安全視角下企業(yè)終端管控策略探討

摘要：隨著萬物互聯(lián)時(shí)代的到來，越來越多的終端設(shè)備接入企業(yè)內(nèi)部網(wǎng)絡(luò)和服務(wù)，數(shù)據(jù)交互日益復(fù)雜頻繁。多類型終端設(shè)備的應(yīng)用不僅帶來了生產(chǎn)、辦公形式的創(chuàng)新，也導(dǎo)致安全管理邊界無限延伸，超出了企業(yè)內(nèi)部的安全管控范圍。企業(yè)需要建設(shè)一套完備的終端安全管控系統(tǒng)，通過管控終端，主動(dòng)防御，避免終端使用過程中發(fā)生數(shù)據(jù)泄露、數(shù)據(jù)篡改、數(shù)據(jù)濫用、數(shù)據(jù)違規(guī)操作等安全事件，提升網(wǎng)絡(luò)與信息安全防護(hù)水平。文章分析了終端面臨的風(fēng)險(xiǎn)和屬性，闡述了終端安全管理軟件推裝的必要性和挑戰(zhàn)，并提出了提高終端安全管理軟件安裝率、終端資產(chǎn)實(shí)名登記以及終端策略和分組管理的實(shí)施措施，為企業(yè)提升終端安全防護(hù)能力提供思路和參考。

關(guān)鍵詞：數(shù)據(jù)安全；終端安全；終端管控策略

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2024）31-0079-03

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID） ：

0 引言

終端設(shè)備作為網(wǎng)絡(luò)接入的端口，面臨著多方面的安全威脅，其中包括硬件設(shè)備可能遭受外部設(shè)備入侵或面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)。此外，還需考慮終端設(shè)備、操作系統(tǒng)及在終端網(wǎng)絡(luò)環(huán)境中運(yùn)行的服務(wù)所可能遭遇的各種安全風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)涵蓋了在使用過程中可能遇到的釣魚攻擊、惡意木馬與病毒感染、社會(huì)工程學(xué)攻擊等。一旦終端被此類攻擊手段攻破，便可能成為攻擊者入侵內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)的突破口，從而造成嚴(yán)重的危害與損失。因此，每一臺(tái)終端都構(gòu)成了一個(gè)關(guān)鍵的防御據(jù)點(diǎn)，筑牢這些據(jù)點(diǎn)的安全防線，是為了應(yīng)對(duì)黑客、病毒、蠕蟲等外部威脅，以及數(shù)據(jù)泄露等內(nèi)部威脅[1]。

1 終端面臨的風(fēng)險(xiǎn)與屬性

1.1 終端面臨的風(fēng)險(xiǎn)

1） 木馬軟件：攻擊者利用社會(huì)工程學(xué)手段，誘騙用戶下載安裝捆綁有木馬的軟件，如偽裝成常用軟件、破解軟件等。這類安全事件在所有終端安全事件類型中位居首位。

2） 釣魚攻擊：通過郵件發(fā)送含有惡意鏈接或附件的內(nèi)容，誘騙用戶點(diǎn)擊或填寫敏感信息，例如偽裝成系統(tǒng)郵件、銀行郵件等，或編造退費(fèi)郵件，引誘用戶掃描二維碼進(jìn)行轉(zhuǎn)賬。此外，攻擊者還會(huì)通過即時(shí)通信工具，偽裝成熟人、機(jī)構(gòu)等身份，發(fā)送帶有惡意鏈接或文件的消息，誘騙用戶點(diǎn)擊，甚至導(dǎo)致用戶無視安全軟件的警告，將惡意軟件添加為信任軟件并運(yùn)行。

3） 漏洞攻擊：攻擊者利用軟件漏洞，如瀏覽器、文檔處理軟件等，向用戶發(fā)送惡意鏈接或文件，誘導(dǎo)用戶打開，從而觸發(fā)漏洞，入侵終端設(shè)備。這些漏洞若未及時(shí)發(fā)現(xiàn)并整改，將留下重大的安全隱患[2]。

1.2 終端的屬性

在終端安全體系中（見圖1） ，由于終端安全自身的特點(diǎn)，使其成為安全管理的難點(diǎn)。安全部門常常面臨終端安全管理的挑戰(zhàn)，例如員工抱怨終端安全軟件影響使用體驗(yàn)[3]，以及安全事件頻發(fā)等。為了更好地應(yīng)對(duì)這些挑戰(zhàn)，需要了解終端的兩個(gè)主要屬性。

1.2.1 終端的設(shè)備屬性

1） 多樣性：終端設(shè)備類型繁多，涵蓋臺(tái)式機(jī)、筆記本電腦、手機(jī)、平板電腦、物聯(lián)網(wǎng)設(shè)備等，每種設(shè)備的操作系統(tǒng)及應(yīng)用環(huán)境差異顯著，這增加了安全管理的復(fù)雜性，要求針對(duì)不同設(shè)備制定專門的安全策略。

2） 分布式與移動(dòng)性：隨著移動(dòng)辦公、遠(yuǎn)程辦公等趨勢(shì)的興起，終端設(shè)備的位置和網(wǎng)絡(luò)環(huán)境變得更加分散且難以預(yù)測(cè)，這無疑加大了安全管理的難度。因此，必須確保數(shù)據(jù)在任何時(shí)間、任何地點(diǎn)都能得到充分的保護(hù)。

3） 操作系統(tǒng)和應(yīng)用的安全性：終端操作系統(tǒng)和應(yīng)用中的漏洞層出不窮，及時(shí)修補(bǔ)這些漏洞至關(guān)重要。然而，大規(guī)模終端設(shè)備的漏洞管理面臨多重挑戰(zhàn)，如設(shè)備無法重啟、軟件版本兼容性問題、授權(quán)到期等。解決這些問題需要安全部門、IT部門、業(yè)務(wù)部門之間的緊密協(xié)同與合作。

4） 復(fù)雜的生命周期：終端設(shè)備的生命周期涉及從采購(gòu)到報(bào)廢的多個(gè)階段，每個(gè)階段都須考慮安全問題，并涉及多個(gè)部門的協(xié)作，這進(jìn)一步增加了安全管理的復(fù)雜性。

1.2.2 終端背后人的不確定性

終端設(shè)備的用戶使用習(xí)慣和安全意識(shí)各不相同，這也給終端安全管理帶來了挑戰(zhàn)。

1） 用戶抵觸情緒：部分員工對(duì)終端安全管理措施存在抵觸心理，認(rèn)為這些措施影響了工作效率或個(gè)人隱私。這需要安全管理人員進(jìn)行積極的溝通和引導(dǎo)。

2） 安全意識(shí)薄弱：部分員工的安全意識(shí)薄弱，容易成為攻擊者的目標(biāo)，如使用弱密碼、隨意點(diǎn)擊惡意鏈接、打開可疑文件等，這增加了終端設(shè)備的安全風(fēng)險(xiǎn)。

3） 用戶類型多樣：除了企業(yè)員工外，終端用戶還包括合作伙伴、訪客等，他們的安全管理往往較為薄弱，從而增加了安全風(fēng)險(xiǎn)。

4） 用戶主觀看法：當(dāng)終端設(shè)備出現(xiàn)性能問題時(shí)，用戶往往會(huì)先入為主地認(rèn)為是終端安全軟件導(dǎo)致的，即使事實(shí)并非如此。這給終端安全管理人員帶來了額外的溝通成本。

2 終端安全管理軟件推廣安裝

2.1 安裝終端安全管理軟件的必要性

終端作為信息交流和數(shù)據(jù)分享的關(guān)鍵節(jié)點(diǎn)，其安全狀況直接影響到整個(gè)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性與可靠性。部署合適的終端安全管理軟件可以為企業(yè)提供全面的保護(hù)措施，以應(yīng)對(duì)日益復(fù)雜和多樣化的網(wǎng)絡(luò)安全威脅。這也是有效識(shí)別、阻止并降低潛在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要手段。

1） 防止惡意程序入侵：某些病毒、木馬及勒索軟件具有自動(dòng)傳播功能，能通過郵件、即時(shí)通信軟件等途徑迅速擴(kuò)散。終端安全管理軟件能有效檢測(cè)、隔離和清除這些惡意程序，防止數(shù)據(jù)被竊取和終端系統(tǒng)遭到破壞。

2） 抵御網(wǎng)絡(luò)攻擊：除了傳統(tǒng)的惡意程序入侵外，網(wǎng)絡(luò)中還存在如釣魚網(wǎng)站、僵尸網(wǎng)絡(luò)、DDoS攻擊及漏洞利用等威脅。這些威脅可能導(dǎo)致終端設(shè)備遭受不同程度的損害，甚至危及整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。終端安全管理軟件能夠識(shí)別并有效應(yīng)對(duì)這些威脅，保護(hù)企業(yè)資產(chǎn)免受侵害。

3） 實(shí)時(shí)監(jiān)控與分析：企業(yè)內(nèi)網(wǎng)中一旦有單一終端被入侵，攻擊者會(huì)進(jìn)一步竊取、傳播或破壞企業(yè)內(nèi)部數(shù)據(jù)。因此，需要實(shí)時(shí)采集和監(jiān)控終端操作系統(tǒng)運(yùn)行的進(jìn)程和服務(wù)信息[4]，對(duì)設(shè)備使用歷史、文件操作及網(wǎng)絡(luò)活動(dòng)等信息進(jìn)行持續(xù)追蹤，及時(shí)發(fā)現(xiàn)異常行為，并采取相應(yīng)措施進(jìn)行阻斷和攔截。這一功能有助于防范未知攻擊手段，進(jìn)一步提升終端設(shè)備的安全防護(hù)水平。

4） 預(yù)防數(shù)據(jù)泄露：遠(yuǎn)程辦公、物聯(lián)網(wǎng)設(shè)備、移動(dòng)設(shè)備和業(yè)務(wù)協(xié)同等問題導(dǎo)致很多業(yè)務(wù)暴露在互聯(lián)網(wǎng)上[5]。為防止數(shù)據(jù)安全事件發(fā)生，需要通過檢測(cè)通信工具、郵件、云服務(wù)并限制外部存儲(chǔ)設(shè)備等多種途徑來杜絕內(nèi)外部攻擊及誤操作。

5） 系統(tǒng)加固與漏洞修復(fù)：操作系統(tǒng)和應(yīng)用程序的安全漏洞成為黑客攻擊的重要入口。終端安全管理軟件可針對(duì)這些漏洞進(jìn)行專項(xiàng)修補(bǔ)，提升系統(tǒng)的整體安全性，并通過定期更新漏洞庫(kù)和自動(dòng)執(zhí)行安全檢查來確保系統(tǒng)能夠抵御來自各方的威脅。

6） 配置安全策略：根據(jù)不同的業(yè)務(wù)需求和部門特點(diǎn)，下發(fā)定制化的安全策略。根據(jù)實(shí)際情況調(diào)整終端的安全策略（如允許或禁止外設(shè)接入等），以提高整體安全性并減少終端安全事件的發(fā)生。

7） 響應(yīng)和處置：在網(wǎng)絡(luò)安全事件發(fā)生時(shí)，快速有效的響應(yīng)和處置至關(guān)重要。為避免攻擊者通過被攻陷的終端進(jìn)行橫向滲透等攻擊，可以利用終端安全管理軟件的隔離功能對(duì)感染木馬病毒的終端進(jìn)行隔離斷網(wǎng)操作，做到及時(shí)止損。

8） 審計(jì)與合規(guī)：企業(yè)的數(shù)據(jù)安全合規(guī)已成為業(yè)務(wù)發(fā)展的生命線。因此，需要通過詳細(xì)的報(bào)告和審計(jì)記錄來幫助企業(yè)滿足監(jiān)管合規(guī)要求。此外，這些報(bào)告還有助于分析企業(yè)在訪問控制、身份管理等方面存在的不足，進(jìn)而優(yōu)化安全策略。

2.2 終端安全管理軟件推裝的挑戰(zhàn)

要求員工在終端上統(tǒng)一安裝防護(hù)軟件時(shí)，可能會(huì)遇到以下幾種問題：

1） 系統(tǒng)兼容性問題：由于終端操作系統(tǒng)種類繁多且版本各異，若遇到與終端安全管理軟件不兼容的系統(tǒng)版本，將給軟件的推廣安裝帶來極大挑戰(zhàn)。因此，應(yīng)選擇市場(chǎng)占有率高的終端安全管理軟件，以減小推廣安裝的阻力。

2） 用戶不配合：終端安全管理軟件的防護(hù)和審計(jì)等功能會(huì)占用終端的計(jì)算和存儲(chǔ)資源，同時(shí)管控策略的下發(fā)也可能降低終端的易用性。部分員工因不愿被審計(jì)而排斥安裝此類軟件。

3） 推廣安裝效率低：在推廣安裝階段，若僅依賴主動(dòng)要求員工安裝的方式，效率往往低下。若不借助技術(shù)手段而完全依賴管理手段，則幾乎無法完成推廣安裝任務(wù)。

4） 軟件間沖突：由于終端上安裝的軟件多樣，某些軟件可能會(huì)與終端安全管理軟件發(fā)生沖突。此時(shí)，說服員工卸載沖突軟件也是一大挑戰(zhàn)。

3 提高終端安全管理軟件的安裝率

為確保所有接入內(nèi)網(wǎng)的終端都安裝上終端安全管理軟件，需將行政管理手段和技術(shù)管控手段相結(jié)合進(jìn)行推廣安裝。

1） 行政管理手段：應(yīng)明確職責(zé)、強(qiáng)化監(jiān)督和執(zhí)行力度。在推廣安裝軟件之前，首先要完善各項(xiàng)相關(guān)制度，確保在運(yùn)營(yíng)過程中有章可循。其次，要定期進(jìn)行安全培訓(xùn)和入職時(shí)的安全宣講，確保每位員工都充分了解終端安全管理軟件安裝的重要性以及違反制度的后果。同時(shí)，要提供良好的問題反饋渠道，對(duì)于影響可用性的問題，要確保有人能在第一時(shí)間協(xié)助排查解決。最后，終端安全管理軟件的推廣安裝不僅是安全部門的工作，還需與IT、行政等相關(guān)部門協(xié)作，共同推進(jìn)軟件安裝。

2） 技術(shù)管控手段：行政管理手段明確了終端安全管理軟件的使用要求，而技術(shù)管控手段則為確保終端安全管理軟件的運(yùn)行提供了必要的硬性條件和限制。技術(shù)管控手段主要包括內(nèi)網(wǎng)準(zhǔn)入控制（見圖2） ，通過識(shí)別終端是否安裝了終端安全管理軟件，并利用第三方軟件（如零信任、VPN、準(zhǔn)入認(rèn)證等）在終端入網(wǎng)環(huán)節(jié)或訪問公司內(nèi)網(wǎng)應(yīng)用時(shí)進(jìn)行校驗(yàn)，只允許安裝了終端安全管理軟件的終端正常訪問內(nèi)網(wǎng)資源。

4 終端資產(chǎn)實(shí)名登記

4.1 終端資產(chǎn)實(shí)名登記的價(jià)值

終端資產(chǎn)實(shí)名登記便于資產(chǎn)管理、發(fā)現(xiàn)風(fēng)險(xiǎn)終端時(shí)快速定位到責(zé)任人，一個(gè)終端資產(chǎn)只能有一個(gè)責(zé)任人[6]，確保企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)的安全，在日常的安全管理和安全事件處理方面具有以下價(jià)值：

1） 提高安全管理效率：實(shí)名登記后的終端資產(chǎn)，通過終端安全管理軟件的服務(wù)端的配置來實(shí)現(xiàn)終端自動(dòng)分組管理與分組更新，簡(jiǎn)化了分組過程。

2） 縮短安全事件響應(yīng)時(shí)間：完成終端資產(chǎn)實(shí)名登記后，發(fā)生安全事件可以第一時(shí)間定位到終端用戶，縮短響應(yīng)時(shí)間，有利于降低安全事件的影響。

4.2 終端資產(chǎn)實(shí)名登記的措施

終端資產(chǎn)實(shí)名登記面臨資產(chǎn)龐大、員工配合度不高、自帶設(shè)備等挑戰(zhàn)，為確保每臺(tái)接入終端在發(fā)現(xiàn)異常時(shí)及時(shí)進(jìn)行處置[7]，可以通過以下方式解決：

1） 自動(dòng)化綁定：預(yù)設(shè)使用員工的域賬號(hào)登錄，通過終端安全管理軟件自動(dòng)綁定終端登錄賬號(hào)為資產(chǎn)責(zé)任人，快速且無誤地完成實(shí)名登記。

2） 彈窗提醒和管控策略：對(duì)于未完成登記的終端，通過設(shè)置使其在每次開機(jī)時(shí)和固定時(shí)間間隔接收到彈窗提醒?；蛟谄聊簧舷掳l(fā)水印提示和設(shè)置提示終端資產(chǎn)實(shí)名登記的桌面壁紙，直觀地提醒并引導(dǎo)員工實(shí)名登記。還可以對(duì)未實(shí)名登記的員工進(jìn)行應(yīng)用使用限制（如瀏覽器、外設(shè)等），見表1，直至登記完成。

3） 加強(qiáng)宣傳和數(shù)據(jù)保護(hù)：加強(qiáng)企業(yè)網(wǎng)絡(luò)安全的宣傳和引導(dǎo)，比如在新員工入職培訓(xùn)期間，傳達(dá)終端資產(chǎn)登記的重要性。通過郵件或微信公眾號(hào)宣傳和引導(dǎo)員工主動(dòng)進(jìn)行實(shí)名登記。

4） 對(duì)自帶設(shè)備制定政策：明確在內(nèi)部網(wǎng)環(huán)境中使用自帶設(shè)備的規(guī)定，用于辦公的自帶設(shè)備也需要實(shí)名登記，以確保所有接入企業(yè)網(wǎng)絡(luò)的設(shè)備都得到了有效的管理。

5） 斷網(wǎng)隔離：未完成實(shí)名登記的終端可設(shè)置斷網(wǎng)隔離，以避免在安全事件發(fā)生后定位責(zé)任人和溯源的困難，必須完成實(shí)名登記后才能取消其網(wǎng)絡(luò)隔離。

5 終端的策略和分組管理

5.1 策略的配置原則

由于業(yè)務(wù)的復(fù)雜性，僅靠一個(gè)策略無法涵蓋所有終端的管理。因此，可以通過合理的分組來對(duì)不同業(yè)務(wù)的策略進(jìn)行靈活調(diào)整。在配置策略時(shí)，應(yīng)注意以下要點(diǎn)：

1） 應(yīng)用范圍：需明確策略的適用范圍，區(qū)分全網(wǎng)終端安全策略與個(gè)性化終端安全策略。并根據(jù)不同設(shè)備類型、操作系統(tǒng)及業(yè)務(wù)場(chǎng)景，有針對(duì)性地制定并調(diào)整安全策略，避免“一刀切”的現(xiàn)象。

2） 優(yōu)先級(jí)：將面向外網(wǎng)終端的安全策略設(shè)為普通策略，以實(shí)現(xiàn)整體的安全防護(hù)。各部門個(gè)性化需求定制的安全策略設(shè)為強(qiáng)制策略，以保證有針對(duì)性措施的執(zhí)行。通過合理設(shè)置策略優(yōu)先級(jí)，避免終端策略不符合預(yù)期。

3） 定期檢測(cè)更新策略：定期審查現(xiàn)有策略并進(jìn)行策略生效范圍的更新，以確保新的架構(gòu)分組不會(huì)出現(xiàn)安全策略空窗期，并及時(shí)更新策略內(nèi)容。

5.2 分組管理

終端分組用于分類管理終端，即批量對(duì)終端進(jìn)行配置策略、分發(fā)任務(wù)、查看報(bào)表等操作。為了高效管理終端，內(nèi)部終端運(yùn)營(yíng)可采用兩種分組方式：普通分組和自定義分組，以實(shí)現(xiàn)對(duì)終端的劃分和策略的靈活配置。

普通分組意味著每臺(tái)終端只屬于一個(gè)具體分組。通常根據(jù)公司的組織架構(gòu)建立對(duì)應(yīng)部門的普通分組，終端用戶需進(jìn)行資產(chǎn)綁定，輸入域賬號(hào)和密碼，通過認(rèn)證后進(jìn)入其所在部門的分組。普通分組和公司身份認(rèn)證服務(wù)器會(huì)進(jìn)行數(shù)據(jù)同步，一旦員工信息或組織架構(gòu)發(fā)生變動(dòng)，系統(tǒng)會(huì)自動(dòng)同步到終端安全管理軟件，并確保每個(gè)終端數(shù)據(jù)都能準(zhǔn)確無誤地歸屬到具體的普通分組中，以準(zhǔn)確反映出當(dāng)前終端使用者所在的部門信息。

自定義分組則是根據(jù)特定的篩選條件進(jìn)行劃分，這種方式允許一臺(tái)終端同時(shí)屬于多個(gè)分組。通過設(shè)定專門的分組規(guī)則，能夠?qū)⒔K端歸入一個(gè)或多個(gè)自定義分組，而普通分組的位置則不會(huì)發(fā)生改變。在一些需要例外策略的情況下或部分終端需要優(yōu)先進(jìn)行更新的場(chǎng)景中，自定義分組能提供更大的便利。

6 結(jié)束語

終端作為信息交互的前沿陣地，是企業(yè)網(wǎng)絡(luò)安全、數(shù)據(jù)安全的一個(gè)重要攻擊面，可能成為釣魚攻擊的入口。攻擊者可能利用終端設(shè)備和已經(jīng)合法連接到網(wǎng)絡(luò)的設(shè)備來入侵內(nèi)部信息系統(tǒng)，因此其安全性直接關(guān)系到企業(yè)的數(shù)據(jù)安全和業(yè)務(wù)的連續(xù)性。為應(yīng)對(duì)不斷演變的網(wǎng)絡(luò)安全威脅，從提高終端安全管理軟件的安裝率、執(zhí)行嚴(yán)格的資產(chǎn)實(shí)名登記到精密的策略與分組管理等各個(gè)環(huán)節(jié)的措施，都需對(duì)終端設(shè)備進(jìn)行嚴(yán)格、精細(xì)化的管理和監(jiān)控，確保入網(wǎng)終端可信受控，數(shù)據(jù)資產(chǎn)和業(yè)務(wù)運(yùn)轉(zhuǎn)不受損失和破壞。

參考文獻(xiàn)：

[1] 楊光“. 鋼鐵長(zhǎng)子”數(shù)字化浪潮下的終端安全之路[N].中國(guó)信息化周報(bào)，2023-10-16（014）.

[2] 紀(jì)煒燦.Windows終端安全基線檢查及補(bǔ)丁修復(fù)工具[J].互聯(lián)網(wǎng)周刊，2021（22）：68-69.

[3] 陳昊陽，唐晉生.桌面終端安全管理的應(yīng)用分析[J].信息與電腦（理論版），2021，33（20）：221-223.

[4] 李月航，楊利，李大勇，等.電信行業(yè)終端安全管理探索實(shí)踐[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2024（7）：99-101.

[5] 陳積光，王進(jìn)，張志浩.電力行業(yè)的終端安全一體化防護(hù)體系研究[J].電子元器件與信息技術(shù)，2024，8（6）：150-152，159.

[6] 謝志奇.終端安全管理系統(tǒng)在企業(yè)內(nèi)部管理的運(yùn)用[J].網(wǎng)絡(luò)安全和信息化，2022（7）：122-126.

[7] 王浩，智佩，云成龍，等.全場(chǎng)景應(yīng)對(duì)終端安全威脅，構(gòu)建多位一體終端防護(hù)體系[J].長(zhǎng)江信息通信，2023，36（6）：162-164.

【通聯(lián)編輯：代影】