渐成热门的网络端点安全技术

2008-04-02 10:59:26来源：互联网阅读 ()

信息安全涉及的技术领域和应用范围非常广泛。从技术领域来看，广义上的信息安全不仅包括对攻击和误用的防范和处理，而且包括对事故和损坏的防止和恢复。从应用范围来看，既包括以计算为主要功能的个人计算机和服务器等，也包括以通讯为主要任务的网络设备，当然还有存储设备。

就单个计算设备的狭义安全问题而言，攻击和误用只可能从人－机和机－机接口引入，而网络特别是以太网接口是当今最普及的机－机接口，它的安全防护是实现计算设备安全的关键之一；从网络计算系统的攻击和误用等安全问题来看，作为网络端点的单个计算设备是发起对网络和网络中各类设备攻击的入口，因而也是网络安全的关键之一。因此，网络端点安全(end-point security，或主机安全 host security)技术是整个信息安全中非常重要的一环，近来随着虚拟专用网络（VPN）和无线宽带接入的逐渐普及更是受到极大的关注。

一、端点安全的兴起
最初部署在PC和服务器上的专门安全产品并不是从网络的角度来设计和实现的。那时，对局域网中主机网络连接的保护主要依赖于网络边界安全设备，即安全网关（包括内嵌在路由器中的安全功能），主机上的安全措施只有操作系统本身具备的用户登陆认证和文件读写授权等。

首先出现的专门主机安全产品是台式或服务器防病毒软件。随着病毒的主要传播介质从软盘变为网络，而其它通过网络（特别是局域网或内部网）对网络端点的攻击和入侵成为主机安全的主要问题，端点安全开始兴起，出现了个人防火墙（personal firewall）等专门的端点安全产品。

个人VPN用户的增多，使网络上班族（telecommuter）和频繁出差族（road warrior）通过IPSec VPN客户端软件接入内网带来的安全隐患受到关注。特别是SSL VPN的热炒，虽然并没有带来想象中的个人VPN用户爆炸，却大大提高了人们对通过VPN接入网站或服务器的端点本身安全的前所未有的期望和要求。如果用户可以从一台主机通过VPN接入内网，但主机本身不安全，如已被病毒感染或另有不安全的网络连接（split tunnel）等，将对内网带来极大威胁。

无线局域网（WLAN）的迅速普及和它在较长时间内安全控制的缺乏，也大大推动了端点安全的兴起。人们终于看到了单纯关注边界安全而忽略端点安全的弊病。

今天的端点安全已经涵盖了设置管理、防病毒、防入侵和防火墙等多种功能。其中的设置管理在网络端点（直接或经由VPN）接入内网之前通过检查主机各方面安全设置和执行状态来确保其符合内网的安全要求。检查的内容可以包括软件（特别是操作系统）版本和补丁、防病毒产品（包括引擎和病毒库）版本和运行情况、防火墙策略设置和运行情况等。端点安全控制检验产品的主要供应商有Sygate和最近刚被CheckPoint收购的Zone Labs等。这些产品通过与Cisco、Juniper等主力安全网关产品的配合，实现端点设置管理。

二、端点安全的发展
端点安全的产品虽由SSL VPN和WLAN催化而渐渐成为热门，但它的发展并不受限于此，而是开始成为一个相对独立的产品类别，预期将有较快市场增长。据Yankee Group估计，仅就企业级的远程端点安全（Remote End-Point Security，REPS）产品而言，2001年的总产值只有2000万美元，而到2006年将增至2.6亿美元。

在产品层面，它既可从功能角度被分为提供端点保护（end-point protection）的产品（如主机内置防火墙等）和保证端点完整（end-point integrity）的产品两类，也可以从操作的角度被分为被管理的主机（managed host）和无管理的主机（unmanaged host，如自动售货机等）两种，亦或从软件角度被分为安装的软件（installed software）和加载的代理（loadable agent）两样等。

在技术层面，它的发展可以从下面几个方面初见端倪。

1、从分立到集成的端点安全
虽然最初的端点安全产品是以桌面防病毒、个人防火墙、主机防攻击、VPN客户端等单独的软件产品出现的，但随着人们开始将端点安全作为一个完整问题加以对待，特别是对设置管理要求的日益突出，端点安全正经历着一个从分立到集成的过渡。

以Cisco的安全代理（security agent）为例，它的目标是为网络端点提供威胁防护（threat protection）。它在单一产品中集合并扩充了主机式防攻击、分布式防火墙、恶意代码防范、操作系统完整性保障和审计记录整合等多项端点安全功能，从而达到提高安全水平和降低运行成本的目的。

在端点安全集成软件方面市场份额较大的是由华人郭毅先生1995年创办的Sygate。Sygate的安全代理集成了针对应用的防火墙引擎和基于应用的入侵防范引擎，可以自动定期检查端点主机相对安全设置要求（包括防病毒等各种安全软件状态，病毒特征库、防火墙策略表、入侵防范特征库版本，以及注册表内容、操作系统设置等）的符合性，并将不符合的端点隔离到“矫正区域”，通过升级、更新或补丁使其达到符合性要求。

当然，从分立到集成并不只有将所有端点安全功能融合为一个厂家的一款产品。至少在不远的将来，它的表现形式更多应为以设置管理为纽带的多厂家产品的集成和互动。换一个角度说，也就是由单一主机上多个代理组成的代理组来完成端点安全。

2、从软件到硬件的端点安全
完全由软件实现的端点安全产品通常是运行在主机的操作系统之上的应用程序，不但大大增加了CPU的负担，而且完全依赖于操作系统，无法防止黑客利用其它应用软件和操作系统的漏洞获取主机控制权限，特别是难以避免主机用户因安装含有恶意代码的软件而造成的问题。

解决端点安全问题，必须有相应的硬件支持。有200多厂商等单位参加的可信计算组织（Trusted Computing Group, TCG）已经制定了硬件和软件的标准来增强主机安全，其中非常重要的就是用来存放密钥、密码和数字证书的微控制器，即可信平台模块（Trusted Platform Module, TPM）。与此同时，一些厂商也开始研制部署于网络接口的基于硬件的端点安全产品。这些产品以安全网卡形式出现，最终也可能集成到主版。当然，由于增加成本的原因，这类产品的应用还只多见于服务器。

在专用硬件网卡上内置的防火墙、VPN以及入侵监测防护器（IDP）除了可以分担主机CPU的负担，还由于它可以独立运行而能够更好地支持中央管理，防止主机用户或通过盗用主机引入的问题，甚至在一定程度上可以阻断从被攻破的主机上发动攻击。例如，可以使网卡内置的安全功能具有单独的安全认证，使得安全策略的设置和更改只能通过独立的配置手段进行。甚至可以使配置控制权不在主机而在管理中心，因而即使黑客侵入了某个主机并获得了它的管理员权限，也不能禁用或更改网卡内置的安全功能。又如，专用硬件网卡上内置的防火墙能够自动防止该主机伪造网包 IP 地址等。