终端安全风险管理：揭示3.5终端安全管理未来

2023-11-23 理论教育版权反馈

【摘要】：有相应硬件支持，将很大程度上解决纯软件终端安全产品存在的问题。综合趋势终端安全产品要和网关及其他安全设施密切配合，分工协作，才有可能构架全面完整的安全防护保障体系。终端安全的重要组成部分是设置管理或针对安全规范符合程度的检查、隔离和矫正。综上所述，终端安全管理体系的构建实施过程需要依赖完善的方法论，对体系建设过程提供内部审核、管理评审、外部审核等管理活动支持，保障体系的有效实施。

从技术层面看，近年来国内外终端安全在技术领域的发展有以下几个趋势：

（1）集成趋势

最初的终端安全产品是以桌面防病毒、个人防火墙、主机防攻击、VPN客户端等单独软件产品出现，随着人们开始将终端安全作为一个完整问题加以对待，终端安全正经历着一个从多个分立功能到多功能集成的过渡。功能从分立到集成并不是指将所有终端安全功能融合为一个厂家的一款产品，它的表现形式更多为以设置管理为纽带的多厂家产品的集成和互动，即由单一主机上多个代理组成的代理组来完成终端安全。

（2）硬件化趋势

运行在主机操作系统之上的终端安全产品完全由软件实现，依赖于操作系统，不仅增加了CPU的负担，也无法防止黑客利用其他应用软件和操作系统的漏洞获取主机控制权限，特别难以避免主机用户因安装含有恶意代码的软件而造成的问题。

有相应硬件支持，将很大程度上解决纯软件终端安全产品存在的问题。有200多家厂商参加的可信计算组织（Trusted Computing Group，TCG）已经制定了硬件和软件的标准来增强主机安全，其中非常重要的就是用来存放密钥、密码和数字证书的微控制器，即可信平台模块（Trusted Platform Module，TPM）。(www.chuimin.cn)

与此同时，一些厂商也开始研制部署于网络接口的基于硬件的终端安全产品。这些产品以安全网卡形式出现，最终也可能集成到主板。在专用硬件网卡上内置的防火墙、VPN以及入侵监测防护器（IDP）除了可以分担主机CPU的负担，而且可以独立运行，因而能够更好地支持中央管理，防止因主机被盗用引入的问题，在一定程度上可以阻断从被攻破的主机上发动攻击。例如可以使网卡内置的安全功能具有单独的安全认证，使得安全策略的设置和更改只能通过独立的配置手段进行；甚至可以使配置控制权不在主机而在管理中心，因而即使黑客侵入了某个主机并获得了它的管理员权限，也不能禁用或更改网卡内置的安全功能。又如，专用硬件网卡上内置的防火墙能够自动防止该主机伪造网包、IP地址等。由于增加成本的原因，这类产品的应用目前多见于服务器。

（3）综合趋势

终端安全产品要和网关及其他安全设施密切配合，分工协作，才有可能构架全面完整的安全防护保障体系。

终端安全的重要组成部分是设置管理或针对安全规范符合程度的检查、隔离和矫正。要做到这一点，终端安全已走出离散的、完全独立运行于单个主机的模式，而与中央管理产品综合在一起，逐步形成完善的全方位、多层次安全体系。中央管理产品本身可以是分层分布的，这样的布局使得安全解决方案更加严密，也具较好的灵活性。当网络的状况变化时，管理中心可以根据实际情况调整对于各个终端的安全要求和安全策略部署，并通过给各个终端分发任务和监督实施来保证整个网络系统的安全性。

综上所述，终端安全管理体系的构建实施过程需要依赖完善的方法论，对体系建设过程提供内部审核、管理评审、外部审核等管理活动支持，保障体系的有效实施。

终端安全风险管理：揭示3.5终端安全管理未来

相关推荐