安全合规5--终端安全检测和防御技术
一、终端安全风险(4.3.1)
核心问题
企业80%的安全事件源于终端(员工PC),因终端是互联网数据交换的关键节点。
黑客以终端为跳板,横向渗透内网,攻击存储重要数据的服务器(如勒索病毒、数据窃取)。
僵尸网络危害
控制终端形成僵尸网络,导致:
敏感信息窃取
引导访问钓鱼网站
作为APT攻击跳板
2014年数据显示,受控主机IP峰值达362万台(CNCERT/CC统计)。
高级持续威胁(APT)
利用僵尸网络实现渗透、监视、数据窃取,具有隐蔽性、横向扩散性。
二、终端安全检测和防御技术(4.3.2)
1. 传统防御的局限性
仅依赖IP/端口/特征无法识别新型攻击(如潜伏黑客、异常流量)。
正常流量中隐藏信息窃取、Oday漏洞等风险。
2. 深度应用层防护方案
可视化应用管控
应用识别(OA、核心业务、非法应用) + 流量管控(带宽保障/限制/阻断)。
应用层访问控制策略
应用类型 控制策略 非流应用 禁止QQ、迅雷下载、优酷视频、游戏 可疑应用 允许但强制扫描(如远程桌面需IPS扫描) 合法应用 允许HTTP/Foxmail/Git,限制带宽或保障优先级 技术实现
基于应用:深度包检测(DPI),需多包分析后拦截。
基于服务:五元组过滤(源/目的IP+端口+协议),即时拦截。
WEB过滤
URL过滤(含HTTPS)、文件过滤、按HTTP动作区分。
三、网关杀毒技术(4.3.3)
1. 病毒特性
传染性、潜伏性、破坏性(定义见《计算机安全保护条例》)。
工作步骤:潜伏 → 触发 → 传染 → 破坏。
2. 杀毒方案对比
| 类型 | 缺陷 | 优势 |
|---|---|---|
| 单机/网络版杀毒 | 被动防御,需逐台更新病毒库 | - |
| 网关杀毒 | - | 主动拦截外部病毒,构建立体防护体系 |
3. 网关杀毒实现
代理扫描:缓存文件后全量检测(精度高,延迟大)。
流扫描:基于协议解析实时匹配特征(速度快,精度较低)。
支持协议:HTTP/FTP/SMTP/POP3的文件上传/下载检测。
配置流程:新建策略 → 选择对象(用户/IP组) → 指定协议 → 过滤文件类型(文档/程序/图片)。
四、僵尸网络检测和防御技术(4.3.4)
1. 僵尸网络定义
黑客控制大量“肉鸡”发起DDoS攻击、传播恶意软件。
2. 传统方案局限
防毒墙/杀毒软件对APT攻击无效。
3. 新型检测技术
恶意链接检测:
流程:白名单放行 → 黑名单匹配 → 云端分析未知链接 → 动态拦截。
云端沙盒分析:
可疑文件在沙盒中监控行为(文件/注册表/进程/网络操作)→ 生成规则 → 同步全网。
异常流量检测:
启发式分析:检测SYN/ICMP/DNS/UDP Flood攻击(基于流量阈值+单向流判定)。
其他手段:
DGA域名识别、非常规端口协议检测、CC攻击识别、流量不对称分析等。
规则库规模:40万+僵尸网络特征规则。
五、核心防御体系总结
| 层级 | 关键技术 | 目标 |
|---|---|---|
| 终端层 | 应用深度识别、行为管控 | 阻断非法应用,保障核心业务 |
| 网关层 | 代理/流扫描杀毒、协议解析 | 拦截外部病毒,减少内网渗透 |
| 僵尸网络防御 | 云端沙盒、异常流量分析、恶意链接拦截 | 识别APT攻击,阻断C&C通信 |
| 联动机制 | 云端规则库实时同步、黑白名单动态更新 | 提升未知威胁响应速度 |
关键结论:企业需构建“终端-网关-云端”协同的立体防御体系,结合深度应用识别、实时行为分析及云端威胁情报,方能有效应对高级威胁。