網(wǎng)絡(luò)信息系統(tǒng)中的計算機終端能否保持安全運行至關(guān)重要，它既是網(wǎng)絡(luò)攻擊的目標，也是網(wǎng)絡(luò)攻擊的源頭。

作為網(wǎng)絡(luò)系統(tǒng)中最薄弱環(huán)節(jié)，同時也是出現(xiàn)問題最多的環(huán)節(jié)，計算機終端安全面臨著巨大的挑戰(zhàn)：操作系統(tǒng)以及應(yīng)用系統(tǒng)漏洞層出不窮；現(xiàn)有的防病毒軟件都是以黑名單的機理處理病毒，出現(xiàn)新病毒無法及時解決；混合型威脅越來越多，針對計算機的威脅越來越不可預(yù)見；企業(yè)中對客戶端的管理越來越難。

筆者作為計算機工程師在報社網(wǎng)絡(luò)信息化崗位上工作近30年，面臨最多也最難處理的工作便是處理計算機安全問題，花費在解決計算機客戶端問題的時間占到了整體工作的時間比例超過60%。

如何安全高效地管理眾多計算機客戶端，使IT管理者能騰出更多時間去研究和思考更重要的技術(shù)問題，同時保障報社整體網(wǎng)絡(luò)環(huán)境安全高效運轉(zhuǎn)，是工程師面臨的重要課題。經(jīng)過長期考察實踐，筆者發(fā)現(xiàn)，問題主要集中在如下幾點：

被動防御方式：目前終端主要基于掃漏洞、打補丁和利用特征庫識別惡意行為等被動防御機制，不能滿足高等級的安全需要，特別是針對滲透攻擊缺乏有效的防御手段。

安全機制脆弱：現(xiàn)有安全防護產(chǎn)品“重功能，輕保障”，安全保障能力欠缺，自身安全機制容易被篡改和旁路。

管理分散低效：當(dāng)前安全建設(shè)采用分散管理的方式，一方面各產(chǎn)品難以聯(lián)動，不能構(gòu)成整體防御，另一方面運維效率較低且缺乏預(yù)測能力。

如何解決這些問題？

金融時報社采取了計算機主動防御系統(tǒng)來應(yīng)對，主要可以實現(xiàn)如下效果：定制計算機終端能夠運行的應(yīng)用程序并生成白名單，通過安全管理平臺能夠根據(jù)安全要求制定策略，并對終端操作行為實施控制，使得終端能夠防范計算機啟動過程中操作系統(tǒng)相關(guān)部件的篡改和破壞，保證終端動態(tài)服務(wù)的真實可信，能夠防范RootKit式攻擊，能夠根據(jù)策略對應(yīng)用類型加以限制，對木馬、病毒等惡意代碼具備主動防御能力，對流氓軟件的非法安裝和運行具備控制能力。也就是說，哪些程序可以在計算機上運行是可以由網(wǎng)管人員定義的，白名單以外的任何程序都無法啟動，從而，確保終端系統(tǒng)環(huán)境對病毒、木馬、漏洞的攻擊免疫，實現(xiàn)“進不來”、“拿不走”、“改不了”、“癱不了”、“賴不掉”的安全效果。采用白名單主動防御機制，提供執(zhí)行程序可信度量，阻止非授權(quán)及不符合預(yù)期的執(zhí)行程序運行，實現(xiàn)對已知/未知惡意代碼的主動防御，可以做到免補丁升級，免病毒、木馬查殺。

該技術(shù)如同在網(wǎng)絡(luò)信息系統(tǒng)中有效筑起了一道安全防火墻屏障，為安全出報起到了積極作用，對于有效的企業(yè)IT安全管理起到了重要的規(guī)范作用。通過5年多的長期應(yīng)用與改進，金融時報社的計算機、網(wǎng)絡(luò)運行穩(wěn)定，未出現(xiàn)重大病毒爆發(fā)。