終端安全是一種網(wǎng)絡(luò)防護技術(shù)，用于保護用戶的終端設(shè)備免受惡意威脅和網(wǎng)絡(luò)攻擊。傳統(tǒng)的終端安全是將每臺計算機或服務(wù)器放在邊界防火墻內(nèi)部區(qū)域，然后對該區(qū)域進行防護。隨著終端設(shè)備范圍逐漸擴展、網(wǎng)絡(luò)安全威脅的數(shù)量和復(fù)雜性持續(xù)增長，對新的終端安全解決方案的需求也在不斷增長。如今的終端安全（如EDR）旨在快速檢測、分析、阻止和遏制正在進行的攻擊，為各類終端設(shè)備提供防護，無論這些終端處在網(wǎng)絡(luò)的哪個位置。

為什么終端安全很重要？

企業(yè)的終端安全，在傳統(tǒng)意義上只需要把工作站和服務(wù)器放在邊界防火墻的防御范圍中，再通過調(diào)整防火墻安全策略進行防護即可，防火墻是抵御網(wǎng)絡(luò)威脅的第一道防線。隨著遠程辦公和混合辦公模式的發(fā)展，接入企業(yè)網(wǎng)絡(luò)的終端逐漸外移，越來越多新的終端設(shè)備開始出現(xiàn)，并需要隨時接入內(nèi)部辦公網(wǎng)絡(luò)，訪問企業(yè)敏感信息?，F(xiàn)在的終端包括任何可以連接到公司網(wǎng)絡(luò)的設(shè)備，如：

• 支持物聯(lián)網(wǎng)的智能設(shè)備

• 自動提款機

• 工業(yè)機械

• 筆記本電腦

• 醫(yī)療設(shè)備

• 手機

• 打印機

• 服務(wù)器

• 平板電腦

• 可穿戴設(shè)備，如智能手表

常見的終端設(shè)備

這些數(shù)量和類型持續(xù)增加的終端設(shè)備，都是黑客得以進入企業(yè)網(wǎng)絡(luò)和系統(tǒng)的入口。黑客可以利用終端設(shè)備的漏洞，通過勒索軟件、病毒、木馬等多種已知和未知的攻擊手段控制設(shè)備，潛入企業(yè)內(nèi)部網(wǎng)絡(luò)和系統(tǒng)，進一步泄露或竊取企業(yè)內(nèi)部敏感數(shù)據(jù)。因此，終端安全技術(shù)在保護企業(yè)免受日益嚴峻的網(wǎng)絡(luò)威脅環(huán)境方面發(fā)揮著至關(guān)重要的作用。

如何實現(xiàn)終端安全？

終端安全技術(shù)的實現(xiàn)基本原理是檢查文件、進程和系統(tǒng)是否存在可疑或惡意活動。在網(wǎng)絡(luò)級別，依舊可以依托企業(yè)網(wǎng)絡(luò)防火墻，通過安全策略和權(quán)限控制來限制對企業(yè)網(wǎng)絡(luò)的訪問。隨著云化進程的推進，逐步出現(xiàn)混合型方案，即本地管理控制中心和云端遠程自動化控制與管理相結(jié)合。終端安全技術(shù)應(yīng)具備以下能力：

1. 終端識別與管理

1. 威脅檢測與處置

1. 病毒查殺與處置

1. 主動防御

1. 溯源分析

在終端安全領(lǐng)域，華為乾坤推出了終端防護與響應(yīng)服務(wù)，可以針對企業(yè)本地終端進行風(fēng)險檢測和處置，防止終端感染和威脅在內(nèi)網(wǎng)傳播。它采用云、端協(xié)同架構(gòu)，由云端和安裝在終端側(cè)的華為乾坤EDR Agent軟件組成。

終端安全的分類

針對不同類型和用途的終端設(shè)備可以有多種不同的終端安全防護類型。

• 網(wǎng)絡(luò)訪問控制（NAC）通過邊界防火墻，基于黑白名單或安全策略可以精細控制哪些用戶和終端設(shè)備可以訪問敏感網(wǎng)絡(luò)，還可以控制這些用戶與設(shè)備在內(nèi)網(wǎng)能執(zhí)行的操作。

  

  通過防火墻的安全策略控制用戶訪問網(wǎng)絡(luò)

• 內(nèi)容過濾防火墻通過對終端設(shè)備發(fā)送的數(shù)據(jù)內(nèi)容進行檢測，識別其中的特定風(fēng)險內(nèi)容，并對流量進行阻斷。此功能可以降低機密信息泄露的風(fēng)險、防止違規(guī)信息的傳播以及員工瀏覽和搜索與工作無關(guān)的內(nèi)容。

  

  通過內(nèi)容過濾功能對終端進行安全防護

• 內(nèi)部威脅防護（零信任）零信任是一種安全模型，基于訪問主體身份、網(wǎng)絡(luò)環(huán)境、終端狀態(tài)等盡可能多的信任要素對所有用戶進行持續(xù)驗證和動態(tài)授權(quán)。采用零信任方案可以統(tǒng)一身份管理，構(gòu)筑身份邊界，實時感知風(fēng)險，實現(xiàn)動態(tài)和細粒度授權(quán)。

• 應(yīng)用行為控制企業(yè)內(nèi)部署的防火墻可以通過協(xié)議檢測，對終端用戶的行為進行更精細的控制。如可以通過應(yīng)用行為控制功能禁止FTP的文件上傳和文件刪除操作，但允許FTP文件下載操作，或者對社交軟件的登錄行為進行控制。

  

  通過協(xié)議檢測控制終端用戶訪問應(yīng)用的行為

• URL過濾URL過濾功能可以對用戶訪問的URL進行控制，允許或禁止用戶訪問某些網(wǎng)頁資源，達到規(guī)范上網(wǎng)行為的目的。URL過濾還可以通過引用時間段或用戶/組等配置項，實現(xiàn)針對不同時間段或不同用戶/組的URL訪問控制，達到更加精細化和準確化控制員工上網(wǎng)權(quán)限的需求。

• DNS過濾DNS過濾技術(shù)可以根據(jù)不同的用戶/組、時間段和安全區(qū)域等信息，對用戶/組進行域名訪問控制，精確管理用戶的上網(wǎng)行為。

  

  通過URL或DNS過濾控制終端用戶訪問網(wǎng)絡(luò)的范圍

• 郵件過濾郵件過濾主要使用IP地址檢查和郵件內(nèi)容過濾技術(shù)，它可以幫助局域網(wǎng)用戶提高郵件系統(tǒng)的安全性，可以從郵件的發(fā)送權(quán)限、發(fā)送規(guī)模進行控制，防止信息泄密。

  

  通過郵件過濾控制終端用戶郵件權(quán)限

• 文件過濾機密信息和病毒往往存在于特定的文件類型中，例如機密信息一般保存在文檔文件中，病毒信息一般附著在可執(zhí)行文件中。因此文件過濾通過阻斷特定類型文件的傳輸，可以降低機密信息泄露和內(nèi)網(wǎng)感染病毒的風(fēng)險。

  

  通過文件過濾保護終端設(shè)備安全

• 入侵防御（IPS）入侵防御可以通過分析網(wǎng)絡(luò)流量，檢測入侵（包括緩沖區(qū)溢出攻擊、木馬、蠕蟲等），并通過一定的響應(yīng)方式，實時地中止入侵行為，保護企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害。

  

  通過IPS防御外部威脅入侵

• 反病毒（AV）反病毒可以通過識別和處理病毒文件來保證網(wǎng)絡(luò)安全，避免由病毒文件而引起的數(shù)據(jù)破壞、權(quán)限更改和系統(tǒng)崩潰等情況的發(fā)生。

  

  通過反病毒功能識別病毒文件保護終端設(shè)備

• 沙箱（APT防御）防火墻可以通過沙箱技術(shù)構(gòu)造一個隔離的威脅檢測環(huán)境，然后將網(wǎng)絡(luò)流量送入沙箱進行隔離分析并最終給出是否存在威脅的結(jié)論。如果沙箱檢測到某流量為惡意流量，則根據(jù)檢測結(jié)果刷新設(shè)備緩存中的惡意文件和惡意URL列表，當(dāng)具有相同特征的后續(xù)流量命中惡意文件或惡意URL列表時，可以直接進行阻斷或告警等處理。

  

  通過聯(lián)動沙箱檢測惡意文件保護終端設(shè)備

• 云接入安全感知在企業(yè)內(nèi)部通常需要對用戶使用云應(yīng)用的行為進行管控。例如，對用戶使用同一個云應(yīng)用的不同訪問行為進行差異化管理，或者對不同用戶使用不同應(yīng)用的行為進行精細化管理。云接入安全感知功能便能夠很好的滿足上述需求。

  

  通過云接入安全感知限制不同終端訪問云應(yīng)用

終端安全與傳統(tǒng)防病毒軟件有什么區(qū)別？

終端安全與傳統(tǒng)防病毒軟件在一些關(guān)鍵方面有所不同：

• 終端安全與網(wǎng)絡(luò)安全：傳統(tǒng)的防病毒軟件用于保護單個終端設(shè)備，例如安裝在筆記本電腦上以確保其安全。然而，終端安全技術(shù)將企業(yè)網(wǎng)絡(luò)視為一個整體，旨在保護所有連接企業(yè)網(wǎng)絡(luò)的終端設(shè)備。

• 管理：傳統(tǒng)的防病毒軟件依賴用戶手動更新數(shù)據(jù)庫或允許在預(yù)設(shè)時間進行更新。終端安全技術(shù)則將管理職責(zé)轉(zhuǎn)移到企業(yè) IT 或網(wǎng)絡(luò)安全團隊，通過與云端連接進行自動更新。

• 保護：傳統(tǒng)的防病毒軟件使用基于簽名的檢測來識別病毒。這意味著，如果用戶最近沒有更新防病毒軟件，仍然面臨被病毒攻擊的風(fēng)險。終端安全通過數(shù)據(jù)加密和數(shù)據(jù)訪問控制等技術(shù)提供更好的保護，防止數(shù)據(jù)丟失和數(shù)據(jù)泄露等威脅，確保未經(jīng)授權(quán)的員工無法獲取超出其訪問權(quán)限的數(shù)據(jù)。終端安全還可以利用行為分析等先進技術(shù)，根據(jù)可疑行為檢測更多的未知威脅。