未来终端安全防护的发展方向

摘要：随着信息技术的发展，网络安全威胁和风险日益突出。终端作为信息交互、处理和存储的设备，数量众多，安全问题尤为突出。从网络准入、硬件、软件、数据、物联网终端和云终端六个层面分析终端存在的安全威胁，并从接入控制、身份认证和监控与审计三大方面提出了未来终端安全防护的发展方向和设计思路。该研究不仅适用于Windows终端、手机终端和平板终端，还适于国产化系统终端、云终端和物联网终端，只需针对系统的特点和用途利用不同的机制实现。通过设计和实现过程的事前检查、事中控制和事后分析审计，可大大降低安全事件发生的概率。

0 引言

随着信息技术的发展，信息化对国家政治、经济、文化、社会和军事等领域产生了深刻影响。互联网作为20世纪伟大的发明之一，给人们的生活带来了翻天覆地的变化，并推动了诸多领域的发展与创新。同时，网络安全威胁和风险也日益突出。习近平总书记指出：“网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施”。

2017年5月，WannaCry病毒大规模爆发。利用windows漏洞，该病毒造成100多个国家和地区的数十万台电脑遭受感染。勒索病毒已升级进化成能够感染局域网中的所有电脑，而不再只是单点攻击。据国际数据公司调查报告显示，超过85%的网络安全威胁来自于内部，远远超过黑客攻击造成的损失，而内部各种非法和违规操作行为是网络安全威胁的最主要原因。越来越多的信息安全事件说明，企业内网的安全问题需要引起高度重视，其中企业内部的终端安全问题尤为重要。

终端作为信息交互、处理和存储数据的设备，自身的安全性涉及面广泛，如网络、操作系统和数据安全等。终端的形态也多种多样，现有的安全防护体系一般都建立在计算机操作系统和硬件基础上，如果能够绕过操作系统或者破坏硬件，就可以破坏整个防护体系[1]。传统的“老三样”安全产品——防火墙、入侵检测和防病毒，基本上是针对软硬件、程序本身安全的保障，很难解决日益突显的应用层面的安全问题。例如，防火墙可以比作一座墙，隔离内部网络和外部网络，但防止不了内部网络的攻击；入侵检测是防火墙的补充，但是入侵检测防御系统的部署非常有限，影响部署的一个最大问题是误报率；防病毒软件的防护是一种被动的防御手段，从技术上不可能做到对所有病毒的防御，很多用户即使安装了防毒软件，还是会受到病毒的攻击。可见，“老三样”安全产品已经不能完全满足信息化安全技术的发展，特别是突显的终端安全问题。因此，需要针对不同层面的终端安全问题，寻求或设计相应的解决方法。

1 终端面临的安全问题

终端早期泛指接入互联网的计算机设备[2]。随着信息技术的发展和创新，终端已包含多种形态，如windows终端、国产化系统终端、手机终端、平板终端、云终端和物联网终端等。终端比较分散，数量又相当大，用户的使用需求也存在很大差异，安全意识薄弱，最易成为攻击对象。根据木桶效应，任一个存在安全隐患的终端就是企业内网或整个互联网的短板，也会成为攻击者的突破口。一般的终端都包括硬件、软件和存放的数据，主要存在以下几类安全问题。

1.1 网络准入不严格

企业的网络准入控制机制不严格，导致很多非企业终端接入内部网络。一方面可以通过网络将数据转移，另一方面这些非法终端会破坏整个企业内网，攻击内部终端，甚至可以进行毁灭性的破坏。

1.2 硬件安全

硬件设备的丢失或被盗，是数据泄露的一个重要因素。员工出差时常将随身携带的终端设备遗留在交通工具、宾馆等公共场合，而终端设备上的数据通常并未采取较强的防护手段，易导致很多重要信息被泄露。此外，企业内网对终端设备的外设控制不到位，导致使用者随意接入各种可转移数据的外设，如USB存储设备、光驱、打印机、蓝牙和红外等。此外，终端设备可以通过另一种引导方式进入系统，不经过身份认证就能将数据转移。

1.3 软件安全

软件实际上也包括了终端设备安装的系统。终端上的系统存在漏洞，未及时更新，将成为恶意软件攻击的对象。很多安全事件也是因为系统未及时打补丁造成的。同时，安全配置不到位，即使采用了复杂口令且不定期进行更换，但往往开放了不该开放的端口和服务。除了系统软件问题，终端还经常安装非授权的应用软件，而这些应用软件需要获取系统权限，进而导致数据和隐私被泄漏。

1.4 数据安全

网络中实际上会有多个方面的问题原因导致敏感信息外泄：终端设备上如果存放有重要文件或敏感信息数据，但未对其进行保护；敏感信息传输过程中也没有保护措施；用户越权查看文件；内网和互联网互相传输数据，没有任何监管措施；集中存放数据的服务器安全措施不到位等。

1.5 物联网终端安全

据Gartner预测，2020年全球的物联网设备数量将高达260亿件。物联网的安全事件将可能呈爆发增长，而目前针对物联网的安全防护还比较薄弱。物联网呈现的是万物互联的状态，是信息化技术发展的必然趋势。物联网设备的制造商主要考虑了设备的智能化，对安全性重视不够。在物联网中，用户隐私被泄漏的风险非常大，呈现“重平台、轻终端”的态势。即使是平台，也存在不完善、防护不到位的情况。感知层的终端防护能力还需大大提高。目前，物联网终端安全性主要包括设备本身的安全性漏洞、终端设备未采用安全的认证技术、权限控制不到位、敏感信息的非授权访问和通信不安全等。

1.6 云终端安全

云服务端的数据要保证稳定性和安全性，而终端用户接入云端更要保证其安全性，否则基于云端的一切服务都将变得不可信。无论云终端是否存储数据，云终端的端口和接口的开放都要严格控制。如果是能存储数据的云终端，数据的安全性将尤为重要[3]。

鉴于2018年的中兴事件，中国企业应摆脱核心技术受制于人的局面。实际上，发展自主可控的芯片、操作系统、数据库和中间件等信息产业，构建自主可控的终端安全防护体系才是根本的解决之道。《中国终端防护市场白皮书》中也强调，终端防护不单单是病毒查杀和漏洞修复，还包含终端安全管控、系统加固、威胁检测与响应以及多平台的支持。白皮书还指出，新网络安全形势下的终端防护，对终端可能存在的安全威胁需要实现监控、记录和分析，实现终端安全审计、安全监测、漏洞扫描、威胁检测和系统加固等功能，从而提供系统安全、操作安全和应用安全的全面防护。

2 未来终端安全防护的发展方向

终端的形态和接入方式多种多样，如手机、平板、windows终端、云终端、物联网终端及国产化终端等。无论是什么样的终端，终端安全防护都可以参照以下几方面思路进行设计。

2.1 终端的接入控制

正是因为企事业单位没有控制好终端的接入行为而导致了安全事件的发生，所以必须严格控制终端接入内部网络的行为。内部网络必须要求对终端用户进行认证，可以利用交换机上的802.1X协议功能和Radius认证服务实现。不仅可以认证用户，还可以进行授权，指定终端用户只能访问某哪些服务。

在终端设备接入时还可以考虑终端必须安装特定的防护软件。只有成功安装防护软件才批准入网，否则拒绝入网。同时，服务器可以提供防护软件的下载地址，以便用户使用。经管理员批准，也可以例外放行个别可信的终端接入，前提是必须设置访问时间区间和服务范围。

2.2 终端的身份认证

虽然终端设备进行了严格的接入控制，可以有效防止非授权设备的接入，但是并不能保证终端设备本身的安全。要很好地使用一个终端，第一步需要进行身份认证。如果在身份认证环节采用很强的加密认证手段，则可以杜绝非法或可疑用户的登录。一旦终端被非授权用户登录，所有数据都会被暴露，后果不堪设想，特别是重要领域的企事业单位。

终端登录也就是身份认证过程，最常见的是基于用户名和密码的认证和基于IC卡的认证，都属于静态认证的方法。但是，基于用户名和密码的认证极易被木马程序或网络监听软件获取，安全水平低；而IC认证的数据属于静态数据，很容易通过网络监听或内存扫描获取。一次一密或动态口令的认证技术可弥补静态口令的不足，一定程度上保证用户的安全性。通过口令使用的次数和时间限制，使黑客即使获得了口令也很难仿冒用户信息。但是，时间和次数设置不当，不仅影响用户登录，而且将会给黑客创造机会。

除了以上的身份认证技术，基于生物特征的身份认证技术日益凸显其优势。例如，指纹、虹膜、人脸识别等，每个人的生物特征都具有独特性，基本上不可能被假冒。但是，生物特征的稳定性和准确性还需要提高，成本也比普通认证技术高，更适应于安全性要求高的场合。生物特征与密码技术相结合，可以大幅提高系统安全性。当前，无论生物特征采取何种密码技术，最终会受到人生病或受伤的影响而导致生物特征识别失败的情况，成为其广泛应用受限的原因之一。

近几年使用比较普遍的认证技术是基于USBKEY的认证。它是软硬件相结合的强双因认证技术，也属于一次一密。USBKEY中存储了用户的数字证书和密钥，结合USBKEY中内置的密码算法和PKI体系的认证模式，很好地解决了用户易用性和安全性之间的矛盾。

终端安全防护体系在设计身份认证技术时，可以借鉴文章提到的认证手段。无论是云环境下的终端还是物联网下的终端，都可以此为基础，对终端系统本身进行严格的身份认证。就像用得较多的windows系统一样，可以将其本身的登录方式替换成更强的认证方式。其他类型的终端也同样可以适用。

从安全性角度出发，将几种身份认证技术进行有效结合，特别是结合密码技术的生物特征识别和USBKEY的认证技术，形成软硬件结合的多因子认证技术，将极大程度地提高破解难度，适合应用于密级较高的场所。而在云环境下，安全地登录云端是云计算首要解决的安全性问题。同时，云数据被集中处理和存储，终端上的身份认证技术也可适用于云服务器上。核心服务器还可以同时认证两个或三个管理员的身份，每个管理员的身份认证技术同时采用基于密码技术的生物特征识别和USBKEY的认证技术。

2.3 终端的监控与审计

任何安全手段都离不开事前检查、事中控制和事后审计跟踪的方法。终端被成功登录，只能说明登录的身份被认可，但不能保证拥有该身份的用户的操作是可信的。纵观历年的泄密事件，绝大部分都来自于内部人员的非法操作。终端的监控与审计可以内置或安装一个综合的代理程序，并从以下几个方面进行监控与审计。

2.3.1 系统的安全性

代理程序监控终端系统是否有安全威胁，是否及时安装最新的补丁程序和杀毒软件，杀毒软件是否及时更新。一旦未达到要求，可以向服务器告警并上报日志。必要时，可以将其网络断开，停止访问任何服务。只有安全威胁消除后，才能重新接入内部网络。

2.3.2 外设的监控

终端最容易造成重要数据、文件和程序等泄漏的环节需要特别引起重视。内网终端上随意接入U盘、手机、PAD、存储卡、蓝牙和红外等，都可以轻松将重要内容转移；随意接入打印机可将文件打印带走；随意接入外置光驱可将文件刻走。所以，要对终端接入的外设包括终端自带的外设进行控制。根据不同单位、不同部门和不同终端，可设置不同的策略。只要设定好策略，就可以降低非法外设带来的风险和陷患。

2.3.3 文件、进程、驱动和服务的监控与审计

对终端上的文件进行分级权限控制，级别最高的文件可以拒绝所有的操作行为。对终端上流入流出的文件进行审计，包括操作类型，可以作为事后审查的依据。对进程、驱动和服务进行黑白名单式管理。白名单内的进程、驱动和服务可以运行，黑名单则禁止运行，违反策略则告警。所有运行和停止行为都需要记录日志。

2.3.4 网络连接行为控制

代理程序可对终端网络连接行为进行控制，设置禁止访问和允许访问的网络范围。一旦终端访问了禁止的网络，可以进行告警并阻止访问，并对所有的网络行为进行严格审计。

2.3.5 刻录和打印审计

对终端上所有的刻录行为和打印行为进行审计，并准确记录文件的属性和操作类型。

2.3.6 异常行为的审计

对终端的一切可疑行为进行审计，包括被恶意端口扫描攻击、ARP欺骗、短时间内多次登录失败等。

2.3.7 代理程序的防护功能

代理程序必须具有较强的防护手段来保证关键服务、驱动、进程、文件等不被恶意程序修改、删除或卸载。不仅保护自身功能的正常运行，还需要保护终端上的关键文件和进程等重要信息[4]。

2.3.8 大数据分析

对终端行为产生的日志进行智能大数据分析和学习技术，无需管理员手工统计。可根据特征值统计分析日志，建立终端的安全态势，及时给管理员呈现并指出内网存在的安全威胁，达到及时预警的效果，然后根据分析结果进行深入排查，找出原因，对症下药，同时为终端持续优化提供决策支持。

终端的监控与审计除了以上八个方面，还必须采用因地制宜的管理手段，从而更好地监控和审计终端。服务器还应该采取安全手段进行防护，包括服务器的权限控制、配置信息的防篡改、数据库安全、数据和日志存储的安全等。作为一个终端安全防护系统来说，考虑其安全性时还会涉及物理环境的安全、数据传输的安全，需避免出现设计漏洞带来的安全隐患。

3 结 语

无论是Windows终端、国产化终端、手机终端、平板终端、云终端还是物联网的终端，终端安全防护系统都可以按文章提供的思路进行设计，只需根据系统特点和用途，采用不同的实现机制。终端安全防护系统使信息安全管理从网络层、交换层延伸到终端层面，网络安全手段也得到提高。信息安全没有绝对完美的手段，只有需真正做到事前检查、事中控制和事后的分析审计，才能大大降低安全事件发生的概率。

参考文献：

[1] 胡海飞.“私有云”架构下终端安防体系的变革[J].信息安全与通信保密,2013(11):112-115.

[2] 卢海勤.终端安全防护技术及体系架构部署模式[J].中国金融电脑,2012(10):49-53.

[3] 肖红跃,张文科,刘桂芬.云计算安全需求综述[J].信息安全与通信保密,2012(11):28-30,34.

[4] 申志华,俞飞.主机监控与审计系统架构分析与安全性探讨[J].保密科学技术,2015(10):10-13.

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。