《数据安全实践指南》 通用安全实践终端数据安全

终端数据安全

• 随着网络规模的不断扩大，企业的不断发展，对于现代企业来说，终端已然成为每个公司不可缺少的重要设备之一，其本身具备两个特性：高价值性和低安全性，因此终端极易成为被攻击者攻破的对象。进行终端数据安全管理，可以有效预防IT资产管理失控、勒索/挖矿病毒入侵、数据资源对外泄露等问题。

建立负责终端数据安全的职能部门

• 为了避免在终端上出现勒索/挖矿病毒入侵或敏感数据泄露之类的终端数据安全问题，在条件允许的情况下，组织机构应该设立终端数据安全管理部门，并招募相关的管理人员和技术人员，负责为公司提供必要的技术支持，为组织机构内部制定整体的终端设备的数据安全管理规范和安全配置管理策略。除此之外，终端数据安全管理部门还需要为业务团队提供对不同终端数据安全管理场景的风险评估支持，有针对性地制定终端数据安全方案，为执行终端数据安全管理的人员（技术人员）进行专门的安全意识培训，加强对技术人员的监管，确保其可以按照国家相关法律法规和标准来管理终端的数据安全问题。

明确终端数据安全岗位的能力要求

• 终端数据安全管理人员必须具备良好的数据安全风险意识，熟悉国家网络安全法律法规，以及组织机构所属行业的政策和监管要求，在进行终端数据安全管理，以及制定终端设备的数据安全管理规范时，能够严格按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规和行业规范执行。同时，终端数据安全管理人员还需要相关的管理人员具备一定的终端数据安全管理经验，拥有良好的终端数据安全专业知识基础，且通过了岗位能力测试，熟悉主流的终端数据安全策略、管理流程和技术工具，能够根据不同的终端数据安全场景进行相应的风险评估，能够根据终端数据安全管理需求明确应该使用的数据管理工具或平台，能够根据行业及政策变化主动更新相关的知识和技能，具备结合业界标准、合规准则、业务场景制定标准化终端数据安全管理的能力。
• 终端数据安全管理部门的技术人员同样也必须具备良好的终端数据安全风险意识，熟悉相关的法律法规及政策要求，熟悉主流厂商的终端数据安全管理方案，熟悉主流的终端数据安全管理工具或管理平台及其使用方法，拥有一年以上的终端数据安全管理执行经验，充分理解并执行由管理人员制定的终端数据安全管理规范，具备根据政策变化和技术发展主动更新自身相关知识和技能的能力，具备按照统一的部署标准在终端设备系统上安装各类防控软件的能力。

终端数据安全岗位的建设及人员能力的评估方法

• 1.调研访谈

  • 对终端数据安全管理人员的访谈内容为：确认其在制定整体的终端设备的数据安全管理规范上、在明确终端设备的安全配置管理上、在制定终端数据的注意事项和数据防泄露管理要求上、在有针对性地制定整体的终端数据安全解决方案上、在规定标准的终端数据安全管理工具上、在对终端数据管理的业务场景进行风险评估上，是否符合国家相关法律法规的规定，是否具备足够的能力胜任该职业。同时，调研访谈还应该确认终端数据安全管理人员是否充分了解终端设备的数据出入口，以及相应的数据安全风险。

  • 对终端数据安全技术人员的访谈内容为：确认其是否具有一年以上的终端数据安全管理执行经验；是否熟悉终端数据安全的相关合规要求；是否能够按照国家相关法律法规和管理人员制定的终端设备的数据安全管理规范对不同的终端设备进行数据安全管理；是否能够准确地实施由管理人员制定的定制化终端安全解决方案；是否能够实现终端设备与组织内部员工的有效绑定；是否能够按照统一的部署标准在终端设备系统上安装各类防控软件；是否能够按照管理人员制定的终端数据防泄露方案对终端设备上的数据及数据操作进行风险监控；是否能够对突发情况进行及时的应急处置与追踪溯源。

• 2.问卷调查

  • 终端数据安全管理人员是否制定了针对公司内部的、有效的终端设备数据安全管理规范；是否明确定义了终端设备的安全配置管理；是否明确定义了终端数据的注意事项和数据防泄露管理要求；是否明确定义了终端数据安全管理的场景及管理方法；是否建立了对终端数据操作的监控机制；是否可以对不同的终端数据安全管理场景进行风险评估；是否可以根据不同的终端数据安全管理场景的安全需求提供定制化的终端安全解决方案；是否能够依据国家相关法律法规对终端设备上的数据操作进行严格规范的日志记录；是否规定了在不同场景下应使用的终端设备数据安全管理工具；是否制定了统一的终端数据安全管理工具及相关的使用标准，以用于应对突发情况的应急处置与追责溯源。

• 3.流程观察

  • 以中立的视角观察公司终端数据安全管理人员的工作流程，包括在为公司制定整体的终端数据安全管理规范时、为技术人员制定终端设备的安全配置标准时、为技术人员制定终端数据的注意事项和数据防泄露管理要求时、为不同的终端数据安全管理场景提供安全风险评估时、为不同的业务场景提供定制化的终端安全解决方案时，是否可以识别出其中可能存在的终端数据安全风险，是否贴合组织机构的内部框架，是否能够满足不同业务场景的安全需求，是否符合国家相关法律法规的要求。
  • 以中立的视角观察公司终端数据安全技术人员的工作流程，包括在对终端设备上的数据进行管理时、对终端设备上的数据操作进行日志记录和监控时、执行终端数据安全管理人员制定的终端数据安全解决方案时、按照统一的部署标准在终端设备上部署安装各类防控软件时，是否可以识别出其中可能存在的安全风险，方法流程是否符合标准，是否符合国家相关法律法规的要求。

• 4.技术检测

  • 终端数据安全阶段的技术检测，需要使用技术工具检测终端数据安全管理的工作流程是否符合安全规范与法律规定，确保没有出现任何超出终端数据安全管理授权范围的情况；检测终端数据防泄露方案的执行效果，是否可以做到对终端设备上的数据操作进行准确的风险监控与日志记录，确保当出现突发情况时组织机构能够快速进行应急处置；检测终端设备上的各类防控软件的安装情况，确保其可以正常有效地运作，可以定时进行正常更新；检测终端数据安全管理的方式是否符合标准，以及数据管理的安全需求是否能够得到满足。

明确终端数据安全管理的目的和内容

• 终端是组织机构存储、处理和交换大量敏感数据的环境，一方面复杂、多变的终端环境及不同的使用体验等都对终端数据安全管控的实践带来了更多挑战，另一方面不同的人员角色、复杂的使用场景，以及跨越国家、组织和系统的数据流动等，都对组织数据安全带来了更多威胁。建立管理和技术相关的终端保护措施，可以保证数据可用性和安全性的平衡。
• 组织机构需要设定终端数据安全管理部门，负责终端数据管控、员工终端行为管理、防数据泄露平台管理，以及终端数据的日常维护与应急工作，以确保终端数据的安全性。

建立终端安全管控规范

• 终端数据安全管理部门需要建立终端安全管控规范，通过覆盖网络准入、补丁管理、安全基线、入侵防御、防病毒、数据防泄露、软件管理、行为审计等多维度的管控，保证终端数据的安全性，具体说明如下。
• 终端防护对象需要根据组织机构的实际资产情况进行展开，包括但不限于各类办公终端、业务终端和移动终端等。
• 桌面管理系统可用于实现终端网络的准入控制，具体来说就是实现终端使用者身份验证、终端设备安全合规检查、使用者访问权限控制等。
• 桌面管理系统可用于实现终端安全运维管理及审计，包括但不限于终端软/硬件信息搜集、设备拓扑发现、设备定位、本地安全管理、终端流量控制、补丁管理、软件分发、远程协助、非法外联、移动介质管理和操作审计等。
• 主机入侵防御系统可用于实时监控系统异常操作行为，第一时间发现和阻断入侵行为。
• 统一管理的杀毒软件系统可用于实现覆盖全网的、可快速应急的防病毒体系。
• 桌面虚拟化环境可用于对驻场的开发、测试、业务等外包场景进行集中管理和统一配置，杜绝私自进行数据交换，以规避数据外泄的风险。

制定员工终端行为管理规范

• 终端数据安全管理部门需要建立员工终端行为管理规范，对用户在终端上的数据访问、处理、存储和交换行为进行明确要求、检测和管控，并明确员工的责任和义务，具体说明如下。
• 终端应使用固定IP地址，员工不得自行变更。
• 员工在接收来自外部的软件或资料时，应首先进行病毒检测和病毒清除工作。
• 任何人不得制造或传播各种计算机病毒或恶意软件。一旦发现病毒，员工应及时对病毒进行清理，并采取必要的措施，隔离已感染病毒的计算机终端，防止病毒的进一步传播。
• 员工的个人账号和密码未得到其本人授权的，任何人不得私自使用或破解。
• 禁止在没有采用安全保护机制的终端上存储重要数据，用于存储重要数据的终端至少应该设有开机口令、登录口令、数据库口令、屏幕保护等防护措施。
• 员工不得私自设立WWW、FTP、TELNET、BBS、NEWS等应用服务；不得设立网上游戏服务，不得设立拨号接入服务等。

部署数据防泄漏平台

• 部署数据防泄露平台，需要以统一策略为基础，以敏感数据为保护对象，根据数据内容进行主动防护，对所有敏感数据的输入和输出通道（如邮件、U盘复制、打印、共享等多个渠道）进行监管，根据策略管控要求进行预警、提示、拦截、阻断、管控及告警等，并通过强化敏感数据审核与管控机制以降低敏感数据外泄的发生几率及提升操作的可追溯性。

终端数据安全监督与检查

• 终端数据安全管理部门应定期或不定期地对各个部门的计算机终端使用情况进行审计。对于违反管理规定的情况要通报批评并及时指正，同时给予违反本规定的直接责任人相应的处罚；对于严重违反规定，可能会或己经造成重大损失的情况，应立即向上级领导汇报，并根据相关法律法规进行处理，同时追究其直接上级领导的相应责任。

建立审计机制与应急处置流程

• 终端数据安全管理部门需要建立应急预案与处置流程，强化安全管理，最大限度地减少突发事件对终端数据的危害。在终端数据访问和使用的各个阶段都加入安全审计机制，严格、详细地记录终端数据访问和使用过程中的相关信息，形成完整的终端数据审计记录，以用于后续问题的排查分析和安全事件的取证溯源。同时，终端数据安全管理部门需要设置专人定期对终端数据相关的日志记录进行安全审计，发布审计报告，并跟进审计中发现的异常。

使用技术工具

• 在组织内，需要进行数据安全保护的终端不仅是指笔记本电脑、台式电脑、平板电脑、手机等，同时还应该包括所有产生和使用组织数据的终端设备，包括但不限于打印机、投影仪、工控设备，等等。所以相关的技术工具需要能够覆盖到所有的联网数据终端设备。对于终端安全技术工具来说，最主要的技术工具应该是准入、访问控制、防病毒及数据防泄露的工具技术。组织机构应整体考虑终端安全的解决方案，包括终端环境的安全性和数据流动的安全管控等。

终端安全管理技术

• 准入控制：主要用于识别和确认终端用户的身份信息，完成对终端用户的身份鉴别，确保只有合法的终端用户才能使用终端计算机；同时结合事先制定的安全策略，强制将不符合安全策略的终端计算机跳转到访客隔离区，使其完成终端安全管理软件的下载和安装，在符合既定安全策略要求后才准许接入内部网络，避免非授权用户和非安全终端随意接入网络而引起的安全风险问题。

• 桌面管理：主要用于终端资产管理、终端使用管理和终端安全性检查等，实现操作系统和应用软件的补丁下发，防病毒软件检测等终端加固措施，并能够通过提供软硬件资源登记、终端设备变化报警、软件进程保护、终端流量监测和非法外联监控等功能，防止因其他途径而造成的安全隐患，从而保证终端系统的安全稳定运行。

• 行为管控：对用户浏览网页、使用游戏软件、即时通信软件等各种应用软件的网络行为进行管理和控制，从而解决网络访问控制不规范、网络带宽资源滥用等问题。

• 安全审计：对终端用户的主机操作、网络访问、数据库访问、网站浏览、邮件外发，以及文件的输出和打印等行为进行统一监控和综合审计。

• 终端的准入控制通常是通过NAC（Network Admission Control）技术来实现的。NAC中文术语为网络准入控制，是一项由思科发起、多家厂商参与的计划，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC技术，组织机构可以只允许合法的、值得信任的终端设备（例如，PC、服务器、PDA等）接入网络，而不允许其他设备接入。NAC技术的工作原理是当终端接入网络时，首先由终端设备和网络接入设备（如交换机、无线AP、VPN等）进行交互通信。然后，网络接入设备将终端信息发给策略/AAA服务器对接入终端及终端使用者进行检查。如果终端及使用者符合策略/AAA服务器上定义的策略，则策略/AAA服务器会通知网络接入设备，对终端进行授权和访问控制。

• 防病毒及安全补丁的安装是终端安全管理的另一个重点。在终端安全管理系统中，终端的安全补丁和病毒库是统一下发的。一般包含两种部署模式，公有云部署和私有云部署。

• 私有云部署适用于终端安全管理控制中心无法访问互联网的网络环境。私有云部署模式下，需要事先使用专用互联网终端从互联网补丁/病毒库中下载更新，然后复制/上传到终端安全管理控制中心服务器，由服务器统一上传至私有云的补丁/病毒库，再从私有云补丁/病毒库中统一下发给安装了管控客户端的终端。

• 在高级威胁防护方面，端点检测与响应技术（Endpoint Detection Response，EDR）发挥了强大的作用。相比于传统的终端安全防护手段，EDR一方面借助于云计算和人工智能的威胁分析来解决传统杀毒技术无法解决的高级持续性威胁，针对高级威胁事件，在其发生前、发生中和发生后进行相应的安全检测和响应动作，以满足用户对高级威胁的持续防护需求；另一方面重点加强自动化的智能响应能力，从而大大降低应急响应的技术门槛，使其依赖系统可以自动实现攻击阻止、隔离修复、取证分析和追踪溯源的功能。

数据防泄漏技术

• 终端会使用和产生数据，比如，办公电脑会产生文档，打印机会打印文档数据等，所以使用数据防泄露技术来保护终端产生和使用的数据是很有必要的。
• DLP（Data Leakage Prevention，数据泄露防护，也称为数据丢失防护）是一种策略，其通过一定的技术手段，防止组织的指定数据或信息资产以违反安全策略规定的形式流出企业。传统的敏感数据防泄露保护手段使用的往往是加密、授权等控制方式，进行加密和授权的是一整个文件，而不是根据文件内容的敏感程度来进行数据防泄露保护。加密、授权的措施虽然能在很大程度上保护组织数据的安全性，但是其会降低数据在组织内部生产、使用和传输的灵活性，而DLP技术则解决了这一问题。DLP技术的核心在于内容识别，其通过正则表达式、数据内容特征指纹等技术识别敏感数据并进行防泄露控制。DLP是一个综合性的数据防泄露技术，数据防泄露保护措施贯穿从敏感数据发现、敏感数据标记（加密和水印等）、敏感数据管控到敏感数据审计的整个数据安全生命周期。
• 依据数据防护工作特性，DLP可以细分为三大类，即网络DLP、存储DLP和终端DLP。网络DLP主要关注网络出口点的工作状态，用于加强针对流经网络出口点的数据分析，并借此发现违反企业信息安全策略的敏感信息。而存储DLP则是利用软件的手段检查是否存在某一类别的数据存放在了安全程度不足的地方，或者存放在了能够被权限不够的人员访问到的地方，或者被非法持有。终端DLP则主要关注于网络中诸多信息终端与数据节点之间通信状况的数据防泄露机制，主要用于定位网络内部和外部的通信过程是否合法。
• 在DLP系统的实现技术中，比较常规的内容识别技术有正则表达式检测、关键字检测和文档属性检测等技术。对于较为明确的敏感信息，我们可以使用正则表达式检测和关键字检测技术实现数据防泄露保护。文档属性检测主要是针对文档的属性（如文档类型、文档名称、文档大小、文档创建者等）进行检测，常规的文档属性检测技术在常见的数据类型中可以发挥很大的作用。而针对类型更多、更复杂的数据，DLP系统中也引入了更高级的技术，如精确数据比对（EDM）、指纹文档比对（IDM）、向量分类比对（SVM）等技术。
• 内容识别是DLP系统最基本及核心部分，除此之外，一个成熟的DLP数据防泄露系统还具有以下功能。
• 透明加密：对终端生成的文档进行自动加密，加密文档在内部授权环境内可以正常使用，未经授权解密而私自带到外部，或者未经授权的内部环境均无法打开。
• 端口管控：对终端的数据传输端口（如蓝牙、USB、打印机等）进行管控，可以从硬件端口层面防止数据泄露。
• 数据防护：对复制粘贴、邮件发送、社交软件发送等各种能够外发数据的渠道进行防护。
• 日志审计：对数据的终端生产、使用和传输的生命周期进行日志记录。可对泄密事件进行分类审计和对比分析，并对所展现的趋势进行统计分析。

移动安全管理技术

• 相对于固定终端（如台式电脑、打印机等）来说，移动终端的安全管理难度更大。这是由于移动终端无论是从地理位置还是网络位置来说，其都是可“移动”的，即不固定的，因此其无法使用组织内部统一的访问控制进行管控。目前使用最多的移动终端有手机、PAD和笔记本电脑，它们都具备接入无线网络和移动网络的功能。所以，移动终端的安全管理包括网络和终端本身的安全管理，网络安全管理又可分为移动网络接入安全管理和无线网络接入安全管理，终端的安全管理则需要从硬件、软件和数据三个层面来进行安全管控。同时使用相应的移动终端安全管理平台进行数据全生命周期的安全管理。
• MDM（Mobile Device Management，移动设备管理）可用于提供从设备注册、激活、使用到淘汰各个环节的完整的移动设备全生命周期管理。移动设备管理能够实现用户及设备管理、配置管理、安全管理、资产管理等功能。移动设备管理还能够提供全方位的安全体系防护，同时还能在移动设备、移动APP和移动文档等三个方面进行管理和防护。移动设备管理可分为两大部分，一部分是安装在移动终端上的MDM客户端，另一部分是MDM统一管理平台。
• MAM（Mobile Application Management，移动应用管理）是一种针对员工移动设备应用的安全保护、分发、访问、配置、更新和删除等的策略和流程。其通过企业应用商店控制和推送应用，能够集中监控应用的使用情况，对应用设置相应的策略以满足企业的规范要求。MAM是MDM（Mobile Device Management）向移动应用的延伸，可以帮助企业将IT策略从设备级延伸到应用级，从而具备对于企业应用APP的更高控制能力，能够实现自动化的应用配置，应用内数据安全管理及移动端应用到后台服务系统的安全数据传输等功能。
• MCM（Mobile Content Management，移动内容管理）借助于一种俗称为容器化或沙箱化的技术，可以实现隔离、监控和控制敏感信息的分发与访问功能，当然，这些信息是由组织的安全策略所规定的。容器是加密的和集中管理的，并且由数据访问、数据复制、电子邮件管控等相关策略进行保护。在MCM中，敏感数据一定是加密的，且能够有选择地从一台设备上擦除掉。这样的数据管控机制对于设备丢失、被盗或设备的所有者离职等情况非常有效。由于大多数组织都将安全性放在第一位，特别是在BYOD（自带设备）环境中，因此目前MAM和MCM已成为一个企业成功进行移动管理的主要应用技术。
• EMM（Enterprise Mobility Management，企业移动化管理）是MDM、MAM、MCM的集大成者，其包含了MDM、MAM、MCM三大组件的核心内容，是真正意义上的综合移动管理平台。除此之外，EMM一般还具备MEM（移动邮件管理）、VPN连接等功能，可以从各个方面对移动终端进行安全管控。
• 移动终端接入网络的方式一般为无线网络接入或移动网络接入，无线网络通常指的是Wi-Fi网络，移动网络则是移动运营商提供的网络，如3G网络、4G网络、5G网络，等等。移动终端入网后，需要做的安全管控是网络准入及数据收发控制管理。对于组织内部的无线网络来说，只需要通过上网portal认证、终端MAC地址绑定等技术，在设备入网后接入EMM等管控平台即可。当移动终端连接外部无线网络时，在不连接组织VPN网络的情况下，EMM客户端会保护组织相关的应用与数据，使组织相关的应用与数据不可用。只有连接了VPN（虚拟专用网络），才可以使用相关的应用与数据，同时接入EMM的管控。
• 当移动终端使用的是移动运营商网络时，除了使用VPN的方式进行移动安全管理之外，移动终端还可以与移动运营商合作建立专有APN（Access Point Name），即网络接入点。专有APN可以采用多种安全措施保证移动设备的安全：通过一条2Mbit/s专线接入运营商GPRS（General Packet Radio Service，一种移动数据业务）网络，双方互联路由器之间采用私有IP地址进行广域连接，在GGSN（Gateway GPRS Support Node，网关GPRS支持节点）与移动公司互联路由器之间采用GRE（General Routing Encapsulation，通用路由封装协议）隧道；为用户分配专用的APN，普通用户不得申请该APN。用于GPRS专网的SIM（Subscriber Identity Module，用户身份识别模块）卡仅开通该专用APN，从而限制使用其他APN；用户可自建一套RADIUS（RemoteAuthentication Dial In User Service，远程用户拨号认证系统）服务器和DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）服务器，GGSN向RADIUS服务器提供用户主叫号码，采用的是主叫号码与用户账号相结合的认证方式；用户通过认证后将由DHCP服务器分配企业内部的静态IP地址；移动终端和服务器平台之间采用端到端加密的方式，以避免信息在整个传输过程中可能发生的数据泄露问题；双方采用防火墙进行隔离，并在防火墙上进行IP地址和端口过滤。

技术工具的使用目标和工作流程

• 终端安全管理：具备终端管理功能，能够实现终端准入、资产管理、补丁管理、安全基线、入侵检测、防病毒、行为审计等方面的管控。
• 数据防泄露：具备数据防泄露（DLP）功能，可以根据组织业务场景需要构建基于加密或边界管控的思路来实现，辅助以水印、标记、协议管控、打印管控等手段，实现一个从发现、加密、边界管控到审计的数据泄露防护闭环体系。
• 移动安全管理：具备移动安全管理功能，对移动端的数据存储、数据传输、数据分发和数据访问等行为进行管控。