SEP5.0 包含专为服务器设计的强劲主机入侵防护系统，自带增强的特定服务器类型保护模板。以及经 Determina 许可的内存防火墙技术。它保护关键业务的服务器应用免遭零日的缓冲溢出攻击。这一能力也反映出一个现实，就是自从 2003 年以来，缓冲溢出攻击 100 ％盘踞在微软服务器关键弱点之中。

终端设备安全完整性保证

    主机完整性强制应被视为企业保护系统的关键组件。信息安全业界已经开发出了多种基于主机的安全产品，以确保企业网络和信息的安全，阻止利用网络连接技术、应用程序和操作系统的弱点和漏洞所发起的攻击。并已充分采用了在个人防火墙、入侵检测、防病毒、文件完整性、文件加密和安全补丁程序等方面的技术进步，来有效地保护企业设备。

    然而，只有在充分保证这些安全技术的应用状态、更新级别和策略完整性之后，才能享受这些安全技术给企业网络安全带来的益处。如果企业端点设备不能保证主机安全措施完整性，也就不能将该设备看成企业网络受信设备。

企业选择终端安全解决方案时应考虑的设计原则

    今天企业需要有能力了解终端网络通讯的行为，评估相应的风险，轻松配置安全策略来减少风险，并且在整个网络中强制贯彻这个策略。由蠕虫和病毒引起的破坏已经清晰地证明了当前防护措施的不完备。在选择企业的终端安全解决方案时，企业应该考虑那些自设计之始就坚持以下原则的产品。

    • 先进性：保证所采用的产品和技术属世界主流产品，在网络安全领域占有较大的用户市场，在该领域处于领导地位。

    • 实用性和可靠性：网络安全系统的性能指标，能够满足相当长时间内全网综合系统发展所需的存储量和处理能力的要求。该系统应切实满足业务的需要，性能可靠，易于维护并且网络及系统各方面指标切合实际需要。

    • 兼容性和互操作性：所采用技术和产品可以支持兼容符合国际标准和工业标准的相关接口，可以与其它主流安全产品进行很好的融合，实现不同厂商安全产品的互相作用，从安全防护上做到1＋1>2安全防护性能，既保证企业以往安全投资的有效性和大量缩减企业安全投资，又能使企业网络的安全防护能力上升到一个新的高度。

    较之于那些综合的软件开发商或者软硬件都提供的厂商，独立的软件开发商无疑在这方面具有更多优势。因为其独立的性质决定了与其他综合厂商相比，对网络接入方式的支持覆盖面最广，对设备与软件的支持最多，开放的接口给第三方的软件开放上的支持最多。这种在兼容性，强制面、以及生态系统群方面的优势，将会让企业在复杂的网络环境中部署并实施解决方案时变得更加轻松高效。

    • 可扩充和灵活性：可以根据不断增长的业务发展需要很容易地进行系统作用范围扩充，在扩充网络防护范围时做到对企业非安全管理人员的透明，保证系统灵活有效的实施。

    谢冲或许要重现检讨一下他目前的系统。现有的技术，例如补丁和漏洞管理系统，属于被动的方式来保持系统主机的更新，它们没有强调一个真正的解决方案应该具备的要素：将那些没有升级到最新或是不符合企业安全策略的系统与网络断开，并建立一种方法在不需要IT支持人员介入的情况下修复。

    诸如网络准入控制技术为解决这一问题提供了新思路：在端点连接到网络之前对它们的安全状态进行审计，并在连接到标准企业网络之前进行适当的更新。这样既可以保证蠕虫和病毒远离网络，又允许强制执行应用程序级别的安全策略。

    今天， 已经有很多实施了完整NAC解决方案和企业安全保护的大型企业客户，或许明天，当谢冲的企业也实施了这样的解决方案后，他终于也可以轮到去海滩上躺着休假，享受海水，而不是火焰。