网络攻防学习笔记 Day119

数字化不断变革对本地计算、边缘计算提出了更高的要求，一方面计算能力的前置能解决体验问题，大量应用程序需要在本地完成计算工作，以便提供效率更高的交互式响应；另一方面在终端和终端之间交互的场景，也需要大量计算能力的支撑。

数字化终端及接入环境安全是对各类企业接入终端安全纳管、终端自身安全、终端协同安全、终端安全运行支撑以及接入环境安全的综合定义。其中终端不以企业资产为边界，而是涉及企业接入的所有非 IoT 终端范围。

终端本质上是一个面向最终用户计算、存储和网络接入能力的集合。所有与计算、存储、网络接入相关的安全能力都需要在这个载体中得以体现，如恶意代码查杀、入侵防护、访问控制、行为审计、数据安全等。可以说终端对安全能力的要求是一个体系化的集合，而不只是一两个控制点。

终端安全技术防护设计需要考虑四大关键领域，分别是终端自身安全能力、终端协同安全能力、终端安全数据支撑能力和终端策略编排能力。

终端自身安全是为了保障终端从硬件到系统乃至应用安全的基础措施，需要从架构安全、被动安全、积极防御 3 个阶段考虑安全能力的设计。

终端协同安全能力则是终端安全延伸所带来的挑战，从身份识别到可信接入、从可信接入到安全隔离、从安全隔离到行为审计、从行为审计到数据监控。所有这些协同安全的目标都是为了解决数据在终端上延伸导致的安全问题。

建设终端统一安全运行支撑能力，是要建设以用户为对象的终端分级管理控制平台，通过联通 PC 终端、移动终端、云桌面、专用终端的控制平面，实现终端管理过程中服务能力、终端覆盖、数据信息三方面的统一。

沙箱是一种文件动态行为识别技术，云沙箱是将样本文件直接放入云端虚拟化环境中运行，通过监控运行过程从而跟踪文件的行为，并根据文件行为判断是否为恶意程序。

终端 DLP（Data Leakage Prevention，数据防泄露）是通过内容识别技术防止企业敏感文件通过终端泄露的一种数据安全技术，能够实现对终端存储数据、终端使用数据、终端外发数据的保护，同时可以结合数据标记、数据加密、数据权限管理等技术实现数据安全。

终端 EDR（Endpoint Detection & Response，终端检测与响应）是通过终端上的“探针程序”（Agent）采集终端各个维度的数据，包括静态以及内存中运行态的数据，上报到后端的管理分析平台。该管理分析平台通过一定的分析模型和外部威胁情报，能够及时和快速发现可能出现的高级威胁。

接入层 NDR（Network Detection & Response，网络检测与响应）是通过采集接入层网络流量中更多维度的数据，从而对网络攻击行为进行更细粒度的判断的一种技术。

全方位解决终端威胁并提供面向未来的终端能力建设，其中包括底层的终端纳管能力、数据支撑能力，支撑终端自身安全能力演进的架构安全能力、被动防御能力、积极防御能力，以及支撑终端协同安全能力演进的身份安全能力、接入管控能力、隔离设施能力、行为管控能力、数据安全能力等。