這些形形色色的終端給網(wǎng)絡(luò)安全工作帶來了巨大挑戰(zhàn)：它們類型眾多，以各種方式接入;并且，它們是網(wǎng)絡(luò)中大部分事物的源頭和起點——是用戶登錄并訪問網(wǎng)絡(luò)的起點，是用戶訪問應(yīng)用系統(tǒng)并獲取數(shù)據(jù)的起點，更是病毒傳播、從內(nèi)部發(fā)起的惡意攻擊、內(nèi)部保密數(shù)據(jù)盜用或失竊的起點。因此，終端安全管理對每個企業(yè)來說都是非常重要的，良好的終端安全控制技術(shù)能夠保證企業(yè)的安全策略真正得到實施，有效控制各種非法安全事件，遏制網(wǎng)絡(luò)中屢禁不絕的惡意攻擊和破壞。

終端安全控制技術(shù)的最佳選擇

在終端安全管理中，安全策略的控制與實施是實現(xiàn)所有終端管理功能的基礎(chǔ)所在。采用安全策略控制技術(shù)能夠?qū)K端用戶進(jìn)行身份認(rèn)證，對安全狀態(tài)進(jìn)行檢查，將不合格的終端進(jìn)行隔離、強(qiáng)制修復(fù)，從而有效促進(jìn)內(nèi)網(wǎng)的合規(guī)建設(shè)，減少網(wǎng)絡(luò)事故。

從安全策略的實施點看，目前業(yè)界采用的終端安全管理技術(shù)主要有以下四種：

1. 出口準(zhǔn)入控制

出口準(zhǔn)入控制是部署上最容易實現(xiàn)的終端安全管理技術(shù)。其思路是先進(jìn)入再控制，允許用戶使用網(wǎng)絡(luò)，在出口處部署安全控制設(shè)備(如防火墻、行為控制網(wǎng)關(guān)等)。用戶上網(wǎng)時，必須在出口的安全設(shè)備處進(jìn)行身份認(rèn)證和安全檢查，通過之后才能上網(wǎng)。

出口準(zhǔn)入控制的優(yōu)點是部署簡單，不需要安裝客戶端，而且具備流量控制、上網(wǎng)內(nèi)容審計等功能，因此應(yīng)用較為廣泛。其缺點是無法識別用戶身份是否假冒(如IP、MAC、帳號等)，無法控制病毒在內(nèi)網(wǎng)的傳播，而且無法控制外來用戶偷偷接入內(nèi)網(wǎng)的行為(比如U盤拷貝等)，不能從源頭上對終端安全進(jìn)行控制，必須與其他終端安全控制技術(shù)結(jié)合，才能提供完整的終端安全管理解決方案。

2. 客戶端準(zhǔn)入控制

客戶端準(zhǔn)入控制是最常見的終端安全管理技術(shù)，往往與防病毒軟件、個人防火墻等結(jié)合在一起?？蛻舳藴?zhǔn)入控制的原理是認(rèn)為來訪用戶都不可靠，因此必須在終端上安裝客戶端安全軟件，時刻對其安全狀態(tài)(如進(jìn)程、注冊表、引導(dǎo)區(qū)、網(wǎng)絡(luò)連接狀態(tài)、網(wǎng)頁訪問狀態(tài)等)進(jìn)行監(jiān)控，一旦出現(xiàn)異常，就提示用戶或者按預(yù)設(shè)策略進(jìn)行處理。

客戶端準(zhǔn)入控制的優(yōu)點是控制能力強(qiáng)，能夠檢查操作系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用層的安全問題。其缺點是經(jīng)常需要用戶自行判斷，對用戶的安全知識有較高要求，占用系統(tǒng)資源較多;同時無法保證客戶端的運行情況，當(dāng)端戶貝等)，因此在企業(yè)內(nèi)部使用時，無法避免客戶端被卸載或重裝系統(tǒng)、不運行等情況發(fā)生。

3. 服務(wù)器準(zhǔn)入控制

服務(wù)器準(zhǔn)入控制技術(shù)的原理是在應(yīng)用服務(wù)器上安裝準(zhǔn)入控制軟件，一般安裝在DHCP服務(wù)器、DNS服務(wù)器或代理服務(wù)器上。當(dāng)電腦終端訪問服務(wù)器時，準(zhǔn)入控制軟件會彈出頁面要求用戶登錄，檢查對方的安全狀態(tài)，如果符合策略則允許訪問，如果不符合將拒絕對方的訪問，并給出相關(guān)提示。

服務(wù)器準(zhǔn)入控制的部署比較簡單，對網(wǎng)絡(luò)設(shè)備環(huán)境基本沒有要求，但是容易受到安全攻擊的影響(如DHCP攻擊)，而且對源頭客戶端的病毒傳播難以控制，無法解決外來用戶的私自接入問題。

4. 網(wǎng)絡(luò)準(zhǔn)入控制

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的原理是從網(wǎng)絡(luò)入口進(jìn)行控制，通過網(wǎng)絡(luò)設(shè)備在接入端口處強(qiáng)制實施安全策略。用戶接入網(wǎng)絡(luò)時，必須運行客戶端軟件，經(jīng)過身份認(rèn)證和安全檢查，認(rèn)證通過后才能使用網(wǎng)絡(luò)。由于網(wǎng)絡(luò)設(shè)備不可繞開，因此客戶端一旦被卸載或者操作系統(tǒng)被重裝，用戶將無法接入。

網(wǎng)絡(luò)準(zhǔn)入控制的優(yōu)點是基于用戶身份與網(wǎng)絡(luò)設(shè)備緊密配合，安全策略可以得到強(qiáng)制實施。其缺點是實施成本較高，對網(wǎng)絡(luò)環(huán)境和技術(shù)人員有一定要求，目前主要在大中型企業(yè)得到廣泛應(yīng)用。

以上四種控制技術(shù)各有其優(yōu)缺點，但從安全策略的實施方面來看，基于網(wǎng)絡(luò)的準(zhǔn)入控制技術(shù)由于網(wǎng)絡(luò)設(shè)備難以繞開、控制力度可達(dá)交換機(jī)端口等特點，保證了安全策略得到強(qiáng)制實施，實現(xiàn)了終端安全管理的不可抵賴性和不可逃避性，同時解決了外來用戶與內(nèi)網(wǎng)外聯(lián)的問題，并且能夠與傳統(tǒng)的安全技術(shù)和桌面管理技術(shù)融合，可以說，它是終端安全技術(shù)的最佳選擇。

【編輯推薦】

1. 主動防御技術(shù)成為反病毒經(jīng)濟(jì)新熱點
2. 移動終端安全模塊技術(shù)研究
3. 國內(nèi)某設(shè)備廠商詳細(xì)的終端安全解決方案