网络保护：端点保护安全管理

来源：天极网作者：出处：巧巧读书 2006-04-29 进入讨论组

　　不用赘述病毒、蠕虫以及黑客对系统网络层出不穷、花样翻新的攻击了。相信没有人会否认，今天，如何确保信息网络正常高效的运行，已经升级成为CIO们最头疼的问题。最近发作的极速波病毒Zotob创造了一个令人难以置信的记录——它从漏洞被发现到被成功利用仅用了不到6天的时间。

蠕虫爆发仿佛禽流感，只要有一台终端出现问题，周围的网络中就会产生多米诺骨牌式的连锁效应。一个端点的问题，就立刻被放大成整个网络的问题。

　　“兵来将挡，水来土掩”。各种防御措施和防御体系也在不断更新。达成安全网络的解决方案从提供单一的防范措施逐步向系统性、集成性发展。然而，即使各大厂商不停地增强安全工具和补丁程序，企业仍然无法摆脱网络危机的梦魇。显然，以往防火墙、防病毒、入侵检测“三板斧”式的防御看起来已是力不从心。

　　“道高一尺，魔高一丈”?真的如此吗?未必，或许是时候重新检讨我们的安全理念了。赛门铁克公司董事长兼首席执行官John W. Thompson先生在今年2月的RSA大会上就曾经表示:“在经济全球化的今天，安全问题既可以是一种竞争优势——也可能是一种竞争劣势。今天的威胁是无声的、但目标却是高度明确的。犯罪分子正搜寻个人和企业财务信息——他们正试图通过这些信息来获得实实在在的经济好处。”

　　着眼终端的安全理念

　　问题在哪里?看看一份由计算机安全协会(Computer Security Institute)与美国联邦调查局(FBI)联合进行的计算机安全报告吧。这份报告显示，对企业网络构成的为首四大威胁全部都是源自终端。除了上面提到的病毒外，还有笔记本用户引起的交叉感染，内部终端的未授权访问，内部终端滥用网络。

　　既然所有的矛头都直指薄弱的终端管理,那么终端管理的现状又怎样呢?根据国际计算机安全协会(ICSA Lab)的病毒调研报告，有30%的终端不符合企业的安全要求。在蠕虫和病毒加速侵略我们的网络时，网络管理员们却发现自己迷失在终端管理的汪洋之中，疲于应对各种挑战:

　　复杂的IT架构:多样化的设备、接入点、用户、程序和应用;

　　日益开放的业务要求网络的开放，后果就是漏洞无所不在;

　　网络可用与信息安全的平衡。在保证信息安全的同时，如何实现互连互通的网络，保证其能够很好地提高工作效率;

　　传统方案不理想。例如边界防火墙，可以被轻松穿透;网络入侵检测只能在蠕虫损害了某些系统后，或正在广泛传播时才能可靠的检测出来，象是事后诸葛亮。基本的个人防火墙对系统的锁定不够，补丁管理总是滞后，而杀毒则颇似盲羊补牢。

　　过去的桌面安全管理方案是基于网络存在物理边界这样的事实;而今天，VPN的接入、诸如笔记本电脑、掌上电脑和PDA等移动终端和无线的接入，已经让企业很难定义一个清晰的网络边界。而通过端点的管理技术，可以把非物理的网络定义出一个清晰的边界。在今天的网络环境中，去定位、隔离和修复不达标的系统，意味着需要消耗大量的人力资源和时间;而且没有好的技术手段来保障，这些问题迟早又会重现。正是在这样的背景下，“完整的终端管理”这一新的安全理念应势而出。完整的终端管理能够在当网络存在风险时，通过管理网络中的各个端点，来保证终端的安全运行、实施自动修复，并在危害发生之前就将其消灭，以最终实现对整个网络的保护。请保留地址 http://www.qqread.com/erp/12/x581155004.html 更多内容请看路由安全配置专题、网络管理实用手册、系统安全设置专题，或进入讨论组讨论。