相对于弥补短板，现代企业终端安全首先要考虑的是如何把“安全木桶箍紧”，成为一个真正高效的联动体系。

　　散落的木板

　　在信息安全领域，最著名的一个定律就是“木桶理论”。它之所以广为流传，很重要的一个原因就是其浅显易懂，然而，易懂并不等于易做，在经过了多年的努力，在绝大多数企业都“听话地”装上了防病毒软件和防火墙之后，人们尴尬地发现，安全威胁和安全事件有增无减，那个传说中牢不可破的“木桶”似乎只能存在于想象之中。

　　究其原因我们会发现，问题并不在于理论本身，而是其实现的步骤与方法，很多企业过多地将精力投注于弥补和增加所谓的“短板”——更换性能更快、更高的防火墙、增加反垃圾邮件、IPS、上网行为管理等新设备。然而，他们却忽视了一个更为重要的环节，那就是这些“木板”是否真正组成了一个木桶，或者说即使勉强组成，但木板之间有没有较大的缝隙。显然，松散的木桶所造成的泄露，比某块“短板”要严重得多，而对于这一问题的关注，才更能体现我们建立安全“木桶体系”的初衷。

　　今天的安全威胁正日益变得花样百出，而经济利益的驱使，又使得这些威胁越来越多地趋于隐藏自己，这些无孔不入的安全威胁对企业业务造成的安全挑战，在终端领域表现得淋漓尽致。怎样将针对服务器、PC、移动设备等不同终端、不同威胁的各种防护产品与措施有机地结合起来，控制企业风险、提高应用效率、降低运维成本，所有这些问题的答案，其实质就是寻找一个“能够将松散的木板箍成牢固木桶”的方法，这就是——终端安全标准化解决方案。

　　终端安全的变革

　　终端安全从提出到现在，在概念上已经经历了很大的变化，从最初是指安装在电脑上的反病毒软件，到后来的包括台式机、笔记本电脑、移动设备的安全防护，再到以网络为中心的访问控制管理，强调所有联网设备的安全，符合企业安全策略所定制的标准，保护网络免受病毒、木马的侵害。

　　今天，端点安全已经有了前所未有的充实和完善，其内容已经涵盖了设置管理、防病毒、防入侵、防火墙、主动防御、法规遵从等多种功能。其最终的目的，就是帮助企业防范已知威胁和未知威胁，并且能够在访问公司资产的笔记本电脑、台式机、服务器和移动设备上强制实施安全策略。像防病毒、反间谍软件、防火墙、入侵防御和设备控制这样的端点防护技术与独立于网络的访问控制技术相结合，可以将安全防护的“木板”有机地结合在一起，从而为系统和网络提供最佳的安全性。

　　当然，这个听起来简单的目标在实现上需要毫不妥协的严格标准。举例来说，今天的企业往往具备众多的分支机构、合作伙伴以及客户等，不管他们的终端设备以何种方式与企业的网络相连，终端安全系统都应该能够发现并评估端点遵从状态（是否安装了反病毒软件并正在运行、是否及时更新补丁等），设置适当的网络访问权限，并根据需要提供补救功能，同时还应持续监视端点以了解遵从状态是否发生了变化，从而最终在潜移默化中营造出安全、高效的网络应用环境。

　　困局与转变

　　在明确了目标之后，企业最先要做的，就是正视自身在终端安全上所陷入的困局，并从中找到可行的转变与出路。

　　概括来看，目前企业在终端安全领域碰到的挑战主要来自以下几个方面：

　　1. 从设备层面上，终端往往数量众多，而且规格、配置各不相同，不同终端用户的操作水平和习惯也大相径庭。怎样才能进行有效的管理？

　　2.从风险管理和成本控制来看，由于终端是企业应用最活跃的第一线，企业往往需要为保护终端安全不断采购新的产品。怎样在加强风险管理的同时，控制采购和运维成本，提高企业的投资回报率？

　　3.从管理运维的难度来看，由于终端设备需要应对花样翻新的病毒、木马、蠕虫的攻击，需要不断采用新的防护技术和设备。怎样让不同的产品设备实现集中的管理和联动？

　　4.从终端用户的体验来看，一方面害怕病毒等安全威胁造成的宕机、资料丢失，一方面又担心不断增加的安全软件代理导致终端运行缓慢、性能下降。安全和效率二者成为难以调和的矛盾。

　　要走出上述的困局，企业的终端安全必须实现四个转变，即由原来单功能产品的松散组合到统一方案集成多种保护技术；从自觉自愿的安全转变为强制统一的安全；从以安全防护为中心转变到以策略遵从为核心；从个性化人工管理转变到标准化自动管理。

　　终端安全标准化的过程，实际上就是将散落的木板修整并箍紧的过程，这不仅是企业走出终端安全困局的出路，也是企业安全有序化、体系化的必经之路。只有实现标准化，终端安全的全面防护、统一管理、降低成本、强制安全等所有这些目标才真正能够触手可及，而那个想象中牢不可破的“安全木桶”也才真正有可能成为现实。