企业IT管理_07企业信息安全_03终端安全.docx

PAGE

PAGE1

企业IT管理之信息安全

-终端安全

TOC\o1-4\h\z\u九、信息安全 2

9.5终端安全 2

9.5.1终端管理 2

防止非法终端接入 3

防止非法外联 6

防止非法流量 6

防止终端非法软件 7

9.5.2操作系统 7

补丁管理 7

杀毒管理 8

9.5.3终端数据安全 9

终端监控与审计 9

DLP（Dataleakageprevention） 11

加密 13

九、信息安全

9.5终端安全

终端安全（EndpointSecurity）是针对企业用户终端的安全管理方案，以识别终端安全风险，并对终端风险进行安全管控和改进管理，从而降低和避免终端安全风险事件的发生。

计算机终端安全，大致分为3个方面：终端管理、操作系统和数据安全。

9.5.1终端管理

终端管理是指计算机所在物理环境的安全、计算机自身硬件、网络、以及软件管理方面的安全。随着人类科技实力的不断提高，目前计算机各个零部件的寿命、强度都有了明显提高，本章不再赘述物理环境的安全。

防止非法终端接入

企业内部网络包含着多种多样的网络设备和终端设备，并且运行着公司的全部业务数据。如果外来终端可以随便接入企业内部网络，一方面会对公司的数据泄露造成很大隐患——外来终端可以通过内部网络访问到公司的重要服务器和数据，从而通过漏洞或者内部员工账号访问或泄露公司机密数据；另一方面是由于外来终端的安全管控措施不到位，一旦这台终端发生病毒或者木马感染，往往会扩散到全网络，令网络瘫痪或者数据被破坏或泄露。

另外，非法终端的外设也需要进行管控，比如U盘，或者开发版等也可能感染了木马或病毒。这类设备需要在公司的终端管理中，通过AD域策略或安全软件管控，比如仅对部分有权限用户开通访问或者修改权限，加上后面操作系统安全的管控，从而降低了数据被破坏的风险。

一般通过如下两种方式，有效管理非法终端的接入风险。

1.网络准入认证

网络准入认证是对终端接入公司内网的合规程度、安全状态和终端环境等规则的验证。对于公司的内部网络，无论是有线还是无线WIFI，都应该有网络接入的准入认证。通常情况下，公司的网络认证会采用除了802.1X或者MAB（MacAddressBypass）的基础认证外，对还会考虑配合电脑终端的准入软件，通过校验该电脑的准入环境（如加入域、账号密码、安装公司安全软件、杀毒软件、补丁信息等）后，方可接入公司网络。

随着零信任的逐渐成熟，不少企业开始不再针对使用专业的准入软件，也不再使用专业的VPN软件，随之而来的是零信任软件。通过该软件，可以将公司内部网络接入和互联网接入统一管理，接入的终端不但进行准入环境监测，并且零信任软件会持续监测，更加提升了终端准入的安全性。

2.内部网络隔离

内部网络除了考虑对非法准入的接入，还要考虑网络上的隔离，即网络安全域的划分。

通过划分不同的安全域（如管理域、DMZ域、应用域、普通数据域、核心数据域、开发测试域等）或安全子域（如管理域中可以再次划分网络管理子域、基础平台管理子域、安全管理子域等），即便有了非法的入侵，也会将数据灾难降到最低。

目前常见的网络内部隔离通常是通过防火墙或者网络路由策略进行管控的。对于公司的业务数据，可通过不同的数据密级、不同的业务部门、设置根据用户角色划分出多个网络逻辑区域，将数据分布在不同的网络区域，再根据业务的数据传输需要，开通点对点的网络通讯。

防止非法外联

内网本身是和互联网隔离的，而非法外联则是通过内网终端，主动连接互联网，搭建与外部通信的隐蔽通道。黑客往往通过植入木马，该木马可以通过主动连接黑客服务器，从而让黑客操作内部终端。

所以，针对这类终端的安全，侦测内部终端是否存在非法连接外网或指定网络的行为，并可对违规终端执行断网或隔离，成为了处理非法外联的重要任务。一般监测内部终端的外联，往往通过网络防火墙的端口监控或者流量统计分析，一旦发现某台终端网络异常，立即告警或联动响应。

防止非法流量

除了发现非法外联外，还要考虑终端上的人为的数据泄露情况。一般公司的终端上都有安全监控软件，并对终端外设做了管控，所以通过网络上传数据，就成了终端数据泄露的一个较为便利的方式。

为了更加方便监控终端是否上传了大量数据，需要在公司网络层面，监控每个终端的实时流量统计，若对某一个外部IP产生了大量上传流量，则可能产生了数据的泄露风险。针对这一风险，需要及时告警并通过人工审计，对风险及时处理和防范更大的风险产生。

针对笔记本用户，当笔记本连接外部网络，需要考虑对终端上网行为的流量统计分析，一般是结合终端安全软件，将终端上网访问的文件进行统计，一旦某个文件超大或大量文件被访问，则进行实时告警。

防