赛门铁克按需防护:堵住企业威胁“后门”

在当前的计算环境中，一方面，用户的移动性使得许多端点频繁、直接地暴露在安全威胁中；另一方面，即便是基于企业局域网运行的端点，仍然面临着来自系统内部和外部资源的大量威胁。因此，毫无疑问，端点安全已成为整体企业安全战略的必要组成部分。

这个概念正逐步被广大用户所接受。但是，建立一个全面的端点安全解决方案是一项复杂的过程，涉及许多因素。Missing Link安全服务有限公司创始人Mark Bouchard就认为，信息安全的目标就是确保企业敏感信息的保密性、完整性和可用性。为此，不仅要向被管理的端点提供安全防护，还需要对未被管理的端点提供安全防护。这些端点往往超出了企业的管理控制范围，主要来自业务伙伴、用户，甚至是企业的临时访客。但是,企业安全策略为它们所设的权限很低，多数只能浏览访问企业网中的非核心信息，难道这些端点也能带来安全威胁？

端点访问的隐忧

毫无疑问，被管理的端点需要保护，这些端点可以访问非常广泛的信息，并且多数时间还被

允许保存信息。当然，在访问和保存信息方面，企业网络管理人员需要有分层的安全策略，使得不同的被管理端点及使用者有着不同的权限和许可。相对来讲，未被管理的端点能访问的信息较少，也基本上不能保存信息。例如，在宾馆的商务中心使用Web Mail的销售人员，通过SSL VPN访问知识产权的合同工，通过企业有线或无线局域网访问公司数据的访客。但是，仅仅是间接访问就足以让企业敏感信息暴露在安全威胁中。这是因为，一旦未被管理的端点被恶意软件所利用，安全威胁软件就可以利用端点访问网络的机会而秘密地植入企业网络之中，或者直接盗取企业敏感信息。

如何让网络、电脑以及信息不受那些已被病毒感染的端点侵扰？虽然这已经属于网络和数据中心安全的范围，但是，企业依然可以让端点本身扮演愈加重要的角色。举例来说，如果可以利用对端点的安全状态和构造进行深入审核的基于用户的机制，已经实施的网络准入和访问控制对策将会更加有效。

保护未管理的端点

一个全面的端点安全解决方案可为管理和未管理的主机提供防护。管理的端点执行优势是由于它在企业管理控制的内部，于是安装持久稳固的安全机制可用于执行必要的策略。而未管理端点的挑战在于它们能够访问企业信息，并给企业的计算环境带来威胁，但又不在企业的控制之中。而使用持久稳固的机制以及综合防护功能则不再适用，因此对它所采用的任何防护策略必须是临时的。由于其短时间的状态，赛门铁克中国区业务拓展经理郭训平称之为按需(On Demand)防护。

这种保护可适用的范围包括企业现场来访者访问、用户访问电子商务应用、合作伙伴额外访问、员工从公共场所或家庭电脑访问等。需要指出的是，这不仅要保护企业的利益，还应当确保企业能够为用户扩展增值服务。例如，凭借这种按需保护功能，金融机构或评估报告能够确定用户从其网站上下载数据的安全性。

按需防护重点

郭训平还提出了按需防护的技术要素，主要包括：按需主机完整性检测，这与主机完整性检测对策类似，惟一不同之处在于，审计功能范围稍微有所减少，这是由于短暂不具备与永久安装同样系统等级的权限；按需存储清理，主要负责清除来自浏览器的残留信息及在某个访问部分完成的特定应用存储；按需恶意代码保护，该对策包括识别按键记录木马程序和其他存在于端点的恶意代码；按需防火墙，这与防火墙策略类似，不同之处在于，它通常涉及较少的连接控制能力，例如防止分裂隧道的能力，于是这种短暂无法使用全面系统及权限运行；按需安全虚拟工作场所，该对策通过创建加密的端点工作场所，帮助企业确保信息不被泄漏。一般情况下，工作场所和任何相关信息将会在完成部分功能后被删除。

针对未管理端点的防护和按需保护的理念，已经有安全企业率先推出了相应方案。例如赛门铁克就推出了Symantec On-Demand Protection for Web Applications方案，它有助于防止因未被管理的端点访问网络所导致的数据丢失。它提供了可以根据环境进行策略调节的Symantec On-Demand，有助于确保遵从安全策略、防止未授权的数据传输和保护机密信息的集成端点安全技术，从而帮助消除由未受控设备带来的信息泄露威胁。