终端安全管理：守住最后的堡垒

 

互联网的迅猛发展，使信息时代的重要信息载体——电脑，面临着越来越恶劣的应用环境，蠕虫、***、冲击波等病毒层出不穷，时刻威胁着电脑安全，使得电脑出现运行缓慢、应用程序出错、系统崩溃等现象。而对于那些大量应用电脑的企业来说，电脑数量多、故障发生概率高也是一件棘手的事情，这些来自外部和内部的不利因素都成为了企业PC管理与维护需要面对的一大问题。如何确保PC拥有一个高效安全的运行环境、实施低成本的PC管理，已经成为企业亟待解决的重要课题。

近年来，随着信息安全建设的不断深入和安全形势的不断发展，终端安全问题开始凸现。传统的以组织边界和核心资产为保护对象的安全体系逐渐显示出严重的缺陷，无法有效应对终端安全管理中面临的诸多问题。这样终端安全体系建设问题就逐渐提到组织管理者和网络安全建设者的议事日程上来。虽然终端资产的重要性级别通常低于网络中的交换机、路由器等核心网络设备以及各种业务主机和服务器，但广大终端数量众多，并且是组织的日常办公和业务运行的载体，如果终端安全受到威胁，即使网络中的核心设备安然无恙，整个网络的业务运行也会受到严重影响甚至瘫痪，如同家庭是社会的细胞，终端也是组成网络的基本单元，他们的安全与否对网络自身的健康运行有着深远的影响。建设一个有效的终端安全管理体系，不仅能够保障终端安全，而且能够提升网络整体的安全防御能力。

终端：安全的起点和终点

终端安全管理是一个复杂的问题，通常一个组织中的终端地理位置分散，用户水平参差不齐，承载业务不同，安全需求各异，这就决定了终端安全建设的复杂性和多元性，要根据终端用户的接入位置、所属部门、业务需要等条件来选择和执行适当的安全管理措施，既不能搞一刀切，也不能对用户放任自流，缺乏控管。

现在终端安全出现严重问题，包括：安全保护问题、系统管理问题和行为监控问题。

其中安全保护问题包括：病毒蠕虫大规模泛滥以及新的蠕虫不断出现给用户带来损失；来自内部和外部的***和***的问题；网络边界扩展带来的对于移动办公用户、第三方接入安全防范不足从而引入安全风险的问题。而系统管理问题则主要表现在对微软等操作系统不断出现漏洞的补丁措施的及时管理，以及网络中终端设备资产信息变化的精确统计管理问题。至于行为监控，则是企业主对于员工的安全监控预防和工作情况统计的措施。

如何应对当前终端安全面临的诸多困扰？显然局部的、简单的、被动的防护不足以解决问题，要想解决终端安全问题，一个好的思路是建设可信终端安全保障平台，全面管理终端安全。安全保障平台由资产管理中心、补丁管理中心、文件分发中心、安全策略中心、强制认证中心、行为监控中心、病毒防护中心、安全保护中心等模块组成，并且能够同其他保护网络边界和网络基础设施的网络安全产品和技术结合起来，共同组成信息安全保障体系，提升组织的信息安全保障能力，对抗来自内部和外部的威胁。

以下将以四大平台应用为例，看看终端安全未来全副武装的“面目”。

“疫苗”：单机恢复最高级安全

对于电信行业工作的小王来说，工作与电脑联系紧密，频受病毒***之苦的他，最近有了一丝安全感。这是因为单位最近为员工安装了个人电脑恢复解决系统。而该系统的特点就是，在遭遇病毒***或其他灾难，或者当操作系统崩溃时，及时有效地恢复和修理系统、设置和修复程序至已知的良好状况，且无需网管人员介入。

跟小王一样，信息社会中近60%的人将工作或者关键业务信息，保存在终端或客户机器上。正因为如此，保障业务连续性并提供持续服务仍然依赖于个人电脑的可用性。在当今的联网企业环境中，任何客户端PC都会受到***，如果得不到适当保护和管理，个人信息、企业知识产权和其它关键业务信息都可能遭受***。

小王在应用Recover Pro个人电脑恢复软件后，对于非IT人员的小王来说的确简单多了。可以随时进行前一个阶段的修复，即使在Windows操作系统出现故障时，回复系统也仍能运行。它的预引导环境和受保护备份功能可以通过三个简单步骤来恢复系统，而无需备份光盘。

专业的安全机构凤凰科技副总裁Kort van Bronkhorst先生认为，安全和方便往往是一对矛盾，而尤其针对大多数非IT人员使用的安全设备，方便和直接简单应用，将是其真正意义所在。

“纱窗”：终端设备Web过滤

老李开了一家进出口贸易公司，半年前公司局域网频频收到病毒骚扰，老李苦不堪言。最后把安全顾问请过来把脉，才知道其实公司局域网还是比较稳固，主要是员工回家上网后，把病毒带入网内。于是，老李为公司员工全部装了一套专为笔记本电脑和远程电脑提供独特的Web过滤软件。

老李认为，Web过滤软件是一种独特的基于硬件的远程Web过滤应用。利用Bsecure技术公司的技术，该应用可以帮助组织为远程设备提供和内网设备一样的Web过滤保护。有人说，随着不断増加的工作量，人们对移动和互联网的依赖也大大増加了。远程办公的员工常常从会议室、酒店、机场和其它企业网络的外部登录到网络。这样，因为员工从不同的地方登录企业网络，员工的手提电脑极易成为被***的对象，哪怕你的内部网络架构固若金汤，在员工直接接入内网后，未过滤的互联网浏览可能导致类似间谍软件的恶意软件爆发，这些恶意软件能够过度扩张系统资源的利用和降低网络速度。

另一方面，Webmail、即时信息和其它应用都存在独有的漏洞，这些漏洞也是安全面对的挑战。往往就很容易将感染之病毒迅速传染到内部网其他PC。据8e6科技大中国区总经理连邦俊介绍：“我们目前所提供的Web过滤软件，可以确保每台远程设备都能够符合公司的安全策略，减少堡垒从内部攻破的威胁。”

“遥控”：远程管理终端安全

小时候用惯遥控玩具的小张，在网管员办公室有些得意。玩遥控玩具的感觉又回来了。这是因为，公司装上一套StarNet PC远程管理终端。于是，小张就成天开始了网上巡逻兵和武警110的角色，通过该平台，可以对全网内的终端机器进行全方位监控和辅助安全防护。

所谓远程管理终端，就是对远程客户机软件、硬件及网络信息等进行集中管理与维护的综合应用平台，是企业IT系统管理、部署与维护的一套整体解决方案。有专家认为，对于注重信息安全的企业来讲，重要信息的外泄很有可能会丧失重大的商业合作机会，如何做好保密安全工作，也是企业不得不思考的问题。而应用了近五个月，小张深刻感觉到利用这套系统，用户可对PC机运行的软件资源进行细致入微的管理和控制，灵活的管理和控制策略使得IT资源管理更趋智能化、人性化。同时，用户通过对非法软件使用的控制，增强了企业的管理能力，从而有效提高了员工的工作效率。同时对设备访问的控制也可让IT管理人员从中受益。另外，只要在客户机上安装设备锁定管理策略，就可远程实现对客户机设备的完全访问控制，以防企业内部重要信息泄露而带来不必要的商业经济损失。另外，远程管理终端还可实现用户机的IP锁定，防止员工通过篡改获得特权IP进行不当操作，禁止非授权电脑接入公司局域网，有效防止信息外泄与网络安全。

“钥匙”：终端USB Key保护

当小雷每天掏钥匙时，总会掏出一堆，这的确有点无奈。钥匙越来越多，人就越来越不方便，而现在所有的钥匙当中，又新添一个成员，这就是——USB KEY。小雷苦笑：为了使电子银行更安全，不得不用上了这把新“钥匙”。

正如像小雷一样很多人开始电子理财，网络银行市场开始不断成熟，人们对终端电脑的信息数据安全要求更高，因为这时候，虚拟的数据就代表了现实的金钱。起初作为数字签名载体的智能卡以及读卡器逐渐开始被USB Key产品所替代，后者除能实现智能卡的所有功能之外，还利用USB技术将智能卡、读卡器的功能集于一身。USB Key在网络银行中，作为网络×××数字证书的载体，承担着保护客户数字证书和私有密钥安全性的重要责任，这对在网络上鉴别用户身份十分关键。其内部芯片操作系统特有的安全加密手段，高达1024位的非对称加密算法RSA以及特殊的抗***方法能确保客户在使用网络银行进行金融交易时无需担心交易安全问题。同时，为了让USB Key技术更方便的应用，目前实达外设、美速电子等企业均推出了支持Windows的终端设备，用户可以像在PC上一样，通过终端使用USB Key进行认证。

基于数字签名技术的这种网络金融服务可以提供有效的法律效力，所以目前在网络银行业务中，尤其是B2C业务中，银行越来越多地选择USB Key作为网络银行整体方案的基本硬件配置。