安全視角下企業終端管控策略探討

摘要：隨著萬物互聯時代的到來，越來越多的終端設備接入企業內部網絡和服務，數據交互日益復雜頻繁。多類型終端設備的應用不僅帶來了生產、辦公形式的創新，也導致安全管理邊界無限延伸，超出了企業內部的安全管控范圍。企業需要建設一套完備的終端安全管控系統，通過管控終端，主動防御，避免終端使用過程中發生數據泄露、數據篡改、數據濫用、數據違規操作等安全事件，提升網絡與信息安全防護水平。文章分析了終端面臨的風險和屬性，闡述了終端安全管理軟件推裝的必要性和挑戰，并提出了提高終端安全管理軟件安裝率、終端資產實名登記以及終端策略和分組管理的實施措施，為企業提升終端安全防護能力提供思路和參考。

關鍵詞：數據安全；終端安全；終端管控策略

中圖分類號：TP309 文獻標識碼：A

文章編號：1009-3044（2024）31-0079-03

開放科學（資源服務）標識碼（OSID） ：

0 引言

終端設備作為網絡接入的端口，面臨著多方面的安全威脅，其中包括硬件設備可能遭受外部設備入侵或面臨數據泄露的風險。此外，還需考慮終端設備、操作系統及在終端網絡環境中運行的服務所可能遭遇的各種安全風險。這些風險涵蓋了在使用過程中可能遇到的釣魚攻擊、惡意木馬與病毒感染、社會工程學攻擊等。一旦終端被此類攻擊手段攻破，便可能成為攻擊者入侵內部網絡和信息系統的突破口，從而造成嚴重的危害與損失。因此，每一臺終端都構成了一個關鍵的防御據點，筑牢這些據點的安全防線，是為了應對黑客、病毒、蠕蟲等外部威脅，以及數據泄露等內部威脅[1]。

1 終端面臨的風險與屬性

1.1 終端面臨的風險

1） 木馬軟件：攻擊者利用社會工程學手段，誘騙用戶下載安裝捆綁有木馬的軟件，如偽裝成常用軟件、破解軟件等。這類安全事件在所有終端安全事件類型中位居首位。

2） 釣魚攻擊：通過郵件發送含有惡意鏈接或附件的內容，誘騙用戶點擊或填寫敏感信息，例如偽裝成系統郵件、銀行郵件等，或編造退費郵件，引誘用戶掃描二維碼進行轉賬。此外，攻擊者還會通過即時通信工具，偽裝成熟人、機構等身份，發送帶有惡意鏈接或文件的消息，誘騙用戶點擊，甚至導致用戶無視安全軟件的警告，將惡意軟件添加為信任軟件并運行。

3） 漏洞攻擊：攻擊者利用軟件漏洞，如瀏覽器、文檔處理軟件等，向用戶發送惡意鏈接或文件，誘導用戶打開，從而觸發漏洞，入侵終端設備。這些漏洞若未及時發現并整改，將留下重大的安全隱患[2]。

1.2 終端的屬性

在終端安全體系中（見圖1） ，由于終端安全自身的特點，使其成為安全管理的難點。安全部門常常面臨終端安全管理的挑戰，例如員工抱怨終端安全軟件影響使用體驗[3]，以及安全事件頻發等。為了更好地應對這些挑戰，需要了解終端的兩個主要屬性。

1.2.1 終端的設備屬性

1） 多樣性：終端設備類型繁多，涵蓋臺式機、筆記本電腦、手機、平板電腦、物聯網設備等，每種設備的操作系統及應用環境差異顯著，這增加了安全管理的復雜性，要求針對不同設備制定專門的安全策略。

2） 分布式與移動性：隨著移動辦公、遠程辦公等趨勢的興起，終端設備的位置和網絡環境變得更加分散且難以預測，這無疑加大了安全管理的難度。因此，必須確保數據在任何時間、任何地點都能得到充分的保護。

3） 操作系統和應用的安全性：終端操作系統和應用中的漏洞層出不窮，及時修補這些漏洞至關重要。然而，大規模終端設備的漏洞管理面臨多重挑戰，如設備無法重啟、軟件版本兼容性問題、授權到期等。解決這些問題需要安全部門、IT部門、業務部門之間的緊密協同與合作。

4） 復雜的生命周期：終端設備的生命周期涉及從采購到報廢的多個階段，每個階段都須考慮安全問題，并涉及多個部門的協作，這進一步增加了安全管理的復雜性。

1.2.2 終端背后人的不確定性

終端設備的用戶使用習慣和安全意識各不相同，這也給終端安全管理帶來了挑戰。

1） 用戶抵觸情緒：部分員工對終端安全管理措施存在抵觸心理，認為這些措施影響了工作效率或個人隱私。這需要安全管理人員進行積極的溝通和引導。

2） 安全意識薄弱：部分員工的安全意識薄弱，容易成為攻擊者的目標，如使用弱密碼、隨意點擊惡意鏈接、打開可疑文件等，這增加了終端設備的安全風險。

3） 用戶類型多樣：除了企業員工外，終端用戶還包括合作伙伴、訪客等，他們的安全管理往往較為薄弱，從而增加了安全風險。

4） 用戶主觀看法：當終端設備出現性能問題時，用戶往往會先入為主地認為是終端安全軟件導致的，即使事實并非如此。這給終端安全管理人員帶來了額外的溝通成本。

2 終端安全管理軟件推廣安裝

2.1 安裝終端安全管理軟件的必要性

終端作為信息交流和數據分享的關鍵節點，其安全狀況直接影響到整個網絡系統的穩定性與可靠性。部署合適的終端安全管理軟件可以為企業提供全面的保護措施，以應對日益復雜和多樣化的網絡安全威脅。這也是有效識別、阻止并降低潛在網絡安全風險的重要手段。

1） 防止惡意程序入侵：某些病毒、木馬及勒索軟件具有自動傳播功能，能通過郵件、即時通信軟件等途徑迅速擴散。終端安全管理軟件能有效檢測、隔離和清除這些惡意程序，防止數據被竊取和終端系統遭到破壞。

2） 抵御網絡攻擊：除了傳統的惡意程序入侵外，網絡中還存在如釣魚網站、僵尸網絡、DDoS攻擊及漏洞利用等威脅。這些威脅可能導致終端設備遭受不同程度的損害，甚至危及整個網絡系統的安全。終端安全管理軟件能夠識別并有效應對這些威脅，保護企業資產免受侵害。

3） 實時監控與分析：企業內網中一旦有單一終端被入侵，攻擊者會進一步竊取、傳播或破壞企業內部數據。因此，需要實時采集和監控終端操作系統運行的進程和服務信息[4]，對設備使用歷史、文件操作及網絡活動等信息進行持續追蹤，及時發現異常行為，并采取相應措施進行阻斷和攔截。這一功能有助于防范未知攻擊手段，進一步提升終端設備的安全防護水平。

4） 預防數據泄露：遠程辦公、物聯網設備、移動設備和業務協同等問題導致很多業務暴露在互聯網上[5]。為防止數據安全事件發生，需要通過檢測通信工具、郵件、云服務并限制外部存儲設備等多種途徑來杜絕內外部攻擊及誤操作。

5） 系統加固與漏洞修復：操作系統和應用程序的安全漏洞成為黑客攻擊的重要入口。終端安全管理軟件可針對這些漏洞進行專項修補，提升系統的整體安全性，并通過定期更新漏洞庫和自動執行安全檢查來確保系統能夠抵御來自各方的威脅。

6） 配置安全策略：根據不同的業務需求和部門特點，下發定制化的安全策略。根據實際情況調整終端的安全策略（如允許或禁止外設接入等），以提高整體安全性并減少終端安全事件的發生。

7） 響應和處置：在網絡安全事件發生時，快速有效的響應和處置至關重要。為避免攻擊者通過被攻陷的終端進行橫向滲透等攻擊，可以利用終端安全管理軟件的隔離功能對感染木馬病毒的終端進行隔離斷網操作，做到及時止損。

8） 審計與合規：企業的數據安全合規已成為業務發展的生命線。因此，需要通過詳細的報告和審計記錄來幫助企業滿足監管合規要求。此外，這些報告還有助于分析企業在訪問控制、身份管理等方面存在的不足，進而優化安全策略。

2.2 終端安全管理軟件推裝的挑戰

要求員工在終端上統一安裝防護軟件時，可能會遇到以下幾種問題：

1） 系統兼容性問題：由于終端操作系統種類繁多且版本各異，若遇到與終端安全管理軟件不兼容的系統版本，將給軟件的推廣安裝帶來極大挑戰。因此，應選擇市場占有率高的終端安全管理軟件，以減小推廣安裝的阻力。

2） 用戶不配合：終端安全管理軟件的防護和審計等功能會占用終端的計算和存儲資源，同時管控策略的下發也可能降低終端的易用性。部分員工因不愿被審計而排斥安裝此類軟件。

3） 推廣安裝效率低：在推廣安裝階段，若僅依賴主動要求員工安裝的方式，效率往往低下。若不借助技術手段而完全依賴管理手段，則幾乎無法完成推廣安裝任務。

4） 軟件間沖突：由于終端上安裝的軟件多樣，某些軟件可能會與終端安全管理軟件發生沖突。此時，說服員工卸載沖突軟件也是一大挑戰。

3 提高終端安全管理軟件的安裝率

為確保所有接入內網的終端都安裝上終端安全管理軟件，需將行政管理手段和技術管控手段相結合進行推廣安裝。

1） 行政管理手段：應明確職責、強化監督和執行力度。在推廣安裝軟件之前，首先要完善各項相關制度，確保在運營過程中有章可循。其次，要定期進行安全培訓和入職時的安全宣講，確保每位員工都充分了解終端安全管理軟件安裝的重要性以及違反制度的后果。同時，要提供良好的問題反饋渠道，對于影響可用性的問題，要確保有人能在第一時間協助排查解決。最后，終端安全管理軟件的推廣安裝不僅是安全部門的工作，還需與IT、行政等相關部門協作，共同推進軟件安裝。

2） 技術管控手段：行政管理手段明確了終端安全管理軟件的使用要求，而技術管控手段則為確保終端安全管理軟件的運行提供了必要的硬性條件和限制。技術管控手段主要包括內網準入控制（見圖2） ，通過識別終端是否安裝了終端安全管理軟件，并利用第三方軟件（如零信任、VPN、準入認證等）在終端入網環節或訪問公司內網應用時進行校驗，只允許安裝了終端安全管理軟件的終端正常訪問內網資源。

4 終端資產實名登記

4.1 終端資產實名登記的價值

終端資產實名登記便于資產管理、發現風險終端時快速定位到責任人，一個終端資產只能有一個責任人[6]，確保企業網絡和數據的安全，在日常的安全管理和安全事件處理方面具有以下價值：

1） 提高安全管理效率：實名登記后的終端資產，通過終端安全管理軟件的服務端的配置來實現終端自動分組管理與分組更新，簡化了分組過程。

2） 縮短安全事件響應時間：完成終端資產實名登記后，發生安全事件可以第一時間定位到終端用戶，縮短響應時間，有利于降低安全事件的影響。

4.2 終端資產實名登記的措施

終端資產實名登記面臨資產龐大、員工配合度不高、自帶設備等挑戰，為確保每臺接入終端在發現異常時及時進行處置[7]，可以通過以下方式解決：

1） 自動化綁定：預設使用員工的域賬號登錄，通過終端安全管理軟件自動綁定終端登錄賬號為資產責任人，快速且無誤地完成實名登記。

2） 彈窗提醒和管控策略：對于未完成登記的終端，通過設置使其在每次開機時和固定時間間隔接收到彈窗提醒。或在屏幕上下發水印提示和設置提示終端資產實名登記的桌面壁紙，直觀地提醒并引導員工實名登記。還可以對未實名登記的員工進行應用使用限制（如瀏覽器、外設等），見表1，直至登記完成。

3） 加強宣傳和數據保護：加強企業網絡安全的宣傳和引導，比如在新員工入職培訓期間，傳達終端資產登記的重要性。通過郵件或微信公眾號宣傳和引導員工主動進行實名登記。

4） 對自帶設備制定政策：明確在內部網環境中使用自帶設備的規定，用于辦公的自帶設備也需要實名登記，以確保所有接入企業網絡的設備都得到了有效的管理。

5） 斷網隔離：未完成實名登記的終端可設置斷網隔離，以避免在安全事件發生后定位責任人和溯源的困難，必須完成實名登記后才能取消其網絡隔離。

5 終端的策略和分組管理

5.1 策略的配置原則

由于業務的復雜性，僅靠一個策略無法涵蓋所有終端的管理。因此，可以通過合理的分組來對不同業務的策略進行靈活調整。在配置策略時，應注意以下要點：

1） 應用范圍：需明確策略的適用范圍，區分全網終端安全策略與個性化終端安全策略。并根據不同設備類型、操作系統及業務場景，有針對性地制定并調整安全策略，避免“一刀切”的現象。

2） 優先級：將面向外網終端的安全策略設為普通策略，以實現整體的安全防護。各部門個性化需求定制的安全策略設為強制策略，以保證有針對性措施的執行。通過合理設置策略優先級，避免終端策略不符合預期。

3） 定期檢測更新策略：定期審查現有策略并進行策略生效范圍的更新，以確保新的架構分組不會出現安全策略空窗期，并及時更新策略內容。

5.2 分組管理

終端分組用于分類管理終端，即批量對終端進行配置策略、分發任務、查看報表等操作。為了高效管理終端，內部終端運營可采用兩種分組方式：普通分組和自定義分組，以實現對終端的劃分和策略的靈活配置。

普通分組意味著每臺終端只屬于一個具體分組。通常根據公司的組織架構建立對應部門的普通分組，終端用戶需進行資產綁定，輸入域賬號和密碼，通過認證后進入其所在部門的分組。普通分組和公司身份認證服務器會進行數據同步，一旦員工信息或組織架構發生變動，系統會自動同步到終端安全管理軟件，并確保每個終端數據都能準確無誤地歸屬到具體的普通分組中，以準確反映出當前終端使用者所在的部門信息。

自定義分組則是根據特定的篩選條件進行劃分，這種方式允許一臺終端同時屬于多個分組。通過設定專門的分組規則，能夠將終端歸入一個或多個自定義分組，而普通分組的位置則不會發生改變。在一些需要例外策略的情況下或部分終端需要優先進行更新的場景中，自定義分組能提供更大的便利。

6 結束語

終端作為信息交互的前沿陣地，是企業網絡安全、數據安全的一個重要攻擊面，可能成為釣魚攻擊的入口。攻擊者可能利用終端設備和已經合法連接到網絡的設備來入侵內部信息系統，因此其安全性直接關系到企業的數據安全和業務的連續性。為應對不斷演變的網絡安全威脅，從提高終端安全管理軟件的安裝率、執行嚴格的資產實名登記到精密的策略與分組管理等各個環節的措施，都需對終端設備進行嚴格、精細化的管理和監控，確保入網終端可信受控，數據資產和業務運轉不受損失和破壞。

參考文獻：

[1] 楊光“. 鋼鐵長子”數字化浪潮下的終端安全之路[N].中國信息化周報，2023-10-16（014）.

[2] 紀煒燦.Windows終端安全基線檢查及補丁修復工具[J].互聯網周刊，2021（22）：68-69.

[3] 陳昊陽，唐晉生.桌面終端安全管理的應用分析[J].信息與電腦（理論版），2021，33（20）：221-223.

[4] 李月航，楊利，李大勇，等.電信行業終端安全管理探索實踐[J].網絡安全技術與應用，2024（7）：99-101.

[5] 陳積光，王進，張志浩.電力行業的終端安全一體化防護體系研究[J].電子元器件與信息技術，2024，8（6）：150-152，159.

[6] 謝志奇.終端安全管理系統在企業內部管理的運用[J].網絡安全和信息化，2022（7）：122-126.

[7] 王浩，智佩，云成龍，等.全場景應對終端安全威脅，構建多位一體終端防護體系[J].長江信息通信，2023，36（6）：162-164.

【通聯編輯：代影】