企业办公终端安全管控实践和趋势展望

前言

通常来讲，终端安全是多数企业安全技术起步的首要发力点，抑或称之为较为容易的入手点。但是，终端安全具体指什么？包含哪些内容？又该如何开展建设呢？

要回答这个问题，首先需要对终端安全在认知层面达成一致，认知的统一有助于更好的指导终端安全建设。

终端安全是什么

翻阅了很多资料，没有发现对终端安全较为准确、权威的定义说明。结合维基百科和相关国内外安全厂商的介绍，笔者认为，终端安全即端点安全（endpoint security），是指保护端点（如IOT设备）或最终用户设备（如台式机，笔记本电脑和移动设备）的安全。鉴于安全保护重点优先的原则，通常意识中，大家在谈论终端安全时多数指代的是后者（最终用户设备）。

笔者的分享也重点针对后者，为避免歧义，称之为办公终端安全。

关于办公终端安全的建设，缺少一个比较明确的安全框架可以参照。多数企业一方面结合自己的现状痛点，缺什么补什么，缺乏整体的规划；另一方面，也较难评估自己的建设是否完善，还有什么欠缺。笔者结合企业实践和个人理解梳理了办公终端安全管控的技术框架，希望能够给安全从业者在办公终端安全建设时提供些许参考，后面笔者也将结合框架针对两类典型业务场景落地进行介绍。

办公终端安全管控框架

办公终端安全管控主要从终端资产管理、终端数据安全、终端网络安全和终端安全运营四个维度进行，乍一看和其他安全管控框架维度有相似之处，但办公终端安全管控面临的业务场景不同，管控重心和技术落地点差别较大。

终端资产管理是办公终端安全管控重要一环，是需要安全和IT协同关注的对象，但却不是最先引起重视的点，尤其关于终端标识的管理。终端安全标识是用于指代企业终端唯一性的标注，如果企业的安全工具同时也有外部的合作厂商或人员安装，缺少此类标识，在后期运营阶段和零信任建设中会面临较难区分“敌我”的尴尬，动态授权和数据不落地也会存在痛点。

终端数据安全和终端网络安全是办公终端安全管控的核心。但是，因为企业关注重心的差异，部分企业以终端数据安全管控为主发力点，兼顾终端网络安全管控；另外一些企业则以终端网络安全管控为主，兼顾终端数据安全，少数两者兼优。终端数据安全和终端网络安全涉及较多的安全技术管控点，不同企业建设可以结合企业实际选择进行落地。

终端安全运营，其实运营不止是终端安全管控的独享，在信息安全建设的其他方面同样适用。办公终端安全管控的前期建设，本质上是属于安全工具加持，终端安全运营重点解决从 “主建（应该有）”到“主用（真的有）到“主营（用好，发挥价值）”的过渡，主要可以从运营度量（指标）入手，其中覆盖率、正常率、准确率是不错的几个指标维度。

结合数字化分析，解决凭感觉良好判断终端安全建设优劣的痛点，同时发现风险点或遗漏点优化提升，切实达到保障业务安全的目的。

办公终端安全管控技术框架相较其他安全管控技术框架相对简单，但是在实际业务落地中坑多洞深，想真正切实做好，没有全局的考虑和几把趁手的”兵器”，实属难事。

笔者重点针对两类典型的业务场景落地需要注意的地方做下介绍。

办公终端安全管控典型场景落地

一、终端泄密防护场景

终端泄密防护场景重点关注通过终端数据外泄的情况，一般关注以人、主动或被动形式或通过移动设备造成的泄露。

人（主动）泄露：终端权限管控（外设、蓝牙等）和终端行为管控是主要关注点。多数的单一安全工具也能解决类似诉求，但是如果企业有较多的苹果电脑，Aridrop和苹果端行为的管控是需要认真评估的点，这块可以参见笔者另一篇文章“安全运营视角下的POC测试“。

终端DLP，本质上为解决数据的敏感度识别，如果业务数据除了个人数据外，其他敏感数据占比也较多，就不推荐上了，可以通过其他方式来进行敏感数据的识别。文档加密类工具，如果企业内部办公软件尚未协同IT做好标准化，同理。

人（被动）泄露：主要应对某些特殊原因如被盗，造成电脑丢失的情况。BIOS硬盘加密和远程擦除功能是首选。苹果端的JAMF软件可以留意下，当然，它的功能不只局限于此。

移动设备安全管控，主要针对移动办公的业务场景，单一的采用MDM或MAM都不是最优的选择，尤其安卓端的兼容问题。建议整合到企业的IM工具中，做好数据不落地管控即可，再不济也可以将MAM作为SDK使用。

二、终端攻击防护场景

终端攻击防护场景重点关注因病毒感染、恶意攻击等情形造成终端失陷、数据泄露的问题。终端网络安全中涉及的准入、病毒防护和漏洞管理属于标配，多数厂商的单一产品即可满足需求，但这仅仅是达到了入门。终端攻击防护重心已经从单一的防护转向检测和响应，同时更加依赖云上威胁情报的力量，这也是近年EDR火起来的原因。