安全视角下企业终端管控策略探讨

摘要：随着万物互联时代的到来，越来越多的终端设备接入企业内部网络和服务，数据交互日益复杂频繁。多类型终端设备的应用不仅带来了生产、办公形式的创新，也导致安全管理边界无限延伸，超出了企业内部的安全管控范围。企业需要建设一套完备的终端安全管控系统，通过管控终端，主动防御，避免终端使用过程中发生数据泄露、数据篡改、数据滥用、数据违规操作等安全事件，提升网络与信息安全防护水平。文章分析了终端面临的风险和属性，阐述了终端安全管理软件推装的必要性和挑战，并提出了提高终端安全管理软件安装率、终端资产实名登记以及终端策略和分组管理的实施措施，为企业提升终端安全防护能力提供思路和参考。

关键词：数据安全；终端安全；终端管控策略

中图分类号：TP309 文献标识码：A

文章编号：1009-3044（2024）31-0079-03

开放科学（资源服务）标识码（OSID） ：

0 引言

终端设备作为网络接入的端口，面临着多方面的安全威胁，其中包括硬件设备可能遭受外部设备入侵或面临数据泄露的风险。此外，还需考虑终端设备、操作系统及在终端网络环境中运行的服务所可能遭遇的各种安全风险。这些风险涵盖了在使用过程中可能遇到的钓鱼攻击、恶意木马与病毒感染、社会工程学攻击等。一旦终端被此类攻击手段攻破，便可能成为攻击者入侵内部网络和信息系统的突破口，从而造成严重的危害与损失。因此，每一台终端都构成了一个关键的防御据点，筑牢这些据点的安全防线，是为了应对黑客、病毒、蠕虫等外部威胁，以及数据泄露等内部威胁[1]。

1 终端面临的风险与属性

1.1 终端面临的风险

1） 木马软件：攻击者利用社会工程学手段，诱骗用户下载安装捆绑有木马的软件，如伪装成常用软件、破解软件等。这类安全事件在所有终端安全事件类型中位居首位。

2） 钓鱼攻击：通过邮件发送含有恶意链接或附件的内容，诱骗用户点击或填写敏感信息，例如伪装成系统邮件、银行邮件等，或编造退费邮件，引诱用户扫描二维码进行转账。此外，攻击者还会通过即时通信工具，伪装成熟人、机构等身份，发送带有恶意链接或文件的消息，诱骗用户点击，甚至导致用户无视安全软件的警告，将恶意软件添加为信任软件并运行。

3） 漏洞攻击：攻击者利用软件漏洞，如浏览器、文档处理软件等，向用户发送恶意链接或文件，诱导用户打开，从而触发漏洞，入侵终端设备。这些漏洞若未及时发现并整改，将留下重大的安全隐患[2]。

1.2 终端的属性

在终端安全体系中（见图1） ，由于终端安全自身的特点，使其成为安全管理的难点。安全部门常常面临终端安全管理的挑战，例如员工抱怨终端安全软件影响使用体验[3]，以及安全事件频发等。为了更好地应对这些挑战，需要了解终端的两个主要属性。

1.2.1 终端的设备属性

1） 多样性：终端设备类型繁多，涵盖台式机、笔记本电脑、手机、平板电脑、物联网设备等，每种设备的操作系统及应用环境差异显著，这增加了安全管理的复杂性，要求针对不同设备制定专门的安全策略。

2） 分布式与移动性：随着移动办公、远程办公等趋势的兴起，终端设备的位置和网络环境变得更加分散且难以预测，这无疑加大了安全管理的难度。因此，必须确保数据在任何时间、任何地点都能得到充分的保护。

3） 操作系统和应用的安全性：终端操作系统和应用中的漏洞层出不穷，及时修补这些漏洞至关重要。然而，大规模终端设备的漏洞管理面临多重挑战，如设备无法重启、软件版本兼容性问题、授权到期等。解决这些问题需要安全部门、IT部门、业务部门之间的紧密协同与合作。

4） 复杂的生命周期：终端设备的生命周期涉及从采购到报废的多个阶段，每个阶段都须考虑安全问题，并涉及多个部门的协作，这进一步增加了安全管理的复杂性。

1.2.2 终端背后人的不确定性

终端设备的用户使用习惯和安全意识各不相同，这也给终端安全管理带来了挑战。

1） 用户抵触情绪：部分员工对终端安全管理措施存在抵触心理，认为这些措施影响了工作效率或个人隐私。这需要安全管理人员进行积极的沟通和引导。

2） 安全意识薄弱：部分员工的安全意识薄弱，容易成为攻击者的目标，如使用弱密码、随意点击恶意链接、打开可疑文件等，这增加了终端设备的安全风险。

3） 用户类型多样：除了企业员工外，终端用户还包括合作伙伴、访客等，他们的安全管理往往较为薄弱，从而增加了安全风险。

4） 用户主观看法：当终端设备出现性能问题时，用户往往会先入为主地认为是终端安全软件导致的，即使事实并非如此。这给终端安全管理人员带来了额外的沟通成本。

2 终端安全管理软件推广安装

2.1 安装终端安全管理软件的必要性

终端作为信息交流和数据分享的关键节点，其安全状况直接影响到整个网络系统的稳定性与可靠性。部署合适的终端安全管理软件可以为企业提供全面的保护措施，以应对日益复杂和多样化的网络安全威胁。这也是有效识别、阻止并降低潜在网络安全风险的重要手段。

1） 防止恶意程序入侵：某些病毒、木马及勒索软件具有自动传播功能，能通过邮件、即时通信软件等途径迅速扩散。终端安全管理软件能有效检测、隔离和清除这些恶意程序，防止数据被窃取和终端系统遭到破坏。

2） 抵御网络攻击：除了传统的恶意程序入侵外，网络中还存在如钓鱼网站、僵尸网络、DDoS攻击及漏洞利用等威胁。这些威胁可能导致终端设备遭受不同程度的损害，甚至危及整个网络系统的安全。终端安全管理软件能够识别并有效应对这些威胁，保护企业资产免受侵害。

3） 实时监控与分析：企业内网中一旦有单一终端被入侵，攻击者会进一步窃取、传播或破坏企业内部数据。因此，需要实时采集和监控终端操作系统运行的进程和服务信息[4]，对设备使用历史、文件操作及网络活动等信息进行持续追踪，及时发现异常行为，并采取相应措施进行阻断和拦截。这一功能有助于防范未知攻击手段，进一步提升终端设备的安全防护水平。

4） 预防数据泄露：远程办公、物联网设备、移动设备和业务协同等问题导致很多业务暴露在互联网上[5]。为防止数据安全事件发生，需要通过检测通信工具、邮件、云服务并限制外部存储设备等多种途径来杜绝内外部攻击及误操作。

5） 系统加固与漏洞修复：操作系统和应用程序的安全漏洞成为黑客攻击的重要入口。终端安全管理软件可针对这些漏洞进行专项修补，提升系统的整体安全性，并通过定期更新漏洞库和自动执行安全检查来确保系统能够抵御来自各方的威胁。

6） 配置安全策略：根据不同的业务需求和部门特点，下发定制化的安全策略。根据实际情况调整终端的安全策略（如允许或禁止外设接入等），以提高整体安全性并减少终端安全事件的发生。

7） 响应和处置：在网络安全事件发生时，快速有效的响应和处置至关重要。为避免攻击者通过被攻陷的终端进行横向渗透等攻击，可以利用终端安全管理软件的隔离功能对感染木马病毒的终端进行隔离断网操作，做到及时止损。

8） 审计与合规：企业的数据安全合规已成为业务发展的生命线。因此，需要通过详细的报告和审计记录来帮助企业满足监管合规要求。此外，这些报告还有助于分析企业在访问控制、身份管理等方面存在的不足，进而优化安全策略。

2.2 终端安全管理软件推装的挑战

要求员工在终端上统一安装防护软件时，可能会遇到以下几种问题：

1） 系统兼容性问题：由于终端操作系统种类繁多且版本各异，若遇到与终端安全管理软件不兼容的系统版本，将给软件的推广安装带来极大挑战。因此，应选择市场占有率高的终端安全管理软件，以减小推广安装的阻力。

2） 用户不配合：终端安全管理软件的防护和审计等功能会占用终端的计算和存储资源，同时管控策略的下发也可能降低终端的易用性。部分员工因不愿被审计而排斥安装此类软件。

3） 推广安装效率低：在推广安装阶段，若仅依赖主动要求员工安装的方式，效率往往低下。若不借助技术手段而完全依赖管理手段，则几乎无法完成推广安装任务。

4） 软件间冲突：由于终端上安装的软件多样，某些软件可能会与终端安全管理软件发生冲突。此时，说服员工卸载冲突软件也是一大挑战。

3 提高终端安全管理软件的安装率

为确保所有接入内网的终端都安装上终端安全管理软件，需将行政管理手段和技术管控手段相结合进行推广安装。

1） 行政管理手段：应明确职责、强化监督和执行力度。在推广安装软件之前，首先要完善各项相关制度，确保在运营过程中有章可循。其次，要定期进行安全培训和入职时的安全宣讲，确保每位员工都充分了解终端安全管理软件安装的重要性以及违反制度的后果。同时，要提供良好的问题反馈渠道，对于影响可用性的问题，要确保有人能在第一时间协助排查解决。最后，终端安全管理软件的推广安装不仅是安全部门的工作，还需与IT、行政等相关部门协作，共同推进软件安装。

2） 技术管控手段：行政管理手段明确了终端安全管理软件的使用要求，而技术管控手段则为确保终端安全管理软件的运行提供了必要的硬性条件和限制。技术管控手段主要包括内网准入控制（见图2） ，通过识别终端是否安装了终端安全管理软件，并利用第三方软件（如零信任、VPN、准入认证等）在终端入网环节或访问公司内网应用时进行校验，只允许安装了终端安全管理软件的终端正常访问内网资源。

4 终端资产实名登记

4.1 终端资产实名登记的价值

终端资产实名登记便于资产管理、发现风险终端时快速定位到责任人，一个终端资产只能有一个责任人[6]，确保企业网络和数据的安全，在日常的安全管理和安全事件处理方面具有以下价值：

1） 提高安全管理效率：实名登记后的终端资产，通过终端安全管理软件的服务端的配置来实现终端自动分组管理与分组更新，简化了分组过程。

2） 缩短安全事件响应时间：完成终端资产实名登记后，发生安全事件可以第一时间定位到终端用户，缩短响应时间，有利于降低安全事件的影响。

4.2 终端资产实名登记的措施

终端资产实名登记面临资产庞大、员工配合度不高、自带设备等挑战，为确保每台接入终端在发现异常时及时进行处置[7]，可以通过以下方式解决：

1） 自动化绑定：预设使用员工的域账号登录，通过终端安全管理软件自动绑定终端登录账号为资产责任人，快速且无误地完成实名登记。

2） 弹窗提醒和管控策略：对于未完成登记的终端，通过设置使其在每次开机时和固定时间间隔接收到弹窗提醒。或在屏幕上下发水印提示和设置提示终端资产实名登记的桌面壁纸，直观地提醒并引导员工实名登记。还可以对未实名登记的员工进行应用使用限制（如浏览器、外设等），见表1，直至登记完成。

3） 加强宣传和数据保护：加强企业网络安全的宣传和引导，比如在新员工入职培训期间，传达终端资产登记的重要性。通过邮件或微信公众号宣传和引导员工主动进行实名登记。

4） 对自带设备制定政策：明确在内部网环境中使用自带设备的规定，用于办公的自带设备也需要实名登记，以确保所有接入企业网络的设备都得到了有效的管理。

5） 断网隔离：未完成实名登记的终端可设置断网隔离，以避免在安全事件发生后定位责任人和溯源的困难，必须完成实名登记后才能取消其网络隔离。

5 终端的策略和分组管理

5.1 策略的配置原则

由于业务的复杂性，仅靠一个策略无法涵盖所有终端的管理。因此，可以通过合理的分组来对不同业务的策略进行灵活调整。在配置策略时，应注意以下要点：

1） 应用范围：需明确策略的适用范围，区分全网终端安全策略与个性化终端安全策略。并根据不同设备类型、操作系统及业务场景，有针对性地制定并调整安全策略，避免“一刀切”的现象。