终端安全管理建设的四个阶段[2016-12-16]

终端安全作为架构企业网络安全的核心组成部分，其重要性已经被业界广泛接受和认可。由于终端安全管理涉及到终端桌面运维管理、内网接入管理、终端安全加固、终端威胁主动防御、终端用户网络行为规范、终端信息防泄密、终端审计等一系列广泛的问题，对到底如何才能做好终端安全管理建设，业界对其的解读和实践，却各有不同。

终端安全管理是一项系统工程，涉及到各个领域相关性很强，相互依存，相互影响，并非解决某一个领域的问题，终端安全问题就可以高枕无忧了。终端安全管理建设也不是一蹴而就，一劳永逸，需要根据实际的问题，对症下药，循序渐进，才能建立起高效、可靠的终端管理体系。

基于对终端安全管理的实践，启明星辰总结出终端安全管理建设的四个阶段，这四个阶段分别是：

阶段一：基础认证及运维阶段

阶段二：合规管理建设阶段

阶段三：主动防御及强制阶段

阶段四：安全运营阶段

下图为终端安全建设的四个阶段示意图：

                                                                   终端安全管理建设的四个阶段

 

以上这四个阶段，概括了企业终端安全管理建设的发展路线图，每个企业在进行终端安全管理建设，都需要经历以上四个阶段，循序渐进，与企业核心业务的发展同步，系统解决终端面临的安全威胁和管理问题，保障和促进企业核心业务的持续、稳定和健康发展。

 企业终端安全管理建设必须经历的四个阶段，每个阶段都具有鲜明的特征，每个阶段具备的特征表现如下：

 1、基础认知及运维阶段

 基础认证及运维阶段，是对终端在业务中的角色和终端自身特征的认证阶段，在了解到终端对保障业务持续稳定运行的重要性之后，围绕终端运行维护相关问题，企业逐步引入一定技术手段，准确掌握终端信息和终端运行状况，完善和加强终端运行维护管理。

 2、合规管理建设阶段

 在解决对终端的基础认知问题，并建立起终端运行维护体系后，终端安全管理建设就可以迈入第二个阶段，即合规管理建设阶段。合规管理建设阶段，核心是要实现终端安全管理的制度化和规范化，依据指定的规章制度有针对性地实施和完善终端安全管理。

 3、主动防御及强制阶段

 终端管理完成合规管理建设阶段之后，终端安全管理体系规范也初具规模，终端安全管理也将具备上升到第三个阶段的条件。终端安全管理的第三个阶段，是终端主动防御及强制管理阶段，这个阶段的主要特征，就是终端安全管理不再是被动防御和管理，而是需要根据潜在的威胁和安全隐患，主动调整终端安全管理体系和制度，实现终端安全主动管理，将终端面临的风险抑制在未起之时。

 4、安全运营阶段

 终端安全运营阶段，是终端安全管理建设的最终阶段，在完成以上三个阶段的安全管理建设之后，终端安全管理将进入到安全运营阶段。进入安全运营阶段，终端安全管理已经不能简单应对和解决终端面临的具体安全威胁，而要站在企业风险管理的层面，从终端风险管理的角度，建立终端风险集中管理与监控生态体系，随终端面临的风险更迭，动态调整终端风险管理体系、制度、架构和需要采用的技术手段，全面提升针对终端风险管理的驾驭能力，促进企业核心业务持续、健康发展。

 以上的四个阶段，概括了企业终端安全管理建设发展的全过程，是企业终端安全管理建设的必由之路。

 每个阶段面对的突出问题

 终端安全管理建设的四个阶段，也是解决终端安全管理面临的问题的过程，由于每个阶段的特征不同，因此每个阶段所面对和需要解决的问题也存在明显的不同。具体每个阶段所面对的主要问题分述如下：

 1、基础认知及运维阶段面对的突出问题

 终端基本信息难以获得及维护，导致信息认知困难

 终端数量巨大、地理分散，导致终端运维支持困难

 无法精确统计IT资产，确定每台电脑的硬件配置及软件安装情况

 无法跟踪IT资产的历史使用纪录，也不能及时掌握资产变动情况

 计算机终端需要统一的管理手段快速统一分发软件和操作系统补丁

 需要针对计算机外设：如USB、Modem、无线设备等，进行有效监控和管理

 计算终端随意访问或扫描内网重要的应用及服务器资源

 计算终端随意对内网中正常运行的终端进行扫描或非授权访问

 病毒、木马的攻击，带来终端及网络的可用性的挑战

 无法及时掌握计算机终端进程运行情况，木马程序有可能“浑水摸鱼

 无法有效监控终端资源的使用情况，也无法及时发现并定位资源使用异常的终端

 计算机终端出现使用故障时，需要IT维护人员亲自赶赴现场处理

 2、合规管理建设阶段面对的突出问题 

 不合规的电脑操作行为，导致工作效率降低或安全风险

 敏感信息的外泄，导致组织核心利益受损

 用户随意安装和运行各种软件，随意占用有限的带宽资源

 用户随意访问、复制、修改或删除终端中重要的文件或数据，恶意破坏或外泄重要的文件和数据外泄

 用户可以在工作时间，随意访问不安全的或者严重影响工作效率的网站，不仅降低的工作效率，还可能从不安全网站引入病毒和木马

 用户随意更改主机名、IP地址、MAC地址等信息，对资产管理、网络审计等方面造成不便

 计算机终端存储的关键数据失窃或外泄后，难以追查

 计算机终端滥用打印机打印小说或保密资料，难以追查

 计算机终端使用未经认证的移动存储设备进行数据交换，不受控制

 未经认证的移动存储设备成为病毒传播的载体

 存储关键数据的移动存储设备丢失或失窃，造成严重的泄密事故

 计算机终端用可以轻易通过拨号、私设代理、多网卡通讯等非法外联手段，造成内部机密外泄

 3、主动防御及强制阶段面对的突出问题

 已有的安全防范手段不能发挥作用

 被动防御，问题层出不穷

 计算机终端未经安全认证和授权即可随意接入内网

 无法对接入的终端进行有效鉴别区分和管理

 计算机终端接入内网后对内网非授权访问难以管理

 计算机终端存在的操作系统安全漏洞不能及时修复

 终端未按照要求安装指定防病毒软件或者未按照要求定期更新病毒定义码，使终端丧失或削弱对病毒的防御能力

 蠕虫攻击导致网络或系统瘫痪，影响核心业务正常运行

 终端安全级别设置过低，既没有禁用存在安全隐患的设置，例如没有禁用Guest账号，允许自动运行Autorun…，也没有按规定空闲定时启用屏幕保护，留下安全隐患

 4、安全运营阶段面对的突出问题

 多种终端系统产生的信息难以统一分析

 与其他安全及网络设备的信息难以综合处理

 在终端安全管理建设进程中，每个阶段呈现不同的特征，所面临的问题也不尽相同，每个阶段问题得到有效解决，将有助于实现终端安全管理质的跨越。那么如何有效解决每个阶段终端安全管理的突出问题，就成为终端安全管理建设的核心问题。