未来终端安全防护的发展方向

01终端面临的安全问题终端早期泛指接入互联网的计算机设备'气随着信息技术的发展和创新，终端已包含多种形态，如windows终端、国产化系统终端、手机终端、平板终端、云终端和物联网终端等。终端比较分散，数量又相当大，用户的使用需求也存在很大差异，安全意识薄弱，最易成为攻击樨。根据木桶她任T存在安全隐患的终端就是企业内网或整个互联网的短板，也会成为攻击者的突破口。一般的终端都包括硬件、软件和存放的繩，主要存在以下几类安全问题。1.1网络准入不严格企业的网络准入控制机制不严格，导致很多非企业终端接入内部网络。一方面可以通过网络将数据转移，另一方面这些非法终端会破坏整个企业内网，攻击内部终端，甚至可以进行毁灭性的破坏。1.2硬件安全硬件设备的丢失或被盗，是数据泄露的一个重要因素。员工出差时常将随身携带的终端设备遗留在交通工具、宾馆等公共场合，而终端设备上的数据通常并未采取较强的防护手段，易导致很多重要信息被泄露。此外，企业内网对终端设备的外设控制不到位，导致使用者随意接入各种可转移数据的外设，如USB存储设备、光驱、打印机、蓝牙和红外等。此外，终端设备可以通过另一种引导方式进入系统，不经过身份认证就能将数据转移。1.3软件安全软件实际上也包括了终端设备安装的系统。终端上的系统存在漏洞，未及时更新，将成为恶意软件攻击的对象。很多安全事件也是因为系统未及时打补丁造成的。同时，安全配置不到位，即使采用了复杂口令且不定期进行更换，但往往开放了不该开放的端口和服务。除了系统软件问题，终端还经常安装非授权的应用软件，而这些应用软件需要获取系统权限，进而导致数据和隐私被泄漏。1.4数据安全网络中实际上会有多个方面的原因导致敏感信息外泄：终端设备上如果存放有重要文件或敏感信息数据，但未对其进行保护；敏感信息传输过程中没有保护措施；用户越权查看文件；内网和互联网互相传输数据，没有任何监管措施；集中存放数据的服务器安全措施不到位等。1.5物联网终端安全据Gartner预测，2020年全球的物联网设备数量将高达260亿件。物联网的安全事件将可能呈爆发增长，而目前针对物联网的安全防护还比较薄弱。物联网呈现的是万物互联的状态，是信息化技术发展的必然趋势。物联网设备的制造商主要考虑了设备的智能化，对安全性重视不够。在物联网中，用户隐私被泄漏的风险非常大，呈现“重平台、轻终端”的态势。即使是平台，也存在不完善、防护不到位的情况。感知层的终端防护能力还需大大提高。目前，物联网终端安全性主要包括设备本身的安全性漏洞、终端设备未采用安全的认证技术、权限控制不到位、敏感信息的非授权访问和通信不安全等。1.6云终端安全云服务端的数据要保证稳定性和安全性，而终端用户接入云端更要保证其安全性，否则基于云端的一切服务都将变得不可信。无论云终端是否存储数据，云终端的端口和接口的开放都要严格控制。如果是能存储数据的云终端，数据的安全性将尤为重要。鉴于2018年的中兴事件，中国企业应摆脱核心技术受制于人的局面。实际上，发展自主可控的芯片、操作系统、数据库和中间件等信息产业，构建自主可控的终端安全防护体系才是根本的解决之道。《中国终端防护市场白皮书》中也强调，终端防护不单单是病毒查杀和漏洞修复，还包含终端安全管控、系统加固、威胁检测与响应以及多平台的支持。白皮书还指出，新网络安全形势下的终端防护，对终端可能存在的安全威胁需要实现监控、记录和分析，实现终端安全审计、安全监测、漏洞扫描、威胁检测和系统加固等功能，从而提供系统安全、操作安全和应用安全的全面防护。0２未来终端安全防护的发展方向终端的形态和接入方式多种多样，如手机、平板、windows终端、云终端、物联网终端及国产化终端等。无论是什么样的终端，终端安全防护都可以参照以下几方面思路进行设计。2.1终端的接入控制正是因为企事业单位没有控制好终端的接入行为而导致了安全事件的发生，所以必须严格控制终端接入内部网络的行为。内部网络必须要求对终端用户进行认证，可以利用交换机上的802.IX协议功能和Radius认证服务实现。不仅可以认证用户，还可以进行授权，指定终端用户只能访问某些服务。在终端设备接入时还可以考虑终端必须安装特定的防护软件。只有成功安装防护软件才批准入网，否则拒绝入网。同时，服务器可以提供防护软件的下载地址，以便用户使用。经管理员批准，也可以例外放行个别可信的终端接入，前提是必须设置访问时间区间和服务范围。2.2终端的身份认证虽然终端设备进行了严格的接入控制，可以有效防止非授权设备的接入，但是并不能保证终端设备本身的安全。要很好地使用一个终端，第一步需要进行身份认证。如果在身份认证环节采用很强的加密认证手段，则可以杜绝非法或可疑用户的登录。一旦终端被非授权用户登录，所有数据都会被暴露,后果不堪设想，特别是重要领域的企事业单位。终端登录也就是身份认证过程，最常见的是基于用户名和密码的认证和基于IC卡的认证，都属于静态认证的方法。但是，基于用户名和密码的认证极易被木马程序或网络监听软件获取，安全水平低；而IC认证的数据属于静态数据，很容易通过网络监听或内存扫描获取。一次一密或动态口令的认证技术可弥补静态口令的不足，_定程度上保证用户的安全性。通过口令使用的次数和时间限制，使黑客即使获得了口令也很难仿冒用户信息。但是,时间和次数设置不当，不仅影响用户登录，而且将会给黑客创造机会。除了以上的身份认证技术，基于生物特征的身份认证技术日益凸显其优势。例如，指纹、虹膜、人脸识别等，每个人的生物特征都具有独特性，基本上不可能被假冒。但是，生物特征的稳定性和准确性还需要提高，成本也比普通认证技术高，更适应于安全性要求高的场合。生物特征与密码技术相结合，可以大幅提高系统安全性。当前，无论生物特征采取何种密码技术，最终会受到人生病或受伤的影响而导致生物特征识别失败的情况，成为其广泛应用受限的原因之一。近几年使用比较普遍的认证技术是基于USBKEY的认证。它是软硬件相结合的强双因认证技术，也属于一次一密。USBKEY中存储了用户的数字证书和密钥，结合USBKEY中内置的密码算法和PKI体系的认证模式，很好地解决了用户易用性和安全性之间的矛盾。终端安全防护体系在设计身份认证技术时，可以借鉴文章提到的认证手段。无论是云环境下的终端还是物联网下的终端，都可以此为基础，对终端系统本身进行严格的身份认证。就像用得较多的windows系统一样，可以将其本身的登录方式替换成更强的认证方式。其他类型的终端也同样可以适用。从安全性角度出发，将几种身份认证技术进行有效结合，特别是结合密码技术的生物特征识别和USBKEY的认证技术，形成软硬件结合的多因子认证技术，将极大程度地提高破解难度，适合应用于密级较高的场所。而在云环境下，安全地登录云端是云计算首要解决的安全性问题。同时，云数据被集中处理和存储，终端上的身份认证技术也可适用于云服务器上。核心服务器还可以同时认证两个或三个管理员的身份，每个管理员的身份认证技术同时采用基于密码技术的生物特征识别和USBKEY的认证技术。2.3终端的监控与审计任何安全手段都离不开事前检查、事中控制和事后审计跟踪的方法。终端被成功登录，只能说明登录的身份被认可，但不能保证拥有该身份的用户的操作是可信的。纵观历年的泄密事件，绝大部分都来自于内部人员的非法操作。终端的监控与审计可以内置或安装一个综合的代理程序，并从以下几个方面进行监控与审计。2.3.1系统的安全性代理程序监控终端系统是否有安全威胁，是否及时安装最新的补丁程序和杀毒软件，杀毒软件是否及时更新。一旦未达到要求，可以向服务器告警并上报日志。必要时，可以将其网络断开，停止访问任何服务。只有安全威胁消除后，才能重新接入内部网络。2.3.2外设的监控终端最容易造成重要数据、文件和程序等泄漏的环节需要特别引起重视。内网终端上随意接入U盘、手机、PAD、存储卡、蓝牙和红外等，都可以轻松将重要内容转移；随意接入打印机可将文件打印带走；随意接入外置光驱可将文件刻走。所以，要对终端接入的外设包括终端自带的外设进行控制。根据不同单位、不同部门和不同终端，可设置不同的策略。只要设定好策略，就可以降低非法外设带来的风险和陷患。2.3.3文件、进程、驱动和服务的监控与审计对终端上的文件进行分级权限控制，级别最高的文件可以拒绝所有的操作行为。对终端上流入流出的文件进行审计，包括操作类型，可以作为事后审查的依据。对进程、驱动和服务进行黑白名单式管理。白名单内的进程、驱动和服务可以运行，黑名单则禁止运行，违反策略则告警。所有运行和停止行为都需要记录日志。2.3.4网络连接行为控制代理程序可对终端网络连接行为进行控制，设置禁止访问和允许访问的网络范围。一旦终端访问了禁止的网络，可以进行告警并阻止访问，并对所有的网络行为进行严格审计。2.3.5刻录和打印审计对终端上所有的刻录行为和打印行为进行审计，并准确记录文件的属性和操作类型。2.3.6异常行为的审计对终端的一切可疑行为进行审计，包括被恶意端口扫描攻击、ARP欺骗、短时间内多次登录失败等。2.3.7代理程序的防护功能代理程序必须具有较强的防护手段来保证关键服务、驱动、进程、文件等不被恶意程序修改、删除或卸载。不仅保护自身功能的正常运行，还需要保护终端上的关键文件和进程等重要信息o2.3.8大数据分析对终端行为产生的日志进行智能大数据分析和学习技术，无需管理员手工统计。可根据特征值统计分析日志，建立终端的安全态势，及时给管理员呈现并指出内网存在的安全威胁，达到及时预警的效果，然后根据分析结果进行深入排查，找出原因，对症下药，同时为终端持续优化提供决策支持。终端的监控与审计除了以上八个方面，还必须采用因地制宜的管理手段，从而更好地监控和审计终端。服务器还应该采取安全手段进行防护，包括服务器的权限控制、配置信息的防篡改、数据库安全、数据和日志存储的安全等。作为一个终端安全防护系统来说，考虑其安全性时还会涉及物理环境的安