未來終端安全防護的發(fā)展方向

01終端面臨的安全問題終端早期泛指接入互聯(lián)網(wǎng)的計算機設備'氣隨著信息技術的發(fā)展和創(chuàng)新，終端已包含多種形態(tài)，如windows終端、國產(chǎn)化系統(tǒng)終端、手機終端、平板終端、云終端和物聯(lián)網(wǎng)終端等。終端比較分散，數(shù)量又相當大，用戶的使用需求也存在很大差異，安全意識薄弱，最易成為攻擊樨。根據(jù)木桶她任T存在安全隱患的終端就是企業(yè)內(nèi)網(wǎng)或整個互聯(lián)網(wǎng)的短板，也會成為攻擊者的突破口。一般的終端都包括硬件、軟件和存放的繩，主要存在以下幾類安全問題。1.1網(wǎng)絡準入不嚴格企業(yè)的網(wǎng)絡準入控制機制不嚴格，導致很多非企業(yè)終端接入內(nèi)部網(wǎng)絡。一方面可以通過網(wǎng)絡將數(shù)據(jù)轉移，另一方面這些非法終端會破壞整個企業(yè)內(nèi)網(wǎng)，攻擊內(nèi)部終端，甚至可以進行毀滅性的破壞。1.2硬件安全硬件設備的丟失或被盜，是數(shù)據(jù)泄露的一個重要因素。員工出差時常將隨身攜帶的終端設備遺留在交通工具、賓館等公共場合，而終端設備上的數(shù)據(jù)通常并未采取較強的防護手段，易導致很多重要信息被泄露。此外，企業(yè)內(nèi)網(wǎng)對終端設備的外設控制不到位，導致使用者隨意接入各種可轉移數(shù)據(jù)的外設，如USB存儲設備、光驅、打印機、藍牙和紅外等。此外，終端設備可以通過另一種引導方式進入系統(tǒng)，不經(jīng)過身份認證就能將數(shù)據(jù)轉移。1.3軟件安全軟件實際上也包括了終端設備安裝的系統(tǒng)。終端上的系統(tǒng)存在漏洞，未及時更新，將成為惡意軟件攻擊的對象。很多安全事件也是因為系統(tǒng)未及時打補丁造成的。同時，安全配置不到位，即使采用了復雜口令且不定期進行更換，但往往開放了不該開放的端口和服務。除了系統(tǒng)軟件問題，終端還經(jīng)常安裝非授權的應用軟件，而這些應用軟件需要獲取系統(tǒng)權限，進而導致數(shù)據(jù)和隱私被泄漏。1.4數(shù)據(jù)安全網(wǎng)絡中實際上會有多個方面的原因導致敏感信息外泄：終端設備上如果存放有重要文件或敏感信息數(shù)據(jù)，但未對其進行保護；敏感信息傳輸過程中沒有保護措施；用戶越權查看文件；內(nèi)網(wǎng)和互聯(lián)網(wǎng)互相傳輸數(shù)據(jù)，沒有任何監(jiān)管措施；集中存放數(shù)據(jù)的服務器安全措施不到位等。1.5物聯(lián)網(wǎng)終端安全據(jù)Gartner預測，2020年全球的物聯(lián)網(wǎng)設備數(shù)量將高達260億件。物聯(lián)網(wǎng)的安全事件將可能呈爆發(fā)增長，而目前針對物聯(lián)網(wǎng)的安全防護還比較薄弱。物聯(lián)網(wǎng)呈現(xiàn)的是萬物互聯(lián)的狀態(tài)，是信息化技術發(fā)展的必然趨勢。物聯(lián)網(wǎng)設備的制造商主要考慮了設備的智能化，對安全性重視不夠。在物聯(lián)網(wǎng)中，用戶隱私被泄漏的風險非常大，呈現(xiàn)“重平臺、輕終端”的態(tài)勢。即使是平臺，也存在不完善、防護不到位的情況。感知層的終端防護能力還需大大提高。目前，物聯(lián)網(wǎng)終端安全性主要包括設備本身的安全性漏洞、終端設備未采用安全的認證技術、權限控制不到位、敏感信息的非授權訪問和通信不安全等。1.6云終端安全云服務端的數(shù)據(jù)要保證穩(wěn)定性和安全性，而終端用戶接入云端更要保證其安全性，否則基于云端的一切服務都將變得不可信。無論云終端是否存儲數(shù)據(jù)，云終端的端口和接口的開放都要嚴格控制。如果是能存儲數(shù)據(jù)的云終端，數(shù)據(jù)的安全性將尤為重要。鑒于2018年的中興事件，中國企業(yè)應擺脫核心技術受制于人的局面。實際上，發(fā)展自主可控的芯片、操作系統(tǒng)、數(shù)據(jù)庫和中間件等信息產(chǎn)業(yè)，構建自主可控的終端安全防護體系才是根本的解決之道?！吨袊K端防護市場白皮書》中也強調(diào)，終端防護不單單是病毒查殺和漏洞修復，還包含終端安全管控、系統(tǒng)加固、威脅檢測與響應以及多平臺的支持。白皮書還指出，新網(wǎng)絡安全形勢下的終端防護，對終端可能存在的安全威脅需要實現(xiàn)監(jiān)控、記錄和分析，實現(xiàn)終端安全審計、安全監(jiān)測、漏洞掃描、威脅檢測和系統(tǒng)加固等功能，從而提供系統(tǒng)安全、操作安全和應用安全的全面防護。0２未來終端安全防護的發(fā)展方向終端的形態(tài)和接入方式多種多樣，如手機、平板、windows終端、云終端、物聯(lián)網(wǎng)終端及國產(chǎn)化終端等。無論是什么樣的終端，終端安全防護都可以參照以下幾方面思路進行設計。2.1終端的接入控制正是因為企事業(yè)單位沒有控制好終端的接入行為而導致了安全事件的發(fā)生，所以必須嚴格控制終端接入內(nèi)部網(wǎng)絡的行為。內(nèi)部網(wǎng)絡必須要求對終端用戶進行認證，可以利用交換機上的802.IX協(xié)議功能和Radius認證服務實現(xiàn)。不僅可以認證用戶，還可以進行授權，指定終端用戶只能訪問某些服務。在終端設備接入時還可以考慮終端必須安裝特定的防護軟件。只有成功安裝防護軟件才批準入網(wǎng)，否則拒絕入網(wǎng)。同時，服務器可以提供防護軟件的下載地址，以便用戶使用。經(jīng)管理員批準，也可以例外放行個別可信的終端接入，前提是必須設置訪問時間區(qū)間和服務范圍。2.2終端的身份認證雖然終端設備進行了嚴格的接入控制，可以有效防止非授權設備的接入，但是并不能保證終端設備本身的安全。要很好地使用一個終端，第一步需要進行身份認證。如果在身份認證環(huán)節(jié)采用很強的加密認證手段，則可以杜絕非法或可疑用戶的登錄。一旦終端被非授權用戶登錄，所有數(shù)據(jù)都會被暴露,后果不堪設想，特別是重要領域的企事業(yè)單位。終端登錄也就是身份認證過程，最常見的是基于用戶名和密碼的認證和基于IC卡的認證，都屬于靜態(tài)認證的方法。但是，基于用戶名和密碼的認證極易被木馬程序或網(wǎng)絡監(jiān)聽軟件獲取，安全水平低；而IC認證的數(shù)據(jù)屬于靜態(tài)數(shù)據(jù)，很容易通過網(wǎng)絡監(jiān)聽或內(nèi)存掃描獲取。一次一密或動態(tài)口令的認證技術可彌補靜態(tài)口令的不足，_定程度上保證用戶的安全性。通過口令使用的次數(shù)和時間限制，使黑客即使獲得了口令也很難仿冒用戶信息。但是,時間和次數(shù)設置不當，不僅影響用戶登錄，而且將會給黑客創(chuàng)造機會。除了以上的身份認證技術，基于生物特征的身份認證技術日益凸顯其優(yōu)勢。例如，指紋、虹膜、人臉識別等，每個人的生物特征都具有獨特性，基本上不可能被假冒。但是，生物特征的穩(wěn)定性和準確性還需要提高，成本也比普通認證技術高，更適應于安全性要求高的場合。生物特征與密碼技術相結合，可以大幅提高系統(tǒng)安全性。當前，無論生物特征采取何種密碼技術，最終會受到人生病或受傷的影響而導致生物特征識別失敗的情況，成為其廣泛應用受限的原因之一。近幾年使用比較普遍的認證技術是基于USBKEY的認證。它是軟硬件相結合的強雙因認證技術，也屬于一次一密。USBKEY中存儲了用戶的數(shù)字證書和密鑰，結合USBKEY中內(nèi)置的密碼算法和PKI體系的認證模式，很好地解決了用戶易用性和安全性之間的矛盾。終端安全防護體系在設計身份認證技術時，可以借鑒文章提到的認證手段。無論是云環(huán)境下的終端還是物聯(lián)網(wǎng)下的終端，都可以此為基礎，對終端系統(tǒng)本身進行嚴格的身份認證。就像用得較多的windows系統(tǒng)一樣，可以將其本身的登錄方式替換成更強的認證方式。其他類型的終端也同樣可以適用。從安全性角度出發(fā)，將幾種身份認證技術進行有效結合，特別是結合密碼技術的生物特征識別和USBKEY的認證技術，形成軟硬件結合的多因子認證技術，將極大程度地提高破解難度，適合應用于密級較高的場所。而在云環(huán)境下，安全地登錄云端是云計算首要解決的安全性問題。同時，云數(shù)據(jù)被集中處理和存儲，終端上的身份認證技術也可適用于云服務器上。核心服務器還可以同時認證兩個或三個管理員的身份，每個管理員的身份認證技術同時采用基于密碼技術的生物特征識別和USBKEY的認證技術。2.3終端的監(jiān)控與審計任何安全手段都離不開事前檢查、事中控制和事后審計跟蹤的方法。終端被成功登錄，只能說明登錄的身份被認可，但不能保證擁有該身份的用戶的操作是可信的。縱觀歷年的泄密事件，絕大部分都來自于內(nèi)部人員的非法操作。終端的監(jiān)控與審計可以內(nèi)置或安裝一個綜合的代理程序，并從以下幾個方面進行監(jiān)控與審計。2.3.1系統(tǒng)的安全性代理程序監(jiān)控終端系統(tǒng)是否有安全威脅，是否及時安裝最新的補丁程序和殺毒軟件，殺毒軟件是否及時更新。一旦未達到要求，可以向服務器告警并上報日志。必要時，可以將其網(wǎng)絡斷開，停止訪問任何服務。只有安全威脅消除后，才能重新接入內(nèi)部網(wǎng)絡。2.3.2外設的監(jiān)控終端最容易造成重要數(shù)據(jù)、文件和程序等泄漏的環(huán)節(jié)需要特別引起重視。內(nèi)網(wǎng)終端上隨意接入U盤、手機、PAD、存儲卡、藍牙和紅外等，都可以輕松將重要內(nèi)容轉移；隨意接入打印機可將文件打印帶走；隨意接入外置光驅可將文件刻走。所以，要對終端接入的外設包括終端自帶的外設進行控制。根據(jù)不同單位、不同部門和不同終端，可設置不同的策略。只要設定好策略，就可以降低非法外設帶來的風險和陷患。2.3.3文件、進程、驅動和服務的監(jiān)控與審計對終端上的文件進行分級權限控制，級別最高的文件可以拒絕所有的操作行為。對終端上流入流出的文件進行審計，包括操作類型，可以作為事后審查的依據(jù)。對進程、驅動和服務進行黑白名單式管理。白名單內(nèi)的進程、驅動和服務可以運行，黑名單則禁止運行，違反策略則告警。所有運行和停止行為都需要記錄日志。2.3.4網(wǎng)絡連接行為控制代理程序可對終端網(wǎng)絡連接行為進行控制，設置禁止訪問和允許訪問的網(wǎng)絡范圍。一旦終端訪問了禁止的網(wǎng)絡，可以進行告警并阻止訪問，并對所有的網(wǎng)絡行為進行嚴格審計。2.3.5刻錄和打印審計對終端上所有的刻錄行為和打印行為進行審計，并準確記錄文件的屬性和操作類型。2.3.6異常行為的審計對終端的一切可疑行為進行審計，包括被惡意端口掃描攻擊、ARP欺騙、短時間內(nèi)多次登錄失敗等。2.3.7代理程序的防護功能代理程序必須具有較強的防護手段來保證關鍵服務、驅動、進程、文件等不被惡意程序修改、刪除或卸載。不僅保護自身功能的正常運行，還需要保護終端上的關鍵文件和進程等重要信息o2.3.8大數(shù)據(jù)分析對終端行為產(chǎn)生的日志進行智能大數(shù)據(jù)分析和學習技術，無需管理員手工統(tǒng)計?？筛鶕?jù)特征值統(tǒng)計分析日志，建立終端的安全態(tài)勢，及時給管理員呈現(xiàn)并指出內(nèi)網(wǎng)存在的安全威脅，達到及時預警的效果，然后根據(jù)分析結果進行深入排查，找出原因，對癥下藥，同時為終端持續(xù)優(yōu)化提供決策支持。終端的監(jiān)控與審計除了以上八個方面，還必須采用因地制宜的管理手段，從而更好地監(jiān)控和審計終端。服務器還應該采取安全手段進行防護，包括服務器的權限控制、配置信息的防篡改、數(shù)據(jù)庫安全、數(shù)據(jù)和日志存儲的安全等。作為一個終端安全防護系統(tǒng)來說，考慮其安全性時還會涉及物理環(huán)境的安