端点保护安全管理 网络保护现在与未来

　　“兵来将挡，水来土掩”，各种防御措施和防御体系也在不断更新。达成安全网络的解决方案从提供单一的防范措施逐步向系统性、集成性发展。然而，即使各大厂商不停地增强安全工具和补丁程序，企业仍然无法摆脱网络危机的梦魇。显然，以往防火墙、防病毒、入侵检测" 三板斧" 式的防御看起来已是力不从心。

　　“道高一尺，魔高一丈” ？真的如此吗？未必，或许是时候重新检讨我们的安全理念了。赛门铁克公司董事长兼首席执行官John W. Thompson先生在今年2 月的RSA 大会上就曾经表示：" 在经济全球化的今天，安全问题既可以是一种竞争优势——也可能是一种竞争劣势。今天的威胁是无声的、但目标却是高度明确的。犯罪分子正搜寻个人和企业财务信息——他们正试图通过这些信息来获得实实在在的经济好处。"

　　着眼终端的安全理念

　　问题在哪里？看看一份由计算机安全协会（Computer Security Institute ）与美国联邦调查局（FBI ）联合进行的计算机安全报告吧。这份报告显示，对企业网络构成的为首四大威胁全部都是源自终端。除了上面提到的病毒外，还有笔记本用户引起的交叉感染，内部终端的未授权访问，内部终端滥用网络。

　　既然所有的矛头都直指薄弱的终端管理，那么终端管理的现状又怎样呢？根据国际计算机安全协会（ICSA Lab）的病毒调研报告，有30% 的终端不符合企业的安全要求。在蠕虫和病毒加速侵略我们的网络时，网络管理员们却发现自己迷失在终端管理的汪洋之中，疲于应对各种挑战：

　　复杂的IT架构：多样化的设备、接入点、用户、程序和应用；

　　日益开放的业务要求网络的开放，后果就是漏洞无所不在；

　　网络可用与信息安全的平衡。在保证信息安全的同时，如何实现互连互通的网络，保证其能够很好地提高工作效率；

　　传统方案不理想。例如边界防火墙，可以被轻松穿透；网络入侵检测只能在蠕虫损害了某些系统后，或正在广泛传播时才能可靠的检测出来，象是事后诸葛亮。基本的个人防火墙对系统的锁定不够，补丁管理总是滞后，而杀毒则颇似盲羊补牢。

　　过去的桌面安全管理方案是基于网络存在物理边界这样的事实；而今天，VPN 的接入、诸如笔记本电脑、掌上电脑和PDA 等移动终端和无线的接入，已经让企业很难定义一个清晰的网络边界。而通过端点的管理技术，可以把非物理的网络定义出一个清晰的边界。在今天的网络环境中，去定位、隔离和修复不达标的系统，意味着需要消耗大量的人力资源和时间；而且没有好的技术手段来保障，这些问题迟早又会重现。正是在这样的背景下，" 完整的终端管理" 这一新的安全理念应势而出。完整的终端管理能够在当网络存在风险时，通过管理网络中的各个端点，来保证终端的安全运行、实施自动修复，并在危害发生之前就将其消灭，以最终实现对整个网络的保护。

　　从源头保证安全

　　目前端点安全技术已经相当成熟，每个端点的价格也趋于合理，这就带来了商业普及的可能性。像赛门铁克安全策略保证系统（Symantec Secure Enterprise）就可以解决内部网络（含传统内网、移动用户和分支机构）的安全管理问题，而点播式保护（Symantec On-Demand Protection ）则可以帮助企业在试图进入网络的访客设备上实施安全策略，解决与电子商务、电子政务、网上银行、SSL VPN 以及其他基于 web的应用等相关的信息安全问题。

　　安全领域屡获殊荣的赛门铁克可谓是这一领域的领先者，其在主机防火墙技术、点播式保护技术、主机入侵防御技术以及网络准入控制技术等多项指标上均领先业界。赛门铁克网络准入/ 访问控制 Symantec 　Network Admission/Access Control（NAC ）的核心理念就是通过屏蔽一切不安全的设备和人员接入网络，以及规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本。

　　不妨从网络的原理来思考赛门铁克 NAC理念的先进性。网络是由包括个人计算机、台式机、工作站、服务器、网络设备等各种各样的端点组成。各种端点是安全的最后一公里，也是最核心的地方，如果从源头入手，把安全做进端点，就可以通过确保网络中每一个" 端点" 安全措施的完整，来保护整个网络的安全和Web 应用的正常。在网络节点接入安全网络时，需要对接入的系统安全状况及系统用户的身份进行充分的分析、评估、认证，以此确认该系统是否符合网络的内部安全策略，是否达标，最后再决定是否需要给予该网络节点系统的接入权限，还是拒绝接入或是安全升级后再接入。例如，当侦测/ 预防系统检测到网络系统中存在异常情况（如病毒、蠕虫或木马程序等）时，就会将相关信息报告到策略控制系统，再由策略控制系统自动发出控制指令，通过准入安全设备将异常端点设备隔离，同时报告给网络管理员作进一步处理。如此，系统就可以在短时间内控制发作范围，免去了因为人工操作时间较长，造成病毒或木马已经在网络内蔓延，难以控制的局面。这样，通过准入设备、侦测/ 预防系统和策略控制系统的联动，将整个网络打造成预防、及时处理和策略控制的全面安全系统，如同可信计算一样，确保了所有接入到网络上的端点是可信的。这样网络就不会被滥用，有效降低了潜在的安全风险、降低了网络系统安全危机发生的频率、缩小了发生的范围、提高了处理的效率，降低了企业损失和成本。