如果網絡是一個世界，那么，每一臺網絡終端設備，就是這個世界的公民。

　　如果終端安全受到威脅，即使網絡中的核心設備安然無恙，整個網絡的業務運行也會受到嚴重影響甚至癱瘓，如同一個沒有人類的地球，即使街道房屋、財富別墅依然存在，也是一個走向毀滅的世界。可見，終端安全已經逐步成為整個信息安全的核心和底線。終端也是組成網絡的基本單元，他們的安全與否對網絡自身的健康運行有著深遠的影響。

　　隨著全球網絡化的發展，網絡終端從桌面工作站、筆記本電腦、個人數字助理甚至到手機，其形式種類已經呈現出多樣化的發展，由于端點數量不斷增加，光靠防火墻和反病毒軟件這類或籠統或離散個體式的保護機制再也不夠了。

　　那么，終端安全究竟受到哪些威脅？我們如何才能打造一個整齊體系、統一管控的終端安全管理系統？成為當前信息安全的最具挑戰性問題。

　　終端：信息安全薄弱“底線”

　　隨著企業IT基礎架構的逐漸完善，企業信息安全防護的重心開始逐漸由邊界安全轉向內網安全。越來越多的管理者都已經發現內網中的價值所在和攻擊發起，往往都在終端。終端安全已經成為企業網絡安全防護的重中之重。

　　在企業的IT環境中，往往終端數量巨大，其形式多樣化、部署分散、不被重視、安全手段缺乏的現狀已成為信息安全體系的薄弱環節。權威統計數據表明，企業的安全損失有80％來自企業內部，終端安全管控是重中之重。某知名制造企業的CIO曾經訴苦道：“我們企業采用了最好的防火墻以及殺毒軟件。在內網的管理上，也采用郵件監控，端口封堵，URL過濾等技術。雖然這些對企業的安全性起到了很好的作用，可是面對上千臺內網計算機的上網安全管理問題我真的是無從下手。”這充分說明終端管理無論在重要性和操作難度上，都成為企業整體網絡安全的薄弱“底線”。

　　雖然終端資產的重要性級別通常低于網絡中的交換機、路由器等核心網絡設備以及各種業務主機和服務器，但終端數量眾多，而且是組織日常辦公和業務運行的載體。如果終端安全受到威脅，即使網絡中的核心設備安然無恙，整個網絡的業務運行也會受到嚴重影響。

　　目前，傳統安全廠商的產品很難真正實現對所有局域網內的終端都實現一體化安全管理。原因有二：一是缺乏統一的網絡技術標準限制了終端安全產品對網絡設備的兼容性；二是各種新應用和新攻擊層出不窮。

　　傳統的計算環境也在發生革命性變化。在日常運營中可以發現，在以數據中心為核心的IT環境中，應用的核心引擎已經向數據中心轉移。當終端作為一種輕便的接入方式后，用戶通過桌面的各種應用可以通過數據中心接入整個信息網絡系統，如ERP、CRM、BOSS系統和計費系統等。但傳統的安全體系架構有一些致命性問題，如安全策略難以統一，而且桌面應用過于強大。正是由于傳統桌面操作過于強大，每個員工又可以做很多額外工作，因此造成不確定性過高。

　　對于信息安全的實施與管理來說，控制終端、控制應用是首要任務。在實際的企業IT環境中，信息安全的不確定性因素幾乎都是由人產生的，而人通過類似PC、手機、PDA等終端設備接入到信息系統的界面和接口主要設施。

　　極地：六招打造牢固終端安全

　　信息安全是信息化社會的“底線”，而終端安全則是信息安全的“底線”。

　　如何保護這條最重要的安全底線？如何應對當前終端安全面臨的諸多困擾？顯然局部的、簡單的、被動的防護不足以解決問題。中國專業終端安全領軍企業——極地銀河公司（www.jidigalaxy.com）安全專家告訴我們，要想解決終端安全問題，一個好的思路是通過建設綜合終端與內網安全管理體系，多管齊下，綜合防護。極地銀河公司針對整體終端安全防護體系研制推出的——極地銀河終端與內網安全管理系統，該系統的六大安全功能集群，相互配合，相互補充，形成一套組合拳，把對終端安全的各種威脅擊斃。

　　極地銀河終端與內網安全管理系統可以對內部終端計算機進行集中的安全保護、監控、審計和管理，可自動向終端計算機分發系統補丁，禁止重要信息通過外設和端口泄漏，防止終端計算機非法外聯，防范非法設備接入內網，有效地管理終端資產等。極地銀河終端與內網安全管理系統可以與防火墻、漏洞掃描設備進行聯動，共同提供全網安全解決方案。

　　第一招，“桌面戒嚴”——桌面安全管理。桌面安全管理重點解決客戶端計算機桌面安全管理和行為的審計。極地銀河終端與內網安全管理系統可以對客戶端的防病毒軟件的安裝、運行及病毒庫升級與否進行管理，可以對用戶的文件、進程、上網行為等進行管理，并可以對客戶端計算機上的文件、應用程序、上網行為等進行詳細的審計，同時支持進程白名單功能。桌面安全管理可以分為桌面安全管理和桌面行為審計兩個大的功能項。

　　第二招，“堵住漏洞”——漏洞掃描與補丁分發管理。該功能提供網絡掃描與主機掃描兩種模式，內置nessus掃描引擎，也可與市場上主流漏洞掃描設備進行聯動。掃描完成后可以根據掃描結果自動對系統漏洞下發補丁并報警。補丁分發管理主要完成客戶端的補丁檢測和安裝，強化客戶端自身健壯性。允許管理員自定義軟件分發，完成用戶自由系統的補丁管理?？梢赃h程進行軟件分發?？梢陨钊虢Y合對客戶端防病毒程序安裝和運行情況的檢測，為安全接入管理系統提供授權認證憑據。

　　第三招，“外設管控”——外設與接口管理。外設與接口管理主要對終端上的各種外設和接口進行管理。極地銀河終端與內網安全管理系統可以禁用系統的外設和接口，防止用戶非法使用。在外部存儲設備的禁用方面，可以在禁止使用通用移動存儲設備的同時，對經過認證的移動存儲設備允許使用。

　　第四招，“出入防護”——安全接入管理和非法外聯監控。系統對于非法進入企業內網的終端進入及內網合法終端的非法外聯訪問進行監控與管理。在安全接入管理方面，系統可以通過監聽和主動探測等方式檢測內部網絡中所有在線的主機，并判別在線主機是否是信任主機，然后，對于探測到的非法主機，系統可以主動阻止其訪問任何網絡資源，從而保證非法主機不對網絡產生影響，無法有意或無意的對網絡進行攻擊或者試圖竊密。在非法外聯監控方面，系統主要解決發現和管理用戶非法自行建立通路連接非授權網絡的行為。通過非法外聯監控的管理，可以防止用戶訪問非信任網絡資源，并防止由于訪問非信任網絡資源而引入安全風險或者導致信息泄密。

　　第五招，“資產保護”——內網資產統計管理。系統可以自動收集分析終端計算機的物理內存、處理器類型、處理器速度、處理器個數、數學協處理器、總線類型等各種計算機硬件信息。系統可以通過組合查詢，報告硬件的各種信息，查詢可以基于硬件、存儲容量等多種關鍵字進行。同時，系統可以自動收集分析終端計算機安裝的軟件信息，并通過多種條件進行查詢和統計。系統智能實現自動監測系統軟硬件資產的變動，記錄日志并可以產生報警，同時可以根據策略自主采用響應措施，防止資產變更給客戶端或者網絡帶來更大的危害。

　　第六招，“終端遙控”——用戶權限管理和終端遠程控制。極地銀河終端與內網安全管理系統的用戶和權限管理采用的是由美國國家標準協會提出的RBAC模型，即基于角色訪問控制模型?；诮巧脑L問控制提供了一種簡單靈活的訪問控制機制，只給角色分配權限，用戶通過成為角色的成員來獲得權限。這與過去系統中直接給用戶授權的管理模型相比更靈活方便。同時，管理人員可以通過控制臺遠程取得客戶機的控制權，身臨其境般進行操作。對于遠端客戶機出現的問題，管理人員能夠即時、方便的解決。在遠程維護或者遠程操作業務系統中發揮多方面的作用。