信息化觀察網(wǎng)

概述

隨著國家立法表現(xiàn)出對信息安全的重視程度越來越深，各個企業(yè)面臨的信息安全挑戰(zhàn)越來越嚴峻。根據(jù)知名的第三方評測機構(gòu)的統(tǒng)計，2018年60%以上的信息泄露來自內(nèi)部終端。

由于互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，數(shù)據(jù)泄露途徑逐漸增多，受個人經(jīng)濟利益的誘惑，內(nèi)部人員在系統(tǒng)開發(fā)和運營活動中，越權(quán)訪問、竊取敏感信息，傳統(tǒng)的網(wǎng)絡安全產(chǎn)品，如防火墻、防病毒系統(tǒng)無法檢測及阻止，給企業(yè)造成重大損失，所以內(nèi)部風險控制亟待加強。

本文主要是通過過往的學習和項目經(jīng)驗，定義十大安全策略，實現(xiàn)終端基本安全管控。分享工作中遇到的那些坑和經(jīng)驗，共同構(gòu)建企業(yè)終端安全機制。

什么是信息安全？

對于什么是信息安全的概念，不同的人可能解釋也不同。ISO/IEC、美國國家安全系統(tǒng)委員會和國際信息系統(tǒng)審計協(xié)會三家對信息安全的定義大同小異，其目標一致，都指出保障信息安全的最重要目的是保護信息的機密性、完整性和可用性。

定義概述為“為了保障機密性、完整性和可用性而保護信息和信息系統(tǒng)，以防止授權(quán)的訪問、使用、泄露、中斷、修改或者破壞”。

機密性：

簡而言之，信息僅能夠被授權(quán)的個人、組織、系統(tǒng)或流程訪問，不應該被任何其他非授權(quán)行為獲取。例如銀行賬戶的交易流水和余額的信息，除賬戶持有人或經(jīng)賬戶持有人授權(quán)的主體可以看到以外，其他人或組織不得查詢或獲取。

完整性：

簡而言之，就是確保信息的一致性、準確性和可信賴性，不允許信息被篡改。例如用戶通過銀行網(wǎng)頁提交個人信息為開通賬戶。數(shù)據(jù)是通過網(wǎng)頁形式提交的，銀行要通過某種措施，進行數(shù)據(jù)的校驗，確保用戶提交的信息和最終存儲的信息的準確性。

可用性：

簡而言之，就是業(yè)務連續(xù)性的體現(xiàn)，確保用戶可以隨時獲得已授權(quán)的信息。例如銀行要隨時確保用戶可以通過ATM、網(wǎng)銀、柜臺、移動終端等多種方式進行金融服務。

在考慮信息安全的時候，一定要把保障信息安全的三大屬性作為重要的目標，從而建立完善和有效的保護措施，確保業(yè)務的可持續(xù)性和數(shù)據(jù)的安全性，更多信息安全方面的概念及介紹可以參考《淺談企業(yè)信息安全架構(gòu)之縱深防御模型》。

什么是終端安全？

大家經(jīng)常聽到的安全一般都是網(wǎng)絡安全、物理安全甚至應用安全等。終端安全是另一個安全領(lǐng)域，從提出開始在概念上已經(jīng)經(jīng)歷了多個版本。從最初的是指安裝在電腦上的殺毒軟件，到后來的包括臺式機、筆記本電腦、服務器、移動設(shè)備的安全防護，再到以網(wǎng)絡為中心的訪問控制管理等。終端安全強調(diào)的是所有聯(lián)網(wǎng)設(shè)備的安全，必須符合企業(yè)所定制的安全策略標準，保護核心資產(chǎn)及數(shù)據(jù)免受病毒、木馬等威脅的入侵。

發(fā)展至今，終端安全已得到了前所未有的充實和完善，終端安全內(nèi)容也進行了豐富。涵蓋了資產(chǎn)管理、病毒防護、入侵防御、終端防火墻、主動防御、法規(guī)遵從等多種功能。終端安全最終的目的，就是幫助企業(yè)防范已知威脅和未知威脅，并且能夠在訪問公司數(shù)據(jù)的筆記本電腦、臺式機、研發(fā)機、服務器和移動設(shè)備上強制實施安全策略。使防病毒、反間諜軟件、防火墻、入侵防御和設(shè)備控制這樣的終端安全技術(shù)與獨立于網(wǎng)絡的訪問控制技術(shù)相結(jié)合，將安全防護的體系進行完善，從而為企業(yè)內(nèi)的系統(tǒng)和網(wǎng)絡提供最佳的安全性。

企業(yè)內(nèi)的終端一般可分為以下四類，主要是辦公類終端、生產(chǎn)類終端、研發(fā)類終端、移動類終端。

辦公類終端

辦公終端顧名思義，其主要功能是提供給常規(guī)類辦公人員進行日常工作的終端設(shè)備，如筆記本、臺式機等。

生產(chǎn)類終端

主要用于各種生產(chǎn)型業(yè)務系統(tǒng)的承載和專項生產(chǎn)任務的終端，如服務器、產(chǎn)線的上位機、承載特殊任務的生產(chǎn)終端等。

研發(fā)類終端

主要用于研發(fā)場景的終端，一般具備配置高、圖形處理能力強、數(shù)據(jù)分析能力強等特性，如研發(fā)服務器、工作站等。

移動類終端

移動類終端也是移動互聯(lián)網(wǎng)經(jīng)濟下的主要生力軍，涵蓋范圍較廣，涉及普通移動終端、便攜終端及手持終端設(shè)備。如手機、車載終端、PDA、智能手環(huán)、智能手表各種智能設(shè)備。

終端面臨的安全挑戰(zhàn)與防御措施

隨著物聯(lián)網(wǎng)的不斷發(fā)展，智能終端層出不窮，普及率越來越高，覆蓋范圍越來越廣。所以作為企業(yè)安全人員，不得不盡早考慮如何確保終端的安全。你肯定不希望因為一個終端用戶忘記升級、打補丁，致使黑客利用漏洞攻擊公司網(wǎng)絡，竊取企業(yè)數(shù)據(jù)。

所以隨著智能終端市場規(guī)模的逐步擴張，也給各種終端的安全帶來了前所未有的挑戰(zhàn)。

終端面臨的安全挑戰(zhàn)

本文主要從技術(shù)安全挑戰(zhàn)和管理安全挑戰(zhàn)兩個方面對終端面臨的風險進行闡述。

技術(shù)安全挑戰(zhàn)：

隨著IOT的普及，終端類型已不僅局限于臺式機、筆記本、服務器這“老三樣”了，越來越多的智能終端被推出市場，甚至已經(jīng)深度參與企業(yè)的生產(chǎn)制造環(huán)節(jié)。尋找一個統(tǒng)一的終端安全防御產(chǎn)品難度較大；

終端安全融入現(xiàn)有網(wǎng)絡安全體系的技術(shù)難度較高；

各類終端存儲的數(shù)據(jù)面臨加密保護、數(shù)據(jù)泄漏、數(shù)據(jù)篡改等問題。

管理安全挑戰(zhàn)：

管理員如何通過單一平臺對多種終端的安全進行管理，是目前遇到的難題之一；

終端是離用戶最近的設(shè)備，問題往往層出不窮。提高終端管理平臺的自動化管理能力是個挑戰(zhàn)；

終端的種類會越來越多，在終端安全管控平臺建設(shè)過程中要考慮兼容性。

終端的安全防御措施

終端安全與網(wǎng)絡安全還是有一定區(qū)別的，它更貼近用戶，更貼近邊緣。所以從安全角度來說，面臨的安全問題也更難以預判，因為用戶多樣的行為難以預判，所以很難通過一朝一夕的安全防御阻止所有的終端風險，必須通過日積月累的技術(shù)積累和安全意識培養(yǎng)，逐漸加固終端的安全能力。在以往的工作和項目上，總結(jié)了一些常規(guī)的防御措施，供參考。

終端的安全方面，建議從以下幾個層次去考慮：

●用戶上網(wǎng)行為管控

●病毒防控

●數(shù)據(jù)防泄漏

●外設(shè)管控

●軟件管理

●資產(chǎn)管控

●終端審計

●打印管理

●系統(tǒng)管理

●管理規(guī)范

●終端安全設(shè)計實踐

通過上文了解了十大終端安全防御措施，本章主要介紹如何通過技術(shù)手段來實現(xiàn)系統(tǒng)多層次、多維度的安全防御，構(gòu)筑相對安全的防御措施，提升終端安全威脅防御能力。

用戶上網(wǎng)行為管控：

隨著網(wǎng)絡的發(fā)展，網(wǎng)絡手段進行數(shù)據(jù)傳輸?shù)那涝絹碓蕉?，如PC微信、微博、論壇、郵箱等等。此時就需要在用戶上網(wǎng)的同時，對用戶的行為和流量進行監(jiān)控。常見的安全設(shè)備如上網(wǎng)行為管理系統(tǒng)，通過此系統(tǒng)對敏感網(wǎng)站進行評比，對敏感數(shù)據(jù)進行攔截，同時對用戶的上網(wǎng)路徑進行審計。

病毒防控

所有終端必須安裝最新版的殺毒軟件，至少windows的客戶端是必須安裝的，并且制定定期更新病毒庫策略，一些嵌入式終端可以忽略。

數(shù)據(jù)防泄漏

數(shù)據(jù)防泄漏（DLP）軟件是一套非常成熟的數(shù)據(jù)安全解決方案，可以從流程上對數(shù)據(jù)進行分類、識別和管控。DLP分為HDLP（主機DLP）和NDLP（網(wǎng)絡DLP），在項目中，傾向使用HDLP，因其安裝在客戶端對數(shù)據(jù)的監(jiān)控粒度更細，審計更清晰，便于追溯。

外設(shè)管控

所有辦公終端、生產(chǎn)終端禁止外接USB、串口等設(shè)備?？梢酝ㄟ^專業(yè)的桌面管理軟件進行授權(quán)控制，同時對外拷的數(shù)據(jù)進行審計，如Landesk、SCCM等老牌桌管軟件。

軟件管理

所有辦公終端、生產(chǎn)終端禁止隨意安裝軟件，制定軟件白名單，未在其中的軟件直接拒絕安裝或者運行，防止惡意軟件、木馬等程序被有意無意的調(diào)用。一般傳統(tǒng)的桌管軟件均具備此功能。

資產(chǎn)管控

要想管理好終端，就必須對終端資產(chǎn)的分布、狀態(tài)了如指掌。業(yè)內(nèi)流行的資產(chǎn)管理軟件很多，均可實現(xiàn)此功能。如SCCM、Landesk桌面管理軟件等。

終端審計

審計功能作為重要的追溯功能在各個系統(tǒng)中被使用，終端安全中審計也發(fā)揮著至關(guān)重要的作用。利用AD開啟所有辦公終端的Audit功能，針對登陸失敗、成功等關(guān)鍵動作進行記錄。

打印管理

在日常的工作中，管理員往往忽略了打印機的功能。根據(jù)多年的工作總結(jié)，部分核心文檔一般都是通過打印機進行打印流出的。為了避免由此帶來的安全漏洞，建議采用集中打印的模式，禁止零散打印機的使用。利用集中打印的安全策略，對敏感詞匯、非授權(quán)內(nèi)容進行阻攔。同時與AD集成，對打印的作業(yè)進行審計。

系統(tǒng)管理

所有辦公終端（Windows系統(tǒng)）必須加入活動目錄，開啟密碼復雜度要求，最小化用戶權(quán)限，利用組策略下發(fā)終端安全策略，如審計、最小化授權(quán)、限制3389登陸等措施。

管理規(guī)范

制定各類的終端安全管理規(guī)范，用技術(shù)與管理結(jié)合的方式，規(guī)范用戶的使用習慣，了解終端安全的重要性，使用戶警鐘長鳴。

終端安全運營

一個完整的終端安全防御離不開技術(shù)與管理，正所謂“三分技術(shù)，七分管理”。要保障終端安全，除了有必要的技術(shù)手段支持以外，還要考慮組織和管理的因素，也就是人、流程與制度的因素。

安全運營中心

安全防御是一個持續(xù)更新的過程，因為風險每天都在變化，而且變化的速度越來越快。各個企業(yè)為了更好的應對安全風險，均成立了相關(guān)的安全部門，進行日常的信息安全運營工作。

安全運營中心作為信息安全風控的首腦，7*24小時不間斷運行，主要但不限于以下功能：

安全事件監(jiān)控：

各種安全系統(tǒng)每天會產(chǎn)生非常多的日志或者事件，必須通過安全運營平臺自動的對關(guān)鍵事件進行過濾和呈現(xiàn)，讓管理員第一時間獲悉重要內(nèi)容。

安全系統(tǒng)監(jiān)控：

對各種安全系統(tǒng)的自身運營狀態(tài)進行監(jiān)控，任何關(guān)鍵的警報可以第一時間通過短信、微信、郵件等方式發(fā)送給管理員。

安全態(tài)勢分析：

終端安全當下的事件值得關(guān)注，但是通過日積月累的數(shù)據(jù)分析未來一段時間內(nèi)的安全隱患是運營中心重要的功能之一。可以讓管理員有側(cè)重點的關(guān)注某一種或多種安全風險的爆發(fā)趨勢，為安全負責人提供決策輔助。

安全事件應急處理：

通過運營平臺，安全人員和應用人員可以第一時間獲悉關(guān)鍵的安全事件，追溯事件源，定向處理安全事件，降低威脅擴散的風險。

日常安全運營：

成立信息安全運營小組，定期（根據(jù)不同的系統(tǒng)確定不同的周期，如每日、每月、每季度）進行日常安全作業(yè)，如終端安全日志審計、上網(wǎng)行為審計等。

流程化管控

正所謂“制度管人，流程管事”?；诹鞒袒芾?，信息安全運營團隊可以根據(jù)不同的安全事件、安全請求、系統(tǒng)變更進行快速響應和精確處理。量化安全事件和安全處理情況，為精細化運營提供佐證。

結(jié)束語

通過本文的閱讀和學習，可以協(xié)助企業(yè)信息安全從業(yè)者和初學者，了解在企業(yè)中如何部署終端安全防御體系，從哪個幾個方面構(gòu)筑終端安全策略，防止內(nèi)部數(shù)據(jù)泄漏，同時認識終端安全的重要性。信息安全防御措施必須滲透到系統(tǒng)的每個環(huán)節(jié)，確保系統(tǒng)的相對安全。