终端安全风险管理：20个进程/服务运行风险

1.风险分析

（1）风险描述

该类风险主要表现为一些终端客户在没有管控的情况下，会私自安装一些与正常工作无关的软件，并在客户端上运行这些软件的进程/服务。这些进程/服务，通常被称为黑名单进程/服务。这些黑名单进程/服务的运行，可能会大量占用终端的CPU、内存和硬盘资源，更有甚者，一些病毒或者木马进程会造成信息泄漏或者病毒传播，进而影响全网安全。与此同时，为了支撑正常业务运转，需要在终端上启用一些必要的进程/服务，这些进程/服务通常被称为白名单进程/服务。只有白名单上的进程/服务都启用，才能支撑正常业务运转。

黑名单进程/服务：不允许在终端上运行的进程/服务，运行会给终端带来风险，比如对系统存在威胁的病毒木马进程/服务等；下面是几个常见的对系统存在威胁的的病毒木马进程。

√ mario.exe：Trojan.Mario木马的部分进程，植入者会远程访问计算机，并窃取用户信息和密码等资料。

√ win32ssr.exe：是Backdoor.Win32.Rbot.aob木马的进程。

√ wincomm.exe：通常这个木马启动之后会同时运行winlock.exe，两者互相监控是否运行。一旦发现对方不在内存中，就立即使对方运行。会捆绑其他的病毒，在DOS下可清除。

√ Scvhost.exe：臭名昭彰的安哥病毒进程了，变种达几十个之多。跟冲击波病毒（Worm.Msblast）一样，利用系统RPC漏洞传播。

黑名单进程/服务还可以是一些占用大量带宽的下载程序，也可以是一些聊天、视频等工具，应明确规定不允许在终端上进行这些进程/服务。对不同的体系，会维护一个黑名单进程/服务列表。

白名单进程/服务：终端主机上必须要求运行的进程和服务。不同主机要求的进程/服务不尽相同。对不同的体系，需要维护一个白名单进程/服务列表。

备注：需要结合终端的使用分类，对不同的终端维护一份黑白名单进程/服务列表，且该列表的内容需要及时调整和更新。

（2）相关风险点

进程/服务运行的风险点详见表B-9。

表 B-9

（a）基于资产使用生命周期分析

该类风险涉及入网前、运行阶段。入网前由于终端资产不包含敏感信息和数据，风险较低；入网后，由于运行过程中涉及敏感信息和生产数据，如果不加以控制，将会导致损失较大，风险较高。进程/服务运行的风险对终端的影响在资产使用生命周期的体现如下：

风险点（1-9）：黑名单进程/服务在终端上运行，这些风险主要涉及入网前和运行阶段。维修和报废阶段，终端不运行，不存在该类风险。

入网前，终端运行黑名单/进程服务，会对终端本身的安全带来一些风险，如果是病毒进程，会造成终端感染的风险；如果是与工作无关的进程，会影响工作效率。但影响的范围在终端本身，不会对整体系统造成大的风险，风险一般。

终端入网处于运行阶段后，如果黑名单进程是与病毒有关的，会将病毒扩散到整个系统，风险极高；如果该黑名单进程占用大量CPU资源时，会造成正常业务进程运行所需要的CPU资源得不到满足，从而影响业务使用；如果该黑名单进程占用大量内存资源时，会造成正常业务进程运行所需要的内存资源得不到满足，从而影响业务使用；如果该黑名单进程是与工作无关的进程，会影响正常工作的开展，降低工作效率。如果该黑名单进程是下载类的进程/服务，会占用大量的带宽，从而影响正常的业务通信，影响业务使用。

风险点（10-18）：白名单进程/服务在终端上运行不完整，这些风险主要涉及入网前和运行阶段。维修和报废阶段，终端不运行，不存在该类风险。在入网前阶段，此时终端未接入网络，不涉及数据传输，白名单进程/服务运行不完整导致的风险比较低；终端入网运行后，如果不进行白名单检测，导致本应该运行的进程/服务，却没有运行，如果该进程是与业务相关的，则影响业务开展。

风险点（19-20）：黑名单进程/服务，导致终端的CPU、内存资源占用率持续高。该风险主要涉及入网前和运行阶段。维修和报废阶段，终端不运行，不存在这些风险。入网前，这些风险只会对终端本身有影响，风险较低。入网后处于运行阶段时，高资源占用会导致终端不能维持正常业务运转，风险较高。

（b）与信息安全关系

进程/服务运行的风险涉及在线信息安全风险和存储信息风险。

风险点（1-9）：黑名单进程/服务的运行，如果是病毒程序，会导致在线信息被篡改或者丢失；同时，因为黑名单进程/服务的运行，会开放一些端口，进而造成终端上的一些在线信息被窃取或者修改；黑名单进程/服务运行，如果是病毒程序，会导致终端上的存储信息被篡改或者丢失；同时，因为违规进程/服务的运行，会开放一些端口，进而造成终端上的一些存储信息被窃取或者修改。

风险点（10-18）：白名单运行不完整的风险，如果必须运行的防病毒软件没有运行，会导致终端得不到应有的保护（具体风险可参考终端防病毒类别的风险）。会对在线信息和存储信息造成信息篡改和丢失的风险。如果只是业务处理软件，不运行不会对在线信息和存储信息造成风险。

风险点（19-20）：黑名单进程/服务导致的终端异常资源占用，会对在线信息的存储和处理带来风险；对已存储信息不会影响，风险较低。

（c）基于资产使用人分析

风险点（1-18）：任何岗位角色都涉及进程/服务的不按规定使用问题。因此，该风险与内部人员相关：高级管理岗位，如区域负责人等高层领导；地市部门主管、网络管理员、配置管理员、系统管理员、财务部人员等关键岗位业务人员；开发人员、研发人员等，考虑根据业务和工作需要执行相关的黑白名单进程/服务运行的权限。

临时人员：辅助人员岗位，如食堂、车队、绿化等人员，该类人员在使用终端的过程中，如果随意启动黑名单之列的进程/服务，会导致终端上运行不允许运行的进程/服务，进而影响终端的使用。

外来人员：外来厂家人员、外来维护人员一般情况下，是不赋予对进程/服务的操作权限的，如果因为工作需要，应先将需要运行的进程报批，在黑白名单进程中备案后，再根据相关的策略运行相关的进程。

风险点（19-20）：任何岗位角色都可能存在违规进程/服务导致的终端资源异常占用的问题。因此，需要严格控制各类人员对进程/服务的启动/禁用权限。同时，要执行严格的黑白名单检测机制，避免出现黑名单进程的异常资源占用，从而导致终端不可用的风险。

（d）合规性要求

合规性要求见表B-10。

表 B-10

该风险属于运行时风险，一般来说，运行的进程和服务，对于不同类型的终端来说，要求的进程和服务不尽相同，与实际运维环境密切相关。等级保护方面在这块没有明确的要求。

相关技术和管理的风险管控措施参见以下小节阐述。

2.风险管控

（1）风险点（1-9）：黑名单进程/服务运行管理控制流程

事前处置：定义具体的黑名单/服务的范围，哪些是明确不允许在内网终端上运行的进程/服务。这个黑名单/服务列表是随着运维过程变化而变化的，不同类型的终端上，运行的黑名单进程/服务不尽相同。

事中处置：

√ 定时检测终端运行的进程/服务列表

√ 将获取的进程/服务列表与事前定义的黑名单列表进行比较

√ 如果有黑名单上的进程和服务，提示终端用户运行了黑名单进程/服务（通知终端用户，消息的方式）

√ 根据黑名单运行策略执行操作，提示终端使用者，并且发送防护平台

√ 记录违规运行黑名单进程/服务的行为及终端使用者的操作，发送至防护平台服务器

√ 发现黑名单进程/服务运行违规行为时，记录黑名单违规运行的审计记录，保存至防护平台服务器

√ 对黑名单进程/服务违规运行的行为进行取证（黑名单违规运行的进程名称、进程运行的终端使用者、终端IP等原始记录信息），保存至防护平台服务器

事后处置：根据整体安全态势分析，调整安全策略，针对终端下发新的黑名单进程/服务运行安全策略。管理员通过黑名单违规运行的记录对违规黑名单进程/服务行为进行追溯，并通过管理流程进行相应的处罚，处罚时以防护平台保存的访问原始记录作为处罚依据。

处置流程见图B-15。

图 B-15

（2）风险点（10-18）：白名单进程/服务运行管理控制流程

事前处置：定义具体的白名单/服务的范围，哪些是为了保证正常的工作和业务开展，必须在终端上运行的进程/服务；白名单进程/服务列表是随着运维过程变化而变化的，不同类型的终端上，运行的白名单进程/服务不尽相同。(www.chuimin.cn)

事中处置：

√ 定时检测终端运行的进程/服务列表

√ 将获取的进程/服务列表与事前定义的白名单列表进行比较

√ 如果终端上运行的进程/服务与白名单相比较，白名单规定的进程/服务在终端上没有运行或者运行不完整，提示终端用户哪些进程/服务需要在终端上开启运行（通知终端用户，消息的方式）

√ 根据白名单运行策略执行操作，提示终端使用者，并且发送防护平台

√ 记录违规运行白名单进程/服务的行为及终端使用者的操作，发送至防护平台服务器

√ 发现白名单运行违规行为时，记录白名单违规运行的审计记录，保存至防护平台服务器

√ 对白名单进程/服务违规运行的行为进行取证（白名单违规运行的进程名称、进程运

行的终端使用者、终端IP等原始记录信息），保存至防护平台服务器

事后处置：

根据整体安全态势分析，调整安全策略，针对终端下发新的白名单进程/服务运行安全策略。管理员通过白名单违规运行的记录对违规白名单进程/服务行为进行追溯，并通过管理流程进行相应的处罚，处罚时以防护平台保存的访问原始记录作为处罚依据。

处置流程见图B-16。

图 B-16

（3）风险点（19）：黑名单进程/服务运行导致CPU占用率持续高的管理控制流程

事前处置：定义具体的黑名单/服务的范围，哪些是明确不允许在内网终端上运行的进程/服务。这个黑名单/服务列表是随着运维过程变化而变化的，不同类型的终端上，运行的黑名单进程/服务不尽相同。定义一个进程CPU使用率异常的范围，根据实际运维的经验，当CPU使用率持续异常时，检测其是否为黑名单进程（如果是正常的进程，CPU使用率应该是在一个合理的范围内）。

事中处置：

√ 检测终端上CPU使用率异常的进程

√ 将使用率异常的进程/服务与黑名单进行/服务进行比较

√ 如果有黑名单上的进程和服务，提示终端用户运行了CPU使用率异常的黑名单进程/服务（通知终端用户，消息的方式）

√ 根据黑名单运行策略执行操作，提示终端使用者，并且发送防护平台

√ 记录违规运行黑名单进程/服务的行为及终端使用者的操作，发送至防护平台服务器

事后处置：根据整体安全态势分析，调整安全策略，针对终端下发新的黑名单进程/服务运行安全策略。

处置流程见图B-17。

图 B-17

（4）风险点（20）：黑名单进程/服务运行导致内存占用率持续高的管理控制流程

事前处置：定义具体的黑名单/服务的范围，哪些是明确不允许在内网终端上运行的进程/服务。这个黑名单/服务列表是随着运维过程变化而变化的，不同类型的终端上，运行的黑名单进程/服务不尽相同。定义一个进程内存使用率异常的范围，根据实际运维的经验，当进程内存使用率持续异常时，检测其是否为黑名单进程（如果是正常的进程，内存使用率应该在一个合理的范围内）。

事中处置：

√ 检测终端上内存使用率异常的进程

√ 将使用率异常的进程/服务与黑名单进行/服务进行比较

√ 如果有黑名单上的进程和服务，提示终端用户运行了内存使用率异常的黑名单进程/服务（通知终端用户，消息的方式）

√ 根据黑名单运行策略执行操作，提示终端使用者，并且发送防护平台

√ 记录违规运行黑名单进程/服务的行为及终端使用者的操作，发送至防护平台服务器

事后处置：根据整体安全态势分析，调整安全策略，针对终端下发新的黑名单进程/服务运行安全策略。

处置流程：处置流程与CPU资源持续过高的流程类似。

（5）残余风险处理

进程/服务的黑白名单是需要根据实际情况调整的。在对进程/服务运行进行风险管理工作中存在这样的情况：

√ 具体的黑白名单需要在运维中确定；实施初期，黑白名单机制内容不完整

√ 在黑白名单机制还不完整时，一些违规的进程/服务在终端上运行，如果是病毒进程，会造成终端感染，如果病毒继续传播，将感染其他终端，风险较高

√ 在黑白名单机制还不完整时，一些违规的进程/服务在终端上运行，如果运行的进程开放一些端口，会造成终端上的重要信息泄漏等风险，风险较高

因此，尽管部署了完备的检测和管理技术手段，但黑白名单机制是需要根据运维情况随时改进的，如果这个黑白名单机制不及时更新，违规进程/服务运行的风险继续存在。

针对该问题，建议增加以下几方面工作：

√ 加强安全意识培训和教育，加强黑白名单机制的建设工作

√ 注意黑白名单内容的更新工作，及时根据运维情况，调整黑白名单的详细内容

√ 提供制度保障，要求定期对黑白名单的内容进行检查和更新

√ 建立定期检查和整改制度，定期对组织内黑白名单的更新情况进行检查，并督促其整改

√ 设立针对进程/服务运行的考核管理措施，将该项工作作为终端使用人、终端所有单位安全工作考评中的考核指标

3.技术管控中存在的问题和对策

如果终端操作系统有错误，其进程/服务信息可能无法获取，会造成无法控制，需要先修复操作系统，保证其进程/服务信息可获取。

4.风险控制效果

通过终端运行进程/服务的检测，可以监控终端进程/服务的运行情况。同时结合监控资源使用率，可以有效地发现运行中的异常进程，对黑名单中的非法进程/服务严格禁止运行，并对私自运行黑名单的责任人给予考评扣分管理处罚。同时，通过对白名单进程/服务的检测，保证终端上必须运行的进程和服务都得以运行，从而保证业务和工作的正常开展。