三、 终端安全的现状分析
    目前比较常见的基于PC终端安全的解决方案可以分类如下：
    1．纯软件的解决方案
    KILL终端安全管理系统（KSMS）提供对终端生命周期管理（ELM）策略的全面技术支撑。KSMS计算机终端在网络环境下受用户策略保护和管理，离开网络环境的移动计算机仍然受全局策略保护。KSMS通过资产管理有效识别和管理软硬件资产。
    LANDesk安全套件通过主动的补丁管理、网络连接控制、间谍软件查杀、安全威胁分析、应用阻止/禁用、自定义漏洞的功能提升企业桌面安全水平。
    IBM Almaden实验室的研究人员开发出一种不使用杀毒软件阻止蠕虫和病毒在计算机上运行的方法。这个研究项目称作"确定执行环境"(Assured Execution Environment,AXE)。这种技术将采取严格的措施控制在计算机上运行的程序。对不明的软件只能在虚拟机环境中运行，以避免对基本的操作系统造成破坏。
    2．硬件的解决方案
    兆日、瑞达等公司采用经SOSCA（Secure Open Smart Card Architecture）指令集增强的安全TPM芯片，赋予计算机开机过程中的身份认证、系统资源完整性校验及数字签名/验证、数字加/解密、外部设备的安全控制和日志审计等可信平台的安全功能，解决了通用单机平台下的“进不去”、“拿不走”、“看不见”、“赖不掉”的安全需求。
    3．软硬结合的解决方案
    SONY、iMoreCo等公司将指纹扫描模块、RSA和DES加密引擎、大容量存储模块等结合起来，通过USB外挂装置与PC结合起来，使用CryptoAPI和PKCS#11等标准，提供用户基于外挂硬件模块方式的Windows下的安全应用。如基于Microsoft Office和Adobe Acrobat文档数字签名和工作流安全加强、基于Outlook和Outlook Express的安全邮件、支持CISCO和NORTEL的VPN客户端证书认证、文件加密、基于Web的SSL远程连接等。
    4．总结
    基于硬件TPM方案的安全终端，侧重信息保护和信任链的建立，但移动性和灵活性不高，还需要实现TSS等标准的应用支持，目前2-3年内难以推广应用；
    基于软件方案的安全终端管理，侧重访问控制，可用性、可信度和安全性不高，升级困难，维护成本高。而且大都由边界安全产品厂商提供，通用性也存在问题。最主要的是不解决信息泄露的问题；
    基于安全应用的安全终端，采用外挂USB设备，使用隔离可信加密计算，很好的保护了信息隐秘问题，但其他与访问控制相关的安全应用都是直接在非专用的Windows平台上添加，这样一方面某些不需要的功能会造成系统负担，缺乏灵活性；同时工作特定的环境与其他安全应用环境无法分开，形成特定环境不安全的隐患。

(责任编辑：adminadmin2008)