企業終端安全管理與政策強制執行需求浮現

不管是因為零時差攻擊越演越烈，或是跨國性資料存取的普及，都讓企業無法忽視終端設備的安全防護與資料存取管理，像是企業員工攜出攜入的筆記型電腦，或是可有線、無線上網的可攜式裝置，沒有即時修補系統或應用程式漏洞，或是沒有更新病毒碼，都可能讓企業網路暴露在病毒感染與惡意入侵的危險中。為此，網路設備大廠Cisco喊出NAC（Network Admission Control）架構，此外，許多資安廠商也各自推出解決方案。

思科的NAC是透過內建在自家路由器、交換器、VPN與防火牆等網路設備上的網路存取裝置Network Access Devices，經由Cisco Trust Agent（CTA）軟體的安全認證，檢查防毒軟體、作業系統的更新狀況，進行所謂的政策強制執行（enforcement），透過Cisco Security Agent（CSA）把這些訊息傳回網路存取裝置，取得安全存取伺服器（Cisco Secure Access Control Server，ACS）的准許後，才能正常存取、連線或使用網路服務。

除了提出與NAC類似的Infranet，Juniper採用賽門鐵克買下WholeSecurity後取得的Advanced Endpoint Defense Module，也是為了結合Juniper SSL VPN的遠端安全與存取控管，自動掃瞄終端裝置是否感染病毒、惡意、木馬、側錄等程式。

軟體廠商則有併購Zone Labs、取得終端管理安全技術的Check Point與今年8月直接買下終端安全領導廠商Sygate的賽門鐵克。Check Point在去年開始提出 Total Access Protection（TAP），同樣具有與NAC類似的功能，同樣支援賽門鐵克、趨勢科技、McAfee、Sophos等多家防毒軟體。Check Point香港／臺灣技術顧問耿強指出，企業必須使用Cisco硬體才能建構NAC機制，管理報表的完整性，及廣泛支援其他安全軟、硬體的相容性也是Cisco所缺乏的。

賽門鐵克取得Sygate技術後，旗下個人防火牆不再免費提供，賽門鐵克亞太區技術顧問林育民表示，除了個人端的防毒、防火牆與入侵偵測／防禦，Sygate提出跨軟體、跨平臺、跨硬體的網路存取控制架構，終端裝置、行動裝置、伺服器、嵌入式裝置都在管轄範圍。Sygate Universal Network Access Control 系統的網路存取控管也涵蓋VPN、交換器、無線網路裝置與家用網路，管理範圍還擴展到所有終端裝置，優點在於不需要安裝到每一個硬體裝置上。

林育民指出，包括Gartner等市調機構都看好所謂的政策強制執行（enforcement），企業這方面的需求會越來越顯著，除了病毒碼與作業系統修補程式，Sygate的強項在於應用程式的管理，在安全威脅逐漸轉移到應用程式的趨勢下，應用程式的安全防護將更符合企業需求。

明年開始，Sygate的多項技術也將逐步加在賽門鐵克多款新版的安全產品中。文⊙高雅欣