“与危险同行”仅有防范是远远不够的，更重要的是找到入侵者或疏于防范的责任人，让他们付出应有的代价，并以此警示后人。毛泽东早就谈及“积极防御”或曰“攻势防御”的问题，从战略上看，进攻往往是最好的防御。
信息安全风险的防范尤其是这样。何德全院士谈及信息安全问题时强调，当前各国都面临着同样一个挑战，那就是“信息防御的成本越来越高，而攻击的成本则越来越低”，一个不知名的中学生制造的病毒就可以让成千上万台电脑陷入瘫痪。为此，信息安全的武器库中光有盾是不行的，还得有矛。

而纵观国内信息安全市场：商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复等，主流产品几乎都是防御型的，这种格局应尽早改变。一个对风险责任人缺乏震慑力的防御体系必定是低效的，防御的成本也会越来越高，而当成本的增长超出了“经济视角”的承受力时，信息安全就将陷入空谈。

目前，国际信息安全技术已经从被动防范走向主动出击，当前最热门的“攻击型”技术有两项：取证技术和网络入侵陷阱技术。取证技术是针对计算机入侵、犯罪进行证据获取、保存、分析和出示的技术。如同美国“连环杀手”会在射出的子弹中留下可供破案的痕迹一样，计算机入侵者也会留下这样那样的痕迹，信息安全中的取证技术就是找出其中的蛛丝马迹进行分析取证。计算机在受到攻击后往往被安装了后门，删除了文件，取证机则可以利用文件系统的特征，结合相关工具，尽可能真实地恢复这些文件信息，从中发现鲜为人知的东西。

信息安全管理，说到底就是“摘责任”，出了问题，需要先把责任搞搞清楚，之后才能采取下一步的措施。这样既可以找准薄弱环节，理顺管理，又能对罪犯起到震慑作用。而且，取证和捉住罪犯的目的不仅仅是为了找到证据，更是为了获知攻击行为的特征，研究反击技术，以便先发制人。网络入侵陷阱技术类似于战场上的伪装技术，它采用网络重定向技术创建一个欺骗主机，该主机可以建立多个操作系统伪装环境（即陷阱），保护对应的服务器。通过对陷阱机的监视，还可以看到攻击者在做些什么。

中国人素以“龙”的传人自誉，其实龙是可以变色的，尤其是在信息安全手段方面应当“道高一尺，魔高一丈”，随着犯罪手段的变化而变化。遗憾的是，目前在国内，大家谈来谈去仍然是防火墙、入侵检测这些传统技术。其实，用于网络隔离与过滤的防火墙仅仅类似于一个门岗，大多数入侵检测系统则类似于一种盗贼警报，都是被动式的防范，这还是国外五年前的水平。

就如在本书第2章中分析的那样，迄今为止，我们网络应用和管理者在黑客攻击与防护的网络安全对抗中，基本上都是在被动防护，都是在遭受攻击之后才发现问题，然后针对性地解决问题、提高网络的安全防护水平，而后茫然地等待下一次攻击的到来。这种防护方式（或者叫作网络安全防护模式）存在的被动性这一根本问题使得防护效果受到较大的影响，要想有效完善和提高防护系统的防护性能，我们需要对主动防护技术进行研究并将他们应用到防护系统建设中。

而且，随着近年来脆弱性数量的迅速增加，仅2006年就有超过8 000个新漏洞被发现和公布，平均每天有20余个新漏洞被发现。威胁手段多种多样，攻击速度也越来越快，在漏洞公布后的几星期、几天甚至在漏洞公布之前，就出现了针对新发现的漏洞的新攻击代码和攻击工具；短短的10~30分钟，就足够一个新的蠕虫导致大范围的网络瘫痪（如红色代码、振荡波等）。攻击者给我们预留的防护时间越来越短，需要提高快速响应能力和早期预警能力，以应对攻击手段的变化趋势，取得理想的防护效果。

攻击行为的出发点和目的也从个人行为在向有组织的团体行为转变，而黑客攻击动机已从单纯地追求“荣耀感”向获取多方面实际利益和表达政治情绪的方向转移，攻击技术的发展也将重点放在木马、间谍程序、恶意网站、网络仿冒、僵尸网络等方面。这些发展趋势，使得安全防护面临着更加严峻的考验，对设计和建设网络安全综合防护系统的主动防御技术和性能方面，提出了更高的要求。

所以，主动防御技术对网络安全防护系统的建设和完善起着重要的作用，本书后面两部分就主要针对黑客入侵的主动防御技术从技术和应用两个方面进行分析和介绍。