網路資訊系統中的電腦終端能否保持安全運作至關重要，它既是網路攻擊的目標，也是網路攻擊的源頭。

　　作為網路系統中最薄弱環節，同時也是出現問題最多的環節，電腦終端安全面臨著巨大的挑戰：作業系統以及應用系統漏洞層出不窮；現有的防病毒軟體都是以黑名單的機理處理病毒，出現新病毒無法及時解決；混合型威脅越來越多，針對電腦的威脅越來越不可預見；企業中對客戶端的管理越來越難。

　　筆者作為電腦工程師在報社網路資訊化崗位上工作近30年，面臨最多也最難處理的工作便是處理電腦安全問題，花費在解決電腦客戶端問題的時間佔到了整體工作的時間比例超過60%。

　　如何安全高效地管理眾多電腦客戶端，使IT管理者能騰出更多時間去研究和思考更重要的技術問題，同時保障報社整體網路環境安全高效運轉，是工程師面臨的重要課題。經過長期考察實踐，筆者發現，問題主要集中在如下幾點：

　　被動防禦方式：目前終端主要基於掃漏洞、打補丁和利用特徵庫識別惡意行為等被動防禦機制，不能滿足高等級的安全需要，特別是針對滲透攻擊缺乏有效的防禦手段。

　　安全機制脆弱：現有安全防護産品“重功能，輕保障”，安全保障能力欠缺，自身安全機制容易被篡改和旁路。

　　管理分散低效：當前安全建設採用分散管理的方式，一方面各産品難以聯動，不能構成整體防禦，另一方面運維效率較低且缺乏預測能力。

　　如何解決這些問題？

　　金融時報社採取了電腦主動防禦系統來應對，主要可以實現如下效果：定制電腦終端能夠運作的應用程式並生成白名單，通過安全管理平臺能夠根據安全要求制定策略，並對終端操作行為實施控制，使得終端能夠防範電腦啟動過程中作業系統相關部件的篡改和破壞，保證終端動態服務的真實可信，能夠防範RootKit式攻擊，能夠根據策略對應用類型加以限制，對木馬、病毒等惡意代碼具備主動防禦能力，對流氓軟體的非法安裝和運作具備控制能力。也就是説，哪些程式可以在電腦上運作是可以由網管人員定義的，白名單以外的任何程式都無法啟動，從而，確保終端系統環境對病毒、木馬、漏洞的攻擊免疫，實現“進不來”、“拿不走”、“改不了”、“癱不了”、“賴不掉”的安全效果。採用白名單主動防禦機制，提供執行程式可信度量，阻止非授權及不符合預期的執行程式運作，實現對已知/未知惡意代碼的主動防禦，可以做到免補丁升級，免病毒、木馬查殺。

　　該技術如同在網路資訊系統中有效築起了一道安全防火牆屏障，為安全出報起到了積極作用，對於有效的企業IT安全管理起到了重要的規範作用。通過5年多的長期應用與改進，金融時報社的電腦、網路運作穩定，未出現重大病毒爆發。

　　（張佔成）