企业IT管理_07企业信息安全_03终端安全.pdf

企业IT管理之信息安全

-终端安全

九、信息安全2

9.5终端安全2

9.5.1终端管理2

防止非法终端接入3

防止非法外联6

防止非法流量6

防止终端非法软件7

9.5.2操作系统7

补丁管理7

杀毒管理8

9.5.3终端数据安全9

终端监控与审计9

DLP（Dataleakageprevention）11

加密13

1

九、信息安全

9.5终端安全

终端安全（EndpointSecurity）是针对企业⽤户终端的安全管理⽅案，以识别终端安全

⻛险，并对终端⻛险进⾏安全管控和改进管理，从⽽降低和避免终端安全⻛险事件的发⽣。

计算机终端安全，⼤致分为3个⽅⾯：终端管理、操作系统和数据安全。

9.5.1终端管理

终端管理是指计算机所在物理环境的安全、计算机⾃⾝硬件、⽹络、以及软件管理⽅⾯

的安全。随着⼈类科技实⼒的不断提⾼，⽬前计算机各个零部件的寿命、强度都有了明显提

⾼，本章不再赘述物理环境的安全。

2

防⽌⾮法终端接⼊

企业内部⽹络包含着多种多样的⽹络设备和终端设备，并且运⾏着公司的全部业务数

据。如果外来终端可以随便接⼊企业内部⽹络，⼀⽅⾯会对公司的数据泄露造成很⼤隐患—

—外来终端可以通过内部⽹络访问到公司的重要服务器和数据，从⽽通过漏洞或者内部员

⼯账号访问或泄露公司机密数据；另⼀⽅⾯是由于外来终端的安全管控措施不到位，⼀旦这

台终端发⽣病毒或者⽊⻢感染，往往会扩散到全⽹络，令⽹络瘫痪或者数据被破坏或泄露。

另外，⾮法终端的外设也需要进⾏管控，⽐如U盘，或者开发版等也可能感染了⽊⻢

或病毒。这类设备需要在公司的终端管理中，通过AD域策略或安全软件管控，⽐如仅对部

分有权限⽤户开通访问或者修改权限，加上后⾯操作系统安全的管控，从⽽降低了数据被破

3

坏的⻛险。

⼀般通过如下两种⽅式，有效管理⾮法终端的接⼊⻛险。

1.⽹络准⼊认证

⽹络准⼊认证是对终端接⼊公司内⽹的合规程度、安全状态和终端环境等规则的验证。

对于公司的内部⽹络，⽆论是有线还是⽆线WIFI，都应该有⽹络接⼊的准⼊认证。通常情况

下，公司的⽹络认证会采⽤除了802.1X或者MAB（MacAddressBypass）的基础认证外，

对还会考虑配合电脑终端的准⼊软件，通过校验该电脑的准⼊环境（如加⼊域、账号密码、

安装公司安全软件、杀毒软件、补丁信息等）后，⽅可接⼊公司⽹络。

随着零信任的逐渐成熟，不少企业开始不再针对使⽤专业的准⼊软件，也不再使⽤专业

的VPN软件，随之⽽来的是零信任软件。通过该软件，