统一网络的边界安全

早在1998年，美国国家安全局制定了《信息保障技术框架》（Information Assurance Technical Framework，IATF），提出了“深度防御策略”，把安全防御分成几个领域，包括: 网络与基础设施防御、网络边界防御、局域计算环境（包括本地终端、打印机、服务器等等）防御等支撑性基础设施的深度防御。

由此，终端桌面安全正式作为传统网络安全防范体系的补充，作为整个网络安全体系的一个重要组成部分逐渐为大家所接受和了解。

终端安全问题的焦点

即便有IATF的安全架构模型，实际的现状是企业管理人员和安全服务商对传统的边界网络安全和核心资源安全更为重视。

对企业网络来说，虽然终端资产的重要性级别通常低于网络中的交换机、路由器等核心网络设备以及各种业务主机和服务器，但终端数量众多，并且是组织的日常办公和业务运行的载体。如果终端安全受到威胁，即使网络中的核心设备安然无恙，整个网络的业务运行也会受到严重影响甚至瘫痪！

自1998年后，各个安全厂家推出了自己的终端安全管理产品，但早期的网络和计算应用技术的局限性，以及管理人员对终端资产的重视性不够，使得终端安全管理技术发展不大，且没有一个统一有效的安全标准供管理人员参考。

但2002年Sarbanes-Oxley（简称SOX法案或塞班斯法案）法案出台，该法案被普遍认为是美国自1933年证券法和1934年证券交易法之后影响上市公司的最重要的金融法案，它对在美国上市的公司（无论是本土的和外来的公司）产生了巨大的影响。

由此，大大促进了各家安全厂商对终端安全管理产品的研究和发展，并产生一些相关的治理规范，如ITIL（信息技术基础结构库)、COBIT（信息和相关技术的控制目标）、BS7799(信息安全管理标准)等。这些标准，即是上市公司终端安全管理的建设标准，也是我们普通企业或部门可以参照的规范。这些都大大促进了终端安全管理产品和技术的发展。

解放终端安全管理

从实际应用来看，管理和安全服务商的重点一般放在桌面安全管理，补丁分发管理和联网行为管理这几部分。

实际上，一个网络中可能会同时存在多家网络公司的设备，客户终端上使用的操作系统，应用软件也可能跨越数种平台。目前，还没有哪一家安全厂商的产品能真正实现对所有局域网内的终端都能一体化安全管理，原因有二，一是缺乏统一的网络技术标准大大限制了终端安全产品对网络设备的兼容性，另一则是因为各种新应用和新攻击的出现。

比如，Cisco有着自己的NAC终端安全管理解决方案，但只能在一个全网是Cisco设备的网络环境下使用，而且终端PC所安装操作系统和应用的复杂性也使得NAC解决方案在终端上能起的作用大为降低。而2006年全球广为流行的ARP病毒，更是给内网安全一记重击。尽管有完善的终端安全解决方案，安装了各种防病毒软件，客户端防火墙，桌面安全管理软件，还是会因为ARP病毒问题导致内网的瘫痪。

其实，这就是将所有安全都系于终端安全管理软件上的错误。一体化的终端安全管理是必须和传统的边界网络安全结合在一起才可以的。某些安全厂商已经认识到了这点，开发了一些新的终端安全软件。比如，HillStone公司结合自己的安全网关，开发了针对终端的ARP病毒客户端，在客户端上通过加密的ARP验证信息保证内部用户不受ARP病毒问题困扰。

总之，构建一体化终端安全管理原则必须遵循网络防护和客户端防护并重的理念，并不是实施了全面的终端管理后就能彻底解决整个网络的安全问题，终端安全只是传统的边界网络安全的一个必要补充，它对传统网络安全管理的盲区进行监控，只有将二者结合在一起，才是一个全面的一体化终端安全管理的解决方案。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。