信息安全-终端安全（终端管理）

本期看点

前期已发布IT建设之路（专业技术篇）之“企业IT管理”、“IT技术架构”，目前正在发布的章节是“信息安全”，后续还会有“应用架构”、“数据架构”。

       IT建设之路专业技术篇预计更新100期，码字不易，欢迎关注不迷路。

终端安全与网络安全是信息安全的一体两面，即使网络安全做得再好，也会因为终端安全做得不好功亏一篑。接下来两篇将介绍终端安全，首先本文介绍如何对终端进行信息安全管理，下篇介绍如何确保终端操作系统和数据安全。

目录

信息安全

1. 信息安全原则策略
   1.1 原则  
   1.2 策略    
   1.3 访问控制
   1.4 区域划分
   1.5 密码分级
   1.6 区域划分
   1.7 变更与控制管理
   1.8 保护机制
   1.9 政策与法规
   1.10 安全角色与职责
2. 网络安全防护
   2.1 经典的网络安全事件
   2.2 构建自己的防御体系  
   2.3 网络安全威胁类型
   2.4 网络安全产品
3. 终端安全
   3.1 终端安全管理  ←←本文
   3.2 操作系统和数据安全管理
4. 信息安全管理体系

01

终端安全（Endpoint Security）是针对企业用户终端的安全管理方案，以识别终端安全风险，并对终端风险进行安全管控和改进管理，从而降低和避免终端安全风险事件的发生。

计算机终端安全，大致分为3个方面：终端管理、操作系统和数据安全。

终端管理

终端管理是指计算机所在物理环境的安全、计算机自身硬件、网络、以及软件管理方面的安全。随着人类科技实力的不断提高，目前计算机各个零部件的寿命、强度都有了明显提高，本章不再赘述物理环境的安全。

01

防止非法终端接入

企业内部网络包含着多种多样的网络设备和终端设备，并且运行着公司的全部业务数据。如果外来终端可以随便接入企业内部网络，一方面会对公司的数据泄露造成很大隐患——外来终端可以通过内部网络访问到公司的重要服务器和数据，从而通过漏洞或者内部员工账号访问或泄露公司机密数据；另一方面是由于外来终端的安全管控措施不到位，一旦这台终端发生病毒或者木马感染，往往会扩散到全网络，令网络瘫痪或者数据被破坏或泄露。

另外，非法终端的外设也需要进行管控，比如U盘，或者开发版等也可能感染了木马或病毒。这类设备需要在公司的终端管理中，通过AD域策略或安全软件管控，比如仅对部分有权限用户开通访问或者修改权限，加上后面操作系统安全的管控，从而降低了数据被破坏的风险。

一般通过如下两种方式，有效管理非法终端的接入风险。

（1）网络准入认证

网络准入认证是对终端接入公司内网的合规程度、安全状态和终端环境等规则的验证。对于公司的内部网络，无论是有线还是无线WIFI，都应该有网络接入的准入认证。通常情况下，公司的网络认证会采用除了802.1X或者MAB（Mac Address Bypass）的基础认证外，对还会考虑配合电脑终端的准入软件，通过校验该电脑的准入环境（如加入域、账号密码、安装公司安全软件、杀毒软件、补丁信息等）后，方可接入公司网络。

随着零信任的逐渐成熟，不少企业开始不再针对使用专业的准入软件，也不再使用专业的VPN软件，随之而来的是零信任软件。通过该软件，可以将公司内部网络接入和互联网接入统一管理，接入的终端不但进行准入环境监测，并且零信任软件会持续监测，更加提升了终端准入的安全性。

（2）内部网络隔离

内部网络除了考虑对非法准入的接入，还要考虑网络上的隔离，即网络安全域的划分。

通过划分不同的安全域（如管理域、DMZ域、应用域、普通数据域、核心数据域、开发测试域等）或安全子域（如管理域中可以再次划分网络管理子域、基础平台管理子域、安全管理子域等），即便有了非法的入侵，也会将数据灾难降到最低。

目前常见的网络内部隔离通常是通过防火墙或者网络路由策略进行管控的。对于公司的业务数据，可通过不同的数据密级、不同的业务部门、设置根据用户角色划分出多个网络逻辑区域，将数据分布在不同的网络区域，再根据业务的数据传输需要，开通点对点的网络通讯。

02

防止非法外联

内网本身是和互联网隔离的，而非法外联则是通过内网终端，主动连接互联网，搭建与外部通信的隐蔽通道。黑客往往通过植入木马，该木马可以通过主动连接黑客服务器，从而让黑客操作内部终端。

所以，针对这类终端的安全，侦测内部终端是否存在非法连接外网或指定网络的行为，并可对违规终端执行断网或隔离，成为了处理非法外联的重要任务。一般监测内部终端的外联，往往通过网络防火墙的端口监控或者流量统计分析，一旦发现某台终端网络异常，立即告警或联动响应。

03

防止非法流量

除了发现非法外联外，还要考虑终端上的人为的数据泄露情况。一般公司的终端上都有安全监控软件，并对终端外设做了管控，所以通过网络上传数据，就成了终端数据泄露的一个较为便利的方式。

为了更加方便监控终端是否上传了大量数据，需要在公司网络层面，监控每个终端的实时流量统计，若对某一个外部IP产生了大量上传流量，则可能产生了数据的泄露风险。针对这一风险，需要及时告警并通过人工审计，对风险及时处理和防范更大的风险产生。

针对笔记本用户，当笔记本连接外部网络，需要考虑对终端上网行为的流量统计分析，一般是结合终端安全软件，将终端上网访问的文件进行统计，一旦某个文件超大或大量文件被访问，则进行实时告警。

04

防止终端非法软件

非法软件的管理，一方面是为了合规性要求，禁止终端安全非法软件（如破解或绿色的商用软件），另一方面是为了防止安装的软件带来木马或病毒。

一般说来，终端可安装的软件都是在公司的白名单中，除了白名单内的软件，安装其他软件均需要申请。管理白名单内的软件，一般都是放在公司内部的应用市场或者公司软件管理平台中，由员工根据自己的需要进行安装。

对于白名单，需要例行进行维护和更新。可通过内部员工申请，或向各业务部门收集，例行更新白名单。

下期将介绍：信息安全-终端安全，如何确保终端操作系统和数据安全。

内容还行？点击上面鼓励他们一下吧！

注：部分文字和图片源自互联网，整理并分享文章是为了更好地传递IT知识经验。若侵犯了您的合法权益，请后台留言。如情况属实，我们会第一时间删除并向您致歉。