終端裝置的安全直接關係到生產的安全，如前幾年流行的WannaCry勒索病毒直接造成了一些企業辦公中斷和業務資料損失，所以一般企業應該部署集中管理式的AV防毒軟體和EDR終端檢測與響應產品，以抵禦病毒和APT攻擊。EDR端點檢測與響應（Endpoint Detection & Response）是一種主動的安全方法，可以實時監控端點，並搜尋滲透到公司防禦系統中的威脅。 這是一種新興的技術，可以更好地瞭解端點上發生的事情，提供關於攻擊的上下文和詳細資訊。 EDR 服務可以讓你知道攻擊者是否及何時進入你的網路，並在攻擊發生時檢測攻擊路徑ーー幫助你在記錄的時間內對事件作出反應。開源的EDR產品有Facebook的Osquery和Mozilla的MIG，商業的EDR產品國內也有對應的廠商進行開發研製。

重要的業務部門，如BI大資料團隊、清結算團隊、研發團隊等，應部署DLP資料防洩露、DRM數字版權管理產品，防止企業關鍵資產（如資料、程式碼、文件等）洩露。什麼是DLP呢？字面上翻譯為“Data Leakage（Loss） Prevention資料洩露防護”，其核心能力就是內容識別，透過識別可以擴充套件到對資料的防控。內容識別應該具備的識別能力具體來說有關鍵字、正則表示式、文件指紋、確切資料來源（資料庫指紋）、支援向量機，針對於每一種能力又會衍伸出多種複合能力。總的來說，DLP其實就是一個綜合體，最終實現的效果，應該是智慧發現、智慧加密、智慧管控、智慧審計，也是一整套的資料洩露防護方案。DLP具備的防護能力，防護範圍包括網路防護和終端防護，網路防護主要以審計、控制為主，終端防護除審計與控制能力外，還應包含傳統的主機控制能力、加密和許可權控制能力。國外開發DLP相關產品的公司有Forcepoint、McAfee、Symantec，國內也有對應的廠商。另外還可以透過vDesk瘦客戶機（thinclient）建立完全隔離的虛擬桌面雲（VDI）網路，進一步強化重要辦公環境的管理，這是從底層解決資料防洩密問題的方式，這方面比較好的產品有Citrix、VMware、國內也有優秀的廠商開發了穩定的桌面雲解決方案。

隨著智慧手機和平板等BYOD裝置的普及，使用移動終端工作的情況也很普遍，如果不加以管控，就會造成資料洩露等安全風險。常見的移動終端安全產品有MDM移動裝置管理和MAM移動應用管理。移動裝置管理（MDM - Mobile Device Management）是企業實施移動化戰略過程中的一個基礎支撐方案。MDM旨在對大量湧入企業的各種移動終端進行統一的安全管控，MDM可以實現企業安全策略自動部署、裝置配置自動下發、裝置狀態監控、訊息推送等功能。這方面的商業產品有IBMMaaS360、SAPMobileSecure、GoogleGsuite等，開源產品有flyvemdm，國內也有優秀的廠商的穩定的MDM解決方案。

廣義的終端裝置還包括門禁系統、列印和傳真系統、電話會議系統、影片監控系統、WiFi路由系統等，我們也需要對這些裝置考慮安全方案。最後，可以透過SIEM產品（如Splunk）的UEBA使用者實體和行為分析發現有使用者主動行為或賬號被盜、終端被控制引起的異常安全行為攻擊。

文/上海藍盟 IT外包專家