王 慧，王 銳，胡兆華

（1.成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司，四川 成都 610041；2.中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

隨著信息技術(shù)的發(fā)展，信息化對(duì)國(guó)家政治、經(jīng)濟(jì)、文化、社會(huì)和軍事等領(lǐng)域產(chǎn)生了深刻影響?；ヂ?lián)網(wǎng)作為20世紀(jì)偉大的發(fā)明之一，給人們的生活帶來(lái)了翻天覆地的變化，并推動(dòng)了諸多領(lǐng)域的發(fā)展與創(chuàng)新。同時(shí)，網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)也日益突出。習(xí)近平總書記指出：“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施”。

2017年5月 ，WannaCry病毒大規(guī)模爆發(fā)。利用windows漏洞，該病毒造成100多個(gè)國(guó)家和地區(qū)的數(shù)十萬(wàn)臺(tái)電腦遭受感染。勒索病毒已升級(jí)進(jìn)化成能夠感染局域網(wǎng)中的所有電腦，而不再只是單點(diǎn)攻擊。據(jù)國(guó)際數(shù)據(jù)公司調(diào)查報(bào)告顯示，超過(guò)85%的網(wǎng)絡(luò)安全威脅來(lái)自于內(nèi)部，遠(yuǎn)遠(yuǎn)超過(guò)黑客攻擊造成的損失，而內(nèi)部各種非法和違規(guī)操作行為是網(wǎng)絡(luò)安全威脅的最主要原因。越來(lái)越多的信息安全事件說(shuō)明，企業(yè)內(nèi)網(wǎng)的安全問(wèn)題需要引起高度重視，其中企業(yè)內(nèi)部的終端安全問(wèn)題尤為重要。

終端作為信息交互、處理和存儲(chǔ)數(shù)據(jù)的設(shè)備，自身的安全性涉及面廣泛，如網(wǎng)絡(luò)、操作系統(tǒng)和數(shù)據(jù)安全等。終端的形態(tài)也多種多樣，現(xiàn)有的安全防護(hù)體系一般都建立在計(jì)算機(jī)操作系統(tǒng)和硬件基礎(chǔ)上，如果能夠繞過(guò)操作系統(tǒng)或者破壞硬件，就可以破壞整個(gè)防護(hù)體系[1]。傳統(tǒng)的“老三樣”安全產(chǎn)品——防火墻、入侵檢測(cè)和防病毒，基本上是針對(duì)軟硬件、程序本身安全的保障，很難解決日益突顯的應(yīng)用層面的安全問(wèn)題。例如，防火墻可以比作一座墻，隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，但防止不了內(nèi)部網(wǎng)絡(luò)的攻擊；入侵檢測(cè)是防火墻的補(bǔ)充，但是入侵檢測(cè)防御系統(tǒng)的部署非常有限，影響部署的一個(gè)最大問(wèn)題是誤報(bào)率；防病毒軟件的防護(hù)是一種被動(dòng)的防御手段，從技術(shù)上不可能做到對(duì)所有病毒的防御，很多用戶即使安裝了防毒軟件，還是會(huì)受到病毒的攻擊。可見(jiàn)，“老三樣”安全產(chǎn)品已經(jīng)不能完全滿足信息化安全技術(shù)的發(fā)展，特別是突顯的終端安全問(wèn)題。因此，需要針對(duì)不同層面的終端安全問(wèn)題，尋求或設(shè)計(jì)相應(yīng)的解決方法。

1 終端面臨的安全問(wèn)題

終端早期泛指接入互聯(lián)網(wǎng)的計(jì)算機(jī)設(shè)備[2]。隨著信息技術(shù)的發(fā)展和創(chuàng)新，終端已包含多種形態(tài)，如windows終端、國(guó)產(chǎn)化系統(tǒng)終端、手機(jī)終端、平板終端、云終端和物聯(lián)網(wǎng)終端等。終端比較分散，數(shù)量又相當(dāng)大，用戶的使用需求也存在很大差異，安全意識(shí)薄弱，最易成為攻擊對(duì)象。根據(jù)木桶效應(yīng)，任一個(gè)存在安全隱患的終端就是企業(yè)內(nèi)網(wǎng)或整個(gè)互聯(lián)網(wǎng)的短板，也會(huì)成為攻擊者的突破口。一般的終端都包括硬件、軟件和存放的數(shù)據(jù)，主要存在以下幾類安全問(wèn)題。

1.1 網(wǎng)絡(luò)準(zhǔn)入不嚴(yán)格

企業(yè)的網(wǎng)絡(luò)準(zhǔn)入控制機(jī)制不嚴(yán)格，導(dǎo)致很多非企業(yè)終端接入內(nèi)部網(wǎng)絡(luò)。一方面可以通過(guò)網(wǎng)絡(luò)將數(shù)據(jù)轉(zhuǎn)移，另一方面這些非法終端會(huì)破壞整個(gè)企業(yè)內(nèi)網(wǎng)，攻擊內(nèi)部終端，甚至可以進(jìn)行毀滅性的破壞。

1.2 硬件安全

硬件設(shè)備的丟失或被盜，是數(shù)據(jù)泄露的一個(gè)重要因素。員工出差時(shí)常將隨身攜帶的終端設(shè)備遺留在交通工具、賓館等公共場(chǎng)合，而終端設(shè)備上的數(shù)據(jù)通常并未采取較強(qiáng)的防護(hù)手段，易導(dǎo)致很多重要信息被泄露。此外，企業(yè)內(nèi)網(wǎng)對(duì)終端設(shè)備的外設(shè)控制不到位，導(dǎo)致使用者隨意接入各種可轉(zhuǎn)移數(shù)據(jù)的外設(shè)，如USB存儲(chǔ)設(shè)備、光驅(qū)、打印機(jī)、藍(lán)牙和紅外等。此外，終端設(shè)備可以通過(guò)另一種引導(dǎo)方式進(jìn)入系統(tǒng)，不經(jīng)過(guò)身份認(rèn)證就能將數(shù)據(jù)轉(zhuǎn)移。

1.3 軟件安全

軟件實(shí)際上也包括了終端設(shè)備安裝的系統(tǒng)。終端上的系統(tǒng)存在漏洞，未及時(shí)更新，將成為惡意軟件攻擊的對(duì)象。很多安全事件也是因?yàn)橄到y(tǒng)未及時(shí)打補(bǔ)丁造成的。同時(shí)，安全配置不到位，即使采用了復(fù)雜口令且不定期進(jìn)行更換，但往往開放了不該開放的端口和服務(wù)。除了系統(tǒng)軟件問(wèn)題，終端還經(jīng)常安裝非授權(quán)的應(yīng)用軟件，而這些應(yīng)用軟件需要獲取系統(tǒng)權(quán)限，進(jìn)而導(dǎo)致數(shù)據(jù)和隱私被泄漏。

1.4 數(shù)據(jù)安全

網(wǎng)絡(luò)中實(shí)際上會(huì)有多個(gè)方面的原因?qū)е旅舾行畔⑼庑梗航K端設(shè)備上如果存放有重要文件或敏感信息數(shù)據(jù)，但未對(duì)其進(jìn)行保護(hù)；敏感信息傳輸過(guò)程中沒(méi)有保護(hù)措施；用戶越權(quán)查看文件；內(nèi)網(wǎng)和互聯(lián)網(wǎng)互相傳輸數(shù)據(jù)，沒(méi)有任何監(jiān)管措施；集中存放數(shù)據(jù)的服務(wù)器安全措施不到位等。

1.5 物聯(lián)網(wǎng)終端安全

據(jù)Gartner預(yù)測(cè)，2020年全球的物聯(lián)網(wǎng)設(shè)備數(shù)量將高達(dá)260億件。物聯(lián)網(wǎng)的安全事件將可能呈爆發(fā)增長(zhǎng)，而目前針對(duì)物聯(lián)網(wǎng)的安全防護(hù)還比較薄弱。物聯(lián)網(wǎng)呈現(xiàn)的是萬(wàn)物互聯(lián)的狀態(tài)，是信息化技術(shù)發(fā)展的必然趨勢(shì)。物聯(lián)網(wǎng)設(shè)備的制造商主要考慮了設(shè)備的智能化，對(duì)安全性重視不夠。在物聯(lián)網(wǎng)中，用戶隱私被泄漏的風(fēng)險(xiǎn)非常大，呈現(xiàn)“重平臺(tái)、輕終端”的態(tài)勢(shì)。即使是平臺(tái)，也存在不完善、防護(hù)不到位的情況。感知層的終端防護(hù)能力還需大大提高。目前，物聯(lián)網(wǎng)終端安全性主要包括設(shè)備本身的安全性漏洞、終端設(shè)備未采用安全的認(rèn)證技術(shù)、權(quán)限控制不到位、敏感信息的非授權(quán)訪問(wèn)和通信不安全等。

1.6 云終端安全

云服務(wù)端的數(shù)據(jù)要保證穩(wěn)定性和安全性，而終端用戶接入云端更要保證其安全性，否則基于云端的一切服務(wù)都將變得不可信。無(wú)論云終端是否存儲(chǔ)數(shù)據(jù)，云終端的端口和接口的開放都要嚴(yán)格控制。如果是能存儲(chǔ)數(shù)據(jù)的云終端，數(shù)據(jù)的安全性將尤為重要[3]。

鑒于2018年的中興事件，中國(guó)企業(yè)應(yīng)擺脫核心技術(shù)受制于人的局面。實(shí)際上，發(fā)展自主可控的芯片、操作系統(tǒng)、數(shù)據(jù)庫(kù)和中間件等信息產(chǎn)業(yè)，構(gòu)建自主可控的終端安全防護(hù)體系才是根本的解決之道?！吨袊?guó)終端防護(hù)市場(chǎng)白皮書》中也強(qiáng)調(diào)，終端防護(hù)不單單是病毒查殺和漏洞修復(fù)，還包含終端安全管控、系統(tǒng)加固、威脅檢測(cè)與響應(yīng)以及多平臺(tái)的支持。白皮書還指出，新網(wǎng)絡(luò)安全形勢(shì)下的終端防護(hù)，對(duì)終端可能存在的安全威脅需要實(shí)現(xiàn)監(jiān)控、記錄和分析，實(shí)現(xiàn)終端安全審計(jì)、安全監(jiān)測(cè)、漏洞掃描、威脅檢測(cè)和系統(tǒng)加固等功能，從而提供系統(tǒng)安全、操作安全和應(yīng)用安全的全面防護(hù)。

2 未來(lái)終端安全防護(hù)的發(fā)展方向

終端的形態(tài)和接入方式多種多樣，如手機(jī)、平板、windows終端、云終端、物聯(lián)網(wǎng)終端及國(guó)產(chǎn)化終端等。無(wú)論是什么樣的終端，終端安全防護(hù)都可以參照以下幾方面思路進(jìn)行設(shè)計(jì)。

2.1 終端的接入控制

正是因?yàn)槠笫聵I(yè)單位沒(méi)有控制好終端的接入行為而導(dǎo)致了安全事件的發(fā)生，所以必須嚴(yán)格控制終端接入內(nèi)部網(wǎng)絡(luò)的行為。內(nèi)部網(wǎng)絡(luò)必須要求對(duì)終端用戶進(jìn)行認(rèn)證，可以利用交換機(jī)上的802.1X協(xié)議功能和Radius認(rèn)證服務(wù)實(shí)現(xiàn)。不僅可以認(rèn)證用戶，還可以進(jìn)行授權(quán)，指定終端用戶只能訪問(wèn)某些服務(wù)。

在終端設(shè)備接入時(shí)還可以考慮終端必須安裝特定的防護(hù)軟件。只有成功安裝防護(hù)軟件才批準(zhǔn)入網(wǎng)，否則拒絕入網(wǎng)。同時(shí)，服務(wù)器可以提供防護(hù)軟件的下載地址，以便用戶使用。經(jīng)管理員批準(zhǔn)，也可以例外放行個(gè)別可信的終端接入，前提是必須設(shè)置訪問(wèn)時(shí)間區(qū)間和服務(wù)范圍。

2.2 終端的身份認(rèn)證

雖然終端設(shè)備進(jìn)行了嚴(yán)格的接入控制，可以有效防止非授權(quán)設(shè)備的接入，但是并不能保證終端設(shè)備本身的安全。要很好地使用一個(gè)終端，第一步需要進(jìn)行身份認(rèn)證。如果在身份認(rèn)證環(huán)節(jié)采用很強(qiáng)的加密認(rèn)證手段，則可以杜絕非法或可疑用戶的登錄。一旦終端被非授權(quán)用戶登錄，所有數(shù)據(jù)都會(huì)被暴露，后果不堪設(shè)想，特別是重要領(lǐng)域的企事業(yè)單位。

終端登錄也就是身份認(rèn)證過(guò)程，最常見(jiàn)的是基于用戶名和密碼的認(rèn)證和基于IC卡的認(rèn)證，都屬于靜態(tài)認(rèn)證的方法。但是，基于用戶名和密碼的認(rèn)證極易被木馬程序或網(wǎng)絡(luò)監(jiān)聽軟件獲取，安全水平低；而IC認(rèn)證的數(shù)據(jù)屬于靜態(tài)數(shù)據(jù)，很容易通過(guò)網(wǎng)絡(luò)監(jiān)聽或內(nèi)存掃描獲取。一次一密或動(dòng)態(tài)口令的認(rèn)證技術(shù)可彌補(bǔ)靜態(tài)口令的不足，一定程度上保證用戶的安全性。通過(guò)口令使用的次數(shù)和時(shí)間限制，使黑客即使獲得了口令也很難仿冒用戶信息。但是，時(shí)間和次數(shù)設(shè)置不當(dāng)，不僅影響用戶登錄，而且將會(huì)給黑客創(chuàng)造機(jī)會(huì)。

除了以上的身份認(rèn)證技術(shù)，基于生物特征的身份認(rèn)證技術(shù)日益凸顯其優(yōu)勢(shì)。例如，指紋、虹膜、人臉識(shí)別等，每個(gè)人的生物特征都具有獨(dú)特性，基本上不可能被假冒。但是，生物特征的穩(wěn)定性和準(zhǔn)確性還需要提高，成本也比普通認(rèn)證技術(shù)高，更適應(yīng)于安全性要求高的場(chǎng)合。生物特征與密碼技術(shù)相結(jié)合，可以大幅提高系統(tǒng)安全性。當(dāng)前，無(wú)論生物特征采取何種密碼技術(shù)，最終會(huì)受到人生病或受傷的影響而導(dǎo)致生物特征識(shí)別失敗的情況，成為其廣泛應(yīng)用受限的原因之一。

近幾年使用比較普遍的認(rèn)證技術(shù)是基于USBKEY的認(rèn)證。它是軟硬件相結(jié)合的強(qiáng)雙因認(rèn)證技術(shù)，也屬于一次一密。USBKEY中存儲(chǔ)了用戶的數(shù)字證書和密鑰，結(jié)合USBKEY中內(nèi)置的密碼算法和PKI體系的認(rèn)證模式，很好地解決了用戶易用性和安全性之間的矛盾。

終端安全防護(hù)體系在設(shè)計(jì)身份認(rèn)證技術(shù)時(shí)，可以借鑒文章提到的認(rèn)證手段。無(wú)論是云環(huán)境下的終端還是物聯(lián)網(wǎng)下的終端，都可以此為基礎(chǔ)，對(duì)終端系統(tǒng)本身進(jìn)行嚴(yán)格的身份認(rèn)證。就像用得較多的windows系統(tǒng)一樣，可以將其本身的登錄方式替換成更強(qiáng)的認(rèn)證方式。其他類型的終端也同樣可以適用。

從安全性角度出發(fā)，將幾種身份認(rèn)證技術(shù)進(jìn)行有效結(jié)合，特別是結(jié)合密碼技術(shù)的生物特征識(shí)別和USBKEY的認(rèn)證技術(shù)，形成軟硬件結(jié)合的多因子認(rèn)證技術(shù)，將極大程度地提高破解難度，適合應(yīng)用于密級(jí)較高的場(chǎng)所。而在云環(huán)境下，安全地登錄云端是云計(jì)算首要解決的安全性問(wèn)題。同時(shí)，云數(shù)據(jù)被集中處理和存儲(chǔ)，終端上的身份認(rèn)證技術(shù)也可適用于云服務(wù)器上。核心服務(wù)器還可以同時(shí)認(rèn)證兩個(gè)或三個(gè)管理員的身份，每個(gè)管理員的身份認(rèn)證技術(shù)同時(shí)采用基于密碼技術(shù)的生物特征識(shí)別和USBKEY的認(rèn)證技術(shù)。

2.3 終端的監(jiān)控與審計(jì)

任何安全手段都離不開事前檢查、事中控制和事后審計(jì)跟蹤的方法。終端被成功登錄，只能說(shuō)明登錄的身份被認(rèn)可，但不能保證擁有該身份的用戶的操作是可信的?？v觀歷年的泄密事件，絕大部分都來(lái)自于內(nèi)部人員的非法操作。終端的監(jiān)控與審計(jì)可以內(nèi)置或安裝一個(gè)綜合的代理程序，并從以下幾個(gè)方面進(jìn)行監(jiān)控與審計(jì)。

2.3.1 系統(tǒng)的安全性

代理程序監(jiān)控終端系統(tǒng)是否有安全威脅，是否及時(shí)安裝最新的補(bǔ)丁程序和殺毒軟件，殺毒軟件是否及時(shí)更新。一旦未達(dá)到要求，可以向服務(wù)器告警并上報(bào)日志。必要時(shí)，可以將其網(wǎng)絡(luò)斷開，停止訪問(wèn)任何服務(wù)。只有安全威脅消除后，才能重新接入內(nèi)部網(wǎng)絡(luò)。

2.3.2 外設(shè)的監(jiān)控

終端最容易造成重要數(shù)據(jù)、文件和程序等泄漏的環(huán)節(jié)需要特別引起重視。內(nèi)網(wǎng)終端上隨意接入U(xiǎn)盤、手機(jī)、PAD、存儲(chǔ)卡、藍(lán)牙和紅外等，都可以輕松將重要內(nèi)容轉(zhuǎn)移；隨意接入打印機(jī)可將文件打印帶走；隨意接入外置光驅(qū)可將文件刻走。所以，要對(duì)終端接入的外設(shè)包括終端自帶的外設(shè)進(jìn)行控制。根據(jù)不同單位、不同部門和不同終端，可設(shè)置不同的策略。只要設(shè)定好策略，就可以降低非法外設(shè)帶來(lái)的風(fēng)險(xiǎn)和陷患。

2.3.3 文件、進(jìn)程、驅(qū)動(dòng)和服務(wù)的監(jiān)控與審計(jì)

對(duì)終端上的文件進(jìn)行分級(jí)權(quán)限控制，級(jí)別最高的文件可以拒絕所有的操作行為。對(duì)終端上流入流出的文件進(jìn)行審計(jì)，包括操作類型，可以作為事后審查的依據(jù)。對(duì)進(jìn)程、驅(qū)動(dòng)和服務(wù)進(jìn)行黑白名單式管理。白名單內(nèi)的進(jìn)程、驅(qū)動(dòng)和服務(wù)可以運(yùn)行，黑名單則禁止運(yùn)行，違反策略則告警。所有運(yùn)行和停止行為都需要記錄日志。

2.3.4 網(wǎng)絡(luò)連接行為控制

代理程序可對(duì)終端網(wǎng)絡(luò)連接行為進(jìn)行控制，設(shè)置禁止訪問(wèn)和允許訪問(wèn)的網(wǎng)絡(luò)范圍。一旦終端訪問(wèn)了禁止的網(wǎng)絡(luò)，可以進(jìn)行告警并阻止訪問(wèn)，并對(duì)所有的網(wǎng)絡(luò)行為進(jìn)行嚴(yán)格審計(jì)。

2.3.5 刻錄和打印審計(jì)

對(duì)終端上所有的刻錄行為和打印行為進(jìn)行審計(jì)，并準(zhǔn)確記錄文件的屬性和操作類型。

2.3.6 異常行為的審計(jì)

對(duì)終端的一切可疑行為進(jìn)行審計(jì)，包括被惡意端口掃描攻擊、ARP欺騙、短時(shí)間內(nèi)多次登錄失敗等。

2.3.7 代理程序的防護(hù)功能

代理程序必須具有較強(qiáng)的防護(hù)手段來(lái)保證關(guān)鍵服務(wù)、驅(qū)動(dòng)、進(jìn)程、文件等不被惡意程序修改、刪除或卸載。不僅保護(hù)自身功能的正常運(yùn)行，還需要保護(hù)終端上的關(guān)鍵文件和進(jìn)程等重要信息[4]。

2.3.8 大數(shù)據(jù)分析

對(duì)終端行為產(chǎn)生的日志進(jìn)行智能大數(shù)據(jù)分析和學(xué)習(xí)技術(shù)，無(wú)需管理員手工統(tǒng)計(jì)?？筛鶕?jù)特征值統(tǒng)計(jì)分析日志，建立終端的安全態(tài)勢(shì)，及時(shí)給管理員呈現(xiàn)并指出內(nèi)網(wǎng)存在的安全威脅，達(dá)到及時(shí)預(yù)警的效果，然后根據(jù)分析結(jié)果進(jìn)行深入排查，找出原因，對(duì)癥下藥，同時(shí)為終端持續(xù)優(yōu)化提供決策支持。

終端的監(jiān)控與審計(jì)除了以上八個(gè)方面，還必須采用因地制宜的管理手段，從而更好地監(jiān)控和審計(jì)終端。服務(wù)器還應(yīng)該采取安全手段進(jìn)行防護(hù)，包括服務(wù)器的權(quán)限控制、配置信息的防篡改、數(shù)據(jù)庫(kù)安全、數(shù)據(jù)和日志存儲(chǔ)的安全等。作為一個(gè)終端安全防護(hù)系統(tǒng)來(lái)說(shuō)，考慮其安全性時(shí)還會(huì)涉及物理環(huán)境的安全、數(shù)據(jù)傳輸?shù)陌踩?，需避免出現(xiàn)設(shè)計(jì)漏洞帶來(lái)的安全隱患。

3 結(jié) 語(yǔ)

無(wú)論是windows終端、國(guó)產(chǎn)化終端、手機(jī)終端、平板終端、云終端還是物聯(lián)網(wǎng)的終端，終端安全防護(hù)系統(tǒng)都可以按文章提供的思路進(jìn)行設(shè)計(jì)，只需根據(jù)系統(tǒng)特點(diǎn)和用途，采用不同的實(shí)現(xiàn)機(jī)制。終端安全防護(hù)系統(tǒng)使信息安全管理從網(wǎng)絡(luò)層、交換層延伸到終端層面，網(wǎng)絡(luò)安全手段也得到提高。信息安全沒(méi)有絕對(duì)完美的手段，只有真正做到事前檢查、事中控制和事后的分析審計(jì)，才能大大降低安全事件發(fā)生的概率。