不用贅述病毒、蠕蟲以及黑客對系統網絡層出不窮、花樣翻新的攻擊了。相信沒有人會否認，今天，如何確保信息網絡正常高效的運行，已經升級成為CIO 們最頭疼的問題。最近發作的極速波病毒Zotob創造了一個令人難以置信的記錄——它從漏洞被發現到被成功利用僅用了不到6 天的時間。蠕蟲爆發仿佛禽流感，只要有一臺終端出現問題，周圍的網絡中就會產生多米諾骨牌式的連鎖效應。一個端點的問題，就立刻被放大成整個網絡的問題。

" 兵來將擋，水來土掩".各種防御措施和防御體系也在不斷更新。達成安全網絡的解決方案從提供單一的防范措施逐步向系統性、集成性發展。然而，即使各大廠商不停地增強安全工具和補丁程序，企業仍然無法擺脫網絡危機的夢魘。顯然，以往防火墻、防病毒、入侵檢測" 三板斧" 式的防御看起來已是力不從心。

" 道高一尺，魔高一丈" ？真的如此嗎？未必，或許是時候重新檢討我們的安全理念了。賽門鐵克公司董事長兼首席執行官John W. Thompson先生在今年2 月的RSA 大會上就曾經表示：" 在經濟全球化的今天，安全問題既可以是一種競爭優勢——也可能是一種競爭劣勢。今天的威脅是無聲的、但目標卻是高度明確的。犯罪分子正搜尋個人和企業財務信息——他們正試圖通過這些信息來獲得實實在在的經濟好處。"

著眼終端的安全理念

問題在哪里？看看一份由計算機安全協會（Computer Security Institute ）與美國聯邦調查局（FBI ）聯合進行的計算機安全報告吧。這份報告顯示，對企業網絡構成的為首四大威脅全部都是源自終端。除了上面提到的病毒外，還有筆記本用戶引起的交叉感染，內部終端的未授權訪問，內部終端濫用網絡。

既然所有的矛頭都直指薄弱的終端管理，那么終端管理的現狀又怎樣呢？根據國際計算機安全協會（ICSA Lab）的病毒調研報告，有30% 的終端不符合企業的安全要求。在蠕蟲和病毒加速侵略我們的網絡時，網絡管理員們卻發現自己迷失在終端管理的汪洋之中，疲于應對各種挑戰：

復雜的IT架構：多樣化的設備、接入點、用戶、程序和應用；

日益開放的業務要求網絡的開放，后果就是漏洞無所不在；

網絡可用與信息安全的平衡。在保證信息安全的同時，如何實現互連互通的網絡，保證其能夠很好地提高工作效率；

傳統方案不理想。例如邊界防火墻，可以被輕松穿透；網絡入侵檢測只能在蠕蟲損害了某些系統后，或正在廣泛傳播時才能可靠的檢測出來，象是事后諸葛亮。基本的個人防火墻對系統的鎖定不夠，補丁管理總是滯后，而殺毒則頗似盲羊補牢。

過去的桌面安全管理方案是基于網絡存在物理邊界這樣的事實；而今天，VPN 的接入、諸如筆記本電腦、掌上電腦和PDA 等移動終端和無線的接入，已經讓企業很難定義一個清晰的網絡邊界。而通過端點的管理技術，可以把非物理的網絡定義出一個清晰的邊界。在今天的網絡環境中，去定位、隔離和修復不達標的系統，意味著需要消耗大量的人力資源和時間；而且沒有好的技術手段來保障，這些問題遲早又會重現。正是在這樣的背景下，" 完整的終端管理" 這一新的安全理念應勢而出。完整的終端管理能夠在當網絡存在風險時，通過管理網絡中的各個端點，來保證終端的安全運行、實施自動修復，并在危害發生之前就將其消滅，以最終實現對整個網絡的保護。

從源頭保證安全

目前端點安全技術已經相當成熟，每個端點的價格也趨于合理，這就帶來了商業普及的可能性。像賽門鐵克安全策略保證系統（Symantec Secure Enterprise）就可以解決內部網絡（含傳統內網、移動用戶和分支機構）的安全管理問題，而點播式保護（Symantec On-Demand Protection ）則可以幫助企業在試圖進入網絡的訪客設備上實施安全策略，解決與電子商務、電子政務、網上銀行、SSL VPN 以及其他基于 web的應用等相關的信息安全問題。

安全領域屢獲殊榮的賽門鐵克可謂是這一領域的領先者，其在主機防火墻技術、點播式保護技術、主機入侵防御技術以及網絡準入控制技術等多項指標上均領先業界。賽門鐵克網絡準入/ 訪問控制 Symantec 　Network Admission/Access Control（NAC ）的核心理念就是通過屏蔽一切不安全的設備和人員接入網絡，以及規范用戶接入網絡的行為，從而鏟除網絡威脅的源頭，避免事后處理的高額成本。

不妨從網絡的原理來思考賽門鐵克 NAC理念的先進性。網絡是由包括個人計算機、臺式機、工作站、服務器、網絡設備等各種各樣的端點組成。各種端點是安全的最后一公里，也是最核心的地方，如果從源頭入手，把安全做進端點，就可以通過確保網絡中每一個" 端點" 安全措施的完整，來保護整個網絡的安全和Web 應用的正常。在網絡節點接入安全網絡時，需要對接入的系統安全狀況及系統用戶的身份進行充分的分析、評估、認證，以此確認該系統是否符合網絡的內部安全策略，是否達標，最后再決定是否需要給予該網絡節點系統的接入權限，還是拒絕接入或是安全升級后再接入。例如，當偵測/ 預防系統檢測到網絡系統中存在異常情況（如病毒、蠕蟲或木馬程序等）時，就會將相關信息報告到策略控制系統，再由策略控制系統自動發出控制指令，通過準入安全設備將異常端點設備隔離，同時報告給網絡管理員作進一步處理。如此，系統就可以在短時間內控制發作范圍，免去了因為人工操作時間較長，造成病毒或木馬已經在網絡內蔓延，難以控制的局面。這樣，通過準入設備、偵測/ 預防系統和策略控制系統的聯動，將整個網絡打造成預防、及時處理和策略控制的全面安全系統，如同可信計算一樣，確保了所有接入到網絡上的端點是可信的。這樣網絡就不會被濫用，有效降低了潛在的安全風險、降低了網絡系統安全危機發生的頻率、縮小了發生的范圍、提高了處理的效率，降低了企業損失和成本。

賽門鐵克以一種全新的思路，從根本上改變了網絡安全一直以來被動防守的局面，為用戶提供了一套完整的能夠真正實現主動防護、不間斷防護和零時點防護的安全管理架構。這種解決方案使企業能夠為消費者提供動態靈活的保護，創建一個安全的虛擬桌面（Virtual Desktop ）環境來與企業進行互動。企業甚至可以設置和實施連接策略來阻止敏感的公司信息外泄。終端解決方案讓消費者確信他們的信息不會被惡意攻擊或者盜竊。他們還可以保護企業的品牌以及公司與其客戶的關系。

因此，不奇怪為什么越來越多的企業正轉向基于風險的安全方式。諸如惠普、索尼、時代華納、NTT 、聯邦快遞、優利這樣的大企業都選擇了賽門鐵克NAC 在全球進行大規模的部署和應用，來保護自己的網絡和客戶的數據安全。在亞太地區，諸如瑞士信貸、富士通、中興、一汽等也已經初步體驗到了端點保護的優勢。

未來之路

IDC 預測，由于新型安全威脅，病毒的頻繁爆發和垃圾郵件的爆炸式增長，從2004年到2008年，安全內容管理市場將以54.4% 的年復合增長率遞增。權威雜志InfoWorld 則預測，2006年最有意義的創新將會是出現" 安全偏執狂".顯然，任何一家公司都是不可能僅僅靠關注安全問題的某一方面就能一勞永逸。

數字化的交互現在已經是無處不在了。網上電子商務、寬帶網的使用以及人們上網方式等方面還會有非常大的發展。未來，除了組織的網絡安全這一挑戰將繼續存在外，另一個更關鍵的問題可能是消費者對數字世界信心的消失。在數字世界里，消費者經常是安全保護系統中的薄弱環節。企業會擔心它們的顧客是否得到了充分的保護。它們也會擔心它們的客戶可能會在不經意間使企業遭受攻擊，讓整個網絡面臨風險。當客戶訪問關鍵商業應用程序時，企業需要一種方法來在客戶進入網絡前確保他們滿足了某種最基本的安全要求。

商業社區必須提供終端到終端的安全解決方案，解除數字世界客戶的后顧之憂。企業應該利用它們的基礎架構來提供關鍵和綜合的解決方案，來確保終端安全，還必須保護含有客戶信息的應用程序和數據庫。

有鑒于此，賽門鐵克研究實驗室小組已經開始開發一種名為賽門鐵克數據庫審查與安全保護（Symantec Database Audit and Security）的全新數據庫保護技術。這種技術可以監視每一筆數據交易——以實時的方式進行，它可以建立審計跟蹤，對每個數據庫用戶的異常使用情況進行掃描，標記出那些不符合公司政策的、對敏感數據的請求。

一個充滿信任的、可以為最終用戶提供方便、無縫連接和安全的在線經歷的網上社區是我們的最終目標。企業應該堅持不懈的走主動性安全體系建設的過程，并愿意跟服務商一起共同承擔安全建設的風險。實踐證明，這樣的企業最有可能實現安全管理最佳境界。企業也需要提高選擇和制定適合企業的安全標準；建立一套安全管理的流程；實施安全意識教育，以避免無意之間造成的安全錯誤。

我們必須意識到，把確保信息安全放在第一位不僅僅是安全防護公司或者安全防護專家的責任，它應該是我們大家的責任。