互聯(lián)網(wǎng)的迅猛發(fā)展，使信息時(shí)代的重要信息載體—電腦，面臨著越來越惡劣的應(yīng)用環(huán)境，蠕蟲、木馬、沖擊波等病毒層出不窮，時(shí)刻威脅著電腦安全，使得電腦出現(xiàn)運(yùn)行緩慢、應(yīng)用程序出錯(cuò)、系統(tǒng)崩潰等現(xiàn)象。而對(duì)于那些大量應(yīng)用電腦的企業(yè)來說，電腦數(shù)量多、故障發(fā)生概率高也是一件棘手的事情，這些來自外部和內(nèi)部的不利因素都成為了企業(yè)PC管理與維護(hù)需要面對(duì)的一大問題。如何確保PC擁有一個(gè)高效安全的運(yùn)行環(huán)境、實(shí)施低成本的PC管理，已經(jīng)成為企業(yè)亟待解決的重要課題。

近年來，隨著信息安全建設(shè)的不斷深入和安全形勢(shì)的不斷發(fā)展，終端安全問題開始凸現(xiàn)。傳統(tǒng)的以組織邊界和核心資產(chǎn)為保護(hù)對(duì)象的安全體系逐漸顯示出嚴(yán)重的缺陷，無法有效應(yīng)對(duì)終端安全管理中面臨的諸多問題。這樣終端安全體系建設(shè)問題就逐漸提到組織管理者和網(wǎng)絡(luò)安全建設(shè)者的議事日程上來。雖然終端資產(chǎn)的重要性級(jí)別通常低于網(wǎng)絡(luò)中的交換機(jī)、路由器等核心網(wǎng)絡(luò)設(shè)備以及各種業(yè)務(wù)主機(jī)和服務(wù)器，但廣大終端數(shù)量眾多，并且是組織的日常辦公和業(yè)務(wù)運(yùn)行的載體，如果終端安全受到威脅，即使網(wǎng)絡(luò)中的核心設(shè)備安然無恙，整個(gè)網(wǎng)絡(luò)的業(yè)務(wù)運(yùn)行也會(huì)受到嚴(yán)重影響甚至癱瘓，如同家庭是社會(huì)的細(xì)胞，終端也是組成網(wǎng)絡(luò)的基本單元，他們的安全與否對(duì)網(wǎng)絡(luò)自身的健康運(yùn)行有著深遠(yuǎn)的影響。建設(shè)一個(gè)有效的終端安全管理體系，不僅能夠保障終端安全，而且能夠提升網(wǎng)絡(luò)整體的安全防御能力。

終端:安全的起點(diǎn)和終點(diǎn)

終端安全管理是一個(gè)復(fù)雜的問題，通常一個(gè)組織中的終端地理位置分散，用戶水平參差不齊，承載業(yè)務(wù)不同，安全需求各異，這就決定了終端安全建設(shè)的復(fù)雜性和多元性，要根據(jù)終端用戶的接入位置、所屬部門、業(yè)務(wù)需要等條件來選擇和執(zhí)行適當(dāng)?shù)陌踩芾泶胧?，既不能搞一刀切，也不能?duì)用戶放任自流，缺乏控管。

現(xiàn)在終端安全出現(xiàn)嚴(yán)重問題，包括:安全保護(hù)問題、系統(tǒng)管理問題和行為監(jiān)控問題。

其中安全保護(hù)問題包括:病毒蠕蟲大規(guī)模泛濫以及新的蠕蟲不斷出現(xiàn)給用戶帶來損失;來自內(nèi)部和外部的入侵和攻擊的問題;網(wǎng)絡(luò)邊界擴(kuò)展帶來的對(duì)于移動(dòng)辦公用戶、第三方接入安全防范不足從而引入安全風(fēng)險(xiǎn)的問題。而系統(tǒng)管理問題則主要表現(xiàn)在對(duì)微軟等操作系統(tǒng)不斷出現(xiàn)漏洞的補(bǔ)丁措施的及時(shí)管理，以及網(wǎng)絡(luò)中終端設(shè)備資產(chǎn)信息變化的精確統(tǒng)計(jì)管理問題。至于行為監(jiān)控，則是企業(yè)主對(duì)于員工的安全監(jiān)控預(yù)防和工作情況統(tǒng)計(jì)的措施。

如何應(yīng)對(duì)當(dāng)前終端安全面臨的諸多困擾?顯然局部的、簡(jiǎn)單的、被動(dòng)的防護(hù)不足以解決問題，要想解決終端安全問題，一個(gè)好的思路是建設(shè)可信終端安全保障平臺(tái)，全面管理終端安全。安全保障平臺(tái)由資產(chǎn)管理中心、補(bǔ)丁管理中心、文件分發(fā)中心、安全策略中心、強(qiáng)制認(rèn)證中心、行為監(jiān)控中心、病毒防護(hù)中心、安全保護(hù)中心等模塊組成，并且能夠同其他保護(hù)網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全產(chǎn)品和技術(shù)結(jié)合起來，共同組成信息安全保障體系，提升組織的信息安全保障能力，對(duì)抗來自內(nèi)部和外部的威脅。

以下將以四大平臺(tái)應(yīng)用為例，看看終端安全未來全副武裝的“面目”。

“疫苗”:單機(jī)恢復(fù)最高級(jí)安全

對(duì)于電信行業(yè)工作的小王來說，工作與電腦聯(lián)系緊密，頻受病毒木馬之苦的他，最近有了一絲安全感。這是因?yàn)閱挝蛔罱鼮閱T工安裝了個(gè)人電腦恢復(fù)解決系統(tǒng)。而該系統(tǒng)的特點(diǎn)就是，在遭遇病毒攻擊或其他災(zāi)難，或者當(dāng)操作系統(tǒng)崩潰時(shí)，及時(shí)有效地恢復(fù)和修理系統(tǒng)、設(shè)置和修復(fù)程序至已知的良好狀況，且無需網(wǎng)管人員介入。

跟小王一樣，信息社會(huì)中近60%的人將工作或者關(guān)鍵業(yè)務(wù)信息，保存在終端或客戶機(jī)器上。正因?yàn)槿绱?，保障業(yè)務(wù)連續(xù)性并提供持續(xù)服務(wù)仍然依賴于個(gè)人電腦的可用性。在當(dāng)今的聯(lián)網(wǎng)企業(yè)環(huán)境中，任何客戶端PC都會(huì)受到攻擊，如果得不到適當(dāng)保護(hù)和管理，個(gè)人信息、企業(yè)知識(shí)產(chǎn)權(quán)和其它關(guān)鍵業(yè)務(wù)信息都可能遭受攻擊。

小王在應(yīng)用Recover Pro個(gè)人電腦恢復(fù)軟件后，對(duì)于非IT人員的小王來說的確簡(jiǎn)單多了?？梢噪S時(shí)進(jìn)行前一個(gè)階段的修復(fù)，即使在Windows操作系統(tǒng)出現(xiàn)故障時(shí)，回復(fù)系統(tǒng)也仍能運(yùn)行。它的預(yù)引導(dǎo)環(huán)境和受保護(hù)備份功能可以通過三個(gè)簡(jiǎn)單步驟來恢復(fù)系統(tǒng)，而無需備份光盤。

專業(yè)的安全機(jī)構(gòu)鳳凰科技副總裁Kort van Bronkhorst先生認(rèn)為，安全和方便往往是一對(duì)矛盾，而尤其針對(duì)大多數(shù)非IT人員使用的安全設(shè)備，方便和直接簡(jiǎn)單應(yīng)用，將是其真正意義所在。

“紗窗”:終端設(shè)備Web過濾

老李開了一家進(jìn)出口貿(mào)易公司，半年前公司局域網(wǎng)頻頻收到病毒騷擾，老李苦不堪言。最后把安全顧問請(qǐng)過來把脈，才知道其實(shí)公司局域網(wǎng)還是比較穩(wěn)固，主要是員工回家上網(wǎng)后，把病毒帶入網(wǎng)內(nèi)。于是，老李為公司員工全部裝了一套專為筆記本電腦和遠(yuǎn)程電腦提供獨(dú)特的Web過濾軟件。

老李認(rèn)為，Web過濾軟件是一種獨(dú)特的基于硬件的遠(yuǎn)程Web過濾應(yīng)用。利用Bsecure技術(shù)公司的技術(shù)，該應(yīng)用可以幫助組織為遠(yuǎn)程設(shè)備提供和內(nèi)網(wǎng)設(shè)備一樣的Web過濾保護(hù)。有人說，隨著不斷増加的工作量，人們對(duì)移動(dòng)和互聯(lián)網(wǎng)的依賴也大大増加了。遠(yuǎn)程辦公的員工常常從會(huì)議室、酒店、機(jī)場(chǎng)和其它企業(yè)網(wǎng)絡(luò)的外部登錄到網(wǎng)絡(luò)。這樣，因?yàn)閱T工從不同的地方登錄企業(yè)網(wǎng)絡(luò)，員工的手提電腦極易成為被攻擊的對(duì)象，哪怕你的內(nèi)部網(wǎng)絡(luò)架構(gòu)固若金湯，在員工直接接入內(nèi)網(wǎng)后，未過濾的互聯(lián)網(wǎng)瀏覽可能導(dǎo)致類似間諜軟件的惡意軟件爆發(fā)，這些惡意軟件能夠過度擴(kuò)張系統(tǒng)資源的利用和降低網(wǎng)絡(luò)速度。
　　
另一方面，Webmail、即時(shí)信息和其它應(yīng)用都存在獨(dú)有的漏洞，這些漏洞也是安全面對(duì)的挑戰(zhàn)。往往就很容易將感染之病毒迅速傳染到內(nèi)部網(wǎng)其他PC。據(jù)8e6科技大中國區(qū)總經(jīng)理連邦俊介紹:“我們目前所提供的Web過濾軟件，可以確保每臺(tái)遠(yuǎn)程設(shè)備都能夠符合公司的安全策略，減少堡壘從內(nèi)部攻破的威脅?！?/P>

“遙控”:遠(yuǎn)程管理終端安全

小時(shí)候用慣遙控玩具的小張，在網(wǎng)管員辦公室有些得意。玩遙控玩具的感覺又回來了。這是因?yàn)?，公司裝上一套StarNet PC遠(yuǎn)程管理終端。于是，小張就成天開始了網(wǎng)上巡邏兵和武警110的角色，通過該平臺(tái)，可以對(duì)全網(wǎng)內(nèi)的終端機(jī)器進(jìn)行全方位監(jiān)控和輔助安全防護(hù)。

所謂遠(yuǎn)程管理終端，就是對(duì)遠(yuǎn)程客戶機(jī)軟件、硬件及網(wǎng)絡(luò)信息等進(jìn)行集中管理與維護(hù)的綜合應(yīng)用平臺(tái)，是企業(yè)IT系統(tǒng)管理、部署與維護(hù)的一套整體解決方案。有專家認(rèn)為，對(duì)于注重信息安全的企業(yè)來講，重要信息的外泄很有可能會(huì)喪失重大的商業(yè)合作機(jī)會(huì)，如何做好保密安全工作，也是企業(yè)不得不思考的問題。而應(yīng)用了近五個(gè)月，小張深刻感覺到利用這套系統(tǒng)，用戶可對(duì)PC機(jī)運(yùn)行的軟件資源進(jìn)行細(xì)致入微的管理和控制，靈活的管理和控制策略使得IT資源管理更趨智能化、人性化。同時(shí)，用戶通過對(duì)非法軟件使用的控制，增強(qiáng)了企業(yè)的管理能力，從而有效提高了員工的工作效率。同時(shí)對(duì)設(shè)備訪問的控制也可讓IT管理人員從中受益。另外，只要在客戶機(jī)上安裝設(shè)備鎖定管理策略，就可遠(yuǎn)程實(shí)現(xiàn)對(duì)客戶機(jī)設(shè)備的完全訪問控制，以防企業(yè)內(nèi)部重要信息泄露而帶來不必要的商業(yè)經(jīng)濟(jì)損失。另外，遠(yuǎn)程管理終端還可實(shí)現(xiàn)用戶機(jī)的IP鎖定，防止員工通過篡改獲得特權(quán)IP進(jìn)行不當(dāng)操作，禁止非授權(quán)電腦接入公司局域網(wǎng)，有效防止信息外泄與網(wǎng)絡(luò)安全。

“鑰匙”:終端USB Key保護(hù)

當(dāng)小雷每天掏鑰匙時(shí)，總會(huì)掏出一堆，這的確有點(diǎn)無奈。鑰匙越來越多，人就越來越不方便，而現(xiàn)在所有的鑰匙當(dāng)中，又新添一個(gè)成員，這就是——USB KEY。小雷苦笑:為了使電子銀行更安全，不得不用上了這把新“鑰匙”。

正如像小雷一樣很多人開始電子理財(cái)，網(wǎng)絡(luò)銀行市場(chǎng)開始不斷成熟，人們對(duì)終端電腦的信息數(shù)據(jù)安全要求更高，因?yàn)檫@時(shí)候，虛擬的數(shù)據(jù)就代表了現(xiàn)實(shí)的金錢。起初作為數(shù)字簽名載體的智能卡以及讀卡器逐漸開始被USB Key產(chǎn)品所替代，后者除能實(shí)現(xiàn)智能卡的所有功能之外，還利用USB技術(shù)將智能卡、讀卡器的功能集于一身。USB Key在網(wǎng)絡(luò)銀行中，作為網(wǎng)絡(luò)銀行客戶數(shù)字證書的載體，承擔(dān)著保護(hù)客戶數(shù)字證書和私有密鑰安全性的重要責(zé)任，這對(duì)在網(wǎng)絡(luò)上鑒別用戶身份十分關(guān)鍵。其內(nèi)部芯片操作系統(tǒng)特有的安全加密手段，高達(dá)1024位的非對(duì)稱加密算法RSA以及特殊的抗攻擊方法能確?？蛻粼谑褂镁W(wǎng)絡(luò)銀行進(jìn)行金融交易時(shí)無需擔(dān)心交易安全問題。同時(shí)，為了讓USB Key技術(shù)更方便的應(yīng)用，目前實(shí)達(dá)外設(shè)、美速電子等企業(yè)均推出了支持Windows的終端設(shè)備，用戶可以像在PC上一樣，通過終端使用USB Key進(jìn)行認(rèn)證。

基于數(shù)字簽名技術(shù)的這種網(wǎng)絡(luò)金融服務(wù)可以提供有效的法律效力，所以目前在網(wǎng)絡(luò)銀行業(yè)務(wù)中，尤其是B2C業(yè)務(wù)中，銀行越來越多地選擇USB Key作為網(wǎng)絡(luò)銀行整體方案的基本硬件配置。  

【編輯推薦】

1. 企業(yè)級(jí)主機(jī)防火墻完善你的終端安全管理
2. 網(wǎng)絡(luò)準(zhǔn)入，主動(dòng)防御——終端安全面面觀