邵　衛(wèi)

傳統(tǒng)的網絡安全模型，將網絡劃分為內網、外網、DMZ等多個安全域，通過在網絡邊界部署防火墻，來隔離內外網。防火墻的作用類似一道城堡，通過執(zhí)行訪問控制策略，將外部威脅隔離在城堡之外，保護內部網絡的安全。

終端成為新邊界

隨著信息網絡技術的發(fā)展，網絡安全的態(tài)勢發(fā)現了變化。一個明顯的特征是：終端成為新的網絡邊界。

首先，隨著網絡接入技術的發(fā)展，終端接入網絡的方式已經不再局限于局域網接口。雙網卡、Modem撥號、Wi-Fi、CDMA/GPRS上網卡、紅外、藍牙等接口已經成為企業(yè)內部網絡的另一道邊界。不能有效管理內部PC通過這些接口上網，就類似在防火墻的城堡下，存在很多沒有安全警衛(wèi)的后門、小道，使得內部網絡的安全性無法保障。

其次，在傳統(tǒng)的企業(yè)網絡中，終端具有固定的辦公位置，內部網絡相對是靜態(tài)的。然而，隨著移動終端的普及（便攜機銷售超過臺式機），移動辦公方式開始流行，內部網絡上接入的終端也變得動態(tài)化。一方面，員工的終端可能在多個位置動態(tài)接入內部網絡。另一方面，各種非公終端也可能接入內網（包括員工個人PC，以及合作伙伴、客戶的PC）。

再次，USB等存儲設備的大量使用，使得內部主機直接暴露在通過U盤等移動媒介傳播的惡意軟件面前；同時，內部的關鍵信息資產，也面臨通過移動媒介泄露的威脅。網關設備對此無能為力。

終端成為內部網絡的另一道邊界，網絡安全必須同時管理網關和終端雙重邊界，這也是安全產品必須面對的問題。

黑客攻擊技術的集成化

黑客的攻擊手段在和安全產品控制與反控制的斗爭中不斷變化。針對企業(yè)防火墻的部署，黑客工具被設計為反彈連接方式。繞開防火墻的安全策略，黑客在內部網絡的PC上植入木馬后，反彈木馬從內部主機上主動發(fā)起連接。網關防火墻對這類攻擊難以識別。針對終端防病毒軟件的部署，黑客工具加強了與防病毒軟件對終端系統(tǒng)控制權的爭奪，木馬病毒被設計成首先上來終結防病毒軟件進程。

黑客把這些技術結合在一起，形成集成化的新一代攻擊工具。單一的安全產品，在抵御這些集成化的攻擊工具時，都存在一些脆弱點。針對這種安全威脅，客觀上需要多種安全產品相互協(xié)同與配合，構筑成系統(tǒng)的防御體系，從而更好地滿足企業(yè)的安全需求。

安全的新思維

面對安全的新形勢和新挑戰(zhàn)，網關安全產品和終端安全產品逐漸組合在一起，形成更加有效的縱深防御體系。這種安全的新思維逐漸成為趨勢。

通過組合，可以統(tǒng)一管理網絡邊界，同時在網關和終端進行安全控制，對整個網絡邊界執(zhí)行統(tǒng)一的訪問控制策略、配置、監(jiān)控，確保網絡安全無盲點，將企業(yè)IT管理的范圍從網絡邊界的網關設備推進到終端PC，以保證整體的網絡安全性、業(yè)務的可用性和連續(xù)性。在此基礎上，形成針對新安全威脅的縱深防御體系，面對集成化的黑客攻擊方式，使網關與終端互相保護，協(xié)同配合，縱深防御，更有效地抵御新的安全威脅。

當然，網關安全產品和終端安全產品屬于不同的技術領域，兩者之間跨界組合的實現，對安全廠商提出了更高的要求。當前實現跨界組合面臨的主要挑戰(zhàn)有：產品系列的綜合要求，產品協(xié)同實現的復雜性，客戶對易用性的要求。

近年來，國外的信息安全領導企業(yè)紛紛開始探索通過產品組合的方式來滿足客戶的安全需求。但是，縱觀國內安全廠商，在網關和終端安全兩個領域都有成熟技術和產品的并不多，能實現二者協(xié)同和易用性的更寥寥無幾。目前只有啟明星辰等少數廠家具備跨界產品組合的能力。