【IT168 专稿】身为某大型企业IT主管的谢冲，发现与日趋频繁的安全事件做斗争，努力维护企业安全制度的遵从已经成了他最近面临的关键挑战。滥用、错误配置、恶意访问关键企业系统渐臻盛行，仿佛阵阵不停息的火焰，向他袭来。

    想想吧，即使他在办公室里面马不停蹄，他还不得不优先保证高级经理们的需求，让他们即使是躺在沙滩上，也可以通过移动设备轻松浏览电子邮件。

    移动办公是知识工作者的新宠；然而在带来便利的同时，这些外网移动用户在接入企业网络时带了新的安全问题。而且，企业的安全威胁并不只来自网络外部。它也可能来自企业网络内部。事实上，病毒、内部网络滥用、便携机、内部非授权访问是内网安全的四大威胁。

    谢冲并不是唯一陷入这种困境的人。安全技术、边界防火墙、防病毒、入侵检测和验证等，都是针对开放式网络中的个别问题而开发的解决方案。在部署了这些技术以后，企业会发现因为安全技术无法强制落实，实践远达不到安全策略的需要。

    挑战的根源来自于网络端点的保护和控制。例如，很多安全事件是由简单的桌面配置错误和安全补丁未及时升级造成的。值得庆幸的是，新的解决方案通过确保每个终端在接入网络前符合企业安全策略，阻止不安全和未授权的行为，从而保护企业网络的安全完整性。

    以赛门铁克公司去年发布的Sygate  Enterprise Protection 5.0 （SEP 5.0）为例。SEP 5.0通过使用以应用程序为中心的防火墙来阻止蠕虫、木马和黑客，防止其利用漏洞，非法访问敏感信息或者发起攻击；分析流入流出的通讯中有无恶意行为，并且阻止入侵（HIPD）。

    而且，每当用户连接网络时，SEP 5.0可以确认企业管理终端是否符合企业策略，根据检查结果授予或者拒绝其接入权限；对于那些来自于家庭、宾馆和无线区域的访问，对加密的通讯进行强制；系统也可以自动下载和安装任何缺失的病毒特征库，防火墙策略，入侵检测特征库，软件补丁和安全工具，将企业端点修复到可信状态。

    这也印证了一个简单的真理：IT技术总是随着市场和管理的需要而进步。企业企盼通过将端点安全状况信息和网络准入控制结合在一起，来显著提高网络计算机构的安全，于是就出现了这样的产品。SEP 5.0会在网络的所有端点设备都装有安全代理，通过安装有代理的设备一启动，保护就会生效。

    另外，当设备连接到企业网络时，它的代理会向强制服务器验证。如果设备没有代理，它将不被任何运行网络容许。安全代理可以洞悉每个应用程序的网络通讯，并搜索其中的异常。其多层防火墙及主机入侵防御（ HIPS ）技术可以监视每个应用程序使用的文件，检查操作系统和程序的安全以及补丁级别，在未授权的流量发生时，可以在操作系统的最底层阻止流量。