认识终端安全（二）

　　其实，对于传统的网络安全包含两个主要组件:一个密集(heavy)的端点保护套件(杀毒软件、个人防火培等)和基于周边的网络扫描设备(防火培、web代理和电子邮件网关)。那么现在我们就来了解一下这一些网络安全。

　　当LAN中和防火墙后面的设备以高性能的的PC为主时,这一架构运行良好。但是,在用户使用移动设备从不同位置访问网络时,该模型则无能为力。传统的端点杀毒套也无法很好地应用到这些新的网络设备中。这些新设备比较轻巧且便于携带。

　　此外,由于网络边界变得模糊起来,因此也就有多个入口可以进入网络。这样,网络周边也就不复存在。现在面临的挑战是如何允许这些异构设备安全地连接到企业资源。为了解决这些问题,Cisco创建了Secure架构。用于无边界网络的Secure安全架构依赖于轻巧且无处不在的端点。它的职责不是扫描内容或运行特征。

　　相反,它唯一的职责是确保来自或和去往端点的每一条连接都可以在Cisco安全云某处的网络扫描元素上指出来。这些扫描元素能够进行扫描的层数要多于单个端点:5层的恶意软件特征、数据丢失预防和可接受的使用策略、内容扫描等。

　　操作系统为应用程序提供了基本的安全服务。信任代码和信任路径一一确保操作系统的完整性不被侵犯。信任代码就是用来确保操作系统代码没有受到危害。操作系统通过散列消息验证码(HMAC)或数字特征,可以提供对所有运行代码的完整性检查。以后新的软件在安装时必须要进行完整性校验。数字特征可以同时使用。

　　信任路径是一个工具,确保用户使用的是一个真正的系统,而不是一个特洛伊木马。信任路径的一个例子就是进入WindowsServer和Windows7操作系统时需要按下ctrl-alt-Delete特权执行环境一提供身份验证以及根据身份确定的特权。进程存储保护和隔离一分离其他用户和他们1的数据。对资源的访问控制一一确保数据的机密性和完整性。

　　一个攻击者可以破环所有服务。如果信任代码和信任路径都没有执行或者受到了破环,那么操作系统和所有应用可以很容易地被恶意代码所破坏。

　　小编结语：如果需要对日的协议的支持,那么操作系统就可能现代操作系统提供给每个进程一个身份和特权。特权切換可在程序运行或在一个单一的登录会话会有更多的缺陷。