独家解析：企业终端安全的方方面面

      过去的2008年，企业信息化建设取得了快速的发展，企业网络环境变得越来越复杂。如何有效管理企业网络，实现企业信息安全需求是新形势下企业IT管理者急需解决的问题，而企业安全管理的重中之重又非终端莫属。随着大量的木马病毒、数据泄露以及应用安全隐患的出现，网络攻击的性质也发生了根本转变，追求经济利益成为攻击者的最终目标。在这些安全威胁的背后，企业终端安全正经受着前所未有的挑战。

　　如此这般，那么企业终端面临着哪些安全风险?专家指出，终端安全主要面临几方面的挑战：恶意软件;数据窃取和数据泄露;访问控制;外设管理;终端用户本身。与此同时，赛门铁克等安全巨头也在用各自行动诠释着终端安全的意义，一时间强化终端安全防护能力成为众多安全厂商关注的焦点。

　　恶意软件

　　过去的两年中，互联网上涌现出大量的木马病毒、后门程序等恶意软件，这些恶意程序的最大特点是以获取用户的帐号、密码等关键信息来为攻击者牟取暴利;同时，随着熊猫烧香、机器狗等恶意软件的大面积传播，集合多种攻击方式为一体的恶意软件渐成主流;再其次，病毒木马等恶意程序的制作门槛逐渐降低，随处可得的恶意软件生成器更是让新变种的生产周期大大缩短。病毒、木马、蠕虫、后门等恶意软件正在通过各种手段侵入到用户的终端中去。

　　数据窃取与泄露

　　自2007年开始，数据安全越来越受到企业的关注。据统计，2008年数据泄露总量超过3500万。是什么造成了如此触目惊心的结果?除了基于web的各种应用程序的漏洞，以及数据库本身的缺陷外，终端无疑是造成数据泄露的最直接因素。目前黑客正在利用企业端点中的漏洞，发起更为隐蔽、目标性更强、旨在获取经济利益的攻击。为了逃避检测和找到新的侵入点，专业攻击者会不断开发新的方法，试图做到始终能够未经授权即可访问企业系统和信息，而且不被检测出来。实现这种访问的主要方法是利用端点中存在的已知和未知漏洞。

　　访问控制

　　对于企业而言，不仅需要满足内部协作与数据共享，还要为其外包商以及客户提供相应的访问权限，然而这些身份认证和权限管理对于企业而言往往是一个复杂的过程。与此同时，对于访问用户的健康状况检查，也已经成为企业所必须关注的问题之一。

　　外设管理

　　移动存储介质、打印机等各种外设已经成为企业办公不可或缺的一部分。然而，这些多种多样的互联互通方式，正在成为企业合规管理实践中所要面对的最大的挑战之一。据Gartner的统计，近80%的安全隐患来自企业内部，可想而知各种各样的外设和可能成为企业数据泄露的重要途径。

　　终端用户

　　不论何种手段，何种方式造成的企业信息安全事故，最终我们会发现人为因素所起的决定作用。粗心的Web浏览(点击可疑链接，访问恶意网站)和不负责任的电子邮件的行为(开启恶意附件)是攻击者传播病毒、蠕虫和木马的主要途径。因此对员工的安全意识培养必不可少。

　　作为企业的IT管理者，也许您可能已对企业终端面临的各种安全威胁了如指掌，然而更大的问题也随之而来，如何统一、有效的管理这些安全威胁?随着金融危机让企业的IT投入趋于理性，大量的设备投资已经成为过去，那么企业到底该如何来实现合理的终端安全防护?此时此刻，理性的思考企业安全需求将越来越重要。

　　对不同的企业而言，终端安全防护的重心不同，信息安全讲究 “三分技术、七分管理”。如今，攻击成本越来越小，防御成本越来越大，网络的安全环境并未有所好转，反而有日益恶化之虞。而企业整体安全的水平往往取决于最弱的一环，终端也许就是您的薄弱环节，任何一个员工的疏漏、漏洞管理疏漏，都会给企业安全带来威胁。

      谨防来自网络的攻击行为

　　虽然您的网络暂时能够免受恶意软件攻击，但仍需要一个有效的、多层次的安全方法来规范终端的安全行为，包括位于防火墙后以及那些处于操作范围外或徘徊于安全范围内外的终端都需要保护。而这一切都需要充分发挥用户手中的防病毒软件、间谍软件扫描和本地防火墙。

　　如今网络攻击的重点放在如何让主流产品失效，所以许多安全专家建议“多品牌”的做法。尽管如此，为了简化管理和控制，建议用户使用一套集成安全套装或解决方案。在任何情况下，周边安全和端点安全都是必要的。

　　针对端点保护你的网络

　　随着网络应用的日趋复杂，企业终端已不再是传统意义上的“终端”，它不仅是内网中连接的PC，更是网络中大部分事物的起点和源头——是用户登录并访问网络的起点、是用户透过内网访问Internet的起点、是应用系统访问和数据产生的起点;更是病毒攻击的源头、从内部发起的恶意攻击的源头和内部保密数据盗用或失窃的源头。因此，也只有通过完善的终端安全管理才能够真正从源头上控制各种事件的源头、遏制由内网发起的攻击和破坏。

　　在内网安全管理中，准入控制是所有终端管理功能实现的基础所在，采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态，将不安全的电脑隔离、进行修复。准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合，将被动防御变为主动防御，能够有效促进内网合规建设，减少网络事故。

　　目前的准入控制技术主要分为两大类：基于网络的准入控制和基于主机的准入控制。基于网络的准入控制主要有EAPOL(Extensible Authentication Protocol Over LAN)技术、EAPOU(Extensible Authentication Protocol Over UDP)技术;基于主机的准入控制主要有应用准入控制、客户端准入控制。

　　对于大型企业而言采用基于网络的准入控制可以减少企业终端的负担，并且将威胁在进入终端钱进行拦截。如果用户的网络设备不支持网络准入，或不想花费太多的部署和管理时间，还可以进行基于主机的准入控制。在此处主机是指网络中除网络设备之外的电脑主机，包括服务器和电脑终端。基于主机的准入控制最大特点就是容易部署。目前基于主机的准入控制微软、赛门铁克、趋势等知名企业都可以起到良好的防护能力。对于经济不稳定的今天，不失为一种好的选择。

　　当然不论何种准入控制，都需要健壮的密码来强化自身的安全。简单的密码可以在几分钟内被经验丰富的黑客破解，因此请确认您的用户都使用由大写字母，小写字母和阿拉伯数字组合成的高难度密码，并且经常更改密码。

　　谨防偷窃数据和数据泄露

　　无论是恶意或不小心，即使授权和认证的终端用户也应对数据失窃或泄漏负责。事实上，导致信息被盗的主要原因是，受信任的用户往计算机或其它便携式设备复制信息后，简单地将其带出。随后值得信赖的，但粗心大意的用户在超出您网络安全范围的地方，也让安全隐患随之产生。

　　唯一防止终端数据被盗和数据泄漏的方法是限制对重要数据的访问，并运用内容过滤限制文件传输。如上所述，接入控制技术就包含了传输监控和障碍。如果不控制正在复制到终端设备资料，那终端安全策略就不完整。数据丢失也只是迟早的问题。

　　最后，防止数据泄漏和盗窃造成损害的基础保护是加密。这样，即使数据落入坏人之手，也将是毫无用处的。现在的加密技术不再高高在上，而且对系统的性能影响以及系统的适应能力都得到了显著的提升，所以没有理由不为企业最敏感的数据采取加密措施。

　　谨防终端用户

　　终端安全面临的另一个挑战是终端使用者本身。粗心的Web浏览(点击可疑链接，访问恶意网站)和不负责任的电子邮件的行为(开启恶意附件)是攻击者传播病毒、蠕虫和木马的主要途径。

　　防止恶意事件发生的最有效的方法是纠正用户的行为。安全策略应包括一个强有力的，持续教育部分，用来教育终端用户，如何建立高强度密码，如何处理电子邮件附件，以及如何识别欺诈行为，如钓鱼式攻击和可疑的网络链接。

　　安全策略还应明确哪些软件是企业内部计算机允许的，并且警告滥用您内部计算资源的行为。最后，让每个人都知道，所有的网络活动，包括网页浏览，都被一一记录和监测。

      如何保护企业终端安全?建议您遵循以下几点：

　　· 对所有客户端设备使用主流的安全工具，即防病毒软件，间谍软件扫描器，Rootkit检测工具，以及防火墙，并保持及时更新。考虑使用软件套装或提供一个更综合，更容易管理的保护装置。

　　· 为整个机构的计算机安装软件补丁，迅速和持续更新安全软件。

　　· 对所有敏感信息加密，包括闲置的数据。

　　· 确保所有用户都接受了足够的安全意识教育，关于怎样识别和避免可疑附件，链接和钓鱼欺诈行为的培训。

　　· 通过阅读不断变化的威胁，包括主要安全厂商和专业网站摘要(如IT专家网)，及时了解并掌控安全威胁。

　　· 规范贵公司的移动设备使用，如智能手机和PDA等。实施安全保护，包括防病毒软件。

　　· 建立一个明确的公司政策，定义怎样的信息可存储在端点设备。

　　综上所述，企业终端正在经历前所未有的安全威胁，公司业务系统复杂度的增加，安全威胁也接踵而至，明确责任、立体保护的安全防御工事已成为企业解决信息安全需求的主流。当然企业终端安全防护的根本，仍然是明确企业的基本需求。

未经允许不得转载：DOIT » 独家解析：企业终端安全的方方面面