《韩非子·喻老》中有“千丈之堤，以蝼蚁之穴溃”一说，意思是不能忽视小的漏洞和差错，以免酿成大祸。目前，越来越多的企业花费重金部署防火墙、入侵检测等安全设备，为保障网络安全铸起千里之堤。在此基础上，企业管理者往往认为可高枕无忧了，却忽视了看似最不起眼却对企业安全影响最直接的内部终端安全问题。事实上，这俨然成为了企业安全千里大堤上的“蚁穴”，绝不可忽视。

强化针对“蚁穴”的终端弱点管理比解决外部安全攻击更重要

据2006年IDC统计，对于企业来说，来自内部终端的安全威胁占整个安全威胁的70%以上。由于企业内部终端数量多、人员层次不同、流动性大、安全意识薄弱而发生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄密等安全事件不胜枚举。这些安全威胁问题对以信息为生存基础的企业来说甚至是致命的，而解决外部攻击防范问题的网络安全设备根本无法解决此类威胁。要为企业建立全面立体的安全防护体系，就不可忽视终端弱点管理，强化针对“蚁穴”的终端弱点管理比解决外部安全威胁问题更重要。

身份认证、安全检查、接入控制、授权访问、行为审计全面解决终端安全问题

要解决终端安全管理问题，首先要解决非法终端和不安全终端的接入问题。首先，要能通过身份认证明确终端使用人员的账户和密码，必须是得到授权许可的人员及其使用的终端才有权接入网络，还能有效地将人员账户与终端进行关联，以便对各类终端问题迅速定位；其次，对有权访问企业网络的终端，根据其账户身份定义的安全等级检查和接入控制，不安全的终端先隔离在修复区中，修复完成后，方可访问其有权访问的区域；再次，要对接入控制做到细致控制，如果只控制能否接入网络就太过粗放了，真正的接入控制是要做到能根据账户享有的权限严格控制其访问范围，将企业内部核心数据资源划分为不同的安全等级，根据账户的不同权限控制其可访问的不同安全等级范围内的资源；最后，还要从终端管理角度出发，对相关的内部人员的行为进行审计，通过严格的内部行为审计和检查，减少内部安全威胁，同时这也是对内部员工的一种威慑，可有效强化内部信息安全的管理，将企业的信息安全管理规定通过IT的手段得到落实。

身份认证、安全检查、接入控制和行为审计全面实施，才能有效解决终端安全管理问题；从终端管理本身出发设计的产品，才算真正有效和便于使用的终端管理软件（流程如图所示）。华赛公司Secospace终端安全管理解决方案以其从终端管理出发、全面有效的功能、终端软件与接入控制网关相联动的立体防护、方便灵活的部署、大量企业成功实施的经验，成为用户的上佳之选。

Secospace 终端安全管理解决方案的部署

Secospace终端安全管理解决方案为软硬件相结合的解决方案。进行方案部署首先需要在被管理的终端PC上安装Secospace代理（SA）软件，用户的身份认证、安全检查和修复、行为审计等功能都需要SA的参与；其次，需要部署Secospace管理端软件，包括Secospace管理器（SM）、Secospace控制器（SC）和Secospace修复服务器（SRS）三个逻辑组件，终端系统管理、人员行为管理和报表输出、安全策略的制定和检查报表输出、不安全终端修复等工作都由管理端软件完成；最后需要在终端IP可达的范围内部署终端接入控制网关设备（SACG），SACG从网络层面上为接入控制和授权访问提供实施保障。Secospace同时支持集中式与分布式部署，可根据用户实际的网络环境灵活选择。

目前，华赛Secospace终端安全管理解决方案已在运营商、政府、银行等众多客户中得到应用。凭借超过10万个终端的部署实施经验，华赛公司正努力为更多的客户解决终端安全管理的困扰，帮助客户真正铸起坚固的网络安全大堤。（周凌）

终端管理软件流程图