2004年末的东南亚海啸，以其沉重的代价告诉我们，预警机制的先知先觉、防患于未然是多么重要。网络安全也是如此。

案例中发生在医院系统的网络安全事故提出了这样一个问题：网络安全是“亡羊补牢”还是“防患于未然”？可以看到，在由病毒引发的网络安全事故发生后，尽管医院“亡羊补牢”，但损失依然难以避免。

由此，我们联想到最近发生的东南亚海啸。这一史无前例的地震海啸，造成数以十万计的人员伤亡，损失更是无以计算。在积极赈灾之余，人们痛定思痛，一致认为灾难之所以如此惨重，重要原因之一在于受灾国严重缺乏灾难预警机制。

专家们指出，印尼地震引发的海啸，到达斯里兰卡和印度海岸大约需要1个多小时，倘若两国拥有健全的预警机制，完全可以做到人员疏散，避免伤亡。由此可见，预警机制的先知先觉、防患于未然是多么重要。

预警为核心

从网络安全技术本质上讲，就是“攻”与“防”的技术，甚至可以说是“战争的艺术”。我国著名的《孙子兵法》中写到“知彼知己者，百战不殆；不知彼而知己，一胜一负；不知彼，不知己，每战必殆”。中国古代光辉的军事哲学思想所揭示的真理，在现代网络安全建设中仍然闪烁着智慧的光芒。

只有清楚了解攻击方法，才能实施有效的防御。现代网络安全的核心就是要做到在很多重大漏洞之前的提前预警发现，防患于未然。

面对纷繁复杂，变化无形的各类病毒，如何预警发现？传统的防病毒厂商尽管不断升级防病毒程序，但这种马后炮式的事后病毒查杀，因为编写方式的局限，从原理上就不可能与病毒同步，总是慢“毒”一步，更无法谈提前预警了。

事实上，入侵检测系统（IDS）与漏洞扫描产品可以担此重任。比如，启明星辰公司的新一代入侵检测系统，将入侵检测与漏洞扫描技术相融合，在降低误警和漏警率方面获得重大突破，同时提高了入侵检测系统的目标事件检测能力，以及未知事件的验证发现能力。

以“震荡波”蠕虫病毒的预警发现为例，这一病毒从2004年4月30日凌晨首次出现以来，变幻无形，分别于5月2日至11日出现B、C、D、E、F、“清除者”等多个变种。尽管病毒72变，但万变不离其宗，蠕虫病毒诞生根源是微软Windows系统的LSASS漏洞。如果用户使用漏洞扫描系统对网络和主机进行检查，就可以预先得知网络系统中是否存在这种漏洞。如果存在，及时为系统打上补丁便可以避免损害。

在蠕虫病毒事件中，对于已经使用启明星辰公司“天阗”入侵检测系统的用户而言，他们又多了一种安全砝码。4月30日夜，当利用微软Windows系统的LSASS漏洞的蠕虫病毒入侵时（此时这一蠕虫病毒尚未被命名为“震荡波”），入侵检测系统就已报出“多蠕虫攻击事件”；而当“震荡波”蠕虫占领某台主机并以其为宿主发动新的攻击时，入侵检测系统报出了更为准确的“LSASS蠕虫事件”。

这些入侵事件的定义是基于蠕虫病毒的先期特征来确定的，虽然人们在此时还未能了解这种新型蠕虫病毒的详细特征，但依靠一些基本的入侵特点，就可以起到提早防范的作用。安全厂商的相关入侵检测和漏洞扫描产品，在病毒诞生前，就根据病毒特征发现即将出现的潜在危险，能够真正做到预警监测。

紧密跟踪最新病毒

为了更有效的保护计算机系统、消除安全风险，系统管理员必须对系统本身有深入了解。

一般来说，安全厂商一直在研究计算机以及网络系统中存在的各种安全缺陷，这些缺陷可能被攻击者利用来破坏正常的工作。

系统管理员可以根据安全厂商公开发布的公告或文档，及时了解安全缺陷发生的原因、找到解决问题的方法，从而避免病毒攻击。

另外，系统管理员应紧密跟踪最新安全漏洞和病毒预报，选择好的安全产品与服务，这也是保障网络安全的一个重要手段。

与一般性的网络产品不同，网络安全产品与服务要求有精湛的专业技术水平、迅速的应急反应能力、丰富的解决问题经验。例如，启明星辰公司积极防御实验室一直与国际CVE组织、国际CSI组织、国际ICSA组织、国际FIRST组织保持着密切的合作关系。

在国内网络安全领域，积极防御实验室也同国家计算机安全管理中心、国家计算机安全产品测评认证中心、国家计算机病毒应急处理中心、国家计算机网络应急处理协调中心（CNCERT/CC）保持着良好的合作关系。

安全厂商紧密跟踪最新病毒，也能使企业防患于未然。