未來終端安全防護的發展方向*

王 慧，王 銳，胡兆華

（1.成都衛士通信息產業股份有限公司，四川 成都 610041；2.中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

隨著信息技術的發展，信息化對國家政治、經濟、文化、社會和軍事等領域產生了深刻影響。互聯網作為20世紀偉大的發明之一，給人們的生活帶來了翻天覆地的變化，并推動了諸多領域的發展與創新。同時，網絡安全威脅和風險也日益突出。習近平總書記指出：“網絡安全和信息化是一體之兩翼、驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施”。

2017年5月 ，WannaCry病毒大規模爆發。利用windows漏洞，該病毒造成100多個國家和地區的數十萬臺電腦遭受感染。勒索病毒已升級進化成能夠感染局域網中的所有電腦，而不再只是單點攻擊。據國際數據公司調查報告顯示，超過85%的網絡安全威脅來自于內部，遠遠超過黑客攻擊造成的損失，而內部各種非法和違規操作行為是網絡安全威脅的最主要原因。越來越多的信息安全事件說明，企業內網的安全問題需要引起高度重視，其中企業內部的終端安全問題尤為重要。

終端作為信息交互、處理和存儲數據的設備，自身的安全性涉及面廣泛，如網絡、操作系統和數據安全等。終端的形態也多種多樣，現有的安全防護體系一般都建立在計算機操作系統和硬件基礎上，如果能夠繞過操作系統或者破壞硬件，就可以破壞整個防護體系[1]。傳統的“老三樣”安全產品——防火墻、入侵檢測和防病毒，基本上是針對軟硬件、程序本身安全的保障，很難解決日益突顯的應用層面的安全問題。例如，防火墻可以比作一座墻，隔離內部網絡和外部網絡，但防止不了內部網絡的攻擊；入侵檢測是防火墻的補充，但是入侵檢測防御系統的部署非常有限，影響部署的一個最大問題是誤報率；防病毒軟件的防護是一種被動的防御手段，從技術上不可能做到對所有病毒的防御，很多用戶即使安裝了防毒軟件，還是會受到病毒的攻擊。可見，“老三樣”安全產品已經不能完全滿足信息化安全技術的發展，特別是突顯的終端安全問題。因此，需要針對不同層面的終端安全問題，尋求或設計相應的解決方法。

1 終端面臨的安全問題

終端早期泛指接入互聯網的計算機設備[2]。隨著信息技術的發展和創新，終端已包含多種形態，如windows終端、國產化系統終端、手機終端、平板終端、云終端和物聯網終端等。終端比較分散，數量又相當大，用戶的使用需求也存在很大差異，安全意識薄弱，最易成為攻擊對象。根據木桶效應，任一個存在安全隱患的終端就是企業內網或整個互聯網的短板，也會成為攻擊者的突破口。一般的終端都包括硬件、軟件和存放的數據，主要存在以下幾類安全問題。

1.1 網絡準入不嚴格

企業的網絡準入控制機制不嚴格，導致很多非企業終端接入內部網絡。一方面可以通過網絡將數據轉移，另一方面這些非法終端會破壞整個企業內網，攻擊內部終端，甚至可以進行毀滅性的破壞。

1.2 硬件安全

硬件設備的丟失或被盜，是數據泄露的一個重要因素。員工出差時常將隨身攜帶的終端設備遺留在交通工具、賓館等公共場合，而終端設備上的數據通常并未采取較強的防護手段，易導致很多重要信息被泄露。此外，企業內網對終端設備的外設控制不到位，導致使用者隨意接入各種可轉移數據的外設，如USB存儲設備、光驅、打印機、藍牙和紅外等。此外，終端設備可以通過另一種引導方式進入系統，不經過身份認證就能將數據轉移。

1.3 軟件安全

軟件實際上也包括了終端設備安裝的系統。終端上的系統存在漏洞，未及時更新，將成為惡意軟件攻擊的對象。很多安全事件也是因為系統未及時打補丁造成的。同時，安全配置不到位，即使采用了復雜口令且不定期進行更換，但往往開放了不該開放的端口和服務。除了系統軟件問題，終端還經常安裝非授權的應用軟件，而這些應用軟件需要獲取系統權限，進而導致數據和隱私被泄漏。

1.4 數據安全

網絡中實際上會有多個方面的原因導致敏感信息外泄：終端設備上如果存放有重要文件或敏感信息數據，但未對其進行保護；敏感信息傳輸過程中沒有保護措施；用戶越權查看文件；內網和互聯網互相傳輸數據，沒有任何監管措施；集中存放數據的服務器安全措施不到位等。

1.5 物聯網終端安全

據Gartner預測，2020年全球的物聯網設備數量將高達260億件。物聯網的安全事件將可能呈爆發增長，而目前針對物聯網的安全防護還比較薄弱。物聯網呈現的是萬物互聯的狀態，是信息化技術發展的必然趨勢。物聯網設備的制造商主要考慮了設備的智能化，對安全性重視不夠。在物聯網中，用戶隱私被泄漏的風險非常大，呈現“重平臺、輕終端”的態勢。即使是平臺，也存在不完善、防護不到位的情況。感知層的終端防護能力還需大大提高。目前，物聯網終端安全性主要包括設備本身的安全性漏洞、終端設備未采用安全的認證技術、權限控制不到位、敏感信息的非授權訪問和通信不安全等。

1.6 云終端安全

云服務端的數據要保證穩定性和安全性，而終端用戶接入云端更要保證其安全性，否則基于云端的一切服務都將變得不可信。無論云終端是否存儲數據，云終端的端口和接口的開放都要嚴格控制。如果是能存儲數據的云終端，數據的安全性將尤為重要[3]。

鑒于2018年的中興事件，中國企業應擺脫核心技術受制于人的局面。實際上，發展自主可控的芯片、操作系統、數據庫和中間件等信息產業，構建自主可控的終端安全防護體系才是根本的解決之道。《中國終端防護市場白皮書》中也強調，終端防護不單單是病毒查殺和漏洞修復，還包含終端安全管控、系統加固、威脅檢測與響應以及多平臺的支持。白皮書還指出，新網絡安全形勢下的終端防護，對終端可能存在的安全威脅需要實現監控、記錄和分析，實現終端安全審計、安全監測、漏洞掃描、威脅檢測和系統加固等功能，從而提供系統安全、操作安全和應用安全的全面防護。

2 未來終端安全防護的發展方向

終端的形態和接入方式多種多樣，如手機、平板、windows終端、云終端、物聯網終端及國產化終端等。無論是什么樣的終端，終端安全防護都可以參照以下幾方面思路進行設計。

2.1 終端的接入控制

正是因為企事業單位沒有控制好終端的接入行為而導致了安全事件的發生，所以必須嚴格控制終端接入內部網絡的行為。內部網絡必須要求對終端用戶進行認證，可以利用交換機上的802.1X協議功能和Radius認證服務實現。不僅可以認證用戶，還可以進行授權，指定終端用戶只能訪問某些服務。

在終端設備接入時還可以考慮終端必須安裝特定的防護軟件。只有成功安裝防護軟件才批準入網，否則拒絕入網。同時，服務器可以提供防護軟件的下載地址，以便用戶使用。經管理員批準，也可以例外放行個別可信的終端接入，前提是必須設置訪問時間區間和服務范圍。

2.2 終端的身份認證

雖然終端設備進行了嚴格的接入控制，可以有效防止非授權設備的接入，但是并不能保證終端設備本身的安全。要很好地使用一個終端，第一步需要進行身份認證。如果在身份認證環節采用很強的加密認證手段，則可以杜絕非法或可疑用戶的登錄。一旦終端被非授權用戶登錄，所有數據都會被暴露，后果不堪設想，特別是重要領域的企事業單位。

終端登錄也就是身份認證過程，最常見的是基于用戶名和密碼的認證和基于IC卡的認證，都屬于靜態認證的方法。但是，基于用戶名和密碼的認證極易被木馬程序或網絡監聽軟件獲取，安全水平低；而IC認證的數據屬于靜態數據，很容易通過網絡監聽或內存掃描獲取。一次一密或動態口令的認證技術可彌補靜態口令的不足，一定程度上保證用戶的安全性。通過口令使用的次數和時間限制，使黑客即使獲得了口令也很難仿冒用戶信息。但是，時間和次數設置不當，不僅影響用戶登錄，而且將會給黑客創造機會。

除了以上的身份認證技術，基于生物特征的身份認證技術日益凸顯其優勢。例如，指紋、虹膜、人臉識別等，每個人的生物特征都具有獨特性，基本上不可能被假冒。但是，生物特征的穩定性和準確性還需要提高，成本也比普通認證技術高，更適應于安全性要求高的場合。生物特征與密碼技術相結合，可以大幅提高系統安全性。當前，無論生物特征采取何種密碼技術，最終會受到人生病或受傷的影響而導致生物特征識別失敗的情況，成為其廣泛應用受限的原因之一。

近幾年使用比較普遍的認證技術是基于USBKEY的認證。它是軟硬件相結合的強雙因認證技術，也屬于一次一密。USBKEY中存儲了用戶的數字證書和密鑰，結合USBKEY中內置的密碼算法和PKI體系的認證模式，很好地解決了用戶易用性和安全性之間的矛盾。

終端安全防護體系在設計身份認證技術時，可以借鑒文章提到的認證手段。無論是云環境下的終端還是物聯網下的終端，都可以此為基礎，對終端系統本身進行嚴格的身份認證。就像用得較多的windows系統一樣，可以將其本身的登錄方式替換成更強的認證方式。其他類型的終端也同樣可以適用。

從安全性角度出發，將幾種身份認證技術進行有效結合，特別是結合密碼技術的生物特征識別和USBKEY的認證技術，形成軟硬件結合的多因子認證技術，將極大程度地提高破解難度，適合應用于密級較高的場所。而在云環境下，安全地登錄云端是云計算首要解決的安全性問題。同時，云數據被集中處理和存儲，終端上的身份認證技術也可適用于云服務器上。核心服務器還可以同時認證兩個或三個管理員的身份，每個管理員的身份認證技術同時采用基于密碼技術的生物特征識別和USBKEY的認證技術。

2.3 終端的監控與審計

任何安全手段都離不開事前檢查、事中控制和事后審計跟蹤的方法。終端被成功登錄，只能說明登錄的身份被認可，但不能保證擁有該身份的用戶的操作是可信的。縱觀歷年的泄密事件，絕大部分都來自于內部人員的非法操作。終端的監控與審計可以內置或安裝一個綜合的代理程序，并從以下幾個方面進行監控與審計。

2.3.1 系統的安全性

代理程序監控終端系統是否有安全威脅，是否及時安裝最新的補丁程序和殺毒軟件，殺毒軟件是否及時更新。一旦未達到要求，可以向服務器告警并上報日志。必要時，可以將其網絡斷開，停止訪問任何服務。只有安全威脅消除后，才能重新接入內部網絡。

2.3.2 外設的監控

終端最容易造成重要數據、文件和程序等泄漏的環節需要特別引起重視。內網終端上隨意接入U盤、手機、PAD、存儲卡、藍牙和紅外等，都可以輕松將重要內容轉移；隨意接入打印機可將文件打印帶走；隨意接入外置光驅可將文件刻走。所以，要對終端接入的外設包括終端自帶的外設進行控制。根據不同單位、不同部門和不同終端，可設置不同的策略。只要設定好策略，就可以降低非法外設帶來的風險和陷患。

2.3.3 文件、進程、驅動和服務的監控與審計

對終端上的文件進行分級權限控制，級別最高的文件可以拒絕所有的操作行為。對終端上流入流出的文件進行審計，包括操作類型，可以作為事后審查的依據。對進程、驅動和服務進行黑白名單式管理。白名單內的進程、驅動和服務可以運行，黑名單則禁止運行，違反策略則告警。所有運行和停止行為都需要記錄日志。

2.3.4 網絡連接行為控制

代理程序可對終端網絡連接行為進行控制，設置禁止訪問和允許訪問的網絡范圍。一旦終端訪問了禁止的網絡，可以進行告警并阻止訪問，并對所有的網絡行為進行嚴格審計。

2.3.5 刻錄和打印審計

對終端上所有的刻錄行為和打印行為進行審計，并準確記錄文件的屬性和操作類型。

2.3.6 異常行為的審計

對終端的一切可疑行為進行審計，包括被惡意端口掃描攻擊、ARP欺騙、短時間內多次登錄失敗等。

2.3.7 代理程序的防護功能

代理程序必須具有較強的防護手段來保證關鍵服務、驅動、進程、文件等不被惡意程序修改、刪除或卸載。不僅保護自身功能的正常運行，還需要保護終端上的關鍵文件和進程等重要信息[4]。

2.3.8 大數據分析

對終端行為產生的日志進行智能大數據分析和學習技術，無需管理員手工統計。可根據特征值統計分析日志，建立終端的安全態勢，及時給管理員呈現并指出內網存在的安全威脅，達到及時預警的效果，然后根據分析結果進行深入排查，找出原因，對癥下藥，同時為終端持續優化提供決策支持。

終端的監控與審計除了以上八個方面，還必須采用因地制宜的管理手段，從而更好地監控和審計終端。服務器還應該采取安全手段進行防護，包括服務器的權限控制、配置信息的防篡改、數據庫安全、數據和日志存儲的安全等。作為一個終端安全防護系統來說，考慮其安全性時還會涉及物理環境的安全、數據傳輸的安全，需避免出現設計漏洞帶來的安全隱患。

3 結 語

無論是windows終端、國產化終端、手機終端、平板終端、云終端還是物聯網的終端，終端安全防護系統都可以按文章提供的思路進行設計，只需根據系統特點和用途，采用不同的實現機制。終端安全防護系統使信息安全管理從網絡層、交換層延伸到終端層面，網絡安全手段也得到提高。信息安全沒有絕對完美的手段，只有真正做到事前檢查、事中控制和事后的分析審計，才能大大降低安全事件發生的概率。