浅谈企业信息安全之终端安全

概述

随着国家立法表现出对信息安全的重视程度越来越深，各个企业面临的信息安全挑战越来越严峻。根据知名的第三方评测机构的统计， 2018 年 60% 以上的信息泄露来自内部终端。

由于互联网技术的不断发展，数据泄露途径逐渐增多，受个人经济利益的诱惑，内部人员在系统开发和运营活动中，越权访问、窃取敏感信息，传统的网络安全产品，如防火墙、防病毒系统无法检测及阻止，给企业造成重大损失，所以内部风险控制亟待加强。

本文主要是通过过往的学习和项目经验，定义十大安全策略，实现终端基本安全管控。分享工作中遇到的那些坑和经验，共同构建企业终端安全机制。

什么是信息安全？

对于什么是信息安全的概念，不同的人可能解释也不同。 ISO/IEC 、美国国家安全系统委员会和国际信息系统审计协会三家对信息安全的定义大同小异，其目标一致，都指出保障信息安全的最重要目的是保护信息的机密性、完整性和可用性。

定义概述为“为了保障机密性、完整性和可用性而保护信息和信息系统，以防止授权的访问、使用、泄露、中断、修改或者破坏”。

• 机密性：

简而言之，信息仅能够被授权的个人、组织、系统或流程访问，不应该被任何其他非授权行为获取。例如银行账户的交易流水和余额的信息，除账户持有人或经账户持有人授权的主体可以看到以外，其他人或组织不得查询或获取。

• 完整性：

简而言之，就是确保信息的一致性、准确性和可信赖性，不允许信息被篡改。例如用户通过银行网页提交个人信息为开通账户。数据是通过网页型式提交的，银行要通过某种措施，进行数据的校验，确保用户提交的信息和最终存储的信息的准确性。

• 可用性：

简而言之，就是业务连续性的体现，确保用户可以随时获得已授权的信息。例如银行要随时确保用户可以通过 ATM 、网银、柜台、移动终端等多种方式进行金融服务。

在考虑信息安全的时候，一定要把保障信息安全的三大属性作为重要的目标，从而建立完善和有效的保护措施，确保业务的可持续性和数据的安全性，更多信息安全方面的概念及介绍可以参考《浅谈企业信息安全架构之纵深防御模型》。

什么是终端安全？

大家经常听到的安全一般都是网络安全、物理安全甚至应用安全等。终端安全是另一个安全领域，从提出开始在概念上已经经历了多个版本。从最初的是指安装在电脑上的杀毒软件，到后来的包括台式机、笔记本电脑、服务器、移动设备的安全防护，再到以网络为中心的访问控制管理等。终端安全强调的是所有联网设备的安全，必须符合企业所定制的安全策略标准，保护核心资产及数据免受病毒、木马等威胁的入侵。

发展至今，终端安全已得到了前所未有的充实和完善，终端安全内容也进行了丰富。涵盖了资产管理、病毒防护、入侵防御、终端防火墙、主动防御、法规遵从等多种功能。终端安全最终的目的，就是帮助企业防范已知威胁和未知威胁，并且能够在访问公司数据的笔记本电脑、台式机、研发机、服务器和移动设备上强制实施安全策略。使防病毒、反间谍软件、防火墙、入侵防御和设备控制这样的终端安全技术与独立于网络的访问控制技术相结合，将安全防护的体系进行完善，从而为企业内的系统和网络提供最佳的安全性。

企业内的终端一般可分为以下四类，主要是办公类终端、生产类终端、研发类终端机移动类终端。

• 办公类终端

办公终端顾名思义，其主要功能是提供给常规类办公人员进行日常工作的终端设备，如笔记本、台式机等。

• 生产类终端

主要用于各种生产型业务系统的承载和专项生产任务的终端，如服务器、产线的上位机、承载特殊任务的生产终端等。

• 研发类终端

主要用于研发场景的终端，一般具备配置高、图形处理能力强、数据分析能力强等特性，如研发服务器、工作站等。

• 移动类终端

移动类终端也是移动互联网经济下的主要生力军，涵盖范围交广，涉及普通移动终端、便携终端及手持终端设备。如手机、车载终端、 PDA 、智能手环、智能手表各种智能设备。

图 1- 各类终端

终端面临的安全挑战与防御措施

随着物联网的不断发展，智能终端层出不穷，普及率越来越高，覆盖范围越来越广。所以作为企业安全人员，不得不尽早考虑如何确保终端的安全。你肯定不希望因为一个终端用户忘记升级、打补丁，致使黑客利用漏洞攻击公司网络，窃取企业数据。

所以随着智能终端市场规模的逐步扩张，也给各种终端的安全带来了前所未有的挑战。

终端面临的安全挑战

本文主要从技术安全挑战和管理安全挑战两个方面对终端面临的风险进行阐述。

• 技术安全挑战：

随着 IOT 的普及，终端类型已不仅局限于台式机、笔记本、服务器这“老三样”了，越来越多的智能终端被推出市场，甚至已经深度参与企业的生产制造环节。寻找一个统一的终端安全防御产品难度较大；

终端安全融入现有网络安全体系的技术难度较高；

各类终端存储的数据面临加密保护、数据泄漏、数据篡改等问题。

• 管理安全挑战：

管理员如何通过单一平台对多种终端的安全进行管理，是目前遇到的难题之一 ；

终端是离用户最近的设备，问题往往层出不穷。提高终端管理平台的自动化管理能力是个挑战 ；

终端的种类会越来越多，在终端安全管控平台建设过程中要考虑兼容性。

终端的安全防御措施

终端安全与网络安全还是有一定区别的，它更贴近用户，更贴近边缘。所以从安全角度来说，面临的安全问题也更难以预判，因为用户多样的行为难以预判，所以很难通过一朝一夕的安全防御阻止所有的终端风险，必须通过日积月累的技术积累和安全意识培养，逐渐加固终端的安全能力。在以往的工作和项目上，总结了一些常规的防御措施，供参考。

终端的安全方面，建议从以下几个层次去考虑：
用户上网行为管控
病毒防控
数据防泄漏
外设管控
软件管理
资产管控
终端审计
打印管理
系统管理
管理规范

终端安全设计实践

通过上文了解了十大终端安全防御措施，本章主要介绍如何通过技术手段来实现系统多层次、多维度的安全防御，构筑相对安全的防御措施，提升终端安全威胁防御能力。

• 用户上网行为管控：

随着网络的发展，网络手段进行数据传输的渠道越来越多，如 PC 微信、微博、论坛、邮箱等等。此时就需要在用户上网的同时，对用户的行为和流量进行监控。常见的安全设备如上网行为管理系统，通过此系统对敏感网站进行评比，对敏感数据进行拦截，同时对用户的上网路径进行审计。

• 病毒防控

所有终端必须安装最新版的杀毒软件，至少 windows 的客户端是必须安装的，

并且制定定期更新病毒库策略，一些嵌入式终端可以忽略。

• 数据防泄漏

数据防泄漏（ DLP ）软件是一套非常成熟的数据安全解决方案，可以从流程上

对数据进行分类、识别和管控。 DLP 分为 HDLP （主机 DLP ）和 NDLP （网络 DLP ），在项目中，倾向使用 HDLP ，因其安装在客户端对数据的监控粒度更细，审计更清晰，便于追溯。

• 外设管控

所有办公终端、生产终端禁止外接 USB 、串口等设备。可以通过专业的桌面管

理软件进行授权控制，同时对外拷的数据进行审计，如 Landesk 、 SCCM 等老牌桌管软件。

• 软件管理

所有办公终端、生产终端禁止随意安装软件，制定软件白名单，未在其中的软件直接拒绝安装或者运行，防止恶意软件、木马等程序被有意无意的调用。一般传统的桌管软件均具备此功能。

• 资产管控

要想管理好终端，就必须对终端资产的分布、状态了如指掌。业内流行的资产管理软件很多，均可实现此功能。如 SCCM 、 Landesk 桌面管理软件等。

• 终端审计

审计功能作为重要的追溯功能在各个系统中被使用，终端安全中审计也发挥着至关重要的作用。利用 AD 开启所有办公终端的 Audit 功能，针对登陆失败、成功等关键动作进行记录。

• 打印管理

在日常的工作中，管理员往往忽略了打印机的功能。根据多年的工作总结，部分核心文档一般都是通过打印机进行打印流出的。为了避免由此带来的安全漏洞，建议采用集中打印的模式，禁止零散打印机的使用。利用集中打印的安全策略，对敏感词汇、非授权内容进行阻拦。同时与 AD 集成，对打印的作业进行审计。

• 系统管理

所有办公终端（ Windows 系统）必须加入活动目录，开启密码复杂度要求，最小化用户权限，利用组策略下发终端安全策略，如审计、最小化授权、限制 3389 登陆等措施。

• 管理规范

制定各类的终端安全管理规范，用技术与管理结合的方式，规范用户的使用习惯，了解终端安全的重要性，使用户警钟长鸣。

终端安全运营

一个完整的终端安全防御离不开技术与管理，正所谓“三分技术，七分管理”。要保障终端安全，除了有必要的技术手段支持以外，还要考虑组织和管理的因素，也就是人、流程与制度的因素。

安全运营中心

安全防御是一个持续更新的过程，因为风险每天都在变化，而且变化的速度越来越快。各个企业为了更好的应对安全风险，均成立了相关的安全部门，进行日常的信息安全运营工作。

安全运营中心作为信息安全风控的首脑， 7*24 小时不间断运行，主要但不限于以下功能：

• 安全事件监控：

各种安全系统每天会产生非常多的日志或者事件，必须通过安全运营平台自动的对关键事件进行过滤和呈现，让管理员第一时间获悉重要内容。

• 安全系统监控：

对各种安全系统的自身运营状态进行监控，任何关键的警报可以第一时间通过短信、微信、邮件等方式发送给管理员。

• 安全态势分析：

终端安全当下的事件值得关注，但是通过日积月累的数据分析未来一段时间内的安全隐患是运营中心重要的功能之一。可以让管理员有侧重点的关注某一种或多种安全风险的爆发趋势，为安全负责人提供决策辅助。

• 安全事件应急处理：

通过运营平台，安全人员和应用人员可以第一时间获悉关键的安全事件，追溯事件源，定向处理安全事件，降低威胁扩散的风险。

• 日常安全运营：

成立信息安全运营小组，定期（根据不同的系统确定不同的周期，如每日、每月、每季度）进行日常安全作业，如终端安全日志审计、上网行为审计等。

流程化管控

正所谓“制度管人，流程管事”。基于流程化管理，信息安全运营团队可以根据不同的安全事件、安全请求、系统变更进行快速响应和精确处理。量化安全事件和安全处理情况，为精细化运营提供佐证。

结束语

通过本文的阅读和学习，可以协助企业信息安全从业者和初学者，了解在企业中如何部署终端安全防御体系，从哪个几个方面构筑终端安全策略，防止内部数据泄漏，同时认识终端安全的重要性。信息安全防御措施必须渗透到系统的每个环节，确保系统的相对安全。