信息安全与管理
信息与电脑China Computer & Communication2019年第16期
未来终端安全防护的发展方向
吴庆升 李晓敏
(德宏供电局,云南 芒市 678499)
摘 要:近几年,随着社会经济的高速发展和信息技术发展速度的加快,网络安全威胁和风险因素愈发突显。终端作为集信息交互、处理和存储为一体的设备,数量繁多,安全问题特别显著。基于此,可从网络准入、硬软件等层面研究终端存在的安全威胁,从接入控制、身份认证、监控与审计三方面提出未来终端安全防护的发展方向和具体设计思路。
关键词:终端;安全防护;身份认证
中图分类号:TP393.08 文献标识码:A 文章编号:1003-9767(2019)16-208-02
The Development Direction of Terminal Safety Protection in the Future
Wu Qingsheng, Li Xiaomin
Abstract: In recent years, with the rapid development of social economy and information technology, network security threats
(Dehong Power Supply Bureau, Mangshi Yunnan 678499, China)
and risk factors have become increasingly prominent. Terminal as a set of information exchange, processing and storage as one of the equipment, a large number of security issues are particularly prominent. Based on this, we can study the terminal security threats from security protection in the future from three aspects of access control, identity authentication, monitoring and auditing.
Key words: terminal; security protection; identity authentication
the aspects of network access, hardware and software, and put forward the development direction and specific design ideas of terminal
0 引言
近几年,信息技术发展越来越快,信息化对我国各个领域产生了深远影响。互联网作为当前社会非常重要的一项发明,给人们的生活带来了巨大变化,加快了各个领域的发展和创新,但网络安全威胁和风险越来越突出。相关资料显示,绝大部分网络安全威胁都是内部因素造成,远超于黑客攻击所产生的损失。越来越多的信息安全事件表明,人们需充分重视企业内网安全问题,尤其是企业内部终端安全问题。终端作为集信息交互、处理等为一体的设备,涉及数据安全等方面。终端的形态各式各样,当前安全防护体系基本上都以硬件为基础创建,破坏硬件就能破坏所有防护体系。传统安全产品如防火墙等,更多是针对硬件、软件安全保障,无法处理应用层面的安全问题。基于此,需要针对各个层面的终端安全问题,寻找针对性改善措施。
[1]
非法终端会严重影响企业内网,且内部终端不具备较强的防守能力,由此受到较大程度的损坏。1.2 硬件安全
归根结底,数据之所以出现泄露情况,主要是因为硬件设备丢失[2]。员工出差时,经常将个人终端设备遗忘在公交车等地方,而终端设备中的数据一般没有实施相应的防护措施,极易导致重要信息外泄。1.3 软件安全
软件包含终端设备安装的系统。终端系统存在不安全因素,若未第一时间更新,易成为被恶意攻击的对象。大部分安全事件主要由于系统未及时安装补丁而导致。1.4 数据安全
事实上,终端设备中包含重要文件,但未实施相应保护,敏感信息传输期间未采取针对性防护手段,内网和互联网相互数据传输时,未采取较强的监督管理手段[3]。网络中存在的这些问题导致敏感信息泄露。
1 当前终端面对的安全问题
1.1 网络准入控制机制不严格
企业的网络准入控制机制不严格,极易造成大部分非企业终端接入内部网络,利用网络实现数据转移。另外,这些
作者简介:吴庆升(1983—),男,云南腾冲人,本科,助理工程师。研究方向:电气工程及其自动化。李晓敏(1983—),女,回族,云南芒市人,本科,工程师。研究方向:计算机科学与技术、软件工程。
— 208 —
2019年第16期
信息与电脑China Computer & Communication信息安全与管理
1.5 物联网终端安全
近年来,物联网安全事件发生率越来越高,物联网安全防护匮乏。物联网表现的是所有事物互相连接的状态,是未来信息化技术发展的必然走向。物联网设备的制造商将更多精力放在设备智能化方面,忽略了安全性。物联网中,用户隐私有可能被外泄,存在重视平台、忽略终端的现状。感知层的终端防护水平有较大上升空间。目前,物联网终端安全问题主要包括设备存在诸多隐患、敏感信息未经授权访问等。1.6 云终端安全
云服务端的数据要提高平稳性和安全性,终端用户接入云端需要确保安全性不受影响;否则,基于云端的所有服务的可信度会大大下降。不管云终端是否存储数据,云终端的端口和接口开放都必须实施严格控制。
2.3 终端监控与设计
事实上,不管何种安全方法都离不开全过程控制。虽然终端可以轻而易举登陆,但是仅证明登陆身份得到认同,无法确保用户操作可以完全信赖。纵观之前发生的信息泄露事件,大多数由内部人员操作不当导致。终端监控和审计可内置一个综合代理程序,从以下几方面实施监控与审计。
第一,系统安全性。代理程序监控终端的安全性需得到有效保障,第一时间安装最新杀毒软件。与要求存在区别,需服务器告警并上报日志,必要时可断开网络,不再提供访问服务。只有规避所有隐患后,才能再一次接入内部网络。
第二,外设监控。终端极易导致重要数据、文件等外泄,需要给予充分重视。内网终端随意接入手机可轻而易举转移重要内容,随意接入打印机可轻松带走文件,随意接入外置光驱能够复制文件。因此,需要控制终端接入的外设。按照单位、部门、终端的不同,可设置针对性措施。只要全面设定措施,才能最大程度控制非法外设产生的不安全因素。
第三,对终端上的文件实施分级权限,拥有最高级别的文件能够拒绝全部操作行为。对进程、驱动和服务实施黑白名单式管理,白名单内的进程、驱动和服务能够运行,黑名单内的不允许运行,如果不按照要求则给予警示。全部运行和停止行为都必须记录日志。
第四,网络连接行为控制。代理程序能够控制终端网络连接行为,设置禁止和允许访问的网络范围,如果终端访问禁止网络,能够警示并访问。
第五,大数据分析。对终端行为产生的日志实施智能大数据研究和学习相关技术,不再采用手工统计方式。按照特征值统计分析日志,创建终端安全态势,第一时间向管理工作人员呈现并指出内网中存在的隐患,实现即时预警作用,按照研究结果实施进一步排查,提出针对性解决措施,为终端改善提供强有力的支持。终端监控和审计还要采取相对应的管理方法,监控和审计终端。服务器应采用安全方法有效防护。作为一个终端安全防护系统,考虑安全性的过程中会涉及其他方面,应尽可能防止设计存在的缺陷产生诸多隐患。
2 未来终端安全防护的发展方向
终端的形态和接入方法包括手机、云终端、物联网终端等。2.1 终端接入控制
企事业单位未做好终端接入,造成安全事件。内部网络一定要认证终端用户,利用Radius认证服务可达到目的,不但能认证用户,还能实施授权,设置终端用户只能访问部分服务。终端设备接入过程中,可考虑终端安装特定的防护软件。只有成功安装防护软件才能入网;反之,拒绝入网。服务器可提供防护软件下载地址,方便用户及时使用。经管理工作人员同意后,可打破惯例,允许个别可信度比较高的终端接入,但一定要设置服务范围。2.2 终端身份认证
虽然终端设备实施了严格的接入控制,能够防止未正式授权设备的接入,但无法提高终端设备的安全性。要想充分应用一个终端,就要实施身份认证。一旦终端被未经过授权的用户登录,全部数据会被泄露,造成不可估计的后果,尤其是企事业单位。终端登录实质上是身份认证过程,通常为基于用户名和密码的认证,全部属于静态认证手段。但是,基于用户名和密码的认证并不是万无一失,木马程序或者网络监听软件能够轻而易举获取信息,安全性比较低,且IC认证的数据为静态数据,利用网络监听等方法极易获取。动态口令等认证技术能够规避静态存在的诸多不足,在较大程度上确保用户安全。通过使用口令的时间,黑客即使获得口令也无法轻松仿冒用户信息。但是,如果设置时间和次数过程中存在诸多缺陷,会对用户登录产生不良影响,还会给黑客创造诸多机会。
除了上述身份认证技术外,基于生物特征的身份认证技术的优势日益凸显。生物特征的平稳性和精确性仍需不断提高,成本也比普通认证技术高,适合应用在高安全性要求高的地方。生物特征和密码技术紧密联系,能够显著提升系统的安全性。现阶段,不管生物特征实施任何一种密码技术,都会受到人为因素的影响,造成生物特征无法识别成功。
3 结 语
不管是手机终端、云终端还是物联网终端,终端安全防护系统都能按照本文提供的思路实施设计,只需按照系统所具备的特征,采取各式各样的实现机制。终端安全防护系统让信息安全管理从网络层、交换层逐渐向终端层面延伸,显著提升了网络安全性。
参考文献
[1]聂大成,陈莹,曾梦岐.车联网终端安全防护技术研究[J].通信技术,2017(8):1794-1799.
[2]胡一博,朱诗兵,李长青.移动智能终端安全体系研究[J].无线电工程,2017(9):1-6.
[3]庞继福.基于CPS的区域能源网络信息安全防护技术研究[D].北京:华北电力大学,2018:63.
— 209 —
