企業網絡及其資産經常遭到入侵者的攻擊。完全可(kě)穿透的企業網絡外圍使這一問(wèn)題雪上加霜。多數企業在構建安全IT基礎結構時，都(dōu)将保持不間斷的業務連續性作(zuò)爲主要目标。然而，由于攻擊者的攻擊力可(kě)損及用戶的計(jì)算機、移動設備、服務器或者應用程序，企業環境中存在頻繁停機的情況。

分(fēn)布式拒絕服務 (DDoS) 是一種可(kě)導緻帶寬耗盡的攻擊。值得(de)注意的是，許多其他(tā)情況也會導緻網絡負載過重。例如(rú)，對等文件(jiàn)共享、對流式視頻的大(dà)量使用以及内部或外部服務器的峰值用量，都(dōu)可(kě)導緻内部用戶和外部客戶訪問(wèn)網絡時網絡運行緩慢(màn)。流式視頻是又一個很好的高耗帶寬應用程序的例子，很多不同類型的企業都(dōu)日(rì)漸高度依賴流式視頻進行核心業務操作(zuò)。異地分(fēn)布式公司使用它進行辦公室間通信，品牌管理(lǐ)公司使用它進行媒體(tǐ)活動，軍方使用它發布命令和進行控制。

下述情況導緻了不穩定狀況：發起 DDoS 攻擊容易；流式視頻對帶寬可(kě)用性高度敏感；即使在最優情況下，網絡負載也已過重；企業越來(lái)越依賴這些技術(shù)。因此，IT 管理(lǐ)人(rén)員(yuán)必須有所準備。他(tā)們需要改變長期以來(lái)對資源用量、對保護網絡上的設備以及對保護關鍵網絡帶寬的想法和規劃。此端點安全模型有助于他(tā)們結合當前現實考慮這些問(wèn)題。

端點安全模型的四大(dà)支柱

四大(dà)支柱的基本前提是允許網絡執行，即使在遭到攻擊時也是如(rú)此。第一步是識别端點。什麽是端點？在此模型中，端點是實際完成工(gōng)作(zuò)時所在的下列任何位置：桌面、服務器和移動設備。記住這些端點後，制定策略保護這些端點很重要。此策略 — 端點安全的四大(dà)支柱 — 的目标如(rú)下：防止端點遭到攻擊、使端點自(zì)動恢複、監視網絡帶寬并使網絡自(zì)動恢複。記住上述目标，有效的端點安全的四大(dà)支柱如(rú)下：

• 端點強硬化
• 端點恢複力
• 網絡優先順序
• 網絡恢複力

對于每個支柱，還(hái)需要考慮幾個其他(tā)目标。首先，建議(yì)盡可(kě)能使此過程實現自(zì)動化。畢竟一天隻有那麽多小時，而IT管理(lǐ)人(rén)員(yuán)的時間已安排得(de)滿滿的。第二，應該對網絡進行集中監控，以便了解實時情況。雖然兩大(dà)恢複力支柱的目标之一就(jiù)是盡可(kě)能減輕此監控負擔，但(dàn)有時您必須實施手動防禦和防範措施。另外，即使在正常情況下，設備有時也會出現故障。第三，建立反饋循環；攻擊變得(de)越來(lái)越複雜，我們必須承認我們的防禦并非時時刻刻都(dōu)能跟上，除非是以不斷地進行正确防禦投資爲支撐。同時我們又必須意識到，根據以往的情形，很難證明有充足的理(lǐ)由将網絡安全投資作(zuò)爲重要的業務支出。

這就(jiù)是持續監控和反饋之所以重要的原因。我們越是了解發生(shēng)在外圍和網絡内的實際威脅與攻擊，越能找出充足理(lǐ)由證明爲保護那些企業資産所投入的注意力以及進行的支出是合理(lǐ)的。

端點強硬化

第一個支柱 — 端點強硬化 — 的目标是确保網絡資産使用最新技術(shù)阻止威脅。典型的威脅包括不安全電子郵件(jiàn)附件(jiàn)、蠕蟲之類通過網絡傳播的病毒、任何與威脅到您的 Web 浏覽器有關的東西。

攻擊防禦措施的一個示例是使用防病毒/反惡意軟件(jiàn)這樣的軟件(jiàn)。另一示例是通過 OS 強制執行的強制完整性級别将計(jì)算機應用程序進程與潛在惡意軟件(jiàn)隔離(lí)或對潛在惡意軟件(jiàn)進行沙箱處理(lǐ)。一個有用的改進是能夠在中央爲整個主機部署和管理(lǐ)隔離(lí)設置。爲實現有用性，執行此任務的方式要使第三方應用程序能不間斷工(gōng)作(zuò)（同時受到保護）。

那麽如(rú)何對此支柱進行監控？您應采用可(kě)伸縮的方式監控域中的網絡資産，防止其遭到入侵。您還(hái)應監視意外的行爲模式。

端點恢複力

端點恢複力的目标是确保不斷地收集并監控設備和應用程序的運行狀況信息。這樣出現故障的設備或應用程序可(kě)以自(zì)動修複，因而使操作(zuò)得(de)以繼續。下列技術(shù)是可(kě)以使端點更有恢複力的示例：網絡訪問(wèn)保護、配置“基線”和管理(lǐ)工(gōng)具（例如(rú) Microsoft System Center）。這方面的一項改進将與上述技術(shù)結合，生(shēng)成以易于擴展的标準化基線爲基礎的自(zì)動恢複行爲。

如(rú)何對此支柱進行監控？請(qǐng)考慮以下任意方面的趨勢：哪些特定計(jì)算機不符合規定；它們具體(tǐ)是怎麽不符合規定的；這種不符合狀态是何時出現的？無論是内部威脅、外部威脅、配置錯誤、用戶錯誤等，都(dōu)可(kě)以根據所有這些趨勢進行關于潛在威脅的推定。另外，用這種方式識别威脅時，您可(kě)以不斷地使端點在面對越來(lái)越複雜的分(fēn)布式攻擊面前更爲強健。

網絡優先順序

網絡優先順序的目标是确保您的基礎結構可(kě)以始終滿足應用程序帶寬需要。不僅會在衆所周知的峰值需求時間應用此考慮因素，而且，當出現意外的網絡負載浪湧以及分(fēn)布式外部和内部攻擊時，也會應用它。可(kě)以管理(lǐ)應用程序帶寬的技術(shù)包括 DiffServ 和 QoS。然而，此支柱當前代表了所需和商業供給之間的最大(dà)技術(shù)空白(bái)。将來(lái)，它将幫助解決方案集成用戶标識、應用程序标識和企業優先級。然後網絡路(lù)由器可(kě)以根據該信息自(zì)動劃分(fēn)帶寬。

如(rú)何對此支柱進行監控？網絡路(lù)由器應執行流量記錄來(lái)分(fēn)析趨勢。今日(rì)流量與昨日(rì)流量有何不同？負載增加了嗎(ma)？涉及哪些新地址？它們是否來(lái)自(zì)國(guó)外？有效的綜合監控有助于回答這些問(wèn)題。

網絡恢複力

網絡恢複力的目标是允許無縫的資産故障轉移。利用這方面的技術(shù)，能理(lǐ)想地在性能下降時實時重新配置網絡。此支柱與端點恢複力類似之處在于，其目标是促進網絡自(zì)恢複性能，最小化管理(lǐ)負擔。

然而，此支柱也提醒大(dà)家注意，必須考慮故障轉移和冗餘，既要考慮大(dà)規模的情況，也要考慮小規模的情況。例如(rú)，您可(kě)以使用群集技術(shù)提供數據中心内單一節點的故障轉移，但(dàn)我們如(rú)何故障轉移整個數據中心或區域？無可(kě)否認，因爲我們還(hái)必須考慮辦公室空間、基本服務以及員(yuán)工(gōng)（這個最重要），所以災難恢複計(jì)劃這項挑戰的範圍仍在加大(dà)。

除群集之外，此支柱麾下的其他(tā)相(xiàng)關技術(shù)包括複制和虛拟化。如(rú)何對此支柱進行監控？故障轉移技術(shù)通常依靠監控。另外，當企業需要發展時，您可(kě)以使用加載數據執行資源和采購(gòu)計(jì)劃。

實現各支柱

端點安全的這四大(dà)支柱中的每個支柱，都(dōu)可(kě)能是大(dà)多數組織未充分(fēn)利用或尚未部署的商業供給安全、網絡和業務連續性技術(shù)。因此，IT 管理(lǐ)人(rén)員(yuán)有下列商機：

• 使用四大(dà)支柱（或某些其他(tā)框架）識别網絡防禦中的威脅和縫隙
• 在自(zì)動化和監控方面進行額外投資
• 更緊密地參與企業決策者就(jiù)這些努力的成本和好處做出決定的過程

一些企業可(kě)能已發現自(zì)己在一個或多個支柱領域處于現有技術(shù)的最前沿。因此，相(xiàng)應的企業家有大(dà)量商機。關鍵是要調整想法考慮這四大(dà)支柱中的每一個，因爲每個都(dōu)重要。