安全向桌面回归

安全向桌面回归
————终端安全日渐成为安全建设的重点 

      有调查显示，政府、企业单位中超过80%的管理和安全问题来自终端。因此，网络安全呈现出了新的发展趋势，安全战场已经逐步由核心与主干的防护，转向网络边缘的每一个终端。 
      2005年8月，赛门铁克公司宣布收购Sygate科技公司。Sygate在国内的名气并不大，但是在国外，Sygate具有很高的知名度，财富500强的大部分企业和政府机构都是Sygate的客户。Sygate是终端（Endpoint，也称端点）安全市场的领导厂商，赛门铁克的收购行动，证明其非常看好终端安全市场的未来发展。 
         国内某厂商于2005年9月份在北京、上海、广州、南京、重庆、沈阳6大城市进行的市场调查表明，54.2%的人接受并认知终端安全，仅次于74%的计算机病毒关注度，排在第二位，这也说明用户对终端安全的认知和接受程度是比较高的。随着终端安全市场的进一步发展，这个比例应该还会继续增长。 
安全目光由外而内 
      1998年，美国国家安全局制定了《信息保障技术框架》（Information Assurance Technical Framework，IATF），提出了“深度防御策略”，把防御分成几个领域，包括: 网络与基础设施防御、网络边界防御、局域计算环境（包括本地终端、打印机、服务器等等）防御和支撑性基础设施的深度防御。 
      从国内网络安全建设的实际情况看，传统的安全防护以企业网络边界和核心作为防护重点。但网络环境日趋复杂，随着以计算机终端为主要目标的蠕虫攻击、木马破坏、黑客入侵等各种安全事件的泛滥，以往围绕网络部署的安全措施已显得力不从心。 
      计算机终端作为信息存储、传输、应用处理的基础设施，其自身安全性涉及到系统安全、数据安全、网络安全等各个方面，任何一个节点都有可能影响整个网络的安全。而计算机终端广泛涉及每个计算机用户，由于其分散性、不被重视、安全手段缺乏的特点，已成为信息安全体系的薄弱环节。因此，有越来越多的用户和厂商开始调整安全防护战略，将着眼点重新回归到计算机终端安全上来，这使得终端安全成为市场上的热门话题。 
         对终端安全的关注，缘于以下几个方面的原因： 
         1.防病毒技术未能解决的问题，引发了终端安全领域的拓展。传统意义上的终端安全主要依赖于防病毒技术，而终端安全事件的屡屡发生导致了用户对防病毒软件的不信任，以至于引发了防病毒软件是否卖“过期药”的激烈讨论，这也推动了终端安全领域向更广泛的领域延伸。对企业级用户来说，防病毒软件已经满足不了他们的需求。如果客户端数量非常多的话，防病毒软件通常很难管理到桌面。而网管员们则越来越希望能进一步加强对桌面的控制，达到集中控管。 
         2.计算机终端拥有广泛的用户群。无论是企业级用户还是个人用户，绝大多数人都直接使用计算机终端（PC或笔记本电脑）进行办公、业务处理、个人事务处理、上网等。对终端安全关注的人数更为广泛，影响的范围也更大。 
         3.企业级用户计算机终端安全的涉及面广。企业级用户的计算机终端安全涉及到终端本身的系统安全使用、数据信息保护、应用正常运转，由于往往在网络环境中工作，还面临来自内部网络或Internet的安全威胁。此外，终端遭受病毒感染、蠕虫攻击、黑客入侵时，很容易通过网络进行扩散，从而影响到网络中其他终端和业务系统的安全。 
         4.面向终端的安全措施效果明显。传统的安全方案主要围绕网络实现，例如：在网络边界，采用防火墙对网络连接和访问的合法性进行控制；在网络传输上，采用入侵检测系统监视黑客攻击和非法网络活动; 在主机设备，采用主机加固措施加强主机防护能力，等等。但当我们的视角必须关注到计算机终端本身的安全时，发现面向终端的安全保护和控制措施来得更直接，效果也更好。计算机防病毒系统防止系统和数据遭受破坏，应用也最为广泛；补丁管理弥补系统漏洞，防止蠕虫、黑客攻击；终端访问控制防止网络入侵，避免黑客跳转攻击，防止网络资源滥用；资产管理可以让企业全面、及时掌握终端资产状况，便于管理；操作许可限制能够更好地通过技术控制贯彻IT制度的落实。 
化解企业安全困境 
      终端安全产品将发挥怎样的作用？在下面两个应用场景中，企业的投资获得了明显的回报。 
系统安全联姻配置管理 
      某企业拥有1000台使用Windows系统的PC，企业已对它们安装了统一的桌面防火墙和杀毒软件，并逐一配置了版本较高的IE和网络访问的安全级别，IT管理员还会定期在内部网络上发布严重的病毒警报和补丁升级通知，安全策略可谓密而不漏。然而，终端用户在日常使用过程中，或为了方便而更改IE安全设置，或对补丁升级通知视而不见，甚至卸载防火墙和杀毒软件，随意重装操作系统，这些自由的行为都会对预先设定的安全环境造成破坏，使得终端设备成为企业安全管理中的“短板”。 
      有调查显示，企业内部的安全攻击产生的原因除了少量来自内部的蓄意恶意攻击之外，大部分是由于用户对设备和应用使用不规范、用户系统本身的安全级别不高造成的。而设备终端的安全管理，往往是企业安全管理的软肋。 
      如何才能确保这1000台终端设备都严格遵守公司的安全配置要求？无论是依靠终端设备用户的个人自觉还是依靠IT管理人员进行手工管理，显然都不现实。企业需要重视用户的配置安全管理。所谓配置安全管理，是指利用安全管理工具，收集设备终端安全相关的细粒度信息和监控用户的安全行为，并通过远程操作迅速应对安全威胁，从而实现对终端系统安全的全面监控和保障。通过采用适当的配置安全管理工具，一方面，定时进行安全扫描和评估，快速查找终端用户系统各个层面的安全漏洞和级别，或者实时监控用户的相关安全行为；另一方面，通过快速的部署、远程操作和智能修复技术，对安全漏洞自动进行补救，对安全威胁进行物理隔离。由于所有的安全管理都由管理员通过网络在后台统一实现，终端用户无需刻意地对自己的终端设备进行安全设置和维护，也无权更改终端系统的安全设置，从而可以确保在所有的终端设备上都实施统一的安全策略，高效且快速。 
      系统安全和配置管理领域历来都体现为两种不同的产品和技术，这种状况已无法满足企业的安全管理要求。由于安全威胁具有内容广泛、需要快速实时响应的特点，因此需要全面了解客户端详细的安全配置信息，并且在最短的时间内解决安全问题。如果仅仅通过简单地集成不同的安全产品或者手工管理方式很难满足这样的要求。配置管理产品在这方面恰恰具有独到的优势，能够实现系统层面的状态跟踪和远程操作。这种逻辑上的互补性，决定了系统安全和配置管理的结合在市场上具有广阔的现实意义和应用前景。 
提供全面安全防护 
         以前，某银行由于病毒、内部网络滥用、笔记本电脑、内部非授权访问等安全隐患，各部门均受到不同程度及特点的网络安全困扰。在选定了终端安全产品后,银行立即开始了广泛的策略制定和兼容性测试流程。集成商和银行信息安全人员紧密合作，帮助起草14种不同业务场景下的特定策略，还进行了两轮用户验收测试，以确认产品和标准企业系统镜像之间的软件集成性以及兼容性。 
       按照标准的内部发布测试流程，终端安全产品与银行的150种内部开发软件以及各厂商软件进行了兼容性测试，并顺利通过。最终，银行部署了59500个安全代理。迄今为止，59500个终端只报告了不到15个问题。 
       终端安全产品不但很好的保护了PC和笔记本电脑，银行IT管理层还准备将其部署到所有的ATM设施中，使用高度严格的安全策略来提供一级防范。 
      现在，银行的IT安全小组很满意部署的结果。借助封闭端口和终止服务等手段，补丁发布和漏洞公布之间的响应时间窗口迅速缩小，既保证了终端安全，也成为应急响应和临时变通方案的重要手段。 
明晰需求 细选产品 
       选购终端安全产品与购买成熟的防病毒产品不同，因涵盖的功能范围不尽相同，不同厂商的产品还难以用准确的指标进行衡量。因此，用户就更需要明晰自己的实际需求，有的放矢地进行选择。 
       用户在选购终端安全产品时，应从资产管理、终端保护、应用监管几个大的方面考察产品功能，把握大方向，在此基础上考察细节问题。如果用户关心计算机终端安全使用问题，就应该考察终端安全产品是否具备终端网络访问控制（或个人防火墙）功能、设备的使用限制功能、补丁管理功能、是否可以对病毒、蠕虫、木马、黑客等威胁进行综合防范、是否可以和防病毒系统一起使用等； 
      如果企业需要对终端设备及安装使用的软件进行全面管理，就应该考察终端安全产品是否具备资产管理功能，管理的内容如何；如果用户需要对内部网络的使用和网络资源的使用进行控制，应关注终端安全产品是否具备网络准入、非法外联、网络资源滥用（例如上网、网上聊天、网页内容过滤）等；如果企业需要加强内部IT制度管理，应考虑终端安全产品是否可以限制设备使用（如软盘、光盘、打印机、USB盘、网卡、Modem等），是否可以限制游戏软件等与工作无关的行为。 
      另外，在选购时还要注意：1.终端安全产品要实现集中式管理、分布式部署。2.模块化产品。用户可以根据自身需求灵活选择模块，产品的扩展性要好。3.兼容性。终端安全产品要和用户现有系统具有良好兼容性。4. 注意在安装产品后，终端在性能上是否能够保证正常工作效率。5.终端安全产品要能够和现有网络边界设备组成完整的防御体系，或者能够在一个统一的管理平台上协同工作。 
最后，购买终端安全产品时，厂家的技术实力、信誉、版本升级、售后服务能力都是需要考虑的因素。