终端安全风险管理：常见分类方式

2023-11-23 理论教育版权反馈

【摘要】：常见的分解方式有：1.基于风险来源基于风险来源分解的第一层是按内部和外部分解，第二层是软件、硬件、移动介质等进行分解。移动存储介质是现在终端使用中最常见的外设，便于文件传递，而且外形小巧，深受终端使用者的喜欢。但是移动存储介质的管理却是终端安全管理人员的麻烦。目前比较合理的使用方式是，对移动存储介质进行标签化管理，限定权限和类别，根据不同的用途和安全范围，进行规范管理。

终端应用的过程中操作分类复杂，风险点数量众多，这就导致对于终端安全风险的分析，很难进行简单的归类处理，往往对于一个风险点可能存在多种角度分析，不同的角度分析的方式和侧重是不同的，对于风险的估计也是不同的，因此对风险进行合理分类有利于风险的发现和管控。本章会基于不同维度对风险进行分解，把风险分解结构（RBS）用图解表示的形式进行说明。

常见的分解方式有：

1.基于风险来源

基于风险来源分解的第一层是按内部和外部分解，第二层是软件、硬件、移动介质等进行分解。

具体如图6-1所示。

图6-1 基于风险来源的终端安全风险分类示意图

基于来源的风险分类便于区分风险发生的原因，利于把握风险源头，有针对性实施管控手段。

内部是指在终端应用过程中，由于终端自身是风险的源头，此类风险的管控要以终端自身为主进行处理。内部区分为软件、硬件、数据和文件、网络。

1）软件的问题，比较容易定位和跟踪。如果有软件使用的安全规范，常用软件的问题通常都可以进行预防，但是如果没有规范，根据个人喜好选择软件，则对管理的要求很高，出现问题的危险性也很高，如软件在运行过程中对系统资源的占用情况，对系统性能的影响情况，软件自身的安全漏洞问题，软件之间的冲突问题等。软件自身的安全漏洞问题和软件之间的冲突问题是终端安全管理过程中最大的风险点，安全漏洞会让所有的安全防护都成为纸老虎，被轻易地绕开。而软件之间的冲突问题是工作中最大的隐患和威胁，软件的冲突包含端口、系统资源、驱动程序等，其中驱动程序的冲突会导致终端操作系统异常，常见的现象就是蓝屏和黑屏，甚至导致操作系统不可修复的损坏。

2）硬件问题，属于物理设备问题，需要配合行政管理进行跟踪。终端最常遇到的硬件问题就是设备维修，终端维修也是安全管控过程中，最难以保障安全的一个环节，因为会涉及厂商和维修商等，人员和流程都很难掌控，只能在维修前进行登记和处理，维修后再进行验证和检查，不过由于部分设备比较特殊，例如硬盘等，可能会需要放弃维修，因为维修的风险明高于直接报废更换新设备。硬件问题依赖行政管理，表现在设备的登记和状态的更新维护上，需要有配套的行政制度管理，更要有行政手段保证制度的执行，例如多网卡的使用、硬盘拆卸和更换等问题，在管理工具的配合下，是可以发现的，但是如果没有行政制度和规范，工具发现的种种威胁就会无法防范。

3）数据和文件，是信息安全风险问题。数据的处理是工作中必不可少的，但是数据的安全确认是工作中最容易疏忽的，数据的任意存放和传递会导致信息的扩散（如未经授权的内部人员查看了数据），甚至引起信息的泄密（如未经许可的外部人员查看了数据）。数据和文件的差别在于，数据是工作中的信息，文件是信息保存之后的形式，数据在终端上的存放方式一般是文件，可能数据在处理过程中是安全的，但是保存成文件之后，就不再受到业务系统的保护，而是操作系统可以直接进行操作和处理的，终端的任何使用者都可以操作，因此对于重要文件的操作也应该纳入监管。

4）网络是终端安全中比较特殊的一个部分，因为网络本身属于外部，但是网络参数和认证，甚至包括一部分控制，都还是在终端上来完成的。终端操作系统控制的网络参数，包括IP、MAC、DNS等，这些内容不仅对自身使用网络有影响，对同处在一个网络的其他终端也是有影响的。解决网络参数问题，要从终端和网络规划两个角度去处理，终端上规范网络参数使用，但是网络参数的合理性还是要从网络规划上进行处理，比较理想的方式是终端不能自行控制网络参数，而应统一集中由网络规划进行处理。网络准入认证是业务内网常用的限制接入手段，一般是配合网关类设备，这样才能保障实现效果，但是认证需要客户端，客户端就是属于终端的内部问题了。网络准入认证一般是网络访问控制配合在一起，因为仅仅使用网络准入，只能保障未经授权的终端和用户的接入限制，但是对于使用的限制就需要访问控制来实现了。

外部是指在终端使用过程中，问题来源不是在终端上的，主要是指外设，而外设中最容易出现问题的就是移动存储介质。

移动存储介质是现在终端使用中最常见的外设，便于文件传递，而且外形小巧，深受终端使用者的喜欢。但是移动存储介质的管理却是终端安全管理人员的麻烦。因为移动存储介质是很难区分用途的，公用和私用完全由使用者控制，使用范围也很难限制，如果统一下发专用的品牌，配合专用的工具，又会导致使用起来很麻烦，慢慢的闲置之后，只能取消。目前比较合理的使用方式是，对移动存储介质进行标签化管理，限定权限和类别，根据不同的用途和安全范围，进行规范管理。

2.基于风险属性的分类

基于风险属性分解的第一层是技术类和管理类，技术类在第二层又可分为基础安全、运行安全、信息安全和平台自身安全等，见图6-2。

图6-2 基于风险属性的终端安全风险分类示意图

基于风险属性的终端安全分类可有针对性的选择管控措施，如技术类风险重点基于技术手段自动解决问题，管理类风险重点在管理的制度、流程和人员上下功夫。

技术类是依赖工具实现的，工具包括客户端软件、网络管理工具、信息安全工具等，技术类比较典型的分类方式包括基础安全、运行安全、信息安全、平台自身安全。

1）基础安全，包括资产管理安全、终端外设安全、终端自身安全、终端环境安全等。基础安全是终端安全威胁的根源，是每个终端都不可以避免的。资产管理安全是终端在管理过程中进行定位的基础，对资产进行管理，是区分终端建立唯一性识别的基础，也是终端安全应对不同阶段的主要管理手段。终端首先是资产，只有对资产进行管理，才能确定终端的来源和用途，才能进行分类的安全管理和应对。终端外设安全是指红外、蓝牙、无线网卡、移动存储介质等，这些设备对于终端的信息安全是影响很大的，终端除了网络之外的通信就是靠外设实现的，外设可以跨越网络，实现信息的通信，在此过程中，安全就成为了问题，不止数据和信息可能扩散或者泄密，病毒和木马也有可能会被引进。终端自身安全是支持终端操作系统的安全，包括补丁、漏洞、系统性能、网络参数等等，终端自身安全是终端对于自身防护的重中之重，因为终端自身都不能保障安全的话，其他的安全就更不可能保障了。

2）运行安全，包括网络运行安全、终端运行安全、网络边界安全等。运行安全是终端的环境和终端的使用产生的安全问题。网络运行安全是终端在工作中需要使用网络而产生的威胁，网络运行过程中，包括接入安全、认证安全、访问安全等内容，由于现在的业务工作一般都离不开网络，网络运行安全越来越重要，已经成为终端安全工作的前提。终端运行安全是指终端运行过程中，为了保障终端正常运行而可能发生的威胁，终端的CPU、内存、硬盘等都可能成为影响终端运行的要素，更不用说操作系统中运行的进程、端口、服务等。

3）信息安全，主要是信息的防扩散和防泄密。信息的防扩散主要是在信息上做权限区分，只有这样才能在使用时区分扩散的边界和范围，而信息上做权限又是一个比较麻烦的事情，从现在技术手段上来看，所有文件加密，按文件密级过滤是能够满足要求的最直接的办法，但是这种方式对工作效率的影响很大。从信息安全的整体上来看，通过定义信息的特征，关注这些特征的信息传递的情况，可以追查信息的扩散途径，通过限制信息的边界，实现信息的安全，这是适用于信息安全要求级别没有达到机密级以上的情况。信息的防泄密，主要是针对信息的传递进行控制，信息一旦被带走，就有泄密的可能，控制信息的防泄密途径，就是对信息的安全传递进行控制。

4）平台自身安全，主要是终端安全管理工具的安全，这就包括系统自身的管理，系统健壮性等方面。系统自身的管理，又包括系统参数、系统性能、系统安全等等方面的内容，对于系统自身的管理重在设计，提前进行设计和应对，才是处理系统自身管理的基础。系统健壮性的方面，是要对系统的进行整体的测试，尤其是压力测试和破坏性测试，系统的健壮性对于系统的安全影响很大，系统不能稳定安全地运行，终端安全就没有足够的保障。系统的健壮性还体现在内部逻辑的关联影响上，如果某个模块或者环节出现了异常，那么系统是否还能正常运行？因为系统中部分操作是由使用者发起的，错误的操作也是应该考虑在内的，错误的操作是在什么时间，由什么人发起的？操作的内容和细节又是什么？这些操作是否能够还原？

管理类是对于技术类的补充，技术需要配合管理，才能让操作变得有意义，管理配合技术才能让管理的要求落到实处。

管理类主要指工作制度、工作规范、工作手册、应急流程等，这些内容是指导技术类的工具进行安全的引导和预防。(www.chuimin.cn)

3.基于风险管控方式的分类

为了降低和规避终端系统的风险，需综合运用技术和管理手段来对风险进行管控。基于管控手段分析的第一层是风险发现方式分类，包括系统自动发现和结合人工发现；第二层是风险防护方式分类，包括自动防护和结合人工；第三层是具体的防护手段分类，包括禁止行为、修改配置等，见图6-3。

图6-3 基于管控方式的终端安全风险分类

基于管控方式进行区分的目的，是对终端安全管理工作方式进行深入分析，区分和界定在终端安全管理工作中哪些工作是可以提前进行预防的，哪些工作是需要人工辅助处理，哪些是需要人工主动进行操作的，哪些是完全依赖人工完成的。

1）自动防护就是依靠工具可以提前进行预防和处理，一般是通过安全策略进行实现。

2）结合人工的自动防护，是通过工具或者客户端收集到的信息，人为判断其影响，再调整安全策略或者进行直接处理。

3）人工处理就是在工具和技术不能处理的情况下，手动进行终端安全管理的操作，这些内容中包括空气湿度、电路的安全检查等等。

4）人工处理中也包括人工主动发起操作，再由工具配合进行终端安全管理的操作，包括通知、通报、消息、软件下发等方式。

4.基于风险管理对象的分类

终端包括PC设备、服务器、移动介质和相关设备所存储、处理的信息，见图6-4。

图6-4 基于管理对象终端安全风险分类

基于风险管理对象的分类其目的是区分管理的主体，作用在不同主体上的风险在管理上是不一样的，尤其是在管理方式、管理手段、管理目标等方面都是不同的。明确风险管理对象，才能有效地进行风险的管控，不会出现明知道有风险，但是无从下手的情况。以下是这些管理对象分类的差别和意义：

1）服务器对象，主要包含服务器自身的补丁、漏洞以及自身安全的维护等内容。服务器是管理工作的前提，若不能保障服务器的稳定运行，就会严重影响业务工作，导致终端不能工作。

2）PC对象，主要包含终端的各种威胁，包括补丁、进程、端口、Web访问、文件共享、外设、准入认证等。终端的问题在狭义的范畴之内，就是PC的问题。

3）信息对象，主要包含重要文件的扫描、保存、解密、共享等。重要文件是安全的核心，终端工作的主要内容就是信息的处理，因此对于信息的处理一定是要全过程的监控。

4）移动介质对象，主要包含移动介质的注册、使用和日志管理。移动介质是终端管理工作中很容易被忽略的一个部分，也往往是安全问题最容易出现的地方，因此对移动介质进行分类管理，是对终端安全管理的完善和补充。

5.基于风险之间的关系划分

原生风险、次生风险和残余风险。

具体如图6-5所示。

1）原生风险信息与资产本身客观存在的、与人员、使用状态等无关的风险。

图6-5 基于风险之间关系的终端安全风险分类

2）次生风险实施某风险应对措施后出现的新风险称为次生风险。应当识别并规划应对措施。

3）残余风险是采取应对措施后，风险无法全部消除，还剩余的那部分风险。也就是那些未能为项目团队所控制的战略风险和各经营流程的流程风险。残留风险通常是可接受的，如果剩余的风险超过组织的可接受风险水平，项目团队必须安排进一步的风险应对措施，将剩余风险降低到可接受的水平。

终端安全风险管理：常见分类方式

相关推荐