征文｜杨文斌：终端安全之线段理论

办公终端：分为互联网终端和内网终端，通常公司会根据工作需要开通可以直接访问互联网权限的办公终端。内网终端分两种，一种是只能访问公司内部办公支撑系统的终端，另一种是工作内容需要严格管控的终端，例如研发人员办公终端，避免公司重要数据资产泄露风险。

运维终端：用来对内部网络环境中的网络安全设备及服务器、主机等进行配置管理、故障排查、日常巡检等相关工作的终端。此类终端的安全级别要求是最高的，在用户分配操作权限时应建立严格的审批管理流程及账号信息监管制度。

移动终端：随着移动互联网的发展，移动终端已发展成为支撑日常工作的重要工具，移动终端更多的定义是在非公司办公网络环境下使用的通讯工具，通常简称BYOD。

1、作为最基本的办公支撑工具，应首先对终端的MAC、IP、主机名、使用者等基本维度信息统一备案管理，形成台账，同时针对公司办公终端的增量和存量问题建立动态跟踪流程。有条件的可以建立线上自动化管控机制，借助终端的IPMAC绑定信息与CMDB平台或人资管控平台建立关联关系。目标是尽量确保对办公终端的全覆盖管控，为终端安全实施打好基础。

2、登录永远是最基础的防护入口，建立完善的符合密码要求的密码策略，如密码长度、强度、失败次数等，提高密码被爆破和解密难度。有了密码规则还需要规避默认用户、设立屏保时间、培养锁屏意识等对应的安全习惯。

3、除了登录大门，更多的攻击行为使用的是终端系统或浏览器漏洞，应建立微软或浏览器漏洞管理运营机制，特别关注微软每月高危漏洞补丁更新和各种浏览器严重漏洞，如果是互联网终端可以借助技术手段监控内部员工终端系统是否开启自动更新功能，对于内网终端，可以通过建立WSUS补丁服务器，实现漏洞补丁的更新工作，补丁管理工作已成为终端安全中非常重要的环节。

4、高危端口和异常进程监控，特别关注3389、445等可作为数据传输通道的高危端口，禁用文件共享功能，建立公司范围内终端端口和进程常态化扫描机制，形成闭环管控流程。可通过安装安全软件的方式实现自动化风险识别和快速响应。

5、建立办公终端数据管控机制，做好数据存储备份加密，使用DLP或用户行为管理工具辅助数据泄露隐患监控。办公终端严控私自外联自建无线网络，预防WIFI热点仿冒窃取敏感信息。加强社工安全意识培训。

1、授权管理，首要任务是对运维终端的访问权限控制，运用最小化权限原则，独立划分运维终端区域，在运维终端区域与互联网或内网信息系统之间建立严格的访问管控策略，最好是形成以NGFW、IPS为首的纵深防御防护区。同时授权工作应结合高效严格的审批流程开展。

2、账号管理，做好运维终端的用户密钥管理，建立完善的账号分发和回收机制，避免账号共享或直接暴漏的问题出现。

3、运维终端作为特殊的办公终端，需满足办公终端对应的安全防护要求。

1、BYOD已成为企业办公更为普遍和必要的组成部分，应充分借鉴零信任模型关于终端管控建设思路，通过终端设备唯一标识及证书签名等技术手段，实现有效管控。定期开展移动终端安全性评估，结合评估结果动态调整接入策略，严格控制移动终端对公司内部信息的访问权限。

2、定期开展终端完整性检测，排查终端是否存在恶意程序植入、后门或任何未经授权代码等安全隐患，移动终端中应用程序的使用加大了风险引入的概率，应做好终端内程序安全性管控和监测。全面做好硬件层、系统层、应用层安全防护。

1、物联网终端普遍安全能力较低，硬件长时间无人值守易被破坏，固件认证鉴权不严格易非法访问，应用程序管控不严格易引入恶意程序，数据监管不到位导致泄露篡改。

2、为解决管控问题，应对终端进行分级分类，建立差异化且有针对性的管理机制，同时需要建立终端安全风险评测，有效评判终端上线前及运行过程中所处的风险级别。

3、针对授权和安全能力问题，建立集安全认证、数据加密、安全存储为一体的物联网终端安全保障体系，建立物联网安全管理平台实现对物联网终端事前预警、事中监测、事后监控，构建端到端安全可信体系架构，使得网络具备自身免疫安全防御能力，形成主动免疫机制。