第一次写技术文章，简单介绍下。我从事网络、安全行业将近6年，现在单位负责网络安全，主要维护、优化本单位及全市下级单位网络，搭建本单位的网络安全体系。一路以来的心路历程除了艰辛还是艰辛，主要想把自己多年编写过的技术文档，处理故障的一些心得，分享出来给各位正在网络安全路上奋斗的小伙伴，一起努力，天道酬勤！
首先，先了解下关于终端安全，本文针对是桌面PC，非服务器（虽然有些措施可以通用，后续会出个服务器版的终端安全）主要有几大方面：防病毒、木马、系统补丁修复、终端防护安全策略、网络准入、软件管控、移动设备管控、员工安全意识。

一.防病毒、木马。
病毒木马有不同类型，如:勒索病毒、挖矿木马、风险软件、后门远控…等，这些病毒木马可以从不同渠道进入到单位网络，so，如何防护？
1.从源头上隔绝病毒木马。
要安装软件，务必在软件官方网站上进行下载，不要通过软件下载器，不要打开搜索引擎搜索关键字，随便点个链接就下载。如果点了风险链接或者是冒牌网站进行下载软件，基本上都会感染病毒，或者是软件自带后门远控。
企业内网的话，因为上不了互联网，所以这类风险较少。
2.安装防病毒软件。
根据企业规模，条件允许的话，可以购买付费的杀毒软件，可以享有技术支持，维保服务，管理平台，功能更强大。
ps：作为刚从业网络安全行业的小白来说，厂家技术支持是非常重要的，一来可以减轻工作量，二来可以跟这些售后工程师学习，所以关系要处理好。
安装了防病毒软件之后，并不是说一劳永逸。需坚持做好以下这几点：
（1）必须定期更新病毒库，起码一周一次，若是互联网环境，则可以自动每日更新。若是企业内网的话，可以通过下载离线更新包的方式更新。有条件的话，还可以搭建内网互联网数据交互平台，让内网的防病毒服务器以代理的方式，通过数据交换平台，访问互联网实现自动更新病毒库。一般企业可能就是通过防火墙来实现了，有条件的，可购置数据交换系统，如网闸。甚至高大上点，用单向光闸。
（2）在防病毒的控制台上，设置邮件告警，报表。最起码有PC感染了病毒木马，会第一时间收到邮件告警。至少每周收到一次全网感染病毒情况的报表。

二.系统漏洞。
漏洞利用及端口爆破是攻陷终端设备的重要手段，通过漏洞利用或爆破攻击服务器，随后进行内网横向渗透，整个过程中漏洞利用及端口爆破都是最常用的手段，因此我们需及时安装补丁及关闭不必要的开放端口。
修复漏洞的话，主要难在如果确定哪些补丁要打，哪些补丁可以忽略。我认为，对于普通企业来说，微软每月安全补丁更新、网上披露的严重漏洞补丁（一般披露的都是不同产品、软件的漏洞，需要挑选出适合本单位的）、某些软件有bug需要打补丁修复（例如办公软件有时需要通过打补丁修复bug），这些补丁都是需要定期修复的，建议最好至少一周一次。那么，我们只需要部署一套可以一键下发任务，批量修复补丁的软件即可。
关于开放端口的问题，首先要确认自身业务所使用的端口，然后再对比业内常见的风险端口列表，如3389/22/445/137/135/139…等，若没有影响业务，则把相应端口关闭。例如自身没有使用共享文件夹服务的，就把445端口禁用。没有使用到远程桌面服务的，就把3389端口禁用，2019年远程爆破是最常见的攻击方式，也是最简单，粗暴的攻击手法。如果你懒得去找，好吧，相信我，把3389和445都关了（在PC防火墙上建立入站和出站规则，禁用风险端口）。

三.终端准入
什么是准入？简单说就是只有通过授权或者认证的人员，才能访问网络。它可以帮助我们对员工进行身份认证，阻断非法终端的网络连接、对终端完整性进行检查。
我认为终端准入可以从两个方向去实现。一是在终端层面，二是在网络层面。终端层面，有条件的可以购买安装自带网络准入功能的终端防护软件，这类通常都需要部署一套系统，在平台上进行管控。网络层面，可利用现有资源进行部署，但对管理人员技术要求较高，需要有路由交换相关知识。可在接入交换机上通过端口安全port-security功能，进行简单的mac-端口-vlan绑定。亦可通过ipsg技术+地址binding表，这种方法更稳定。在网络层面上做准入最大的难点就是所有的资料都基于PC资产表，你必须对全网的PC进行把控，起码要做到全网任何一台机，都有收录ip、mac地址、所接入的交换机，接入端口等一系列信息，前期工作量较大，而且这类方式适用于人员变动不大的单位。
四.软件管控
在软件这方面，主要问题是盗版软件滥用和如何管控不合规软件的。就像刚才说的那样，我们很容易就会在冒牌网站下载软件，那么，在这方面要怎么防护呢？
首先明确我们的目的，就是对内网软件进行标准化管控。第一、搭建终端管理平台，现在很多终端防护软件都会有这种平台，客户端/服务器架构。可以帮助我们对全网终端的软件安装情况有个清晰、详细的了解，还可以统一对全网终端下发软件2个用户安装了非法软件，哪些软件版本太旧需要更新…等。第二、建立一个标准的软件库。若办公网是外网环境，这个比较容易实现，安装个知名的、安全的软件库就行。若是在内网环境的话，可以通过建立ftp或者共享文件夹的方式，这个对人力需求较高，运维人员需要从外网下载正版软件，再通过内外网交互，传回内网，确认无毒后再上传ftp。亦可通过安装终端管理平台，平台自带软件库，但这个要求平台要连通互联网，从而定期更新软件库。像前面说的一样，这种可通过代理的方式或者是建立内外网数据交换平台，通常说的就是网闸。
五.移动U盘管控
对于U盘，需根据企业自身业务需要，对有需要的人员进行权限开放。员工使用U盘必须注册登记并增加密码保护，同时，需要有一套U盘监管系统，对U盘的使用情况进行审计，对U盘的权限可管理，例如只读、只写。有条件可购买终端管理系统，可以做到内网有专用U盘，只能接内网使用。内外网数据交互的话，就通过一台中间机来进行，这个中间机自带病毒库，会对交换的文件进行查杀毒。
六.小结

对于一般企业来说，要想做好终端安全，我认为最起码要做好以上几点工作。终端安全只是网络安全的一部分，要整体把握的话，安全意识的宣传也很重要。 当然，这个不是一个人的力量可以完成的事情，需要领导的支持，需要全体员工的支持。