1998年,美國國家安全局制定了《信息保障技術框架》(Information Assurance Technical Framework,IATF),提出了“深度防禦策略”,把防禦分成幾個領域,包括: 網絡與基礎設施防禦、網絡邊界防禦、局域計算環境(包括本地終端、打印機、服務器等等)防禦和支撐性基礎設施的深度防禦。
從國內網絡安全建設的實際情況看,傳統的安全防護以企業網絡邊界和核心作爲防護重點。但網絡環境日趨複雜,隨着以計算機終端爲主要目標的蠕蟲***、***破壞、******等各種安全事件的泛濫,以往圍繞網絡部署的安全措施已顯得力不從心。
熱點終端
計算機終端作爲信息存儲、傳輸、應用處理的基礎設施,其自身安全性涉及到系統安全、數據安全、網絡安全等各個方面,任何一個節點都有可能影響整個網絡的安全。而計算機終端廣泛涉及每個計算機用戶,由於其分散性、不被重視、安全手段缺乏的特點,已成爲信息安全體系的薄弱環節。因此,有越來越多的用戶和廠商開始調整安全防護戰略,將着眼點重新迴歸到計算機終端安全上來,這使得終端安全成爲市場上的熱門話題。
對終端安全的關注,緣於以下幾個方面的原因:
1.防病毒技術未能解決的問題,引發了終端安全領域的拓展。傳統意義上的終端安全主要依賴於防病毒技術,而終端安全事件的屢屢發生導致了用戶對防病毒軟件的不信任,以至於引發了防病毒軟件是否賣“過期藥”的激烈討論,這也推動了終端安全領域向更廣泛的領域延伸。對企業級用戶來說,防病毒軟件已經滿足不了他們的需求。如果客戶端數量非常多的話,防病毒軟件通常很難管理到桌面。而網管員們則越來越希望能進一步加強對桌面的控制,達到集中控管。
2.計算機終端擁有廣泛的用戶羣。無論是企業級用戶還是個人用戶,絕大多數人都直接使用計算機終端(PC或筆記本電腦)進行辦公、業務處理、個人事務處理、上網等。對終端安全關注的人數更爲廣泛,影響的範圍也更大。
3.企業級用戶計算機終端安全的涉及面廣。企業級用戶的計算機終端安全涉及到終端本身的系統安全使用、數據信息保護、應用正常運轉,由於往往在網絡環境中工作,還面臨來自內部網絡或Internet的安全威脅。此外,終端遭受病毒感染、蠕蟲***、******時,很容易通過網絡進行擴散,從而影響到網絡中其他終端和業務系統的安全。
4.面向終端的安全措施效果明顯。傳統的安全方案主要圍繞網絡實現,例如:在網絡邊界,採用防火牆對網絡連接和訪問的合法性進行控制;在網絡傳輸上,採用***檢測系統監視******和非法網絡活動; 在主機設備,採用主機加固措施加強主機防護能力,等等。但當我們的視角必須關注到計算機終端本身的安全時,發現面向終端的安全保護和控制措施來得更直接,效果也更好。計算機防病毒系統防止系統和數據遭受破壞,應用也最爲廣泛;補丁管理彌補系統漏洞,防止蠕蟲、******;終端訪問控制防止網絡***,避免***跳轉***,防止網絡資源濫用;資產管理可以讓企業全面、及時掌握終端資產狀況,便於管理;操作許可限制能夠更好地通過技術控制貫徹IT制度的落實。
計算機終端作爲信息存儲、傳輸、應用處理的基礎設施,其自身安全性涉及到系統安全、數據安全、網絡安全等各個方面,任何一個節點都有可能影響整個網絡的安全。而計算機終端廣泛涉及每個計算機用戶,由於其分散性、不被重視、安全手段缺乏的特點,已成爲信息安全體系的薄弱環節。因此,有越來越多的用戶和廠商開始調整安全防護戰略,將着眼點重新迴歸到計算機終端安全上來,這使得終端安全成爲市場上的熱門話題。
對終端安全的關注,緣於以下幾個方面的原因:
1.防病毒技術未能解決的問題,引發了終端安全領域的拓展。傳統意義上的終端安全主要依賴於防病毒技術,而終端安全事件的屢屢發生導致了用戶對防病毒軟件的不信任,以至於引發了防病毒軟件是否賣“過期藥”的激烈討論,這也推動了終端安全領域向更廣泛的領域延伸。對企業級用戶來說,防病毒軟件已經滿足不了他們的需求。如果客戶端數量非常多的話,防病毒軟件通常很難管理到桌面。而網管員們則越來越希望能進一步加強對桌面的控制,達到集中控管。
2.計算機終端擁有廣泛的用戶羣。無論是企業級用戶還是個人用戶,絕大多數人都直接使用計算機終端(PC或筆記本電腦)進行辦公、業務處理、個人事務處理、上網等。對終端安全關注的人數更爲廣泛,影響的範圍也更大。
3.企業級用戶計算機終端安全的涉及面廣。企業級用戶的計算機終端安全涉及到終端本身的系統安全使用、數據信息保護、應用正常運轉,由於往往在網絡環境中工作,還面臨來自內部網絡或Internet的安全威脅。此外,終端遭受病毒感染、蠕蟲***、******時,很容易通過網絡進行擴散,從而影響到網絡中其他終端和業務系統的安全。
4.面向終端的安全措施效果明顯。傳統的安全方案主要圍繞網絡實現,例如:在網絡邊界,採用防火牆對網絡連接和訪問的合法性進行控制;在網絡傳輸上,採用***檢測系統監視******和非法網絡活動; 在主機設備,採用主機加固措施加強主機防護能力,等等。但當我們的視角必須關注到計算機終端本身的安全時,發現面向終端的安全保護和控制措施來得更直接,效果也更好。計算機防病毒系統防止系統和數據遭受破壞,應用也最爲廣泛;補丁管理彌補系統漏洞,防止蠕蟲、******;終端訪問控制防止網絡***,避免***跳轉***,防止網絡資源濫用;資產管理可以讓企業全面、及時掌握終端資產狀況,便於管理;操作許可限制能夠更好地通過技術控制貫徹IT制度的落實。
一體化終端安全
網絡邊界的終端安全到底如何定義?游龍科技給出的定義是:計算機終端安全是指圍繞桌面臺式電腦、筆記本電腦等終端設備而實行的安全保護技術和管理控制措施,全面實現桌面設備管理自動化,涵蓋軟件分發、補丁管理、資產管理、應用程序管理、外設管理和遠程控制功能,並提供靈活的警報系統、豐富的報表報告和周密的系統設置,幫助企業用戶實現高效、智能的桌面管理。
網絡邊界的終端安全到底如何定義?游龍科技給出的定義是:計算機終端安全是指圍繞桌面臺式電腦、筆記本電腦等終端設備而實行的安全保護技術和管理控制措施,全面實現桌面設備管理自動化,涵蓋軟件分發、補丁管理、資產管理、應用程序管理、外設管理和遠程控制功能,並提供靈活的警報系統、豐富的報表報告和周密的系統設置,幫助企業用戶實現高效、智能的桌面管理。
目前桌面管理軟件市場上的國際知名品牌如CA 、HP、 Microsoft,國內著名品牌如SiteView DM。這些產品都有其各自的優勢,但作爲企業用戶,應該明確自己最需要的是什麼。
CA Unicenter TNG框架下的包括ShipIT、AimIT以及ControlIT在內的一系列產品是桌面管理軟件的典型代表。ShipIT 通過一箇中央控制點對軟件和文件進行自動分發、安裝和升級。AimIT用於管理異構IT環境下資產的綜合性解決方案,提供系統級的策略管理。ControlIT用於控制遠程Windows 3.X、95、98和NT計算機安全可靠的應用程序。
HP OpenView Desktop Administrator(DTA)基於DTA的解決方案幫助管理員管理與控制企業的桌面和軟件環境。在資產管理方面,提供企業臺式系統環境全面詳盡的硬件與軟件信息目錄。在軟件分發方面,DTA簡化軟件安裝過程和自動執行軟件分發。在遠程管理方面,該產品使管理員或熱線支持工作人員能夠對用戶的臺式系統進行遠程故障排除和控制。
Microsoft SMS 2.0提供了良好的規劃工具,其中包括硬件和軟件清單、軟件計量以及2000年問題適應性的檢查和報告。SMS 2.0的軟件計量工具用來分析、監視和控制服務器和工作站上應用程序的使用情況。SMS 集中的軟件分發工具與清單信息緊密集成在一起,增加了軟件配置成功的可能性。
SiteView DM是一種以綜合服務爲基礎的全面服務管理解決方案。不僅吸取了最佳實踐經驗,還採用了模塊化設計。藉助SiteView DM,網絡管理人員能夠實施世界級服務桌面,最終改善服務支持、服務供應的管理。同時,網絡管理人員還能夠深入瞭解企業服務、基礎設施元素與用戶之間的各種關係。