信息化觀察網(wǎng)

概述

隨著國(guó)家立法表現(xiàn)出對(duì)信息安全的重視程度越來(lái)越深，各個(gè)企業(yè)面臨的信息安全挑戰(zhàn)越來(lái)越嚴(yán)峻。根據(jù)知名的第三方評(píng)測(cè)機(jī)構(gòu)的統(tǒng)計(jì)，2018年60%以上的信息泄露來(lái)自內(nèi)部終端。

由于互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，數(shù)據(jù)泄露途徑逐漸增多，受個(gè)人經(jīng)濟(jì)利益的誘惑，內(nèi)部人員在系統(tǒng)開(kāi)發(fā)和運(yùn)營(yíng)活動(dòng)中，越權(quán)訪問(wèn)、竊取敏感信息，傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品，如防火墻、防病毒系統(tǒng)無(wú)法檢測(cè)及阻止，給企業(yè)造成重大損失，所以內(nèi)部風(fēng)險(xiǎn)控制亟待加強(qiáng)。

本文主要是通過(guò)過(guò)往的學(xué)習(xí)和項(xiàng)目經(jīng)驗(yàn)，定義十大安全策略，實(shí)現(xiàn)終端基本安全管控。分享工作中遇到的那些坑和經(jīng)驗(yàn)，共同構(gòu)建企業(yè)終端安全機(jī)制。

什么是信息安全？

對(duì)于什么是信息安全的概念，不同的人可能解釋也不同。ISO/IEC、美國(guó)國(guó)家安全系統(tǒng)委員會(huì)和國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)三家對(duì)信息安全的定義大同小異，其目標(biāo)一致，都指出保障信息安全的最重要目的是保護(hù)信息的機(jī)密性、完整性和可用性。

定義概述為“為了保障機(jī)密性、完整性和可用性而保護(hù)信息和信息系統(tǒng)，以防止授權(quán)的訪問(wèn)、使用、泄露、中斷、修改或者破壞”。

機(jī)密性：

簡(jiǎn)而言之，信息僅能夠被授權(quán)的個(gè)人、組織、系統(tǒng)或流程訪問(wèn)，不應(yīng)該被任何其他非授權(quán)行為獲取。例如銀行賬戶的交易流水和余額的信息，除賬戶持有人或經(jīng)賬戶持有人授權(quán)的主體可以看到以外，其他人或組織不得查詢或獲取。

完整性：

簡(jiǎn)而言之，就是確保信息的一致性、準(zhǔn)確性和可信賴性，不允許信息被篡改。例如用戶通過(guò)銀行網(wǎng)頁(yè)提交個(gè)人信息為開(kāi)通賬戶。數(shù)據(jù)是通過(guò)網(wǎng)頁(yè)形式提交的，銀行要通過(guò)某種措施，進(jìn)行數(shù)據(jù)的校驗(yàn)，確保用戶提交的信息和最終存儲(chǔ)的信息的準(zhǔn)確性。

可用性：

簡(jiǎn)而言之，就是業(yè)務(wù)連續(xù)性的體現(xiàn)，確保用戶可以隨時(shí)獲得已授權(quán)的信息。例如銀行要隨時(shí)確保用戶可以通過(guò)ATM、網(wǎng)銀、柜臺(tái)、移動(dòng)終端等多種方式進(jìn)行金融服務(wù)。

在考慮信息安全的時(shí)候，一定要把保障信息安全的三大屬性作為重要的目標(biāo)，從而建立完善和有效的保護(hù)措施，確保業(yè)務(wù)的可持續(xù)性和數(shù)據(jù)的安全性，更多信息安全方面的概念及介紹可以參考《淺談企業(yè)信息安全架構(gòu)之縱深防御模型》。

什么是終端安全？

大家經(jīng)常聽(tīng)到的安全一般都是網(wǎng)絡(luò)安全、物理安全甚至應(yīng)用安全等。終端安全是另一個(gè)安全領(lǐng)域，從提出開(kāi)始在概念上已經(jīng)經(jīng)歷了多個(gè)版本。從最初的是指安裝在電腦上的殺毒軟件，到后來(lái)的包括臺(tái)式機(jī)、筆記本電腦、服務(wù)器、移動(dòng)設(shè)備的安全防護(hù)，再到以網(wǎng)絡(luò)為中心的訪問(wèn)控制管理等。終端安全強(qiáng)調(diào)的是所有聯(lián)網(wǎng)設(shè)備的安全，必須符合企業(yè)所定制的安全策略標(biāo)準(zhǔn)，保護(hù)核心資產(chǎn)及數(shù)據(jù)免受病毒、木馬等威脅的入侵。

發(fā)展至今，終端安全已得到了前所未有的充實(shí)和完善，終端安全內(nèi)容也進(jìn)行了豐富。涵蓋了資產(chǎn)管理、病毒防護(hù)、入侵防御、終端防火墻、主動(dòng)防御、法規(guī)遵從等多種功能。終端安全最終的目的，就是幫助企業(yè)防范已知威脅和未知威脅，并且能夠在訪問(wèn)公司數(shù)據(jù)的筆記本電腦、臺(tái)式機(jī)、研發(fā)機(jī)、服務(wù)器和移動(dòng)設(shè)備上強(qiáng)制實(shí)施安全策略。使防病毒、反間諜軟件、防火墻、入侵防御和設(shè)備控制這樣的終端安全技術(shù)與獨(dú)立于網(wǎng)絡(luò)的訪問(wèn)控制技術(shù)相結(jié)合，將安全防護(hù)的體系進(jìn)行完善，從而為企業(yè)內(nèi)的系統(tǒng)和網(wǎng)絡(luò)提供最佳的安全性。

企業(yè)內(nèi)的終端一般可分為以下四類，主要是辦公類終端、生產(chǎn)類終端、研發(fā)類終端、移動(dòng)類終端。

辦公類終端

辦公終端顧名思義，其主要功能是提供給常規(guī)類辦公人員進(jìn)行日常工作的終端設(shè)備，如筆記本、臺(tái)式機(jī)等。

生產(chǎn)類終端

主要用于各種生產(chǎn)型業(yè)務(wù)系統(tǒng)的承載和專項(xiàng)生產(chǎn)任務(wù)的終端，如服務(wù)器、產(chǎn)線的上位機(jī)、承載特殊任務(wù)的生產(chǎn)終端等。

研發(fā)類終端

主要用于研發(fā)場(chǎng)景的終端，一般具備配置高、圖形處理能力強(qiáng)、數(shù)據(jù)分析能力強(qiáng)等特性，如研發(fā)服務(wù)器、工作站等。

移動(dòng)類終端

移動(dòng)類終端也是移動(dòng)互聯(lián)網(wǎng)經(jīng)濟(jì)下的主要生力軍，涵蓋范圍較廣，涉及普通移動(dòng)終端、便攜終端及手持終端設(shè)備。如手機(jī)、車載終端、PDA、智能手環(huán)、智能手表各種智能設(shè)備。

終端面臨的安全挑戰(zhàn)與防御措施

隨著物聯(lián)網(wǎng)的不斷發(fā)展，智能終端層出不窮，普及率越來(lái)越高，覆蓋范圍越來(lái)越廣。所以作為企業(yè)安全人員，不得不盡早考慮如何確保終端的安全。你肯定不希望因?yàn)橐粋€(gè)終端用戶忘記升級(jí)、打補(bǔ)丁，致使黑客利用漏洞攻擊公司網(wǎng)絡(luò)，竊取企業(yè)數(shù)據(jù)。

所以隨著智能終端市場(chǎng)規(guī)模的逐步擴(kuò)張，也給各種終端的安全帶來(lái)了前所未有的挑戰(zhàn)。

終端面臨的安全挑戰(zhàn)

本文主要從技術(shù)安全挑戰(zhàn)和管理安全挑戰(zhàn)兩個(gè)方面對(duì)終端面臨的風(fēng)險(xiǎn)進(jìn)行闡述。

技術(shù)安全挑戰(zhàn)：

隨著IOT的普及，終端類型已不僅局限于臺(tái)式機(jī)、筆記本、服務(wù)器這“老三樣”了，越來(lái)越多的智能終端被推出市場(chǎng)，甚至已經(jīng)深度參與企業(yè)的生產(chǎn)制造環(huán)節(jié)。尋找一個(gè)統(tǒng)一的終端安全防御產(chǎn)品難度較大；

終端安全融入現(xiàn)有網(wǎng)絡(luò)安全體系的技術(shù)難度較高；

各類終端存儲(chǔ)的數(shù)據(jù)面臨加密保護(hù)、數(shù)據(jù)泄漏、數(shù)據(jù)篡改等問(wèn)題。

管理安全挑戰(zhàn)：

管理員如何通過(guò)單一平臺(tái)對(duì)多種終端的安全進(jìn)行管理，是目前遇到的難題之一；

終端是離用戶最近的設(shè)備，問(wèn)題往往層出不窮。提高終端管理平臺(tái)的自動(dòng)化管理能力是個(gè)挑戰(zhàn)；

終端的種類會(huì)越來(lái)越多，在終端安全管控平臺(tái)建設(shè)過(guò)程中要考慮兼容性。

終端的安全防御措施

終端安全與網(wǎng)絡(luò)安全還是有一定區(qū)別的，它更貼近用戶，更貼近邊緣。所以從安全角度來(lái)說(shuō)，面臨的安全問(wèn)題也更難以預(yù)判，因?yàn)橛脩舳鄻拥男袨殡y以預(yù)判，所以很難通過(guò)一朝一夕的安全防御阻止所有的終端風(fēng)險(xiǎn)，必須通過(guò)日積月累的技術(shù)積累和安全意識(shí)培養(yǎng)，逐漸加固終端的安全能力。在以往的工作和項(xiàng)目上，總結(jié)了一些常規(guī)的防御措施，供參考。

終端的安全方面，建議從以下幾個(gè)層次去考慮：

●用戶上網(wǎng)行為管控

●病毒防控

●數(shù)據(jù)防泄漏

●外設(shè)管控

●軟件管理

●資產(chǎn)管控

●終端審計(jì)

●打印管理

●系統(tǒng)管理

●管理規(guī)范

●終端安全設(shè)計(jì)實(shí)踐

通過(guò)上文了解了十大終端安全防御措施，本章主要介紹如何通過(guò)技術(shù)手段來(lái)實(shí)現(xiàn)系統(tǒng)多層次、多維度的安全防御，構(gòu)筑相對(duì)安全的防御措施，提升終端安全威脅防御能力。

用戶上網(wǎng)行為管控：

隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)手段進(jìn)行數(shù)據(jù)傳輸?shù)那涝絹?lái)越多，如PC微信、微博、論壇、郵箱等等。此時(shí)就需要在用戶上網(wǎng)的同時(shí)，對(duì)用戶的行為和流量進(jìn)行監(jiān)控。常見(jiàn)的安全設(shè)備如上網(wǎng)行為管理系統(tǒng)，通過(guò)此系統(tǒng)對(duì)敏感網(wǎng)站進(jìn)行評(píng)比，對(duì)敏感數(shù)據(jù)進(jìn)行攔截，同時(shí)對(duì)用戶的上網(wǎng)路徑進(jìn)行審計(jì)。

病毒防控

所有終端必須安裝最新版的殺毒軟件，至少windows的客戶端是必須安裝的，并且制定定期更新病毒庫(kù)策略，一些嵌入式終端可以忽略。

數(shù)據(jù)防泄漏

數(shù)據(jù)防泄漏（DLP）軟件是一套非常成熟的數(shù)據(jù)安全解決方案，可以從流程上對(duì)數(shù)據(jù)進(jìn)行分類、識(shí)別和管控。DLP分為HDLP（主機(jī)DLP）和NDLP（網(wǎng)絡(luò)DLP），在項(xiàng)目中，傾向使用HDLP，因其安裝在客戶端對(duì)數(shù)據(jù)的監(jiān)控粒度更細(xì)，審計(jì)更清晰，便于追溯。

外設(shè)管控

所有辦公終端、生產(chǎn)終端禁止外接USB、串口等設(shè)備。可以通過(guò)專業(yè)的桌面管理軟件進(jìn)行授權(quán)控制，同時(shí)對(duì)外拷的數(shù)據(jù)進(jìn)行審計(jì)，如Landesk、SCCM等老牌桌管軟件。

軟件管理

所有辦公終端、生產(chǎn)終端禁止隨意安裝軟件，制定軟件白名單，未在其中的軟件直接拒絕安裝或者運(yùn)行，防止惡意軟件、木馬等程序被有意無(wú)意的調(diào)用。一般傳統(tǒng)的桌管軟件均具備此功能。

資產(chǎn)管控

要想管理好終端，就必須對(duì)終端資產(chǎn)的分布、狀態(tài)了如指掌。業(yè)內(nèi)流行的資產(chǎn)管理軟件很多，均可實(shí)現(xiàn)此功能。如SCCM、Landesk桌面管理軟件等。

終端審計(jì)

審計(jì)功能作為重要的追溯功能在各個(gè)系統(tǒng)中被使用，終端安全中審計(jì)也發(fā)揮著至關(guān)重要的作用。利用AD開(kāi)啟所有辦公終端的Audit功能，針對(duì)登陸失敗、成功等關(guān)鍵動(dòng)作進(jìn)行記錄。

打印管理

在日常的工作中，管理員往往忽略了打印機(jī)的功能。根據(jù)多年的工作總結(jié)，部分核心文檔一般都是通過(guò)打印機(jī)進(jìn)行打印流出的。為了避免由此帶來(lái)的安全漏洞，建議采用集中打印的模式，禁止零散打印機(jī)的使用。利用集中打印的安全策略，對(duì)敏感詞匯、非授權(quán)內(nèi)容進(jìn)行阻攔。同時(shí)與AD集成，對(duì)打印的作業(yè)進(jìn)行審計(jì)。

系統(tǒng)管理

所有辦公終端（Windows系統(tǒng)）必須加入活動(dòng)目錄，開(kāi)啟密碼復(fù)雜度要求，最小化用戶權(quán)限，利用組策略下發(fā)終端安全策略，如審計(jì)、最小化授權(quán)、限制3389登陸等措施。

管理規(guī)范

制定各類的終端安全管理規(guī)范，用技術(shù)與管理結(jié)合的方式，規(guī)范用戶的使用習(xí)慣，了解終端安全的重要性，使用戶警鐘長(zhǎng)鳴。

終端安全運(yùn)營(yíng)

一個(gè)完整的終端安全防御離不開(kāi)技術(shù)與管理，正所謂“三分技術(shù)，七分管理”。要保障終端安全，除了有必要的技術(shù)手段支持以外，還要考慮組織和管理的因素，也就是人、流程與制度的因素。

安全運(yùn)營(yíng)中心

安全防御是一個(gè)持續(xù)更新的過(guò)程，因?yàn)轱L(fēng)險(xiǎn)每天都在變化，而且變化的速度越來(lái)越快。各個(gè)企業(yè)為了更好的應(yīng)對(duì)安全風(fēng)險(xiǎn)，均成立了相關(guān)的安全部門，進(jìn)行日常的信息安全運(yùn)營(yíng)工作。

安全運(yùn)營(yíng)中心作為信息安全風(fēng)控的首腦，7*24小時(shí)不間斷運(yùn)行，主要但不限于以下功能：

安全事件監(jiān)控：

各種安全系統(tǒng)每天會(huì)產(chǎn)生非常多的日志或者事件，必須通過(guò)安全運(yùn)營(yíng)平臺(tái)自動(dòng)的對(duì)關(guān)鍵事件進(jìn)行過(guò)濾和呈現(xiàn)，讓管理員第一時(shí)間獲悉重要內(nèi)容。

安全系統(tǒng)監(jiān)控：

對(duì)各種安全系統(tǒng)的自身運(yùn)營(yíng)狀態(tài)進(jìn)行監(jiān)控，任何關(guān)鍵的警報(bào)可以第一時(shí)間通過(guò)短信、微信、郵件等方式發(fā)送給管理員。

安全態(tài)勢(shì)分析：

終端安全當(dāng)下的事件值得關(guān)注，但是通過(guò)日積月累的數(shù)據(jù)分析未來(lái)一段時(shí)間內(nèi)的安全隱患是運(yùn)營(yíng)中心重要的功能之一?？梢宰尮芾韱T有側(cè)重點(diǎn)的關(guān)注某一種或多種安全風(fēng)險(xiǎn)的爆發(fā)趨勢(shì)，為安全負(fù)責(zé)人提供決策輔助。

安全事件應(yīng)急處理：

通過(guò)運(yùn)營(yíng)平臺(tái)，安全人員和應(yīng)用人員可以第一時(shí)間獲悉關(guān)鍵的安全事件，追溯事件源，定向處理安全事件，降低威脅擴(kuò)散的風(fēng)險(xiǎn)。

日常安全運(yùn)營(yíng)：

成立信息安全運(yùn)營(yíng)小組，定期（根據(jù)不同的系統(tǒng)確定不同的周期，如每日、每月、每季度）進(jìn)行日常安全作業(yè)，如終端安全日志審計(jì)、上網(wǎng)行為審計(jì)等。

流程化管控

正所謂“制度管人，流程管事”?；诹鞒袒芾恚畔踩\(yùn)營(yíng)團(tuán)隊(duì)可以根據(jù)不同的安全事件、安全請(qǐng)求、系統(tǒng)變更進(jìn)行快速響應(yīng)和精確處理。量化安全事件和安全處理情況，為精細(xì)化運(yùn)營(yíng)提供佐證。

結(jié)束語(yǔ)

通過(guò)本文的閱讀和學(xué)習(xí)，可以協(xié)助企業(yè)信息安全從業(yè)者和初學(xué)者，了解在企業(yè)中如何部署終端安全防御體系，從哪個(gè)幾個(gè)方面構(gòu)筑終端安全策略，防止內(nèi)部數(shù)據(jù)泄漏，同時(shí)認(rèn)識(shí)終端安全的重要性。信息安全防御措施必須滲透到系統(tǒng)的每個(gè)環(huán)節(jié)，確保系統(tǒng)的相對(duì)安全。