端点安全购买之前要问六个问题.docVIP

端点安全购买之前要问六个问题 　　端点安全是指围绕桌面台式电脑、笔记本电脑等终端设备而实行的安全保护技术和管理控制措施，目的是保障桌面计算机系统安全、数据安全、网络安全和应用安全。本文是端点安全的一份路线图，为你介绍了在为企业购买端点安全产品之前需要评估的几个方面。 　　我们在去年看到众多端点安全产品进入市场，它们试图消除企业网络面临的非常严重的威胁。那么企业的IT管理人员该如何评估这种产品呢？本文就提供了一份路线图，并且介绍了对所有产品进行筛选的方法。以下是你在购买端点解决方案之前先要弄清楚的六个问题。 　　 　　一、哪几个部分最重要？ 　　 　　端点安全对不同的人来说意味着不同意思。为了便于讨论，我们概述了端点解决方案应当包括的五个要素。你的需求可能有所不同，也许现在想实施其中一两个部分，打算将来时机成熟时再升级到其余几个部分。 　　● 策略定义: 你应当能够为不同的用户群、位置和机器群设定及维护各种安全策略，而且能够轻松修改。 　　● 用户检测: 不管你的用户是在本地总部还是从远地连接到企业网络，你的系统都应当能够检测到他们。这包括每个客户端上使用代理或者无代理的操作。 　　● 健康评估：你的最终系统应当能够扫描端点、确定符合策略的状况。理想情况下，应当在访问网络之前进行扫描，不过你的系统也应当允许登录之后进行其他检查。 　　● 策略执行：你的策略确定了应当保护哪些网络资源，包括交换机、虚拟专用网（VPN）和服务器等等。视策略而定，你应当能够隔离资源或者完全拒绝访问网络。 　　● 采取补救：如果客户端不符合策略，接下来会怎样？理想的系统会启动反病毒特征更新、给操作系统打上补丁，或者采取其他措施。记住：目的在于让每个人最终都能安全地连接到网络上。这恐怕是大多数IT管理人员希望最先看到实施的方面，却也是大多数解决方案最薄弱的方面。问题在于，补救起来很棘手，而且需要依赖许多单个的软件和硬件正常工作。 　　目前正在开发中的有三种总体架构方法：微软的网络访问保护（NAP）、思科的网络准入控制（NAC）以及可??计算组织的可信网络连接（TNC）。 　　思科的NAC是三者当中离实际实施最接近的。它的工作方式是通过把模块实施到面向Windows客户端和Linux客户端的交换机及路由器中，从而控制对网络层的访问。你需要混合搭配几家厂商的产品才能涵盖上述五个部分，因为思科并不提供一切。思科架构的强项在于执行和检测，补救是它的弱项。 　　TNC一开始是这种概念：使用Radius和802.1x等开放标准对特定的网络客户端进行验证，那样它们不会被任何一家厂商的产品线或者客户端操作系统所束缚。TNC专注于提供能够协同工作的解决方案，所以难怪其强项在于策略定义，弱项在于健康评估。 　　NAP还没有真正实施到微软的任何产品中，第一个应用实例将是预计今年晚些时候问世的Longhorn服务器。该架构的强项在于补救，弱项在于执行，对另外两种架构起到了很好的补充作用。最初，NAP会单单支持Windows XP和Vista客户端，把其他市场让给另外两种架构。 　　建议： 　　不是每个端点解决方案都能够有效地提供五个方面，大多数的强项在于健康评估或者策略执行等一、两个方面，在其他方面比较弱。认真阅读说明书，确定你最初关注的重心。 　　 　　二、现有的安全和网络基础设施是什么？ 　　 　　下一步就是了解你现有的安全产品组合是什么，端点解决方案在什么地方会适合你现有的系统。你可能不想换掉任何旧设备，或者不想购买功能与现有设备重复的端点产品，这取决于你何时购买了防火墙、入侵预防设备和验证服务器。 　　有些产品（如Vernier）自身随带入侵检测和预防系统或者虚拟专用网络网关，这些是端点安全解决方案的必要部分；而另一些产品（如Lockdown Networks）可与现有的IPS、IDS和VPN产品协同工作。如果你准备选购这些产品，这可能是好消息，但要认识到：你的端点安全只能保护远程用户在使用的机器，却不能扫描任何本地网络用户的机器。为了同时保护本地用户和远程用户，你需要实施802.1x验证之类的机制。 　　思科的NAC假定你使用的所有思科产品都是必威体育精装版版本：如果不是，那么就要考虑其他架构，除非你希望花钱进行全面升级。如果你花了大笔钱购买了思科以外的其他厂商的网络交换机和路由器，那么支持另外两种架构的产品更有意义。 　　建议： 　　● 如果你没有VPN，或者正在考虑实施VPN，那么Juniper和F5（其次是思科和Aventail）提供的SSL VPN具有相当可靠的端点健康扫描功能。至于已经有企业IPsec VPN的用户，比较适合实施端点安全解决方案，假定你在所有的本地机器上也能够运行这些安全IPsec协议。大多数端点产品支