【IT168专稿】端点安全大概是近年来信息安全领域的一个热门话题，这并不奇怪。不管你多么努力地防御网络边界，漫游的笔记本电脑和设备总是必然会把蠕虫、病毒和间谍软件带入到你的网络上。

    配置了无线适配器的大众化笔记本电脑具有的移动功能解放了大批员工，他们可以在任何地方办公，无论在办公室、在家里还是在路上。咨询顾问和厂商可能连接到你的网络使用一小时或者一天——你如何防范他们可能带来的潜在危害呢？

    网络基础设施和操作系统软件领域的两大巨头：思科和微软各自都启动了这方面的计划，确保端点设备只有符合安全策略，才可以访问企业网络。并不奇怪的是，思科的网络准入控制（NAC）依赖思科的交换基础设施；而微软的网络访问保护（NAP）通过Windows操作系统发挥作用。除了这些普遍但专有的方案外，可信计算组织（TCG）正在开发基于标准的可信网络连接（TNC）。

    如果让你来选择，该选择哪个方案来保护端点安全、让本地网络避免遭到已成为漫游恶意软件收集器的“已中招”机器的攻击呢？

    确实马上需要解决方案

    面对需要立即引起注意的安全问题，你应当寻求这样的解决方案：可以定义细粒度策略、检测连接到网络上的每个设备、评估遵从策略的级别、执行访问策略，以及补救未遵从策略的机器。

    这对任何一个安全系统来说都是过高要求，积极采用端点安全并非易事。三大架构：NAC、NAP和TCN都不完整，实施成本也很高；而且很复杂，不易理解。它们都从不同方面来处理端点安全问题，所以彼此并非相互排斥也就不足为怪了：

    ·思科的NAC专注于网络基础设施和策略定义及管理；当然，它假定你会使用许多思科路由器，采用思科的安全解决方案；而且在将来牢牢保护端点时，希望继续使用思科的系列产品。

    ·微软的NAP偏重于健康评估和补救方案；它假定你从微软服务器和桌面系统开始着手；并且假定你主要关注的是确保它们安全运行。

    ·可信计算组织的TNC采用了粗略的架构方案；它假定每个桌面系统都含有一种专门的硬件，负责验证端点的安全未遭到破坏；并且依靠这个硬件来监控及执行端点策略。

    我们不妨看一下这些计划，看看它们声称具有的功能以及各自存在的不足。