征文|陈欣炜:终端安全的一点思考——从机场的终端管控说起

资讯 作者:安在 2021-04-08 23:57:34 阅读:656

戳链接了解本期征文详情




终端安全的一点思考——从机场的终端管控说起
文 | 陈欣炜



陈欣炜
江湖人称KC,18+工作经验,创业2次,现招商银行全资子公司招银云创从事合规和信息安全工作。多年的职业生涯里,从甲方到乙方,再从乙方到甲方,经历一线、二线工程师、技术部门负责人、VP、咨询公司合伙人等多个岗位,在机场、地铁、电信、电力、政府机关、航运、银行、交易所、券商等行业具备服务、咨询和管理经验。


终端安全在安全的地位,以不是很恰当的类比,可以参考运维的IT资产管理,即是一个需要花费大量精力,却无法短期看到合理产出的行业。从我们熟知的终端PC,到后来的移动端、工控端,从小球病毒音乐病毒,到硬软件级终端杀毒和防火墙的普及,再到现在五花八门百花齐放的终端管控系统,无奈,终端安全依然还是处于难管、费钱、成效低、漏洞多、用户不爽的情况。


终端的合规要求


终端管控在ISO27001中没有单独列出章节,但在实践中A9和A11域占据了终端管控的很大一部分,甚至A6域、A10域都会有各类对终端的管控要求,这是终端从十几年前古朴的PC端,到现在移动端,工控端等变化而形成的认知变化。



如A6域中,针对移动终端有以下两条要求:“应采取安全策略和配套的安全措施控制使用移动设备带来的风险”,“应实施安全策略和配套的安全措施以保障远程办公时信息的访问、处理和存储的安全”,可以发现从制度和远程接入对终端提出了安全要求。


又如A9域“无论什么类型的用户,在对其授予或撤销对所有系统和服务的权限时,都应实施一个正式的用户访问配置程序”,这里约定了终端的访问控制要求。


A11域“应采用清除桌面纸质和可移动存储介质的策略,以及清除信息处理设施屏幕的策略”,控制了终端环境和桌面保护。


A12域“应实施检测、预防和恢复措施以应对恶意软件,结合适当的用户意识程序”,对终端的安全防护作出了要求。


除了ISO27001之外,等级保护《GBT22239-2019信息安全技术网络安全等级保护基本要求》中关于终端安全也有相关要求,等保三级的8.1.3.X中有关于访问控制、恶意代码和垃圾邮件的要求,8.2.4.X中更是明确了终端管理的传输要求,8.3.2.X和8.3.3.X针对移动终端提出了合规要求,8.4章的物联网终端也有相关的保护测评要求。


除了27001和等保,还有很多标准和部委要求针对终端进行合规要求,但并不代表做到合规,终端安全就完成了,这有成本上的考虑,毕竟安全程度增加到一定之后,投入是几何级数的增加,且很难看出效果;也有现实中的用户要求。


终端的现实要求


并不是说合规了,管控了,用户就会满意终端安全,用户永远会站在自己舒适的一边。什么样的终端最快?当然是什么防护都没有的最快。你说什么防护都没有就会出事么?偏巧笔者这里以前有个上市公司客户,不单终端裸奔,服务器都裸奔,就这样8年都不出安全事故,当然这也属于特例,客户的行业特殊,对IT的依赖度低导致了对终端的不重视。试问这样的客户,如何推动终端安全?



当然,数据泄漏是终端安全一个常见的推动方式,客户高层通常都害怕公司机密泄漏,无论是业务、技术,还是邮件。但也不代表直接就上DLP,对于某些孱弱的用户,无异于把100kg的防弹衣穿在身上,安全是安全了,但业务也跑不起来了。


当一家公司,连离开锁屏都无法普及的话(回首看研发),无论终端上了多少防护,都没有用处。毕竟安全到最后,还是会映射到人的身上。锁屏这块先科普完,杀毒软件也好,软墙防护也好,义无反顾的各种警告框上选择无视的客户照样大有人在。所以到最后,终端防护技术、终端防护合规、用户体验和成本多种因素都会融合在一块向安全人员提出问题和解决方案。


终端安全试举一例


笔者在机场工作多年,其中工作之一是旅客区终端服务,除了个别旅客故意破坏设施这类极端情况外,在终端管控这个鞥层面一直和旅客斗智斗勇。对旅客而言,和自家电脑一样的舒适度当然是最佳的,但是对终端管控而言,不可能让旅客砸键盘、砸屏幕,不可能让旅客登录不良网页(没有错,曾经通宵整改),不可能让旅客随意登录个人帐号(第一个月跟踪到破千QQ密码,甚至还有股票帐号和不计其数的邮箱密码),也不可能让旅客对终端随意设置(例如墙纸、屏保、甚至开机音乐),同样,对旅客的个人信息也要有足够的提示和保护。而终端管控不是一刀切,也不是为了用户爽全放开,这不准那不准,用户不爽,用户怎么做怎么爽,安全就没法做了。用户天然就有好奇的心理,学习的能力和可能恶意的尝试,但终端的管理者对此需要进行管理。



写到这里,大家应该注意到一点,终端用户的舒适度、终端管控的成本投入构成天平的两侧,而终端安全有成本边界,用户有满意度评测。


以机场的终端为例,至少进行了以下工作:

1.终端的物理保护(装柜,限制U盘、开关终端控制、显示器和键鼠锁定)

2.杀毒软件、软件防火墙、防不良网站、上网行为管理的安装;3.上网行为管理监控到键盘、软件和浏览器登录日志,并与机场公安联动;

4.User权限,最小化组件(控制面板和组策略控制)

5.终端的墙纸、屏保、重要菜单、浏览器等禁止修改;

6.桌面清理及锁定;

7.安装软件的禁止;

8.可视区域内禁止更名(没有错,真有个别旅客改名成不堪入目的内容)


还有些机场集团和公安要求的特殊设置,在这里不一一列举了。


软性的终端保护,还包括日志数据按月报送公安,敏感信息不保留本地,同时张贴相关的警示、终端管理要求和紧急联络电话。


当然,终端管控没有简单的一刀切,例如当年热门的flash,虽然有比较多的漏洞,但依然保证旅客的浏览。自此形成了旅客满意度和终端安全的平衡。


以上是以机场终端用户为视角进行的安全管控,如果兼顾合规的话,主流的ISO27001的A9域、A11域(主要是11.2.9)、等级保护的终端管控,以及其他的法律要求和行业规定,但无论是合规向还是业务向,终端管控都还有很久的路要走,成本、安全和用户满意度的平衡把控更为重要。除了机场之外,银行的ATM,制造业的工控终端,医院的医保对接终端,同样都是被攻击的大户,终端安全依然需要在用户体验、合规要求和技术支持三个维度上任重道远。


——2021年3月20日KC记于诸子云第二届代表大会现场





三~四月主题:《终端安全


征文|肖文棣:终端安全的企业实践
征文|杨文斌:终端安全之线段理论

原文阅读查看往期征文合集

   ▼加入诸子云



齐心抗疫 与你同在 



你怎么这么好看


在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
赞助链接