终端安全从防泄漏开始

　　如果问当前安全领域什么最热门，那么终端安全恐怕是最佳候选。在笔者看来，随着企业互联网化的普及，各种恶意软件、攻击程序都把目光放在了安全的两头：Web与终端。如果仅从终端上分析，其在安全管理上的确面临全新的威胁。

　　一般而言，基于系统来源看，主流的终端威胁包括了：恶意人员、软硬件故障、恶意代码和病毒、越权或滥用、物理攻击、网络攻击、篡改、恶意行为、无意行为等多个方面。可以看出，信息所面临的威胁来源分门别类，正如专家所说的，信息安全确实是一个非常复杂的系统性概念。

　　信息的途径无外乎就是一些主要的点，如网络途径，存储途径，端口外设途径、打印途径。而从信息系统安全基本要素的角度看，网络安全、主机安全、介质安全、数据与应用安全、网络安全隔离与信息交换五个方面对终端的安全管理产生着巨大影响。

　　从另外一个角度看，计算机终端在安全管理和信息防泄漏方面面临着一些更直接的基本问题和挑战：如领导的意识、单位重视程度，或者经济、预算状况，网络信息的规模及其复杂程度;无法确保部署的防护软件不被随意卸载或者绕过，新的泄密途径层出不穷;还有国家政策、行业标准的推出是否得到及时跟进等等。

　　统一路线

　　那么，终端面临着来自多个方面、不同层次的安全威胁，如何做好终端的安全与防信息泄露管理，企业用户需要一个基本的防护路线。

　　在国际上有ISO/IEC 2007这样的指导性标准，国内有针对涉密、非涉密系统的分级保护和等级保护两大领域的一系列标准，然而它们的基本内涵和思想极其相似。采取技术手段，是不是很好的做到终端和信息的安全管理，答案是否定的，事情总是有相反两个方面。防护了，是不是防护得足够好，肯定需要一种途径或者方式来检验。一般称之为自我检测和评估，这里面就会有风险评估的工具、扫描、检测和计算机安全性检查等等。

　　另外，一些管理的问题，无外乎两种手段，第一是人的管理，第二个是技术的管理。管理必须得有一个机构，有了机构应该有相关的制度，有了制度，需要有人去执行，并制定相应的管理策略。

　　完整的防护体系

　　确保终端安全，需要建立完整的防护体系，一般来说需要四个方面准备：首先就是以硬件级防护为基础，建立可信可控的信息系统;其次，建立可信认证机制的纵身防御体系;再次，实现身份鉴别、介质管理、数据保护、安全审计、实时监控等一系列基本防护要求;最后，安全性、管理性并重，系统既突出安全性，更注重可管理性。

　　对终端实现安全管理的同时，希望能够为用户提供一些技术手段，帮助他们建立一个自检平台，从单机、网络行为、网络环境三个层面进行一系列安全性检查、评估。尤其重视了当前对计算机终端安全威胁极为严重的木马检测——通过静态、动态检测方式的密切配合，可以识别已知和未知的木马，监测木马在发生什么，操作什么，并给出一个对木马的风险等级评估。

　　为构建上述“安全防护体系”，实现对终端的安全和防泄漏管理，必须以“信息”为出发点，充分思考下面四个要素——机密性、可用性、完整性、可审计性。基本上，这四大属性的覆盖可以实现95%以上的信息系统安全。

　　进一步，以“信息”为核心、为主体，从业务和管理应用角度出发，实现对终端的安全和防泄漏管理必须实现——启用硬件资源可信、进入操作系统可信、进入网络可信、系统运行环境健康可信、运行程序健康可信、系统运行环境容灾备份恢复、强制敏感文件安全存储自动备份恢复、文件操作/网络连接行为实时监控、事中/事后的行为追查审计，关键的是所有这些都必须在统一的安全管理平台下实现。以“终端主机”为主体，从设备和防泄密管理角度出发，实现对终端安全和防泄漏的管理。

　　新的思路

　　回顾现有的安全防护系统，其安全性基本上完全取决于操作系统本身。而操作系统本身的安全性众所周知，如果把安全建立在他们的基础之上，这种设想恐怕不容乐观。

　　笔者考虑从硬件做起，实现安全防护中的“硬道理”——首先基于《PCI局部总线规范》在最底层实现对计算机终端进行物理安全加固。基于这一思想设计的以PCI适配卡为载体的“安全防护卡”自身安全性不依赖于任何操作系统或软件，实现了强制终端从硬盘启动，杜绝从光盘启动，防止随意重装操作系统;实现了基于BIOS的最底层的硬件级登录认证;芯片级的计算机数据全盘保护，对包括操作系统在内的所有硬盘数据实施全盘保护，但保护对用户完全透明，即使硬盘丢失数据也不可能被恢复。同时对终端操作系统上安全的其他其他安全防护软件进行了安全加固，防止被绕过、删除、格式化等一系列操作导致的防护失效。更为突出的是，可以实现对除Windows之外的其他操作系统平台实施同样的安全保护，因为由于其独特的技术路线实现了对所有硬件平台和操作系统的兼容。

　　此后要考虑的事情就是实现登录操作系统的可信可控——就是计算机硬件启动之后，是否有权限进一步登陆操作系统，以及可以进行什么权限的文件操作，文件如何安全存放。如果计算机终端发生系统灾难，如何进行系统备份和灾难恢复。

　　最后，要实现终端进入网络的健康、可信、可控——只有经过授权许可的“可信、可控、健康”计算机才可允许接入到内网，并且对入网计算机终端的运行、健康状态进行实时监控，通过创新的技术及理念打造出一个信得过、进得来、控得住的健康可信的内部网络。且这一机制的实现所依赖的“唯一识别标识”是硬件形式，不可伪造或随意更改。终端接入了内网，要看是否健康，如果不健康，防护系统会采取进一步措施，如报警、断网或修补漏洞等。

　　终端进入网络后利用网络进行各种敏感操作进而威胁终端安全的空间非常广阔。所以要对内部网络行为进行严密监视，更要“控制一切非授权外部连接”——因为未经授权的外部连接必然导致不可控的信息泄露。实时阻断(或过滤)涉密计算机(或非密内部终端)连接互联网。敏感单机(如笔记本)与外部网络或主机的连接必须可控，需经过带智能KEY的身份认证或管理部门授权。

　　总的来看，信息安全是一项集管理和技术为一体的系统工程。它是以计算机网络安全技术应用为基础，通过各种管理平台和工具为手段来达到系统安全目的。而当前终端安全的核心，就是通过构建全面管理的安全平台，提供“从终端、网络到管理中心三点一线”的操作平台，实现对主机各种泄密途径实时控制，提供网络运行安全、高效管理的分布式、一体化集中解决方案。

　　四级终端防护体系一览

　　第一级，建立硬件可信可控系统.

　　第二级，建立可信认证机制的纵身防御体系。

　　第三级，实现身份、介质、数据、审计、监控防护。

　　第四级，将安全性与管理性并重考量。