑，邱德文的看法是，优化的硬件架构、高性能的硬件配置、改进的软件系统等都能一定程度的提升性能，尤其在记录、审计用户的网络行为日志时，独立于网关设备的海量日志中心，将极大改善网关设备的性能。性能的提升是一个综合的过程，这其中多核技术也是不可或缺的一部分。

硬件是否会比软件更有优势？这包含两个层面，纯软件的解决方案一般需要安装在Windows等操作系统上，由于受制于操作系统，其在性能方面容易产生瓶颈；借助于专用网络硬件平台实现的解决方案，其性能将会有极大的保障。

但用户要注意的是，这样做仍然有一定问题。由于内容安全涉及到应用层数据和行为的识别和过滤，不同于传统的交换机、防火墙，其硬件ASIC实现难度非常大。

“纵观业界，有哪个厂商能够使用ASIC硬件实现对QQ聊天内容的记录呢？即使今天能记录，腾讯明天就更新一个新版本的QQ，ASIC硬件能吗？所以由于业务的不同、方向不同，目前看基于专用网络硬件平台+软件系统的解决方案仍然是首选。”

对此罗俊的看法是，面对性能瓶颈，内容安全厂商先后有NP、ASIC、多核等解决方案出现。现在看起来，多核应该是一个比较好的选择，ASIC牺牲了100%的灵活性，获得了100%的性能，因此适应面比较窄，适合复杂度较低、性能要求特别高的环境；多核拥有100%的灵活性，同时赢得了80%以上的性能，相对于编程困难、难于推广的NP，优势不言而喻。实际上，NP中多个微引擎的处理方法体现的就是多核的思想，只不过并行度和单元处理能力要弱得多，算是一种不成熟的多核技术。

对此孙大军认为，目前针对内容安全一个比较理想的解决方案是“通用硬件平台和专用硬件平台”的结合，由专用硬件来处理内容过滤，而由通用平台来处理其他工作，这样来达到一个平衡。为了提高通用硬件的性能，采用多核技术来实现是一个没有办法选择，但这不会从本质上来改善通用架构的缺陷----如果处理不好容易造成性能瓶颈。事实上，此前记者曾经撰文指出，多核在操作系统开发与业务调度上的难题已经困扰了很大一批跃跃欲试的安全厂商。

另外，徐学龙表示，除了硬件体系结构的更新，还可以采用其他方式提升设备性能。比如，一方面通过信誉评估技术的大量采用，可以有效地在连接层上阻止恶意风险，这样大大提高了安全产品的处理能力。另一方面，现在越来越多的内容安全产品开始支持多种负载均衡技术，如可通过WCCP、ICAP、L4交换机实现负载均衡，从而最大程度降低对网络性能的影响。

而具备类似策略的还有Websense。据Websense技术顾问陈刚介绍，针对性能瓶颈的最佳处理方式是将实时内容扫描与分析的工作减少。即主要的内容分析工作都交由Websense全球实验室完成，客户这边其实是在享用实验室的分析成果，从而减少因实时内容扫描与分析带来的性能影响。

不过，陈刚反对将软件、硬件与性能划等号的说法。他说：“软件与硬件的解决方案之间并没有直接的优劣关系，取决于彼此的扩展性。软件的扩展性是显而易见的，硬件的扩展性则应厂商不同而有所不同。多核及ASIC等各种类似的硬件技术提升都有可能会帮到内容安全厂商；而采用软件的设计同时也可以更方便的配合各种硬件技术的发展，以便为不同需求的客户寻求不同的集成解决方案。”

内容安全  实施有道

对企业用户来说，除了要选择适合自己的内容安全产品与方案，具体的应用部署环节也不能忽视。一般来说，新方案在部署时至少要能够与企业原有的网络结构、应用环境妥善融合，并且解决当前关注的问题。

以时下流行的上网行为管理产品为例，网关、网桥、旁路是三种典型的部署方式，如果用户对管理控制功能要求高，则显然不能采用旁路部署，但无论哪种部署方式，独立的海量日志存储中心，都是在进行行为审计和避免法律风险时需要考虑的。

另外，在内容安全产品的部署与应用上，最忌讳的就是简单的堆砌各种产品，重复投资姑且不说，实际效果绝对是1+1<2甚至1+1<1，因为众多的产品串联在一起容易形成瓶颈，各自为战的工作方式也形不成合力，还会互相干扰，最后往往是重复的做了大量的无用功。必须在有针对的分析自身的网络环境和应用业务的前提下，形成总体的安全对策，采用统一的管理模式。

对用户而言，具体部署上的复杂度取决于用户的需求、企业现有的网络环境等，比如用户现有AD域控服务器与所部署安全设备的单点登录功能结合，将极大地方便用户账户管理和终端用户的使用，类似功能的实现，将降低复杂度，推动简单化。