赵军利：终端数据安全实践分享

《2022年IBM数据泄露成本报告》显示，83%被调研的组织发生过不止一次数据泄露事件。在笔者的从业生涯中经历过几起数据泄露事件，所以对此深有感触。

数据泄露对企业的影响很大，泄露的途径多数都与终端设备有关，因为多数企业构筑了较为完善的防御体系，直接攻击难度较高，而成千上万使用终端的员工更容易突破，是攻击的薄弱点所在，所以终端安全一直以来都是企业的痛点，但也是必须要做的基础工作。

说起终端安全，首先要了解终端设备有哪些，如计算机、打印机、瘦终端、手机、PAD、工控设备、IoT设备等，很多终端安全做得好的企业是把不同类型终端进行了网络隔离或者物理隔离。

终端安全其次要关注存储在终端的数据类型，主要分为结构化数据和非结构化数据。终端设备上存储的大多是非结构化数据，尤其在科技制造型企业很常见，比如一些大型软件生成的图纸，还有一些实验过程记录。结构化数据经过多年的探索，已经有一套比较成熟的管理方法，但非结构化数据的管理一直是个头疼的问题。

尽管这些数据复杂的使用场景导致管理难度大，但仍要做好终端数据安全，以科技制造企业为例，实验的原始数据都在终端电脑上，这些数据生产的源头在终端，流转也会经过终端，所以也一定会在终端上留存下来。因此，以技术为核心竞争力的企业，其核心研发数据就是企业的命脉，保护终端数据安全势在必行。

1.数据泄露

终端设备被黑客攻击，员工被社工攻击，或人员恶意行为将会导致数据泄露。在科技制造行业，数据泄露更多发生在终端而不是数据中心，因为科技制造企业80-90%的信息系统是对内的，不对外开放，所以从互联网攻击比较难。黑客想获取数据常常也是通过终端来获取，尤其是核心研发人员的终端，其中会有非常核心的数据。

2.恶意软件和病毒

恶意软件和病毒通常会窃取数据、破坏系统、监视用户活动等。对终端而言，一般的病毒软件造成的破坏性有限，现在的杀毒软件功能比较完善，企业无论是使用免费杀毒软件还是企业版杀毒软件都能有效预防病毒。但勒索病毒不同，一旦中招，它会成批量加密终端后进行勒索，或窃取数据。近年来，勒索软件攻击呈现上升趋势，在全球范围内造成的危害也越来越大。

3.社交工程攻击

社交工程攻击，是攻击者利用各种社交媒体渠道欺骗用户造成数据泄露或者账号口令的泄露。终端用户是企业的薄弱点之一，因此很多企业会进行各种信息安全意识宣贯和培训，以增强员工的安全意识，但这类措施的渗透率很难达到百分百。根据以往经验，企业内部的安全意识宣传覆盖率通常不到30%，线下培训则更难，因为不可能把公司的员工全部组织到一起进行培训，这就导致终端员工的安全意识参差不齐，于是就产生了防御的薄弱点。

4.弱密码

弱密码容易被猜解，或者使用工具暴力破解从而造成泄密。据笔者的安全从业经历来看，还没有见过哪个企业能消除弱密码的存在。之前我也也思考过要怎么消除弱密码，包括尝试使用IM工具的强密码策略，但总有一些意外，比如一些脱机设备会存在弱密码，尤其近几年会碰到一些年纪偏大的管理层有记不住密码的情况，很难有一个两全的办法。期间也想过很多办法，如用Windows开机界面、用企业微信扫码登录等，最终效果都不太理想，最后只能是给他们设置一个能记住的密码，然后定期由IT人员辅助修改。尽管做到这种程度，仍然难以避免弱密码的存在。

5.不安全的网络连接

使用不安全的网络存在数据传输被窃听或篡改的风险。因此在公共场所，最好使用手机自带流量，尽量不要连接免费WiFi，以免造成数据的泄露。

针对终端的数据安全，分享一个我目前在用的解决方案框架，不一定适合每家企业，仅供参考。再次强调，终端安全是一件基础的安全工作，但也不容忽视。这个框架简单来说就是，把数据框起来，出口管起来，过程全监控。

1.数据框起来

数据这部分的核心是研发，使用桌面云将数据全部落在云上，服务端集中部署，国内外用户通过网络连接到位于总部的数据中心服务器上使用桌面云。这样一来，全国所有的研究机构本地没有任何数据，数据全部在数据中心里。

所有研发人员全部使用桌面云，终端不存放数据，个别人员的笔记本电脑会做安全措施，仅只能访问指定的桌面云链接，相当于一个胖终端。把数据传到云之后，下一步要做的就是运营分离。

运营分为两个区域，研发区和办公区，这两个区域进行逻辑隔离，中间用摆渡文件系统连接起来。研发区域严格管理，各种研发软件等配套设施完善；办公区域用浮动桌面，只有一些office和浏览器等基本的功能软件，办公区不能做研发工作。每个人员配备两个显示器和一个瘦客户机，显示器一边是研发桌面一边是办公桌面，数据从办公区到研发区无需审批，反之则需要严格审批。

这一块是把数据落在云端，下一步要考虑终端的准入。终端的问题较多，是安全人员比较头痛的区域，但无论通过哪种技术或工具来实现，都要求进入网络的终端安全可信，这是必做的基础工作。一般而言，会设置多重审批流程管理终端入网，一些特殊设备会通过白名单来管理。最终通过两张表确保入网的终端安全可信，一张是终端准入系统里的表，一张是人工维护接入的白名单，两张表加起来就是所有入网的终端设备，这一点尤其不能出错，不清楚有哪些终端就不知道问题所在。

做好终端准入之后，就是数据防泄露。这一块我们是通过DLP来做，但是落地有一定难度，比如在推DLP时要学习数据样本，找研发部门要数据样本时会遭到拒绝，理由是“安全要求数据严管，现在安全又要使用数据，那我不能给。”但实际上，如果连企业的绝密数据都不知道，DLP又应该如何识别管理？这样一来DLP又落到空处。所以DLP使用的好坏不是工具本身的问题，而是如何跟业务部门做好拉通配合。不光如此，在落地DLP时数据库的分类分级、打标等等问题都是要考虑的，因此DLP要做，但想做好很难。

2.出口管起来

如前所述，做好了数据上云、区域隔离和终端准入，还要管好员工的网盘、微信、个人邮箱等的使用，否则数据的流出没有限制，也就毫无秘密可言，因此要做好数据的出口管理。

首先需要一个文档管理系统，提供一个协同办公环境。目前常见业界可选的有钉钉、企微和飞书，各家企业会根据自身的需求进行选择。

然后就是统一的出口管理。无论是终端的托管管理，还是边界的上网管理，还是VPN出口控制，都有相应的措施去管理。比如上网行为管理，会限制其他IM、外部邮箱、网盘系统的使用。除此之外，由于企业中笔记本电脑占90%以上，桌面系统也设置了相应的策略，以应对笔记本电脑出公司网络的情况。比如在终端层面，即使设备离线策略也会生效，等设备联网之后马上同步日志，相对应终端产生文件的类型、时间、作者、流转情况等整个过程一目了然，保证文件的生命周期可追溯。

产品的选型非常重要，下面会以场景为例进行分享，因为做运营的复杂度很高、落地难度很大。对员工而言，安全的这部分工作相当于是给他们换电脑、重装软件、切换数据、更换虚拟环境等，这些对员工来说没有好处，只是更符合安全人员和企业管理者的安全性要求，要考虑众多员工的体验、如何让员工接受它，所以要选择好的产品来规避上面的众多问题。

1.选型建议

对于产品选型，需要深入业务，理清场景，做好调研。

我们当初做这个项目的时候，为了清楚知道各种业务场景，经常跟业务人员泡在一起，直到理清每一个研发办公场景，包括配置要求、使用软件、数据流转、部门交互等，把业务分析得非常清楚，然后才开始选型。

选型第一步就是完善的POC。建立公平的环境，制定详细的POC清单，不管是桌面云、桌管系统还是DLP系统，每一个系统列出几十项甚至上百项的详细测试任务清单，根据重要程度赋值，测试出真实可靠的技术评分。

第二是学习同行经验。不管是桌面云还是DLP，业内都已经很成熟了，很多同行先进企业已经有了丰富的实践经验，可以借鉴并参考自身实际情况进行使用，没有必要完全在内部做研究。比如科技制造企业，找规模在5万或10万以上的企业，了解一下他们的情况，如果这种规模使用三五年都没有问题，在几千上万人的企业中使用想来也问题不大，几乎是可以直接复制的。

第三是用户评价。每一个用户都是最终的使用者，一定要让用户参与到测试和评价中来。比如前面讲到的桌面云，要注重用户的体验，用户说好才是真的好。有时不能让安全人员以自身专业角度去评价一个产品的好坏，因为安全人员专业角度给的往往是及格线，终端安全的产品最终使用的是用户，所以用户的体验感受才更能反应产品的好坏。所以初期选型的时间线可以稍微拉长一点，要让一些用户参与进来成为种子用户，这在后期推广时可以起到助力作用，如果连种子用户都搞不定就很难推动下去。

2.桌面云VS沙箱

这几年工作的几家企业用的都是桌面云，主要是基于安全的考虑，但不是说沙箱不好，其实两者各有优缺点。

桌面云的优点：可以集中管理，在某地集中部署，全国其他城市通过专线连接使用；灵活性和移动性好，不管在什么地方，只要有电脑登录自己的云桌面账号就可以正常办公；安全性高，桌面云的数据是集中存储在数据中心，终端没有数据。

桌面云的缺点：需要很稳定的网络连接，网络如果不稳定很容易影响体验；过于依赖服务器资源，桌面云高昂的费用投入大部分就在于硬件投入，包括服务器、存储、显卡等；实施难度高，不管选择哪家品牌的桌面云，一定要选择专业的实施商，因为需要实施人员有非常过硬的专业素质；费用高昂，尤其是显卡虚拟化，相比沙箱而言会贵很多。

沙箱的优点：隔离环境；可利用终端硬件资源，可以用终端的算力而不是用云端服务器的虚拟算力，所以计算资源有保障；实施难度很低；费用便宜。

沙箱的缺点主要还是安全性，因为数据存储在本地，所以安全性相对较低。近几年，经过一些厂家的不断深挖，沙箱的相关技术发展很不错，如果让我现在选择，可能会考虑引入一个沙箱的环境在非核心研发区域测试，针对不同业务特点进行综合性的终端管理模式。

1.清楚业务的需求

终端安全落地首先要搞清楚业务需要什么，否则安全的价值难以体现，只有清楚业务的需求，才能向上管理。平时圈里交流的时候，有人就会问安全怎么要来预算，怎么给老板汇报？其实很简单，站在业务的角度了解他们要什么就可以。

2.注重项目的细节

终端安全的实施很复杂，我们在落地的时候，第一年主要做终端安全，第二年主要是数据中心的安全。数据中心的安全建设相对容易，目标很明确，将事项罗列清晰，督促供应商干活即可，最后交付测试就可以。相比之下终端安全很复杂，涉及的终端数量太多，同时如果第一个试点部门没做好，后面的工作很难推进，因为试点没做好会影响员工的体验，也会导致其他员工的抵触，因此一定要思虑周全，做好细节，提前获得业务领导足够的支持，实施过程中针对用户的各类反馈，进行实时透明的改进。这些细节的工作，没有最好只有更好。

3.建设只是起点

建设只是第一步，不管选择哪个安全工具，策略配置不好同样会经常出问题。建设的同时要进行后期运营规划，项目上线的同时逐步开始配置规则，进行初步的测试，最终建设的项目验收不是终端安全的验收，只是一个起点。后面还要制定半年度目标、年度目标、三年目标等等，确定该事项是否能实现长期的效益。