1、安全的新形勢：終端成為新的邊界

傳統(tǒng)的網(wǎng)絡(luò)安全模型中，將網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)，外網(wǎng)，DMZ等多個安全域，通過在網(wǎng)邊界部署防火墻，來隔離內(nèi)外網(wǎng)。防火墻的作用類似一道城堡，通過執(zhí)行訪問控制策略，將外部威脅隔離在城堡之外，保護內(nèi)部網(wǎng)絡(luò)的安全。

隨著信息網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全的勢態(tài)發(fā)現(xiàn)了變化。一個明顯的特征是：終端成為新的網(wǎng)絡(luò)邊界。

首先，隨著網(wǎng)絡(luò)接入技術(shù)的發(fā)展，終端接入網(wǎng)絡(luò)的方式已經(jīng)不再局限于局域網(wǎng)接口，包括雙網(wǎng)卡，WiFi，CDMA/GPRS上網(wǎng)卡，Modem撥號，紅外，藍牙…，這些接口已經(jīng)成為企業(yè)內(nèi)部網(wǎng)絡(luò)的另一道邊界。不能管理內(nèi)部PC通過這些接口上網(wǎng)，就類似在防火墻的城堡下，存在很多沒有安全警衛(wèi)的后門、小道，內(nèi)部網(wǎng)絡(luò)的安全性無法保障。

其次，傳統(tǒng)的企業(yè)網(wǎng)絡(luò)中，終端具有固定的辦公位置，內(nèi)部網(wǎng)絡(luò)相對是靜態(tài)的。然而隨著移動終端的普及（便攜機銷售超過臺式機），產(chǎn)生了移動辦公方式，內(nèi)部網(wǎng)絡(luò)上接入的終端變得動態(tài)化。一方面，員工的終端可能在多個位置動態(tài)接入內(nèi)部網(wǎng)絡(luò)；另一方面，各種非公終端也可能接入內(nèi)網(wǎng)（包括員工個人PC，以及合作伙伴，客戶的PC）。隨著用戶PC的不斷接入，內(nèi)部網(wǎng)絡(luò)的邊界在不斷擴充。內(nèi)部網(wǎng)絡(luò)的動態(tài)化，需要我們從另外一個視角來看邊界安全問題。在內(nèi)網(wǎng)邊界動態(tài)變化的過程中，我們必須在新加入的PC這一新的邊界上，進行必要的安全檢察，配置必要的安全防護，才能滿足網(wǎng)絡(luò)安全的需要。

終端成為內(nèi)部網(wǎng)絡(luò)的另一道邊界，網(wǎng)絡(luò)安全必須同時管理網(wǎng)關(guān)+終端雙重邊界，是安全產(chǎn)品必須面對的問題。

2、安全的新挑戰(zhàn)：黑客攻擊技術(shù)的集成化

隨著信息安全的概念逐漸普及，大部分企業(yè)都部署了防火墻和防病毒軟件。對安全威脅進行了有針對性的防御。

與此同時，黑客的攻擊手段也在和安全產(chǎn)品的“控制與反控制”斗爭中不斷發(fā)展。

針對企業(yè)防火墻的部署，黑客工具被設(shè)計為反彈連接方式，繞開防火墻的安全策略。黑客在內(nèi)部網(wǎng)絡(luò)的PC上植入木馬后，反彈木馬從內(nèi)部主機上主動發(fā)起連接。網(wǎng)關(guān)防火墻對這類攻擊難以識別。

針對終端防病毒軟件的部署，黑客工具加強了與防病毒軟件對終端系統(tǒng)控制權(quán)的爭奪，很多木馬病毒被設(shè)計成首先上來終結(jié)防病毒軟件進程。

黑客把這些技術(shù)結(jié)合在一起，形成集成化的新一代攻擊工具。單一的安全產(chǎn)品，在抵御這些集成化的攻擊工具時，都存在一些脆弱點。

3、安全的新思維：網(wǎng)關(guān)+終端跨界組合

面對安全的新形勢和新挑戰(zhàn)，將網(wǎng)關(guān)安全產(chǎn)品和終端安全產(chǎn)品組合在一起，形成更加有效的縱深防御體系，這種安全的新思維逐漸成為趨勢。

通過組合，首先可以統(tǒng)一管理網(wǎng)絡(luò)邊界，同時在網(wǎng)關(guān)和終端同時進行安全控制，對整個網(wǎng)絡(luò)邊界執(zhí)行統(tǒng)一的訪問控制策略，統(tǒng)一配置，統(tǒng)一監(jiān)控，確保網(wǎng)絡(luò)安全無盲點，將企業(yè)IT管理的范圍從網(wǎng)絡(luò)邊界的網(wǎng)關(guān)設(shè)備推進到終端PC，保證整體的網(wǎng)絡(luò)安全性，更好的實現(xiàn)業(yè)務(wù)的可用性和連續(xù)性。

在此基礎(chǔ)上，實現(xiàn)針對新安全威脅的縱深防御體系。面對集成化的黑客攻擊方式，傳統(tǒng)的單一安全產(chǎn)品都存在一定程度的脆弱性，將網(wǎng)關(guān)+終端通過互相保護，協(xié)同配合，形成縱深防御體系，更好的抵御新的安全威脅。防火墻上通過檢查用戶安全狀態(tài)，確保防病毒軟件進程的激活。解決防病毒軟件被木馬病毒強制關(guān)閉的后顧之憂。終端安全軟件通過主機安全防護，阻止非法軟件通過80等合法端口穿透防火墻訪問外部網(wǎng)絡(luò)，解決防火墻不能防范“反彈木馬”的難題。

就如同剪刀一樣，通過兩個不同方向的刀刃組合，發(fā)揮了獨特的作用。

4、UTM2安全因組合而簡單：啟明星辰的技術(shù)實踐

作為信息安全領(lǐng)航企業(yè)，啟明星辰首先感知到“終端成為新的網(wǎng)絡(luò)邊界”這一安全形勢的變化。即將推出的UTM2統(tǒng)一安全套件，是網(wǎng)絡(luò)UTM與終端UTM的跨界組合，她是由〔天清漢馬 統(tǒng)一安全網(wǎng)關(guān)〕與〔天珣 統(tǒng)一安全端點〕產(chǎn)品構(gòu)成。她遵循“統(tǒng)一部署，統(tǒng)一配置，統(tǒng)一監(jiān)控”的思路將網(wǎng)絡(luò)威脅、終端安全的一體化管理變?yōu)楝F(xiàn)實，讓網(wǎng)絡(luò)準入控制、統(tǒng)一威脅管理變得更簡單、易部署。

天清漢馬USG在即將發(fā)布的新版本中，除了繼承以往的防病毒、防入侵、VPN等統(tǒng)一網(wǎng)絡(luò)威脅管理功能以外，將新增內(nèi)置終端安全管理策略服務(wù)器和天珣終端安全客戶端程序。而內(nèi)置于天清漢馬USG 新版本中“自助準入”的天珣客戶端安裝過程，就像首次登錄“網(wǎng)上銀行”自動下載安裝插件一樣輕松、簡便。終端部署問題得到解決，終端策略的管理與同步全部在天清漢馬USG上統(tǒng)一配置完成。其中，包括終端病毒軟件版本檢查、系統(tǒng)補丁檢查、安全進程要求、非法軟件進程、系統(tǒng)服務(wù)、非法外聯(lián)控制等多項終端管理特性；還提供基于身份認證、域認證等機制的聯(lián)合終端安全策略的準入控制。這些功能依據(jù)可信網(wǎng)絡(luò)連接架構(gòu)，具備了完整的控制檢查點、控制點及管理特性，使內(nèi)網(wǎng)和網(wǎng)關(guān)管理具備了真正的強制可執(zhí)行性，確保管理無盲點。

USG V3.0 內(nèi)網(wǎng)終端管理架構(gòu)圖

啟明星辰的UTM2統(tǒng)一安全套件具有以下技術(shù)優(yōu)點：

1. 同時面向“網(wǎng)關(guān)”和“終端”兩個企業(yè)網(wǎng)絡(luò)邊界，有機融合“安全網(wǎng)關(guān)”和“終端安全”產(chǎn)品技術(shù)，實現(xiàn)協(xié)同配合，形成“統(tǒng)一安全防護系統(tǒng)”。在保持原有安全網(wǎng)關(guān)全部功能的前提下，將企業(yè)IT管理的范圍推進至終端PC。

2. 遵循“安全從簡單開始”這一原則，實現(xiàn)“安全網(wǎng)關(guān)”和“終端安全”產(chǎn)品的統(tǒng)一部署，統(tǒng)一配置，統(tǒng)一監(jiān)控。充分考慮用戶的“易用性”需求。

【編輯推薦】

1. 跨界組合讓安全更簡單
2. 網(wǎng)關(guān)安全拒絕復雜UTM實現(xiàn)簡單管理