对于企业中的PC网络而言,安全防护工作通常分为系统和数据两个层面。系统安全防御的重心是来自外部的攻击,例如病毒、木马等,通常管理人员会在客户端、服务器端以及网络设备上部署层层防线。数据保护则是要防止非授权用户对数据的查看和复制,所采用的手段通常包括物理和逻辑两种方式。
当企业中的PC数量多到一定程度的时候,为每台PC部署杀毒软件和防火墙的工作就变得非常繁琐且易出纰漏。以Altiris为代表的网络管理软件能够有效解决这个问题,它们能批量、统一地完成操作系统的补丁分发、杀毒软件和个人防火墙的部署与升级。
不过这种带内管理的方式存在一定的局限性,例如无法对已关机的PC进行资产统计或获取软件版本信息、不能进行电源管理、对健康的操作系统有完全的依赖等。这就需要能提供带外管理的Intel博锐处理器技术的帮助。众所周知,博锐处理器技术中的AMT(主动管理)技术是孤立于PC操作系统的,因此其可在电脑关闭、操作系统损坏或软件代理被禁用的情况下提供可管理性,让管理员能够在第一时间迅速且统一地完成上述工作,从而确保企业IT系统第一道防线的完整性。
博锐处理器技术还能对网络流量进行过滤并隔离受攻击的客户机,这同样完全脱离操作系统和应用软件,另外,也不依赖企业内的网络交换机或路由器。
通过设定防范网络攻击的策略,当网络中的某台被病毒感染的PC发出攻击时,内置的流量检测便会发挥作用,自动对本机的网络通信进行隔断。此时,数据通信是完全被禁止的,但还会保留一个与管理服务器通信的底层通道,用于向管理服务器报警并接受控制指令。
其实,博锐处理器技术可以理解为运行在PC硬件及操作系统之外的一套嵌入式系统,只要接通主机电源,系统就会运行,并保持与其配置的服务器的通信。由于系统是封闭的,所以非常安全。该微型系统内运行有简单的入侵检测、防火墙等程序,并能够对网卡进行直接控制,因此当网络被隔断时,运行在操作系统上的任何软件,包括病毒或木马是无法恢复网络连接的。
由于博锐处理器技术具备这种独道的带外管理特性,以及Intel主动为网络管理软件制造商提供了设置与配置服务工具集和软件开发套件,如今赛门铁克、趋势、冠群、LANDesk等绝大多数厂商的IT管理控制台都支持调用这一技术。这也使得博锐处理器技术的功能得以扩展,整机制造商和系统集成商成为软硬结合的受益者,他们乐于在提供远程管理的基础上开发更多增值功能。
联想与通软软件就合作开发了一种闪存盘管理模块,其中还运用了Intel可信执行技术(TXT)。通过策略设定,未经授权的闪存盘无法在企业网络中使用。而且闪存盘中的数据还可进行加密,只有在被管理的网络中才能被识别,否则系统会提示须格式化后才能使用。这就有效解决了企业保护数据安全的难题,无需再物理屏蔽宝贵的USB接口。
Intel也免费为企业的管理员提供开发工具,帮助管理员根据企业的网络设施情况进行针对性的策略部署,例如设置网络流量的速率限制、将网络隔断控制与网络中IDS/IPS设备联动等。
作为一种平台技术,如今,博锐处理器技术已经覆盖到迅驰2移动平台,可通过无线网络实施管理。无论是对于网络管理软件厂商、整机制造商,或是企业用户而言,博锐处理器技术都是对带内管理软件的一种补充,基于硬件的设计使得其具备天生的安全特性。正如Intel宣称的那样,博锐处理器技术的三大特点是安全、节能和高可管理性,安全排在第一位。
