端点防护 按需出牌

如果说信息安全的目标就是确保企业敏感信息的保密性，完整性和可用性，那么，不仅要向被管理的端点提供安全防护，还需要对未被管理的端点提供安全防护。

在访问和保存信息方面，企业网络管理人员需要有分层的安全策略，使得不同的被管理端点以及其使用者有着不同的权限和许可。例如，在宾馆的商务中心使用电子邮件的销售人员，通过SSL VPN访问知识产权的合同工，通过企业有线或无线局域网访问公司数据的访客。但是，仅仅是间接访问就足以让企业敏感信息暴露在安全威胁之中。因为一旦未被管理的端点被恶意软件所利用，安全威胁软件就可以利用端点访问网络的机会而秘密地植入企业网络之中，或者直接盗取企业敏感信息。

一个全面的端点安全解决方案可为管理和未管理的主机提供防护，而使用持久稳固的机制以及综合防护功能则不再适用，因此对未管理端点所采用的防护策略必须是临时的，被称为“按需（On Demand）”防护。

这种按需保护适用的范围包括企业现场来访者访问、用户访问电子商务应用、合作伙伴额外访问、员工从公共场所或家庭电脑访问等。需要指出的是，这不仅保护企业的利益，还应当确保企业能够为用户扩展增值服务。例如，凭借这种按需保护功能，金融机构或评估报告能够确定用户从其网站下载的数据的安全性且不会受到任何干扰。

按需防护的技术要素包括:按需主机完整性检测，这与主机完整性检测对策相类似，唯一不同之处在于审计功能范围稍微有所减少，这是由于短暂不具备与永久安装同样系统等级的权限;按需存储清理，主要负责清除来自浏览器的残留信息，以及在某个访问部分完成的特定应用存储;按需恶意代码保护，该对策包括识别按键记录木马程序和其他存在于端点的恶意代码;按需防火墙，这与防火墙对策类似，不同之处就在于它通常涉及较少的联接控制能力，例如防止分裂隧道的能力，于是这种短暂无法使用全面系统及权限运行;按需安全虚拟工作场所，该对策通过创建加密的端点工作场所，帮助企业确保防止信息泄漏，一般情况下，工作场所和任何相关信息将会在一部分完成后被删除。

赛门铁克的Symantec On-Demand Protection for Web Applications方案，可以防止因未被管理的端点访问网络所导致的数据丢失。它提供可根据环境调节策略的Symantec On-Demand ，帮助企业遵从安全策略、防止未授权的数据传输和保护机密信息的集成端点安全技术，从而帮助消除由未受控设备带来的信息泄露威胁。