?戳链接了解本期征文详情

浅谈终端安全文

蔚晨蔚晨曾任中国光大银行数据安全技术专家、海航科技集团信息安全技术总架构师等职务。现任光大科技有限公司信息安全负责人，十余年金融业、铁路交通业、民航业工作经历，一直从事信息安全、数据管理、终端安全、风险管理等领域，在数据安全领域有深入研究和实施经验，对网络安全法、GDPR、等保等法律法规有深刻理解。一、终端安全之发展历程

纵观网络安全发展史，终端安全必然是其中浓墨重彩的一笔。在网络安全发展的萌芽阶段（上世纪80年代至上世纪末），互联网的魔力还远未展示，个人计算机防护特别是病毒防护技术是最早的也是最有效的安全控制手段，毕竟当时“做安全的谁还没玩过诺顿、麦克菲”。如果说当时的终端安全就是防病毒，那也间接说明了当时的安全威胁主要来自于因病毒感染而造成的个人计算机设备或数据的破坏或不可用。

到了网络安全成长阶段（21世纪初至年），信息安全时代开始，这期间主要包括两个安全概念，一个是面向内外网边界的安全、一个是面向内部的信息化办公安全，也就是常常被提起的“外部防入侵、内部防泄漏”策略。至今为止国内企业大多也都依据此原则进行安全防护技术体系的构建。此时的终端安全已经从防病毒管理发展出了安全桌面管理、网络准入管理、终端防泄漏管理等多个细分领域。

终端安全管理的重点是终端资产管理、操作系统补丁管理、防病毒管理以及标准化终端网络安全接入和用户被动数据泄露风险等内容。终端安全管理产品在此期间可以说是百花齐放，全国性大中型企业，尤其是金融企业都是在这个时期开始陆续实施各类终端安全产品的。由于终端安全管理产品通常需要在终端上安装安全代理，企业用户感觉自己的行为受限、受监控，通常会产生抵触情绪。

如果终端安全管理产品不能在形式上解决用户的抵制心理，用户很容易将日常应用中发生的问题一股脑都推到终端管理软件的身上，使得产品在推广过程中阻力重重，最终成为了摆设或者干脆弃之不用。

因此各类终端安全管理产品在技术上虽然是依托安全管理内核开发，但是在实际实施和使用过程中增加了大量与办公自动化相关的客户化产品功能，造成每一个企业级终端安全产品实施都成为一个“出力不讨好”的苦差事。尤其是多个不同品牌的产品实施后，为了解决技术冲突或产品融合的问题，项目实施人员殚精竭虑，不知道哪朵云彩会下雨。笔者就曾经为了把防病毒管理系统与桌面管理系统中所管理的终端数量对上，想尽了办法可不可得，最终也只能不了了之。

年“棱镜门”事件曝光，同时由于移动网络时代的到来，企业用户的终端使用方式发生了极大的变化，网络空间安全概念逐步清晰。在此时期，终端安全的外延和内核均发生了很大的变化，传统的终端安全管理内容已经不能满足企业安全管理的发展和需要。企业安全风险管理的概念已经不再局限于针对终端是否安装防病毒、病毒库是否及时升级、是否违规外联、是否违规内联、是否U盘违规使用等被动防护需求，而是聚焦于主动防御功能，尤其是针对用户在终端操作行为的分析与监控、敏感数据在终端的使用和流转情况等终端安全风险进行管控和全面展现，管理人员需要及时掌握所辖区域终端信息安全的现状，及时进行风险排查和处置。

同时，从终端安全管理的范围上看，已经不局限于传统的企业计算机终端，企业用户移动办公终端、各类办公/开发/测试/生产运维虚拟终端，甚至企业应用客户所运行的终端设备均纳入企业终端安全管理的范畴。移动设备的MDM（MobileDeviceManagement）、MDA（MobileDeviceAudit）包括终端层面的流量分析、用户行为审计及检测、应用安全检测控件等技术广泛的应用于终端安全管理领域。

5G时代的到来，网络连接一切，即把所有电子设备通过有线或无线网络连接在一起，以达到通信与控制的目的，网络边界变得模糊，基于大数据和云计算的检测、分析和响应技术成为主流。

在“云、管、端”模式下，未来的终端将会更多样化、更智能化。云端服务通过智能管道与各类终端交互提供更为复杂更为丰富的场景应用，包括虚拟现实、人工智能、自动驾驶、海量数据分析、智慧城市等等。网络边界概念届时将完全被打破，在这种环境下，安全不再割裂，所有的安全问题都可归结于数字安全问题。一切安全都是数字安全，一切风险都是数字风险。

复杂系统的不稳定性，数字世界安全的高度统一性，决定了网络安全的特性将从伴生需求走向内生需求，并终将成为高科技时代人类社会生活的基本需求。作为“云、管、端”中的重要一环，终端安全将会从以安全管控、监测为主的事件驱动，即威胁防御模式转变为向威胁与风险驱动的模式。控制已经不再是目的，动态权限管理、实时风险识别与分析将成为风险控制的主要目标，自动化的接入或拒绝终端访问，更细粒度的动态授权，智能化的识别人机对应将会成为终端安全管理的内在需要，并直接嵌入终端设备。也许到了那个时候，也已经没有了终端的概念，它们已经简单的变成一块屏幕加内存和键盘的组合，或许那就是终端安全管理的未来。

二、终端安全之经验谈

笔者接下来就重点讲讲在具体产品实施过程中曾经踩过的雷和趟过的坑，希望能对已经或将要实施终端安全项目的从业人员有些许帮助。

1.“最匹配安全目标的就是最合适的”

对于将要实施终端安全的企业来说，最大的困难就在于产品选型。市场上充斥着各种终端安全产品，其功能和所使用的技术根据其核心使用场景的不同有大量的重复，如果企业没有明确的终端安全管理目标，很容易在产品选型的过程中迷失。

笔者曾经在多家全国性企业实施过终端安全项目，因为企业的行业不同，所处的终端管理水平有着明显的差距，在确定终端安全管理目标上也大相径庭。金融行业是终端管理做的最好的行业之一，在终端资产管理、操作系统和系统软件的版本管理、浏览器版本选型与开发规范管理等多个方面基本处于行业领先，因此在终端安全项目实施过程中难度也是相对较低的。

同时由于金融行业的业务模式相对简单，虽然终端设备数量庞大，但在明确终端安全管理目标和业务场景的过程中，复杂度和差异化较小，安全产品功能选型与实施路径较明晰。同为全国性企业，笔者在另一个终端安全项目实施过程中，就因为终端环境的标准化程度差，企业业务场景复杂度高，因此在实施终端安全项目过程中，产品选型、管控策略制订以及项目实施路径选择大费周章，最后由于策略复杂度太高，安全管控效果不甚理想。

2.“选择经验丰富的产品是降低实施成本的关键”

在选择终端安全产品时，新产品貌似所采用的技术更为先进，其产品功能和覆盖业务场景更为丰富，而市场占有率较高的产品所采用的整体架构及功能比较“土”，功能迭代程度不高，安全管理人员通常会在产品技术层面纠结，难以取舍。就笔者的经验，选择实施经验丰富，有多个大规模实施案例的产品是更值得考虑的。因为终端安全产品大多在驱动层进行“钩子”置入，侵入操作系统底层，在实际使用过程中，会遇到各式各样奇葩甚至不可复现的问题。系统资源占用率高、蓝屏、死机、策略不生效等问题变着法的冒出来，这时产品厂商的实施经验和发现问题解决问题的能力将成为决定项目是否能成功实施的关键。不要做新产品的小白鼠，这是笔者真实趟雷的经验。

3.“实施路径决定了项目的成败”

解决了产品选型和场景策略以及功能的问题，下一步就是如何合理的规划终端安全项目的实施路径。如下图所示，这是笔者在其中一家全国性企业实施终端安全管理项目时的规划思路。要做好终端安全，首先要做好终端管理，企业是否允许自带设备办公(BYOD)，是否有统一采购正版的操作系统软件与办公软件，是否规定浏览器的具体产品及版本，这些基本的终端管理工作是否做到位，将直接影响最终的终端管控效果。

基于终端的入侵几乎都来自于操作系统及办公软件和浏览器的漏洞，规范化的管理系统补丁、软件漏洞是必须在一个合理的范围之内的。如果企业中使用了多个Windows/Office版本，各种类型的浏览器，补丁管理、系统配置管理的标准化工作的工作量将呈几何级数的增加。因此规范终端基础环境是做好终端安全的根本，同时如果企业能统一制定终端命名、及时有效地进行补丁管理和病毒库升级，在防止终端入侵、木马扩散层面就已经能解决大部分问题了。

通过桌面管理、防病毒管理等产品实施基本可完成标准化工作，接下来就是解决如何让一个健康的安全的终端接入内部网络的问题了，这就是网络准入管控的作用。准入管控必须动态的和桌面管理以及防病毒管理实时联动，一旦发现接入设备存在系统漏洞或病毒风险，必须及时从内部网络踢出，确保非企业内部的、不安全的、不健康的设备不能接入。

如果上述功能更多的还是面向终端设备，那接下来的终端数据安全功能就是面向用户的高端需求。终端用户纳入企业统一用户身份管理将极大的提高终端数据安全管控精确度，匹配用户所在组织机构、岗位设置，以及企业数据分级分类管理要求，就可以针对特定岗位用户制定和下发明确的管控策略，实施监测与管控，并审计终端操作行为，避免“一刀切”造成该管的没管好，不该管的不好用的情况。

4.“不是功能越多就是越好”

现有市面上各类终端安全产品具有众多为满足办公自动化产生的功能，例如“软件分发”、“阅后即焚”、“自动安装”、“自动删除卸载”等。这些功能在使用的过程中，一定要谨慎、小心并且做好前期测试。桌面管理产品就是一个典型的例子，为提升办公自动化效率，很多企业在实施桌面管理产品后就使用其软件分发功能完成内部应用的部署和升级，若错误的使用了软件升级或自动卸载功能，策略下发时使用了不正确的软件程序包，其结果将导致重大安全事件，甚至是大面积的企业应用瘫痪。因此在选择终端安全产品功能时，必须有所取舍，聚焦在其安全管控目标上，做好策略制订与测试，降低操作风险。

5.“策略简明更实用”

终端安全管控产品的策略管理是一个大学问，这就和定期需要做网络路由收敛一样，多个安全产品策略使用一段时间后，必然会出现策略冲突与冗余。安全策略分为长期安全策略和临时安全策略两种，设计一套行之有效的策略管理流程，管理从策略申请、审批、下发、复核、审计到定期重检回收的整个周期，可以管理策略的有效性，确保安全管理的效果。

以上是笔者作为一名终端安全经历者对于终端安全管理发展历程和产品实施过程的个人浅见，如有不足之处，请谅解。

三～四月主题：《终端安全》

征文｜肖文棣：终端安全的企业实践征文｜杨文斌：终端安全之线段理论征文｜陈欣炜：终端安全的一点思考——从机场的终端管控说起戳原文阅读查看往期征文合集▼加入诸子云

齐心抗疫与你同在

你怎么这么好看预览时标签不可点收录于话题#个上一篇下一篇