邵　衛(wèi)

傳統(tǒng)的網(wǎng)絡(luò)安全模型，將網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)、外網(wǎng)、DMZ等多個(gè)安全域，通過(guò)在網(wǎng)絡(luò)邊界部署防火墻，來(lái)隔離內(nèi)外網(wǎng)。防火墻的作用類似一道城堡，通過(guò)執(zhí)行訪問(wèn)控制策略，將外部威脅隔離在城堡之外，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

終端成為新邊界

隨著信息網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全的態(tài)勢(shì)發(fā)現(xiàn)了變化。一個(gè)明顯的特征是：終端成為新的網(wǎng)絡(luò)邊界。

首先，隨著網(wǎng)絡(luò)接入技術(shù)的發(fā)展，終端接入網(wǎng)絡(luò)的方式已經(jīng)不再局限于局域網(wǎng)接口。雙網(wǎng)卡、Modem撥號(hào)、Wi-Fi、CDMA/GPRS上網(wǎng)卡、紅外、藍(lán)牙等接口已經(jīng)成為企業(yè)內(nèi)部網(wǎng)絡(luò)的另一道邊界。不能有效管理內(nèi)部PC通過(guò)這些接口上網(wǎng)，就類似在防火墻的城堡下，存在很多沒(méi)有安全警衛(wèi)的后門、小道，使得內(nèi)部網(wǎng)絡(luò)的安全性無(wú)法保障。

其次，在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)中，終端具有固定的辦公位置，內(nèi)部網(wǎng)絡(luò)相對(duì)是靜態(tài)的。然而，隨著移動(dòng)終端的普及（便攜機(jī)銷售超過(guò)臺(tái)式機(jī)），移動(dòng)辦公方式開(kāi)始流行，內(nèi)部網(wǎng)絡(luò)上接入的終端也變得動(dòng)態(tài)化。一方面，員工的終端可能在多個(gè)位置動(dòng)態(tài)接入內(nèi)部網(wǎng)絡(luò)。另一方面，各種非公終端也可能接入內(nèi)網(wǎng)（包括員工個(gè)人PC，以及合作伙伴、客戶的PC）。

再次，USB等存儲(chǔ)設(shè)備的大量使用，使得內(nèi)部主機(jī)直接暴露在通過(guò)U盤等移動(dòng)媒介傳播的惡意軟件面前；同時(shí)，內(nèi)部的關(guān)鍵信息資產(chǎn)，也面臨通過(guò)移動(dòng)媒介泄露的威脅。網(wǎng)關(guān)設(shè)備對(duì)此無(wú)能為力。

終端成為內(nèi)部網(wǎng)絡(luò)的另一道邊界，網(wǎng)絡(luò)安全必須同時(shí)管理網(wǎng)關(guān)和終端雙重邊界，這也是安全產(chǎn)品必須面對(duì)的問(wèn)題。

黑客攻擊技術(shù)的集成化

黑客的攻擊手段在和安全產(chǎn)品控制與反控制的斗爭(zhēng)中不斷變化。針對(duì)企業(yè)防火墻的部署，黑客工具被設(shè)計(jì)為反彈連接方式。繞開(kāi)防火墻的安全策略，黑客在內(nèi)部網(wǎng)絡(luò)的PC上植入木馬后，反彈木馬從內(nèi)部主機(jī)上主動(dòng)發(fā)起連接。網(wǎng)關(guān)防火墻對(duì)這類攻擊難以識(shí)別。針對(duì)終端防病毒軟件的部署，黑客工具加強(qiáng)了與防病毒軟件對(duì)終端系統(tǒng)控制權(quán)的爭(zhēng)奪，木馬病毒被設(shè)計(jì)成首先上來(lái)終結(jié)防病毒軟件進(jìn)程。

黑客把這些技術(shù)結(jié)合在一起，形成集成化的新一代攻擊工具。單一的安全產(chǎn)品，在抵御這些集成化的攻擊工具時(shí)，都存在一些脆弱點(diǎn)。針對(duì)這種安全威脅，客觀上需要多種安全產(chǎn)品相互協(xié)同與配合，構(gòu)筑成系統(tǒng)的防御體系，從而更好地滿足企業(yè)的安全需求。

安全的新思維

面對(duì)安全的新形勢(shì)和新挑戰(zhàn)，網(wǎng)關(guān)安全產(chǎn)品和終端安全產(chǎn)品逐漸組合在一起，形成更加有效的縱深防御體系。這種安全的新思維逐漸成為趨勢(shì)。

通過(guò)組合，可以統(tǒng)一管理網(wǎng)絡(luò)邊界，同時(shí)在網(wǎng)關(guān)和終端進(jìn)行安全控制，對(duì)整個(gè)網(wǎng)絡(luò)邊界執(zhí)行統(tǒng)一的訪問(wèn)控制策略、配置、監(jiān)控，確保網(wǎng)絡(luò)安全無(wú)盲點(diǎn)，將企業(yè)IT管理的范圍從網(wǎng)絡(luò)邊界的網(wǎng)關(guān)設(shè)備推進(jìn)到終端PC，以保證整體的網(wǎng)絡(luò)安全性、業(yè)務(wù)的可用性和連續(xù)性。在此基礎(chǔ)上，形成針對(duì)新安全威脅的縱深防御體系，面對(duì)集成化的黑客攻擊方式，使網(wǎng)關(guān)與終端互相保護(hù)，協(xié)同配合，縱深防御，更有效地抵御新的安全威脅。

當(dāng)然，網(wǎng)關(guān)安全產(chǎn)品和終端安全產(chǎn)品屬于不同的技術(shù)領(lǐng)域，兩者之間跨界組合的實(shí)現(xiàn)，對(duì)安全廠商提出了更高的要求。當(dāng)前實(shí)現(xiàn)跨界組合面臨的主要挑戰(zhàn)有：產(chǎn)品系列的綜合要求，產(chǎn)品協(xié)同實(shí)現(xiàn)的復(fù)雜性，客戶對(duì)易用性的要求。

近年來(lái)，國(guó)外的信息安全領(lǐng)導(dǎo)企業(yè)紛紛開(kāi)始探索通過(guò)產(chǎn)品組合的方式來(lái)滿足客戶的安全需求。但是，縱觀國(guó)內(nèi)安全廠商，在網(wǎng)關(guān)和終端安全兩個(gè)領(lǐng)域都有成熟技術(shù)和產(chǎn)品的并不多，能實(shí)現(xiàn)二者協(xié)同和易用性的更寥寥無(wú)幾。目前只有啟明星辰等少數(shù)廠家具備跨界產(chǎn)品組合的能力。