终端安全风险管理-11个网络违规访问风险点

1.风险分析

（1）风险描述

网络通信是现今基于信息化业务的基础。由于担心业务不能顺利开展，一般对内部终端的访问不做控制，这样就导致内部终端能随时随意访问本不应该访问的资源，出现扫描端口、嗅探密码等黑客行为。如果不对该终端网络访问风险进行严格管理和控制，将会导致信息外泄、资源滥用甚至全网范围内的灾难性事件。

该类风险主要表现在因终端网络访问缺少有关IP、端口、协议的管理制度、流程和技术监控，造成终端网络访问的无序。另外尽管增加了IP、端口、协议的黑白名单，但是没有及时更新完善访问策略，造成应该允许的访问不能进行，给业务开展带来风险。由此带来4类问题：

1）没有终端访问的IP、端口、协议范围，这将会导致关键主机的保护失控的风险。

2）存在终端访问的IP、端口、协议限定策略，但是由于策略本身没有及时更新完善，导致不能正常开展业务，这是用户十分担心的风险。

3）加载的策略没有生效，或被卸载，导致安全策略不能有效贯彻，将导致内部网络运行失控的风险。

4）违规访问记录没有及时发送给管理平台，或者管理平台不能及时处理如采取告警，阻断等控制措施。

下面将对终端违规使用风险进行详细的分解：

（2）相关风险点

终端违规网络访问风险点见表B-5。

表 B-5

以下将分别从资产使用生命周期、相关信息安全、资产使用人员和合规性4个方面对以上11个风险点进行详细描述。

（a）基于资产使用生命周期分析

资产使用生命周期包含入网前、运行阶段、维修阶段、报废阶段，终端违规网络访问风险按照资产使用生命周期的分析如下：

风险点（1-4）：涉及资产使用生命周期的运行阶段，如果一台没有作任何访问控制的终端遭到僵尸木马的入侵，成为外部控制的僵尸，它就会成为外部攻击内部的桥头堡，内部所有机器的脆弱性都会被其利用，内部单位机密信息甚至国家机密信息都遭到极大威胁。著名的conficker病毒就是这类例子；涉及维修阶段，如果在维修以后的访问控制策略被删除，可能再次入网后对内部安全带来风险。

风险点（5-8）：涉及入网前阶段，在该阶段需要对业务行为进行分析，形成策略并逐步细化，如果我们加载的访问控制策略没有充分验证测试，可能导致业务不能顺利进行的严重风险；涉及运行阶段，由于业务改变，涉及的IP、端口、协议信息也相应发生了改变，如果加载的策略没有及时变化，就会导致业务不能顺利进行的严重风险；涉及维修阶段，如果在维修以后的访问控制策略被修改，也会导致再次入网后业务不能顺利进行的严重风险。

风险点（9）：涉及入网前、运行阶段、维修阶段，一旦策略被无意或恶意卸载导致失效，而管理平台不能及时发现，势必导致安全策略不能有效贯彻，将导致内部网络运行失控的风险。

风险点（10-11）：涉及运行阶段，如果监控有关地址、端口和协议变化的技术手段的性能不足，不能及时发现所有的违规，或者不能对所有的违规及时告警或处理，就造成安全策略执行不到位，给业务带来极大的安全隐患。

（b）基于相关信息安全关系分析

相关信息安全分为在线信息风险和存储信息风险，终端违规网络访问风险按照相关信息安全关系的分析如下。

风险点（1-4）：对网络的威胁极高，可能遭到攻击、成为僵尸和信息外泄的风险，在线信息系统和存储信息系统由于涉及重要信息和数据，往往对于安全要求较高，因此使在线信息系统、存储信息系统存在风险。

风险点（5-8）：由于加载策略和实际的业务情况不匹配，不能及时访问在线信息系统，存储信息系统也不能及时更新，因此使在线信息系统、存储信息系统存在风险。

风险点（9）：对网络的威胁极高，可能遭到攻击、成为僵尸和信息外泄的风险，因此使在线信息系统、存储信息系统存在风险。

风险点（10-11）：由于技术能力不足，不能及时、充分获取终端违规网络访问风险事件，按照当前的业务及时调整策略并下发，同时做出及时的告警、阻断等处理措施，因此使在线信息系统、存储信息系统存在风险。

（c）基于资产使用人分析

资产（终端）使用人包括内部人员、临时人员和外部人员3大类，而内部人员可以再细分为高级管理者、关键业务人员和网络管理人3种角色，临时人员主要是辅助人员岗位（如食堂、车队、绿化等人员），而外部人员包括外来厂商运维人员和系统内外来人员。终端的使用者因为不同的角色和不同的操作意图，一个相同的风险点对应不同身份的终端使用人风险级别也不同。将终端违规网络访问风险按照终端使用人角色分析如下。

风险点（1-4）：任何岗位角色都会使用网络，都会涉及终端违规网络访问风险问题，因此，该风险与内部人员相关：

a）高级管理岗位，如区域负责人等高层领导，风险不大。

b）地市部门主管、网络管理员、配置管理员、系统管理员、财务部人员等关键岗位业务人员，风险较大。

c）网络管理员，风险较大。

该风险与临时人员相关：辅助人员岗位，如食堂、车队、绿化等人员等，风险重大。

该风险与外来人员：外来厂家人员、外来维护人员风险重大。

风险点（5-8）：对于内部人员，特别是高级管理者，风险一旦导致不能及时正常审批业务势必造成严重影响；而对于关键业务和网络管理人员，他们可能面对的风险是不能及时开展业务，影响工作绩效；对于临时人员其风险不大。不过对于外来人员因为需要通过网络做一些维护和业务的操作，其风险程度与内部人员中的关键业务和网络管理人员的风险程度相当。

风险点（9）：对于内部人员，这个风险对于内部人员中的网络管理人员来说风险极大，可能导致安全策略不能有效贯彻，将导致内部网络运行失控的风险；对于外来人员特别是厂家维护人员同样需要涉及相同的风险；同样对于临时人来说也要涉及相同的风险。

风险点（10-11）：对于内部人员，特别内部人员中的网络管理人员来说如果不能及时知晓他们的行为，并对可能出现的恶意网络行为做及时告警和阻止，势必对网络的正常运行带来较大风险；对于外部人员，特别是厂家维护人员同样存在相同的风险；对于临时人来说也存在相同的风险。

（d）合规性要求

合规性要求见表B-6。

表 B-6

2.风险管控

每类风险在管控过程中，需要针对风险的事前、事中和事后3种状态进行监控，做到事前预防、事中控制、事后审计追查。下面风险管控处理流程，尽量从事前、事中和事后3方面对风险进行管控。

（1）风险点（1-4）：终端网络访问缺失访问策略的风险

事前处置：首先能够了解当前的网络态势，做出足够详细的不同网络业务的访问基线，那么在后续的实际操作中就可以逐步完善这些策略。这就是网络访问的“规矩”。

把收集到的防火墙日志数据按照用户关心的业务及相关资产来分类，然后按照一定的步长（小时、分钟）来统计，找出每小时的连接，确定内部终端的网络访问特征，即它一般每天访问哪些IP，它是否会被其他终端访问等。

对于每一个需要关注的终端对象，需要按照一定的时间步长（1h）进行以下持续的统计：

√ 作为源地址访问的所有目的地址列表（FanOut）

√ 作为源地址的所有目的端口（协议）列表

√ 作为目的地址的所有源地址列表（FanIn）

√ 作为目的地址的所有源端口列表(www.chuimin.cn)

√ 相互通信列表（a与b的交集）

将上面的统计结果按照资产排序，找出不同的TOPN，将本期的TOPN与前一期的TOPN记录比较发现变化。

通过这个过程，一台机器的网络行为模型就基本建立，这样就可以回答用户关心的如下问题：

√ 某一天访问了哪些地址，与每天访问的地址列表中的地址（白名单）相似度是多少，这些不同的地址是否属于恶意地址（黑名单）

√ 这些地址是否属于整个内部大的白名单？是否确定需要更新名单（黑白）

√ 通过整理内部所有机器的访问目的地址列表，找出交集，形成了内部大的目的地址白名单

√ 通过整理所有的不同地址的目的端口列表，来确定内部目的端口（服务）白名单

事中处置：对终端上内嵌防火墙组件，结合前面制定的访问控制策略，加载内嵌防火墙策略，防火墙策略应该有以下的全局内容：

√ 防火墙应该是绿灯模式（白名单），即只有策略明确允许的通信才可以放行，默认策略是禁止

√ 防火墙上应该有本终端允许访问的服务器地址列表

√ 防火墙上应该有本终端允许访问的服务器协议和端口列表

√ 防火墙上应该有允许访问本终端的的其他终端地址列表

√ 防火墙上应该有访问时间段定义，如工作时间、特殊业务时间

√ 防火墙所有策略应该可以记录日志。这些日志如果正常联网就发送给管理中心，如果漫游日志信息要记录在本地特殊的文件夹中

√ 这个防火墙服务终端用户不能卸载

√ （可选）还应该有允许的带宽策略，其他应用策略

事后处置：管理平台上可以得到详细的管理日志，通过分析日志，可以了解到当前的策略是否有效，是否对业务有影响，然后根据这些日志分析的结果去完善更新策略。

√ 对于关键业务人员，需要对其访问的对象地址、访问时间以及协议做细致的控制，做行为审计记录

√ 对于网络管理人员，由于其实际权限极大，一旦被利用，对整个网络环境的风险极高，因此必须通过管理手段加以管理，并做行为审计记录

√ 对于临时人员入网，由于其安全状态不合规而安全防护措施不足，造成被攻击并作为系统薄弱点成为攻击跳板，因此需要对其网络行为做细致的审计

√ 对于外来人员入网，特别是需要进入业务系统的外来厂商运维人员，应该严格执行有关管理制度，杜绝自带移动PC设备入网，只能使用业务终端入网。在该终端上临时开启访问策略，严格限制其访问的对象地址、访问时间以及协议，并进行严格的行为审计

控制流程见图B-9。

图 B-9

（2）风险点（5-8）：终端网络访问策略没有及时更新的风险

事前处置：定义与业务相关的网络访问策略，并且根据实际情况实时更新和维护。需要制定有关的应急响应预案，一旦策略不能及时更新而技术手段无法实现时就需要启动。

事中处置：通过分析实时的通信日志，来确认策略是否已经得到更新。需要有一种技术机制能够定期更新策略，如果在规定的时间内得不到反馈信息，则需要启动应急预案。

事后处置：一旦前面的技术手段都失效，就需要在安全主管的认可下启动应急预案。首先在确保业务顺利进行的前提下，人工在本地更新策略，在此基础上再考虑其他问题，如策略不能更新的故障原因、涉及的部门和人员，造成问题的是平台本身的性能原因还是其他问题，这些问题是否在管理制度中做出了相关规定，是否需要完善或补充等。控制流程见图B-10。

图 B-10

（3）风险点（9）终端网络访问策略失效禁用或被卸载的风险

事前处置：完善技术机制，尽可能确保从终端上不能卸载访问策略；同时终端跟平台之间也要有一个定期的通信机制，来确认终端的网络访问策略存在并生效。

事中处置：管理平台定期轮询客户端的有关软件是否正常运行，一旦发现异常，需要采取系列手段来应对：

1）通过客户端发送通知信息。

2）给该客户端所有人（用户）发送通知邮件。

3）如果在规定的时间内没有得到回应，则管理员需要通过电话再跟该该客户端所有人联系，了解具体情况。

4）直至通过管理平台采取断网措施。

事后处置：一旦前面的技术手段都失效，就需要在安全主管的认可下启动应急预案。首先确保业务本身的安全。在此基础上再考虑其他问题，如故障现象、可能的故障原因、涉及的部门和人员，造成问题的是平台本身的性能原因还是其他问题，这些问题是否在管理制度中做出了相关规定，是否需要完善或补充等。

控制流程见图B-11。

图 B-11

（4）风险点（10-11）：终端网络设备运行监控平台自身风险

事前处置：严格执行软件开发管理规范，明确功能需求，严格审核测试方案和测试用例，并且确保软件能够解决现有工作中的问题。充分预见可能的失效场景，拟定对应的应急预案，明确一旦由于平台的性能出现瓶颈，导致出现业务停止的情况时，需要采取的应急措施。有关人员需要按照应急措施定期去演练，以达到熟悉的程度。

事中处置：平台的健康自诊断系统需要及时检测平台的资源使用情况，如果超出预先规定的阈值，则需要及时向管理员报警，要求管理员必须及时反馈；通过分级部署的方式来规避集中部署的性能瓶颈。

事后处置：一旦平台出现问题导致严重影响业务，则安全主管必须及时启动应急预案，确保业务本身的安全。在此基础上再考虑其他问题，如故障现象、可能的故障原因、涉及的部门和人员，造成问题的是平台本身的性能原因还是其他问题，这些问题是否在管理制度中做出了相关规定，是否需要完善或补充等。

控制流程见图B-12。

图 B-12

3.风险控制效果

对于此类风险涉及的终端违规访问风险，通过采取管理、规范、流程、技术不同的措施，分别从事前、事中、事后3个方面来加以控制，可以基本达到风险管控的目的。

通过事前对终端的需要访问的目的地址、协议、端口和时间详细了解，逐步建立标准网络访问基线，建立正常访问基线，事中根据这个基线进行监控和事后效果的分析和改善，实现了PDCA的最佳实践，为有效控制网络流量异常风险达到了效果。事后通过日志审计，可以查找风险源，追溯到终端责任人，这可以给后续的考评管理提供依据。

由于控制平台本身的性能可能会造成风险事件在采集、汇集、分析、展示等不同阶段的遗漏和误判，这一点还需要按照残余风险的处理办法去加以处理。