這些形形色色的終端給網絡安全工作帶來了巨大挑戰：它們類型眾多，以各種方式接入;并且，它們是網絡中大部分事物的源頭和起點——是用戶登錄并訪問網絡的起點，是用戶訪問應用系統并獲取數據的起點，更是病毒傳播、從內部發起的惡意攻擊、內部保密數據盜用或失竊的起點。因此，終端安全管理對每個企業來說都是非常重要的，良好的終端安全控制技術能夠保證企業的安全策略真正得到實施，有效控制各種非法安全事件，遏制網絡中屢禁不絕的惡意攻擊和破壞。

終端安全控制技術的最佳選擇

在終端安全管理中，安全策略的控制與實施是實現所有終端管理功能的基礎所在。采用安全策略控制技術能夠對終端用戶進行身份認證，對安全狀態進行檢查，將不合格的終端進行隔離、強制修復，從而有效促進內網的合規建設，減少網絡事故。

從安全策略的實施點看，目前業界采用的終端安全管理技術主要有以下四種：

1. 出口準入控制

出口準入控制是部署上最容易實現的終端安全管理技術。其思路是先進入再控制，允許用戶使用網絡，在出口處部署安全控制設備(如防火墻、行為控制網關等)。用戶上網時，必須在出口的安全設備處進行身份認證和安全檢查，通過之后才能上網。

出口準入控制的優點是部署簡單，不需要安裝客戶端，而且具備流量控制、上網內容審計等功能，因此應用較為廣泛。其缺點是無法識別用戶身份是否假冒(如IP、MAC、帳號等)，無法控制病毒在內網的傳播，而且無法控制外來用戶偷偷接入內網的行為(比如U盤拷貝等)，不能從源頭上對終端安全進行控制，必須與其他終端安全控制技術結合，才能提供完整的終端安全管理解決方案。

2. 客戶端準入控制

客戶端準入控制是最常見的終端安全管理技術，往往與防病毒軟件、個人防火墻等結合在一起?？蛻舳藴嗜肟刂频脑硎钦J為來訪用戶都不可靠，因此必須在終端上安裝客戶端安全軟件，時刻對其安全狀態(如進程、注冊表、引導區、網絡連接狀態、網頁訪問狀態等)進行監控，一旦出現異常，就提示用戶或者按預設策略進行處理。

客戶端準入控制的優點是控制能力強，能夠檢查操作系統、網絡和應用層的安全問題。其缺點是經常需要用戶自行判斷，對用戶的安全知識有較高要求，占用系統資源較多;同時無法保證客戶端的運行情況，當端戶貝等)，因此在企業內部使用時，無法避免客戶端被卸載或重裝系統、不運行等情況發生。

3. 服務器準入控制

服務器準入控制技術的原理是在應用服務器上安裝準入控制軟件，一般安裝在DHCP服務器、DNS服務器或代理服務器上。當電腦終端訪問服務器時，準入控制軟件會彈出頁面要求用戶登錄，檢查對方的安全狀態，如果符合策略則允許訪問，如果不符合將拒絕對方的訪問，并給出相關提示。

服務器準入控制的部署比較簡單，對網絡設備環境基本沒有要求，但是容易受到安全攻擊的影響(如DHCP攻擊)，而且對源頭客戶端的病毒傳播難以控制，無法解決外來用戶的私自接入問題。

4. 網絡準入控制

網絡準入控制技術的原理是從網絡入口進行控制，通過網絡設備在接入端口處強制實施安全策略。用戶接入網絡時，必須運行客戶端軟件，經過身份認證和安全檢查，認證通過后才能使用網絡。由于網絡設備不可繞開，因此客戶端一旦被卸載或者操作系統被重裝，用戶將無法接入。

網絡準入控制的優點是基于用戶身份與網絡設備緊密配合，安全策略可以得到強制實施。其缺點是實施成本較高，對網絡環境和技術人員有一定要求，目前主要在大中型企業得到廣泛應用。

以上四種控制技術各有其優缺點，但從安全策略的實施方面來看，基于網絡的準入控制技術由于網絡設備難以繞開、控制力度可達交換機端口等特點，保證了安全策略得到強制實施，實現了終端安全管理的不可抵賴性和不可逃避性，同時解決了外來用戶與內網外聯的問題，并且能夠與傳統的安全技術和桌面管理技術融合，可以說，它是終端安全技術的最佳選擇。

【編輯推薦】

1. 主動防御技術成為反病毒經濟新熱點
2. 移動終端安全模塊技術研究
3. 國內某設備廠商詳細的終端安全解決方案