如果把传统的边界防护比作铜墙铁壁，那么，端点防护就像是让铜墙铁壁内外的每个士兵再穿上一件防弹衣。对于信息安全产业来说，这看起来像是一桩唾手可得的“好生意”，然而，伴随而来的技术挑战却比我们想象的更为复杂……

        出墙的“红杏”

        作为信息部门的主管，李丹已经连续几天在提心吊胆中度过。其实，事情也是由他自己带来的：为了更好地发挥公司信息网络的价值，在他的建议下，公司新近给各部门的高管配备了最新的掌上电脑，这种设备可以方便地装进口袋里，便于随时访问公司的内部网络，进行业务往来。

        然而问题也随之而至，因为对新东西的好奇，有些领导从网上下载了不少应用软件和游戏，而其中竟然包含恶意程序与病毒，并通过VPN登录到公司的内部网络后散布开来，虽然最终情况很快得到了控制，没有造成什么损失，却也让身为负责人的李丹惊出了一身冷汗。由于一时没有找到合适于掌上电脑的反病毒软件，李丹只能发邮件提醒各位领导不要安装不明来历的软件，并继续在心惊胆战中祈祷不要再出现意外。

        李丹碰到的问题并非偶然，越是信息化发展较快的公司，公司业务与网络结合得越紧密，其网络主管可能越会因信息防护而感到不安。

        过去，我们的信息安全防御一直热衷于深沟高垒，不断构筑网络边界防御的铜墙铁壁，安全技术的发展更多的是对这道墙不断增厚加高，并装上铁丝网、电网等等。然而，随着P2P和web2.0的风行，使得网络越来越多的活力和驱动力来自于端点和边缘，网络价值的天平也更多地向边缘倾斜。

        在企业中，传统的边界正变得日益模糊，同时，企业业务的核心价值也不再是集中于一两台服务器上，而是广泛分布在企业员工的电脑里，也就是网络的各个端点之中，这些端点可能会在任何时候、任何地点接入公司的网络，接触核心的业务信息，因此，公司网络边界防护系统的构筑变得愈发难以奏效。

       上述这些问题，构成了网络端点安全技术发展最主要的驱动力。

        端点风暴

        保护网络端点的安全已经成为业界公认的趋势，根据IDC权威的市场分析报告显示，从2004年到2007年，全球的桌面端点安全市场每年的复合增长率超过20%，到2007年，该市场的市场规模将超过25亿美元，其占据整个信息安全软件市场的比例超过15%，成为信息安全市场中增长率排名前三位的细分市场。

        来自Gartner预测也显示，到2008 年，接入网络的个人电脑系统安装桌面防火墙的比率，将从不足30%很快提高到60%，而到2010 年则进一步提高到95%。

        这两家公司的统计和预测目前还主要集中在PC机等桌面系统，面对未来的掌上电脑、智能手机、以及其他的上网设备，这无疑将是一个更为广阔的空间。

        目前，在端点安全控制领域有着巨大影响力的企业包括思科、微软、赛门铁克、3Com等。从这个名单中我们也可以看到，端点安全实际上已经和IT网络的主要层面息息相关。虽然各家公司由于立场和关注点的不同，其端点安全控制解决方案在技术进程、技术细节上各不相同，但整个系统的原理和思路却大致相似。

        一般来说，端点安全系统由客户端代理、接入联动设备、安全策略服务器和安全功能服务器四个部分组成。客户端代理是安装在用户终端系统上的软件，可以对用户终端进行身份认证、安全状态评估、以及实施网络安全策略。

         安全策略服务器是整个解决方案的核心组成部分，它实现用户管理、安全策略管理、安全状态评估、安全联动控制、以及安全事件审计等功能。接入联动设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。安全功能服务器是指病毒服务器、补丁服务器等网络安全产品，在体系中可以方便地集成第三方安全产品的功能，实现安全产品功能的整合。

        据思科的安全顾问郭庆介绍，其实对于端点安全的控制，各家有不同的实现方式，而且目前业界也没有统一的标准，但是对于用户来说，还是应该记住一些选择的要点：

        完整的安全端点控制系统应该能够对用户终端进行完备的安全状态评估，并对“危险”用户实行实时的隔离。该系统应该可以对用户终端的安全状态，即操作系统补丁、第三方软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态进行较为全面的评估，而不是仅仅有防病毒等一两项功能；另外，系统应该只允许符合企业安全标准的终端才能正常访问网络。用户终端如果不符合管理员设定的企业安全策略，只能被隔离或者访问病毒服务器、补丁服务器等用于系统修复的网络资源，迫使“危险”终端用户及时升级自身的安全状态。在用户终端通过安全信息检查后，系统可按照用户角色权限规范用户的网络使用行为。

        郭庆还强调，由于端点安全的防护需要很好的扩展性，在这方面也一定要加以重视。另外，像思科NAC这样的准入控制方案，由于防病毒等功能都是联合第三方的专业杀毒厂商来完成，因此方案中策略与服务器的交互都应该基于完善的标准协议来实现。

        技术细节的命题

        虽然有着大体相近的体系思路，但端点安全防护显然离“同质化”还有着很远的距离，各家企业在实际的技术细节上有着很大的差别。Gartner在去年曾经做过一个端点安全企业竞争态势的比较，各家企业在最终的竞争象限图表上分布很不均匀。

        “从技术上来看，解决方案不同的特性肯定会对最终的应用产生很大的影响。”赛门铁克中国区技术经理郭训平在采访中直接点明了主题，郭先生谈到，在收购了Sygate公司之后，赛门铁克在端点安全防护方面已经走到了业界前沿，具有很多优势和特点，这些特点对于实际应用非常重要。

        “我们认为，端点安全的防护应该面向未来，所以首先就是需要‘管得宽’”。郭训平解释说，像赛门铁克的端点安全方案不管笔记本、台式机、手持设备或其他端点设备都可以管理防护。而很多企业在这方面都有差距，管理的网络端点往往集中于某一种设备或操作平台，这无疑满足不了现实应用的需求。

        “再有，端点安全还需要注意‘管得活’，安全策略的松与紧，宽与严都应该由企业根据实际应用情况来制定，而不是被安全厂商因为产品技术原因所限制。”

        在谈到端点安全目前应用和部署的对象时，郭训平特别谈到“端点安全并不是只面向大型企业的，不管你的企业规模有多大都可以适用，这也要求解决方案技术上与成本上的灵活性。比如应该是尽可能自动化的管理，不需要过多管理员的手工介入，管理上也应该简单轻松。”

        郭先生谈到的这些特性，在随后对3Com旗下TippingPoint的采访中也得到了印证，当然其技术实现的方式并不相同。TippingPoint北亚区业务总监叶精良谈到，由于TippingPoint提供的是一种以网络为基础的安全方案，无须在客户端安装代理程序或其他软件，因此可以降低管理多重端点方案所涉及的成本，当然灵活性也大大增强。

        3Com提供的端点安全隔离防护方案有几种主要的部署方法，用户的选择可以根据企业的安全策略和已有的网络基础设施设备而定。