360網(wǎng)神

終端安全管理系統(tǒng)

解決方案

奇安信

新一代網(wǎng)絡(luò)安全

目錄

??44**??**?*??4??4*?4*??*?a**?**??*??4*?4*......8

1.1安全趨勢...............................................................8

i?項(xiàng)目背景9

1.3面臨挑戰(zhàn)..............................................................10

1.3.1原有終端安全建設(shè)集成度弱.......................................10

1.3.2缺乏防御各類型威脅的能力.......................................11

133缺少統(tǒng)一安全運(yùn)維處置能力.......................................13

1.3.4無法對身份資產(chǎn)外設(shè)全管理.......................................14

1.3.5欠缺對高級(jí)威脅的有效識(shí)別.......................................15

13.6整體安全決策力未形成閉環(huán)......................................16

2備求分析...................................................17

2.1安全技術(shù)需求分析......................................................17

2.1.1一體化的集中安全管理需求.......................................17

2.1.2大量惡意威脅積極防護(hù)需求.......................................18

2.1.3統(tǒng)一終端安全運(yùn)維合規(guī)需求.......................................19

2.1.4身份準(zhǔn)入資產(chǎn)設(shè)備管理需求......................................21

2.1.5高級(jí)可持續(xù)性威脅處置需求......................................23

2.1.6實(shí)時(shí)安全數(shù)據(jù)分析決策需求......................................23

2.2安全運(yùn)營需求分析.....................................................24

2.2.1掌握信息資產(chǎn)需求...............................................24

2.2.2日常安全運(yùn)營需求...............................................24

2.2.3重要時(shí)期安全保障需求..........................................25

2.2.4專家安全運(yùn)營支撐需求..........................................25

?設(shè)計(jì)依樞和思路............................................................26

3.1方案設(shè)計(jì)依據(jù)..........................................................26

3.2方案設(shè)計(jì)原則.........................................................27

3.2.1整體性原則.....................................................27

3.2.2統(tǒng)一性原則.....................................................27

3.2.3一致性原則.....................................................27

3.2.4適應(yīng)性原則.....................................................28

3.3方案設(shè)計(jì)思路..........................................................28

3.3.1風(fēng)險(xiǎn)分析與合規(guī)要求相結(jié)合......................................28

3.3.2統(tǒng)一體系化的安全保障框架......................................29

3.3.3以積極防御為主的設(shè)計(jì)思路......................................29

安全防護(hù)體系總體設(shè)計(jì)…....................................................

4.1總體設(shè)計(jì)架構(gòu)..........................................................32

4.2安全技術(shù)體系..........................................................33

4.3安全管理體系..........................................................34

4.4安全運(yùn)營體系..........................................................34

詳細(xì)方案設(shè)計(jì)_____________________________________Y

5.1一體化集中安全管理平臺(tái)...............................................35

5.1.1針對高級(jí)威脅有效防護(hù)...........................................35

5.1.2全網(wǎng)終端安全態(tài)勢監(jiān)控...........................................35

5.1.3建立終端立體防護(hù)體系...........................................35

5.1.4終端安全，統(tǒng)一管理.............................................36

5.2終端病毒與惡意代碼防范...............................................36

5.2.1防病毒功能架構(gòu)與組成...........................................36

5.2.2雙擎雙庫的病毒特征檢測........................................38

5.2.3奇安信云查殺檢測引擎..........................................38

5.2.4惡意URL檢測引擎.............................................40

5.2.5人工智能檢測引擎..............................................41

5.2.6樣本黑白名單管理..............................................42

5.2.7私有云平臺(tái)（隔離網(wǎng)環(huán)境）......................................43

5.2.8特點(diǎn)與優(yōu)勢.....................................................44

5.3終端綜合評估系統(tǒng).....................................................46

5.3.1配置脆弱評估...................................................46

5.3.2數(shù)據(jù)價(jià)值評估...................................................46

5.3.3淪陷跡象評估...................................................47

5.4業(yè)務(wù)服務(wù)器安全加固...................................................47

5.5XP系統(tǒng)遁甲安全加固..................................................49

5.5.1系統(tǒng)力口固.......................................................50

5.5.2熱補(bǔ)丁修復(fù).....................................................50

5.5.3危險(xiǎn)應(yīng)用隔離...................................................51

554“非白即黑”策略.................................................52

5.6全網(wǎng)終端漏洞統(tǒng)一管理.................................................52

5.6.1國內(nèi)高速補(bǔ)丁下載源.............................................53

5.6.2安全的補(bǔ)丁回退機(jī)制.............................................53

5.6.3補(bǔ)丁安裝智能化................................................53

5.6.4補(bǔ)丁強(qiáng)制安裝...................................................53

5.6.5特點(diǎn)與優(yōu)勢.....................................................54

5.7軟件供應(yīng)鏈合規(guī)管理...................................................56

5.7.1軟件生命周期管理...............................................56

5.7.2軟件安全鑒定...................................................57

5.7.3云中心軟件管理.................................................57

5.7.4軟件應(yīng)用分發(fā)...................................................57

5.7.5系統(tǒng)架構(gòu)與組成.................................................58

5.7.6特點(diǎn)與優(yōu)勢.....................................................59

5.8終端安全管控措施.....................................................60

5.8.1流量監(jiān)控.......................................................60

5.8.2違規(guī)外聯(lián).......................................................61

5.8.3應(yīng)用程序安全...................................................61

5.8.4網(wǎng)絡(luò)安全.......................................................61

5.8.5遠(yuǎn)程控制.......................................................62

586外設(shè)管理.......................................................62

5.8.7桌面加固.......................................................63

5.8.8屏幕水印.......................................................64

5.8.9客戶端強(qiáng)制自保護(hù)..............................................64

5.9終端信息審計(jì)管理.....................................................65

5.9.1安全策略審計(jì)...................................................65

5.9.2文件操作審計(jì)...................................................65

5.9.3文件打印審計(jì)...................................................66

5.9.4外設(shè)使用審計(jì)...................................................66

5.9.5郵件i己錄審計(jì)...................................................66

5.9.6賬號(hào)使用審計(jì)...................................................66

5.9.7安全U盤審計(jì)...................................................66

598文件追蹤審計(jì)（受控）...........................................67

5.10身份認(rèn)證合規(guī)準(zhǔn)入....................................................67

5.10.1系統(tǒng)架構(gòu)組成..................................................67

5.10.2主機(jī)身份識(shí)別.................................................69

5.10.3802.lx接入認(rèn)證...............................................69

5.10.4WebPortal認(rèn)證................................................70

5.10.5入網(wǎng)合規(guī)檢查..................................................70

5.10.6特點(diǎn)與優(yōu)勢....................................................73

5.11多網(wǎng)切換隔離管控.....................................................75

5.12軟硬件資產(chǎn)登記管理..................................................76

5.12.1軟硬件信息收集................................................77

5.12.2自助登記......................................................77

5.12.3Ld叩聯(lián)動(dòng).....................................................77

5.12.4特點(diǎn)與優(yōu)勢....................................................78

5.13移動(dòng)存儲(chǔ)介質(zhì)管理....................................................78

5.13.1移動(dòng)存儲(chǔ)介質(zhì)注冊..............................................79

5.13.2設(shè)備授權(quán)......................................................79

5.13.3掛失管理......................................................79

5.13.4外出管理......................................................79

5.13.5U盤漫游......................................................80

5.13.6設(shè)備例外......................................................80

5.13.7安全U盤（硬件）.............................................80

5.13.8特點(diǎn)與優(yōu)勢....................................................81

5.14終端威脅檢測與響應(yīng)系統(tǒng)..............................................81

5.14.1終端大數(shù)據(jù)收集................................................82

5.14.2主動(dòng)式威脅檢測...............................................82

5.14.3終端威脅追蹤..................................................82

5.14.4威脅應(yīng)急響應(yīng)..................................................82

5.14.5安全狀況全面評估.............................................83

5.14.6特點(diǎn)與優(yōu)勢....................................................83

5.15可視化安全數(shù)據(jù)分析與決策............................................83

5.15.1系統(tǒng)架構(gòu)與組成................................................84

5.15.2安全可視化系統(tǒng)功能...........................................85

5.16一體化平臺(tái)典型部署..................................................89

5.16.1互聯(lián)網(wǎng)絡(luò)部署..................................................89

5.16.2隔離網(wǎng)絡(luò)部署..................................................90

5.16.3大型網(wǎng)級(jí)聯(lián)部署...............................................91

5.16.4強(qiáng)制合規(guī)（NAC）旁路部署.....................................93

5.16.5強(qiáng)制合規(guī)（NAC）802.1X部署....................................94

5.17終端安全風(fēng)險(xiǎn)治理思路................................................96

6安全運(yùn)行服務(wù)《受控】______________________________________________________97

6.1安全運(yùn)營總體思路......................................................97

6.2安全運(yùn)營服務(wù)內(nèi)容.....................................................97

6.2.1終端安全運(yùn)營服務(wù)（基礎(chǔ)版）一工作內(nèi)容.........................98

6.2.2終端安全運(yùn)營服務(wù)（基礎(chǔ)版）一交付物..........................100

7.督阮堆護(hù)服務(wù)---------------------------------------------------------101

7.1售后服務(wù)組織機(jī)構(gòu)一客戶服務(wù)中心......................................101

7.2售后服務(wù)內(nèi)容.........................................................103

7.3售后服務(wù)手段.........................................................104

7.4售后服務(wù)流程.........................................................105

7.5顧客檔案管理一服務(wù)管理系統(tǒng)..........................................108

7.6服務(wù)響應(yīng)時(shí)間.........................................................108

*方案優(yōu)勢_________________________________________________________________110

8.1終端安全一■體化.......................................................110

8.2病毒防御多維化.......................................................110

8.3安全管控智能化.......................................................110

8.4全面滿足合規(guī)要求.....................................................Ill

9用戶價(jià)值收益-------------------------------------------------------------112

9.1完善的終端安全防御體系...............................................112

9.2強(qiáng)大的終端安全管理能力..............................................113

9.3良好的用戶體驗(yàn)與易用性..............................................113

注:本方案適用于售前階段,投標(biāo)方案請參考“天擎功能規(guī)格列表〃對應(yīng)修改!

概述

1.1安全趨勢

當(dāng)前全球網(wǎng)絡(luò)安全形勢嚴(yán)峻，網(wǎng)絡(luò)安全面臨著各種新的挑戰(zhàn)，網(wǎng)絡(luò)攻擊層

出不窮，且攻擊來源、攻擊目的、攻擊辦法以及攻擊規(guī)模都在發(fā)生著巨大的變

化。與此同時(shí)，伴隨我國信息化發(fā)展進(jìn)入新階段.云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、

移動(dòng)辦公等新技術(shù)新應(yīng)用已經(jīng)日趨成熟，并開始大規(guī)模應(yīng)用，而新技術(shù)是一把

雙刃劍，在促進(jìn)信息化發(fā)展的同時(shí)也帶來新的安全風(fēng)險(xiǎn)，原有安全防護(hù)體系的

適應(yīng)性和防護(hù)能力已經(jīng)不能解決信息安全工作面臨的新風(fēng)險(xiǎn)新問題。

為應(yīng)對網(wǎng)絡(luò)安全面臨的全新形勢和挑戰(zhàn)，我國網(wǎng)絡(luò)安全制度體系建設(shè)和組

織機(jī)制建設(shè)也進(jìn)入了快車道，2016年11月7日，（中華人民共和國網(wǎng)絡(luò)安全

法）發(fā)布，并于2017年6月1日起正式施行，這是我國第一部全面規(guī)范網(wǎng)絡(luò)空

間安全管理方面問題的基礎(chǔ)性法律，是我國網(wǎng)絡(luò)空間法治建設(shè)的重要里程破，

網(wǎng)絡(luò)安全法進(jìn)一步明確了信息化發(fā)展與網(wǎng)絡(luò)安全并重的原則，指出“國家實(shí)行

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度〃，“對關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基

礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)〃，并“保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使

用〃。

隨著（網(wǎng)絡(luò)安全法）的發(fā)布施行，國家網(wǎng)絡(luò)安全保障制度和標(biāo)準(zhǔn)體系也在

快速制定和完善中，2018年6月，由公安部牽頭制定的（網(wǎng)絡(luò)安全等級(jí)保護(hù)條

例）發(fā)布征求意見稿，2019年5月13日，新2.0版本（信息安全技術(shù)網(wǎng)絡(luò)安全

等級(jí)保護(hù)基本要求）（GB/T22239?2019）及擴(kuò)展要求正式發(fā)布，與此同時(shí)針對

關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)制度和標(biāo)準(zhǔn)也在加緊制定中，由此可見國家對國產(chǎn)化

進(jìn)程的推進(jìn)力度及網(wǎng)絡(luò)信息安全發(fā)展的決心！

1.2項(xiàng)目背景

隨著網(wǎng)絡(luò)信息化發(fā)展的不斷應(yīng)用和普及，網(wǎng)絡(luò)應(yīng)用向多層次、立體化、空

間化方向發(fā)展，網(wǎng)絡(luò)空間信息的安全問題越來越突出，給數(shù)字化的安全管理帶

來很大挑戰(zhàn)。網(wǎng)絡(luò)空間安全通常被認(rèn)為是計(jì)算機(jī)網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)

系統(tǒng)的硬件如骨干網(wǎng)設(shè)備、終端設(shè)備、線路、輔助設(shè)備等）、軟件（如操作系

統(tǒng)、應(yīng)用系統(tǒng)、用戶系統(tǒng)等），及其系統(tǒng)中運(yùn)行的數(shù)據(jù)、提供的應(yīng)用服務(wù)不因偶

然的、惡意的原因而遭到破壞、篡改、泄露和失控。

首先,對于XXXX企業(yè)網(wǎng)絡(luò)信息系統(tǒng)而言，當(dāng)DDos攻擊、身份偽造、主

動(dòng)入侵、漏洞利用、勒索病毒、未知威脅、非法接入、違規(guī)操作、信息泄密、

存儲(chǔ)介質(zhì)隨意使用，以及國外勢力電子信息戰(zhàn)等越來越嚴(yán)重的影響到企業(yè)利益

和國家利益的時(shí)候，網(wǎng)絡(luò)空間安全（CyberspaceSecurity）也繼國防安全、政治

安全、經(jīng)濟(jì)安全、金融安全之后成為了國家安全體系中的一項(xiàng)重要內(nèi)容，受到

包括美國、歐洲和中國zf的高度關(guān)注。

其次，在國家行業(yè)信息化推進(jìn)的大環(huán)境下，行業(yè)專網(wǎng)的運(yùn)營安全在國民經(jīng)

濟(jì)建設(shè)中日益顯得舉足輕重。十分是在zf機(jī)關(guān)網(wǎng)絡(luò)中，工作秘密的泄露會(huì)使zf

機(jī)關(guān)工作遭受損失，帶來不必要的被動(dòng)；而國家秘密的泄露會(huì)使國家的安全和

利益遭到嚴(yán)重?fù)p害，而泄密者受到降職、降銜的嚴(yán)肅處理，甚至移交司法機(jī)關(guān)

處理。

同時(shí)，企業(yè)大量計(jì)算機(jī)系統(tǒng)面臨的各種安全問題需要人工進(jìn)行維護(hù)操作和

升級(jí)等，但隨著企業(yè)規(guī)模的增加，其運(yùn)維工作量也呈指數(shù)級(jí)增加……這一系列

問題都為企業(yè)計(jì)算機(jī)安全管理帶來的極大的挑戰(zhàn)。而隨著企業(yè)安全建設(shè)的推

進(jìn)，由于受條件和其它因素限制，在針對上述解決問題制定解決方案的時(shí)候，

企業(yè)往往采取了分而治之的方式，某一類問題就采用一套獨(dú)立的工具軟件系統(tǒng)

解決。當(dāng)再回顧時(shí)，企業(yè)內(nèi)部可能部署了多套系統(tǒng)，而這些系統(tǒng)均來自不同的

廠商，彼此獨(dú)立完成不同的功能，而這些各種各樣的安全工具軟件系統(tǒng)也紿企

業(yè)安全帶來各種各樣的新問題。

綜上，怎樣應(yīng)對上述安全問題，減少直至杜絕終端系統(tǒng)內(nèi)部各種各樣安全

威脅，實(shí)現(xiàn)企業(yè)內(nèi)建設(shè)面向網(wǎng)絡(luò)空間的、安全和諧的內(nèi)網(wǎng)終端統(tǒng)一安全管理運(yùn)

行環(huán)境，則成為了XXXX企業(yè)主管領(lǐng)導(dǎo)工作的重中之重。

1.3面臨挑戰(zhàn)

XXXX信息化建設(shè)經(jīng)過多年的發(fā)展，對業(yè)務(wù)的支撐作用已經(jīng)表現(xiàn)得非常明顯,

相關(guān)業(yè)務(wù)的開展已經(jīng)離不開信息系統(tǒng)的正常運(yùn)轉(zhuǎn)。隨XXXX信息化的繼續(xù)深化，

XXXX的業(yè)務(wù)流程已經(jīng)高度自動(dòng)化、高效率，從而為（根據(jù)項(xiàng)目或者行業(yè)特性具

體情況編寫）提供更好的服務(wù)。

但另一方面，承載XXXX業(yè)務(wù)應(yīng)用的大量終端計(jì)算機(jī)系統(tǒng)安全基礎(chǔ)架構(gòu)的

管理/技術(shù)手段卻相對落后，在當(dāng)前快速復(fù)雜多變的信息安全形勢下，無論是外

部黑客入侵、內(nèi)部惡意使用，還是大多數(shù)情況下內(nèi)部用戶無意識(shí)造成的問題，

XXXX信息科（處）的安全手段都正在變得越來越“捉襟見肘〃。同時(shí)（根據(jù)

項(xiàng)目或者行業(yè)特性具體情況編寫）勒索'病蓄、信息泄露、媒體輿論炒作、行業(yè)

競爭關(guān)系緊張、上級(jí)領(lǐng)導(dǎo)問責(zé)、法律法規(guī)監(jiān)管等等，都在無形中讓XXXX的信

息安全管理者的壓力越來越大。

綜上，這些信息安全風(fēng)險(xiǎn)主要問題有：

1.3.1原有終端安全建設(shè)集成度弱

在此之前，XXXX企業(yè)安全建設(shè)經(jīng)過中，由于受條件和其它因素限制，某

一類問題就采用一種獨(dú)立的系統(tǒng)解決，隨時(shí)間發(fā)展不斷積累，企業(yè)內(nèi)部可能部

署了多套系統(tǒng)，而這些系統(tǒng)往往來自不同的廠商.彼此獨(dú)立完成不同的功能，

這就帶來了新的問題：

＞終端被各種軟件占據(jù)，資源耗費(fèi)巨大

各系統(tǒng)均有獨(dú)立的數(shù)據(jù)庫、內(nèi)存加載項(xiàng)、數(shù)據(jù)掃描行為等一系列資源需

求，包括對磁盤存儲(chǔ)需求、內(nèi)存需求、CPU需求等，這些資源需求往往處于自

身軟件設(shè)計(jì)的考慮，極易導(dǎo)致對整體終端系統(tǒng)資源的較大消耗，影響用戶實(shí)際

使用體驗(yàn)，干擾用戶正常業(yè)務(wù)工作。

＞系統(tǒng)之間容易產(chǎn)生沖突

終端安全軟件實(shí)現(xiàn)方式往往采用進(jìn)程注入、API掛載、驅(qū)動(dòng)掛載等系統(tǒng)級(jí)

的處理方式，使得安全軟件之間的兼容性，安全軟件與其它軟件的兼容性出現(xiàn)

問題。譬如某軟件安裝后，其它軟件出現(xiàn)功能無法使用、軟件無法啟動(dòng)、系統(tǒng)

藍(lán)屏等問題。由于終端系統(tǒng)的復(fù)雜性，這種兼容性所帶來的問題往往都比較難

以處理。

＞系統(tǒng)之間獨(dú)立，無法聯(lián)動(dòng)

安全從過去的孤立針對某個(gè)方面的防護(hù)已經(jīng)全面進(jìn)入大數(shù)據(jù)階段，通過各

種數(shù)據(jù)的整合、分析、處置是應(yīng)對新型威脅的有效辦法。而過去安全建設(shè)所產(chǎn)

生的多種安全防護(hù)體系彼此孤立，無論從系統(tǒng)層面還是數(shù)據(jù)層面都無法進(jìn)行有

效整合，從而造成實(shí)際防護(hù)效果大打折扣，在應(yīng)對未知威脅時(shí)捉襟見肘。

＞管理維護(hù)困難

多個(gè)安全系統(tǒng)的存在造成要針對每個(gè)系統(tǒng)有不同的運(yùn)維管理的工作量，如

系統(tǒng)的安全策略的定義、細(xì)化、調(diào)優(yōu)、更改，系統(tǒng)的更新，系統(tǒng)日志管理、數(shù)

據(jù)庫管理等一系列工作。這無疑給安全管理人員提出來非常高的要求，這不僅

僅是增加了工作量，而且要求管理員在不同的系統(tǒng)之間進(jìn)行管理切換必須充分

了解每個(gè)系統(tǒng)之間細(xì)微的差別，以確保對系統(tǒng)的設(shè)置不會(huì)出錯(cuò)。

1.3.2缺乏防御各類型威脅的能力

＞病毒防護(hù)問題

XXXX目前缺乏必要的國產(chǎn)化企業(yè)級(jí)終端安全管理系統(tǒng)，導(dǎo)致大量境佐/境

外的終端木馬、勒索病毒威脅嚴(yán)重，而且由于大量終端處于辦公網(wǎng)內(nèi)，造成交

叉感染現(xiàn)象嚴(yán)重，又很難徹底清除某些感染性較強(qiáng)的病毒。許多變種的勒索病

毒、木馬會(huì)導(dǎo)致終端運(yùn)行效率降低，對文件進(jìn)行加密勒索以至于破壞企、也核心

數(shù)據(jù)。例如：

?Wannacryzf行業(yè)勒索病毒典型事件：

2017年5月中旬，WannaCry勒索病毒爆發(fā)，很快席卷全球15()多個(gè)國家，

感染近23萬臺(tái)計(jì)算機(jī)設(shè)備，導(dǎo)致大量醫(yī)院、zf系統(tǒng)業(yè)務(wù)故障，國內(nèi)多所高校中

招。

?GandCrab醫(yī)療行業(yè)勒索病毒典型事件：

GandCrab勒索病毒堪稱2018年勒索病毒界的“新星〃，該勒索家族于

2018年01月面世，短短幾個(gè)月的時(shí)間，歷經(jīng)三大版本更迭。

?Globelmposter法院行業(yè)勒索病毒典型事件：

國內(nèi)傳播，受影響的系統(tǒng)，數(shù)據(jù)庫文件被加密破壞，病毒將加密后的文件

重命名為.TRUE擴(kuò)展名，并通過郵件來告知受害者付款方式。

當(dāng)前勒索病毒已成為影響危害最大的威脅。在被勒索病毒感染的政企單位

中，zf單位的占比最高，占到被感染政企單位總數(shù)的24.1%；其次是衛(wèi)生

14.9%、公檢法7.2%。途徑是主要利用SMB漏洞、RDP遠(yuǎn)程暴破、惡意結(jié)束

殺軟等方式。所以利益驅(qū)動(dòng)下的攻擊將成為未來的趨勢，這給企業(yè)的安全防御

提出了新的挑戰(zhàn)。

>服務(wù)器安全問題

企業(yè)的業(yè)務(wù)服務(wù)系統(tǒng)承載著各種類型業(yè)務(wù)和數(shù)據(jù)的運(yùn)行，其實(shí)時(shí)性、準(zhǔn)確

性、穩(wěn)定性要求極高，怎樣對其進(jìn)行漏洞管理安全運(yùn)營是每一位管理者思考的

難點(diǎn)，其主要體現(xiàn)有：補(bǔ)丁修復(fù)后業(yè)務(wù)系統(tǒng)出現(xiàn)中斷；業(yè)務(wù)服務(wù)器補(bǔ)丁測試驗(yàn)

證周期長；工作時(shí)間段因?yàn)橄螺d補(bǔ)丁導(dǎo)致網(wǎng)絡(luò)擁塞；管理員無法知道高危補(bǔ)丁

修復(fù)情況；補(bǔ)丁影響業(yè)務(wù)批量回退難等問題。

>XP升級(jí)加固問題

微軟于2014年4月1日以后停止其WindowsXP操作系統(tǒng)補(bǔ)丁升級(jí)服務(wù)，

而XXXX仍杓部分分支機(jī)構(gòu)自助服務(wù)終端(前置機(jī))運(yùn)行著XP系統(tǒng)。受此影

響，在企業(yè)WindowsXP系統(tǒng)遷移至更高版本的系統(tǒng)之前，這些系統(tǒng)都將暴漏在

各種網(wǎng)絡(luò)威脅之中，數(shù)據(jù)信息、業(yè)務(wù)的正常運(yùn)行都將受到嚴(yán)重威脅，一旦這些

安全事件發(fā)生，勢必會(huì)影響業(yè)務(wù)的正常運(yùn)行，甚至將產(chǎn)生難以估量的損失。

1.3.3缺少統(tǒng)一安全運(yùn)維處置能力

＞補(bǔ)丁管理問題

在企業(yè)的數(shù)據(jù)中心和辦公網(wǎng)絡(luò)中存在各種不同類型的操作系統(tǒng)及不同版本

的操作系統(tǒng)都需要管理員進(jìn)行全面的補(bǔ)丁管理，管理員往往需要甄別不同的操

作系統(tǒng)并根據(jù)各個(gè)系統(tǒng)的不同情況有選擇性的下發(fā)系統(tǒng)補(bǔ)丁，服務(wù)器系統(tǒng)尤為

復(fù)雜，需要管理員將補(bǔ)丁與服務(wù)器應(yīng)用進(jìn)行兼容性測試后才能對相應(yīng)的服務(wù)器

進(jìn)行補(bǔ)丁升級(jí)操作。如果使用單機(jī)版的安全軟件修復(fù)漏洞，就只能靠管理員逐

臺(tái)電腦打補(bǔ)丁，不僅耗費(fèi)管理員的時(shí)間，還大量占用企業(yè)網(wǎng)絡(luò)的帶寬和設(shè)備資

源，企業(yè)信息網(wǎng)絡(luò)的正常運(yùn)行受到極大的影響。

怎樣確保及時(shí)的修復(fù)漏洞，不被木馬和病毒利用；怎樣與漏洞進(jìn)行多維關(guān)

聯(lián)同時(shí)又要確保合理有效的使用帶寬資源錯(cuò)峰下發(fā)，這是管理員面臨的主要問

題。

＞軟件供應(yīng)鏈問題

當(dāng)前企業(yè)面臨的軟件供應(yīng)鏈攻擊事件越來越多，其影響都很巨大。如：

Winrar漏洞影響全球超5億用戶；驅(qū)動(dòng)人生木馬2小時(shí)感染10萬臺(tái)主機(jī)挖礦；

娛樂軟件、辦公軟件、系統(tǒng)工具等流行軟件集體掛馬影響數(shù)千萬甚至上億規(guī)模

用戶，那么當(dāng)員工在終端上私自安裝的盜版軟件、來源不明的下載軟件（無禁

止終端安裝/卸載特定軟件能力）很可能被黑客植入病毒或者木馬，用以竊取內(nèi)

部信息或者導(dǎo)致企業(yè)IT系統(tǒng)崩漬。很多企業(yè)由于資金問題沒有量身定制針對支

持WinServer系統(tǒng)軟件分發(fā)的自定義軟件供應(yīng)鏈合規(guī)平臺(tái)，無法保證軟件的下

載來源可靠，怎樣采用更為經(jīng)濟(jì)有效的方式來應(yīng)對軟件應(yīng)用合規(guī)管理問題？

＞缺少有效合規(guī)管控能力

企業(yè)內(nèi)部人員在使用電腦中很多時(shí)候有不合規(guī)的電腦操作行為，導(dǎo)致工作

效率降低或者安全風(fēng)險(xiǎn)，如敏感信息的外泄，導(dǎo)致組織核心利益受損，用戶隨

意安裝和運(yùn)行各種軟件，隨意占用有限的帶寬資源，用戶可以在工作時(shí)間，隨

意訪問不安全的或者嚴(yán)重影響工作效率的網(wǎng)站，不僅降低的工作效率，還可能

從不安全網(wǎng)站引入病毒和木馬；用戶隨意更改主機(jī)名、IP地址、MAC地址等

信息，對資產(chǎn)管理、網(wǎng)絡(luò)審計(jì)等方面造成不便；計(jì)算機(jī)終端用可以輕易通過撥

號(hào)、私設(shè)代理、多網(wǎng)卡通訊等非法外聯(lián)手段，造成內(nèi)部機(jī)密外泄等。對于企業(yè)

管理者來說上述問題怎樣才能解決，以減低風(fēng)險(xiǎn)。

＞無法對終端使用進(jìn)行安全審計(jì)

現(xiàn)在，人員的安全操作行為也成為了安全管理的重點(diǎn)目標(biāo)，盡管有技術(shù)手

段使各種管理?xiàng)l例落地，但少數(shù)人員的安全意識(shí)淡薄和保密意識(shí)不強(qiáng)，亦可導(dǎo)

致信息外泄。所以，安全監(jiān)控的關(guān)注點(diǎn)也在向設(shè)備轉(zhuǎn)向?qū)υO(shè)備使用者的行為操

作審計(jì)，但怎樣判斷用戶對于設(shè)備使用是否合規(guī)？人員操作行為是否正常？是

當(dāng)前企業(yè)面臨的主要問題之一。

1.3.4無法對身份資產(chǎn)外設(shè)全管理

＞缺少終端安全準(zhǔn)入控制

企業(yè)內(nèi)部網(wǎng)絡(luò)包含著多種多樣的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)終端，內(nèi)部服務(wù)器和PC搭

載著許多重要的應(yīng)用平臺(tái)和數(shù)據(jù)，網(wǎng)絡(luò)安全的防范尤其重要，而如果外來終端

可以隨便接入企業(yè)網(wǎng)絡(luò)，由于外來使用者的防范意識(shí)普遍偏低，防毒措施往往

不到位，一旦發(fā)生病毒感染，往往擴(kuò)散到全網(wǎng)絡(luò)，令網(wǎng)絡(luò)陷于癱瘓狀態(tài)，工作

無法進(jìn)行，部分致命的蠕蟲病毒利用各種漏洞，使得木馬、病毒傳播迅速，影

響規(guī)模大，如果類似問題反復(fù)發(fā)作也會(huì)使維護(hù)人員工作筋疲力盡。

另外，由于對于終端準(zhǔn)入并沒有做限制，訪客PC或者外來終端設(shè)備可以輕

易的接入企業(yè)內(nèi)網(wǎng)獲取企業(yè)內(nèi)部信息，尤其在當(dāng)今網(wǎng)絡(luò)無邊界的趨勢之下，通

過私設(shè)無線路由，手機(jī)、Pad、USB無線網(wǎng)卡等移動(dòng)終端也可以輕松的接入企

業(yè)內(nèi)網(wǎng)。同時(shí)?，由于缺乏統(tǒng)一的管控和審計(jì)，如果發(fā)生企業(yè)信息泄露，很難做

到追蹤溯源。這對于企業(yè)的數(shù)據(jù)安全是極大的危害。

＞缺少對業(yè)務(wù)網(wǎng)絡(luò)劃分管理

當(dāng)今政務(wù)企業(yè)內(nèi)大多會(huì)劃分出不同的網(wǎng)絡(luò)使用環(huán)境，以適配不同的安全業(yè)

務(wù)使用環(huán)境，如內(nèi)網(wǎng)、辦公網(wǎng)和互聯(lián)網(wǎng)，但zf企業(yè)為節(jié)省成本往往一臺(tái)終端卻

同時(shí)接入多個(gè)業(yè)務(wù)網(wǎng)段，出現(xiàn)了外部網(wǎng)絡(luò)病毒的入侵和內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)泄漏等

威脅情況。怎樣經(jīng)濟(jì)快速有效的解決此問題，是現(xiàn)在面臨的問題之一。

＞無法對軟硬軟件資產(chǎn)有效管理

隨著企業(yè)的不斷發(fā)展，PC的數(shù)目在不斷增加，資產(chǎn)信息難免出現(xiàn)滯后或者

無法統(tǒng)計(jì)的現(xiàn)象，即使是管理部門所獲取的資產(chǎn)信息也由于時(shí)間的差異無法實(shí)

時(shí)統(tǒng)計(jì)。管理員經(jīng)常向我們描述：我們難以獲知企業(yè)中有那些品牌的計(jì)算機(jī)，

安裝了那些操作系統(tǒng)，例如是否具備升級(jí)到Window"。的硬件標(biāo)準(zhǔn)，所安裝的

軟件是什么，當(dāng)前的硬件信息以及變更信息，網(wǎng)絡(luò)的信息等問題。

＞移動(dòng)存儲(chǔ)介質(zhì)的隨意使用

移動(dòng)存儲(chǔ)設(shè)備在企業(yè)內(nèi)部濫用會(huì)對企業(yè)內(nèi)部照成很大的風(fēng)險(xiǎn)隱患。如計(jì)算

機(jī)終端使用未經(jīng)認(rèn)證的移動(dòng)存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)交換，不受控制；未經(jīng)認(rèn)證的移

動(dòng)存儲(chǔ)設(shè)備成為病毒傳播的載體；存儲(chǔ)關(guān)鍵數(shù)據(jù)的移動(dòng)存儲(chǔ)設(shè)備丟失或者失

竊，造成嚴(yán)重的泄密事故等。

1.3.5欠缺對高級(jí)威脅的有效識(shí)別

＞無法針對高級(jí)威脅進(jìn)行快速定位分析和響應(yīng)處置

傳統(tǒng)安全防御體系一般包括：接入控制、安全隔離、邊界檢測/防御、終端

防御、網(wǎng)絡(luò)審計(jì)、訪問控制等，所涉及的安全產(chǎn)品包括：防火墻、IDS/IPS、殺

毒軟件、桌面管理軟件、網(wǎng)絡(luò)審計(jì)、雙因子認(rèn)證Token等。從傳統(tǒng)安全防御體

系的設(shè)備和產(chǎn)品可以看到，這些產(chǎn)品遍布網(wǎng)絡(luò)2~7層的數(shù)據(jù)分析?，其中，與高

級(jí)攻擊相關(guān)的7層設(shè)備主要是IDS、IPS、審計(jì)，而負(fù)責(zé)7層檢測的技術(shù)為

CIDF模型，該模型最核心的思想就是依靠攻擊特征庫的模式匹配完成對攻擊行

為的檢測。反觀APT攻擊，其采用的攻擊手法和技術(shù)都是未知漏洞（Oday）、

未知惡意代碼等未知行為，在這種情況下，依靠三知特征、已知行為模式進(jìn)行

檢測的IDS、IPS在無法預(yù)知攻擊特征、攻擊行為模式的情況下，理論上就已無

法檢測APT攻擊。

1.3.6整體安全決策力未形成閉環(huán)

XXXX企業(yè)在整體安全建設(shè)經(jīng)過中，雖然一些依據(jù)了相關(guān)領(lǐng)域的安全框

架、合規(guī)的標(biāo)準(zhǔn)體系，在企業(yè)內(nèi)也部署了大量的安全產(chǎn)品，但是依然發(fā)現(xiàn)會(huì)有

如下疑問：

＞為什么該上的產(chǎn)品都上了，還是不安全？

＞為什么我已經(jīng)符合等保要求，還是不安全？

＞我知道我肯定不安全，但是我不知道哪兒不安全？

究其原因，一方面并不是標(biāo)準(zhǔn)本身或者產(chǎn)品本身的問題，而是因?yàn)榘踩?/p>

脅的產(chǎn)生是動(dòng)態(tài)的經(jīng)過，對其監(jiān)控管理卻是靜態(tài)經(jīng)過；另一方面，大部分安全

思想都是基于攻防對抗思想，防御總是落后于攻擊，所以一旦攻擊發(fā)生，在消

除攻擊的同時(shí)其實(shí)已經(jīng)對整個(gè)系統(tǒng)帶來了危害。

深入分析整個(gè)現(xiàn)狀的本質(zhì)，主要是因?yàn)槿鄙儆行У囊惑w化整體安全決策解

決方案，導(dǎo)致我們無法看到終端更多維度的數(shù)據(jù)，從而無法基于數(shù)據(jù)進(jìn)行安全

態(tài)勢分析，繼而無法基于分析進(jìn)行安全運(yùn)營，最終無法基于安全運(yùn)營進(jìn)行安全

次策。

2.需求分析

XXXX企業(yè)有重要的核心業(yè)務(wù)系統(tǒng)、內(nèi)外網(wǎng)絡(luò)辦公環(huán)境及外包等使用場景等,

其各個(gè)環(huán)節(jié)都承載著大量的信息資產(chǎn)數(shù)據(jù)。面對來自信息系統(tǒng)內(nèi)外部的各種安全

威脅，以及新技術(shù)新安全形勢的發(fā)展，XXXX企業(yè)領(lǐng)導(dǎo)要求涉及所有終端安全建

設(shè)需要從多層級(jí)、多維度整體的、符合系統(tǒng)安全俁護(hù)等級(jí)要求的安全防御體系進(jìn)

行整體規(guī)劃。

2.1安全技術(shù)需求分析

根據(jù)以上情況分析，企業(yè)需要一個(gè)綜合的終端安全管理系統(tǒng)，以應(yīng)對不同

層面的安全需求，滿足合規(guī)要求。而滿足這些安全需求的同時(shí)，又不會(huì)割裂這

些系統(tǒng)之間的關(guān)系，使得他們能在統(tǒng)一的安全環(huán)境里執(zhí)行一致的安全策略，并

相互協(xié)同，發(fā)揮最大的安全防護(hù)效率。

因此，終端合規(guī)管理一體化具體安全技術(shù)需求為：

2.1.1一體化的集中安全管理需求

2.1.1.1統(tǒng)一終端安全軟件

采用一個(gè)終端安全客戶端，實(shí)現(xiàn)統(tǒng)一防病毒、統(tǒng)一補(bǔ)丁管理、統(tǒng)一終端準(zhǔn)入、

軟件統(tǒng)一分發(fā)卸載、終端安全策略管理、威脅評估、應(yīng)用與外設(shè)管控、終端審計(jì)、

數(shù)據(jù)防泄密等多種管理功能，從而減少了軟件沖突、資源占用、兼容穩(wěn)定性等問

題，管理員可以通過控制臺(tái)直接對網(wǎng)內(nèi)所有終端進(jìn)行統(tǒng)一管控。確保全網(wǎng)終端安

全看得見、管得住。

2.1.1.2統(tǒng)一安全運(yùn)營服務(wù)

對于資產(chǎn)規(guī)模和部署范圍龐大的XXXX企業(yè)，需要建設(shè)統(tǒng)一的安全運(yùn)營和

管理中心，對全網(wǎng)終端資產(chǎn)、R志、事件信息進(jìn)行統(tǒng)一的監(jiān)測、檢測、響應(yīng)和分

析，掌握全網(wǎng)的信息費(fèi)產(chǎn)安全狀況，及時(shí)發(fā)現(xiàn)和處置安全事件。

2.1.1.3統(tǒng)一安全策略管理

面對復(fù)雜的企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)，多種系統(tǒng)版本終端設(shè)備，由人工進(jìn)行安全策略的

配置和動(dòng)態(tài)調(diào)整，無論是從工作量和工作難度上來說都是不可接受的，需要能夠

采用自動(dòng)化工具進(jìn)行全網(wǎng)終端設(shè)備的安全策略自動(dòng)下發(fā)和集中管理。

2.1.2大量惡意威脅積極防護(hù)需求

2.1.2.1抵御惡意軟件入侵

現(xiàn)在惡意軟件主要包括：病毒、蠕蟲、木馬、混合型惡意軟件、勒索軟件、

無文件惡意軟件、廣告軟件、間諜軟件等類型，其變種形態(tài)也在呈現(xiàn)快速發(fā)展趨

勢，隨著利益驅(qū)動(dòng)下的黑客攻擊手段不斷進(jìn)化，新興病毒樣本成指數(shù)倍增長，傳

統(tǒng)殺毒引擎已無法應(yīng)對數(shù)百億級(jí)別的樣本增量。因此終端安全防御系統(tǒng)需要集成

有強(qiáng)大的殺毒模塊，捱有多種不同類型識(shí)別殺毒引擎，同時(shí)具備云查引擎（含私

有云版本），以應(yīng)對各種新興變種病毒的有效查殺與隔離。

2.1.2.2保障服務(wù)器可靠性

強(qiáng)大的防病毒/惡意代碼防護(hù)軟件，重點(diǎn)保護(hù)終端PC的安全性。但對于XXXX

企業(yè)還需要更先進(jìn)的威脅防御能力，能夠保護(hù)業(yè)務(wù)服務(wù)器端免遭定點(diǎn)目標(biāo)性攻擊

以及未知威脅的攻擊。因此，需要從“積極防御〃這一觀點(diǎn)出發(fā)，建立一個(gè)覆蓋

服務(wù)器層面的安全可靠的保護(hù)體系。通過主動(dòng)式反應(yīng)技術(shù)實(shí)施基于行為可信的安

全策略，針對每個(gè)服務(wù)器操作系統(tǒng)和應(yīng)用程序進(jìn)程都創(chuàng)建基于管控的“策略〃進(jìn)

行“安全加固〃，監(jiān)控對內(nèi)核的系統(tǒng)調(diào)用并根據(jù)用戶定義的策略允許或者拒絕對

系統(tǒng)資源的訪問，以抵御“未知威脅〃攻擊、強(qiáng)化系統(tǒng)并有助于確保合規(guī)遵從的

角度主動(dòng)抵御入侵、病毒、漏洞等問題。

2.1.23陳舊操作系統(tǒng)防護(hù)

對于XXXX企業(yè)仍有部分陳舊計(jì)算機(jī)終端（自助服務(wù)機(jī)）運(yùn)行著WindowsXP

操作系統(tǒng)。其原因主要有兩點(diǎn):

I）特殊定制化軟件應(yīng)用需求（如：醫(yī)院、教育等行業(yè)應(yīng)用場景）；

2）硬件配置環(huán)境較低的自助服務(wù)終端（如：近提供打印功能的社保服務(wù)終

端）；

微軟已停止XP補(bǔ)丁升級(jí)服務(wù)，受此影響，這些終端計(jì)算機(jī)均暴漏在各種網(wǎng)

絡(luò)威脅之中，業(yè)務(wù)的正常運(yùn)行都將受到威肋,，一旦這些威脅發(fā)生，將對業(yè)務(wù)正常

運(yùn)行產(chǎn)生不良后果。因此需要引入的終端安全軟件應(yīng)提供有效的XP防護(hù)措施,

來解決這部分終端的安全隱患問題。

2.1.3統(tǒng)一終端安全運(yùn)維合規(guī)需求

2.1.3.1漏洞分組及時(shí)修復(fù)

在企業(yè)的服務(wù)器網(wǎng)絡(luò)和辦公環(huán)境網(wǎng)絡(luò)中存在各種不同類型的操作系統(tǒng)及不

同版本的操作系統(tǒng)都需要管理員進(jìn)行全面的補(bǔ)丁管理，管理員往往需要甄別不同

的操作系統(tǒng)并根據(jù)各個(gè)系統(tǒng)的不同情況有選擇性的下發(fā)系統(tǒng)補(bǔ)丁，服務(wù)器系統(tǒng)尤

為復(fù)雜，需要管理員將補(bǔ)丁與服務(wù)器應(yīng)用進(jìn)行兼容性測試后才能對相應(yīng)的服務(wù)器

進(jìn)行補(bǔ)丁升級(jí)操作?，F(xiàn)在需要一套可以對全網(wǎng)計(jì)算機(jī)進(jìn)行漏洞掃描把計(jì)算機(jī)與漏

洞進(jìn)行多維關(guān)聯(lián)，可以根據(jù)終端或者漏洞進(jìn)行分組管理，并且能夠根據(jù)不同的計(jì)

算機(jī)分組與操作系統(tǒng)類型將補(bǔ)丁錯(cuò)峰下發(fā)，在保障企業(yè)網(wǎng)絡(luò)帶寬的前提下可以有

效提升企業(yè)整體漏洞防護(hù)等級(jí)的行之有效的解決辦法。

2.1.3.2軟件供應(yīng)鏈一體化

XXXX企業(yè)辦公環(huán)境在使用各類不同應(yīng)用軟件，隨著軟件數(shù)量的激增，企'Ik

對軟件的管理卻處于空白狀態(tài)。互聯(lián)網(wǎng)軟件分發(fā)渠道多種多樣，對于企業(yè)管理員

無從知曉全網(wǎng)終端都安裝了哪些應(yīng)用軟件，軟件版本是多少。同時(shí)，互聯(lián)網(wǎng)上的

應(yīng)用軟件下載渠道參差不齊，軟件合法簽名存在被盜用的風(fēng)險(xiǎn)，利用下載插件隱

藏木馬控件等惡意滲透，時(shí)刻侵蝕著軟件廠商與用戶間的信任關(guān)系，無法保證用

戶與廠商之間軟件供應(yīng)鏈的安全性。

同時(shí).，對于企業(yè)私有正版軟件，需要通過建立配置本地軟件檢測、升級(jí)策略、

軟件卸載清理規(guī)則下發(fā)通道，由管理員對這部分軟件進(jìn)行策略的完善，最終滿足

企業(yè)軟件合規(guī)的管理需求。

2.1.3.3終端操作合規(guī)管控

為了更好的管理好終端，XXXX企業(yè)制定了相應(yīng)的終端安全管理制度，但目

前終端安全管理制度的控制點(diǎn)缺乏有效的技術(shù)執(zhí)行措施，僅僅依靠終端使用者的

自覺性是很難落實(shí)相應(yīng)的管理制度的，主要存在的問題有：

1）USB移動(dòng)存儲(chǔ)外設(shè)濫用：在PC上任意接入U(xiǎn)SB移動(dòng)存儲(chǔ)，給企業(yè)內(nèi)網(wǎng)

帶來很大的惡意代碼感染風(fēng)險(xiǎn)，藍(lán)牙、紅外等外設(shè)接口的濫用，也帶來

非法外聯(lián)的風(fēng)險(xiǎn)。

2）USB無線路由屢禁不止：在辦公電腦上使用無線路由，使終端暴露在不

可控的無線網(wǎng)絡(luò)空間，不受控的智能終端或者其他無線設(shè)備可以任意接

入辦公網(wǎng)，造成極大的安全隱患。

3）隨意安裝和運(yùn)行各種應(yīng)用軟件：終端使用者一般具有系統(tǒng)本地管理員權(quán)

限，可以任意安裝運(yùn)行各種應(yīng)用程序、盜版軟件，會(huì)造成企業(yè)的版權(quán)風(fēng)

險(xiǎn)。

4）任意使用帶寬資源導(dǎo)致網(wǎng)絡(luò)擁塞：無有效的辦法實(shí)現(xiàn)基于應(yīng)用的流量限

制，內(nèi)網(wǎng)依然存在P2P軟件占用帶寬，影響正常辦公的情況。

5）隨意更改主機(jī)信息：終端使用者可隨意更改主機(jī)名、IP地址、MAC地址

等信息，對資產(chǎn)管理、網(wǎng)絡(luò)審計(jì)等方面造成不便。

為了貫徹XXXX企業(yè)終端安全管理規(guī)范，需要引入的終端安全管理功能，從

技術(shù)措施上落實(shí)終端安全控制點(diǎn)，有效減少終端安全風(fēng)險(xiǎn)。

2.1.3.4追蹤審計(jì)行為信息

為了符合企業(yè)信息安全技術(shù)和理念的發(fā)展要求，統(tǒng)一終端安全運(yùn)維處置管理

還需要將安全監(jiān)控的關(guān)注點(diǎn)從終端設(shè)備轉(zhuǎn)向?qū)τ诮K端設(shè)備使用者一一人的行為

延伸。企業(yè)需要對設(shè)備使用人行為進(jìn)行審計(jì)和行為進(jìn)行控制，因此終端安全管理

系統(tǒng)需通過審計(jì)記錄文件操作、IM即時(shí)通訊、文件打印、郵件、U盤、文件網(wǎng)

絡(luò)傳輸?shù)燃夹g(shù)手段使各種管理?xiàng)l例落地，增強(qiáng)用戶的安全和保密意識(shí)，保護(hù)內(nèi)部

的信息不外泄。另外，要求所審計(jì)的內(nèi)容只跟內(nèi)網(wǎng)安全合規(guī)管理相關(guān)的信息，不

對涉及終端用戶的個(gè)人隱私信息，以達(dá)到合規(guī)管理的審計(jì)的要求。

2.1.4身份準(zhǔn)入資產(chǎn)設(shè)備管理需求

2.1.4.1安全準(zhǔn)入認(rèn)證需求

目前，企業(yè)終端接入現(xiàn)存問題主要有：

1）對于核心業(yè)務(wù)系統(tǒng)（如ERP、CRM）訪問等，怎樣確認(rèn)訪問者身份權(quán)限

可信；怎樣防止從內(nèi)部的非法接入；

2）大量的終端分散在NAT網(wǎng)絡(luò)邊界，是否具備網(wǎng)絡(luò)水印進(jìn)行下鉆認(rèn)證，怎

樣保證這些終端入網(wǎng)安全基線是合規(guī)的；

3）怎樣確保外包人員或者訪客的合法接入，以及資源的訪問權(quán)限控制；

4）企業(yè)存在大量的啞終端設(shè)備，如：網(wǎng)絡(luò)打印機(jī)、視頻會(huì)議系統(tǒng)、IP網(wǎng)絡(luò)

電話等設(shè)備，怎樣保證接入是否合法，怎樣進(jìn)行接入的有效控制；

5）大量終端接入網(wǎng)絡(luò)行為，怎樣定位追蹤，怎樣進(jìn)行有效的接入安全分析

和審計(jì)等。

因此，需要在一體化安全管理平臺(tái)下，實(shí)現(xiàn)對準(zhǔn)入的集中管理，業(yè)務(wù)和數(shù)據(jù)

協(xié)同聯(lián)動(dòng)。解決傳統(tǒng)單機(jī)管理方式下各自獨(dú)立管理，散兵模式的弊端，確保策略

的快速響應(yīng)和集中監(jiān)管，以適合大型架構(gòu)下統(tǒng)一管理、統(tǒng)一認(rèn)證的管理要求。

2.1.4.2多網(wǎng)切換隔離需求

現(xiàn)在，大部分zf企業(yè)都建立有多網(wǎng)絡(luò)分區(qū)環(huán)境，將不同的業(yè)務(wù)使用場景進(jìn)行

劃分，最典型的就是電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)的邏輯隔離應(yīng)用，但大部分zf企業(yè)

為提高工作效率，往往采用一機(jī)多用的方式，通過一臺(tái)終端PC可同時(shí)訪問電子

政務(wù)外網(wǎng)和互聯(lián)網(wǎng)，這就不可避免的出現(xiàn)互聯(lián)網(wǎng)的病毒通過終端電腦影響到電子

政務(wù)外網(wǎng)，而電子政務(wù)外網(wǎng)的訪問和數(shù)據(jù)使用權(quán)限可能會(huì)通過終端代理暴露在互

聯(lián)網(wǎng)上，造成泄露風(fēng)險(xiǎn)。因此，需要一套“一體化〃多網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)的終端合規(guī)隔

離管理辦法，以實(shí)現(xiàn)利用統(tǒng)一路由出口或者多網(wǎng)卡造成業(yè)務(wù)終端可以同時(shí)訪問內(nèi)

外網(wǎng)而又要隔離的應(yīng)用場景，如：一網(wǎng)雙域。

2.L4.3資產(chǎn)登記管理需求

隨著XXXX企業(yè)的不斷發(fā)展，計(jì)算機(jī)的數(shù)目在不斷增加，計(jì)算機(jī)的資產(chǎn)信息

難免出現(xiàn)無法統(tǒng)計(jì)的現(xiàn)象，即使是管理部門所獲取的資產(chǎn)信息也由于時(shí)間的差異

無法實(shí)時(shí)統(tǒng)計(jì)。需要通過一種辦法使管理員可以輕松把終端的硬件資產(chǎn)信息實(shí)現(xiàn)

全面的自動(dòng)收集（如計(jì)算機(jī)硬件信息、軟件程序信息、操作系統(tǒng)配置等），快速

統(tǒng)計(jì)分析（資產(chǎn)變更自動(dòng)監(jiān)控，及時(shí)反映企業(yè)資產(chǎn)變化狀況），快速生成滿足各

個(gè)部門所需要的資產(chǎn)報(bào)表。需支持設(shè)置終端自助資產(chǎn)登記與設(shè)置必填項(xiàng)等，最大

限度的滿足用戶的使用場景。

2.1.4.4外設(shè)介質(zhì)管控需求

1）移動(dòng)存儲(chǔ)介質(zhì)管控需求

對于XXXX企業(yè)內(nèi)部，未經(jīng)認(rèn)證的移動(dòng)存儲(chǔ)設(shè)備將成為病毒傳播的載體；存

儲(chǔ)關(guān)鍵數(shù)據(jù)信息的移動(dòng)存儲(chǔ)設(shè)備丟失或者失竊，會(huì)造成嚴(yán)重的泄密事故。所以統(tǒng)

一的企業(yè)移動(dòng)存儲(chǔ)設(shè)冬管理對企業(yè)來說至關(guān)重要。因此企業(yè)需要整體的移動(dòng)存儲(chǔ)

介質(zhì)安全管理系統(tǒng)，通過移動(dòng)存儲(chǔ)介質(zhì)的身份注冊、網(wǎng)內(nèi)終端授權(quán)管理、移動(dòng)介

質(zhì)掛失管理、外出漫游管理和終端設(shè)備例外等功能，實(shí)現(xiàn)對U盤存儲(chǔ)設(shè)備的靈

活管控，保證終端與U盤存儲(chǔ)介質(zhì)進(jìn)行數(shù)據(jù)交換和共享經(jīng)過中的信息安全要求。

2）外設(shè)安全管控需求

外接設(shè)備越來越多樣化加上USB接口的普遍性，USB設(shè)備已經(jīng)成為員工日

常工作和生活必不可少的工具。與它類似的有移動(dòng)硬盤、手機(jī)、數(shù)碼相機(jī)、各種

SD/FlashDisk等移動(dòng)存儲(chǔ)設(shè)備以及WiFi網(wǎng)卡，藍(lán)牙等非存儲(chǔ)類設(shè)備，但怎樣區(qū)

分管理控制這類設(shè)備與需要業(yè)務(wù)正常使用的安全U盤及Ukey,是企業(yè)面臨的難

題。因此，需要通過如：設(shè)備黑白名單庫等方式，實(shí)現(xiàn)對外接設(shè)備進(jìn)行控制，防

止外來設(shè)備隨意接入內(nèi)部終端，并要求對于常見的外接設(shè)備可做到有效禁止，可

針對部分特殊設(shè)備做例外，保證內(nèi)部終端設(shè)備正常運(yùn)行。

2.1.5高級(jí)可持續(xù)性威脅處置需求

在企業(yè)級(jí)安全領(lǐng)域，企業(yè)用戶不但能接觸到面向企業(yè)個(gè)人的安全威脅，同時(shí)

還會(huì)接觸到面向企業(yè)受產(chǎn)的安全威脅。由于企業(yè)資產(chǎn)的價(jià)值是遠(yuǎn)高于企業(yè)個(gè)人的,

所以攻擊者愿意付出更多的攻擊成本來實(shí)施安全威脅。例如：魚叉攻擊、社會(huì)工

程學(xué)攻擊等定向攻擊的方式，以及常用的Oday漏洞來提升攻擊的強(qiáng)度，確保最

終威脅實(shí)施的成功和隙蔽。同時(shí)，由于企業(yè)的安全大數(shù)據(jù)相對封閉，導(dǎo)致安全廠

商無法第一時(shí)間幫助企業(yè)用戶處理安全威脅。而企業(yè)的安全運(yùn)維能力往往不足，

最終導(dǎo)致面向企業(yè)資產(chǎn)的安全威脅的響應(yīng)速度嚴(yán)重不足，甚至在企業(yè)內(nèi)潛伏多年,

無法發(fā)現(xiàn)。

因此，為了提升面向企業(yè)資產(chǎn)的高級(jí)威脅響應(yīng)速度，用戶需要一種主動(dòng)“威

脅追蹤〃功能，通過大數(shù)據(jù)存儲(chǔ)，查詢的能力，大數(shù)據(jù)分析能力和云端威脅情報(bào)

分析，發(fā)現(xiàn)新的潛在未知威脅，供管理員分析與調(diào)查。最終，通過一套標(biāo)準(zhǔn)的未

知威脅響應(yīng)的業(yè)務(wù)流程，能夠讓對未知威脅的響應(yīng)，快速落地為對已知威脅的持

續(xù)攔假，最終成功縮短未知威脅的響應(yīng)時(shí)間。

2.1.6實(shí)時(shí)安全數(shù)據(jù)分析決策需求

最后，終端是企業(yè)最重要的IT基礎(chǔ)設(shè)施，是“安全的最后一公里〃！它是聯(lián)

接物理世界與數(shù)字世界的門戶，一旦終端出現(xiàn)安全問題，輕則影響員工個(gè)人的正

常工作，重則會(huì)造成企業(yè)全網(wǎng)癱瘓或者企業(yè)關(guān)鍵信息的外泄，給企業(yè)帶來巨大的

損失，所以終端的安全建設(shè)是一個(gè)持續(xù)的動(dòng)態(tài)演進(jìn)經(jīng)過。企業(yè)需要一整套面向終

端安全運(yùn)營領(lǐng)域，為IT運(yùn)維人員、安全運(yùn)維人員、系統(tǒng)管理員、IT主管人員的

安全數(shù)據(jù)可視化系統(tǒng)，使企業(yè)內(nèi)網(wǎng)終端整體安全態(tài)勢一目了然、使企業(yè)內(nèi)網(wǎng)終端

的威脅和異常清晰可見，同時(shí)還可以作為企業(yè)終端安全運(yùn)維和安全分析的重要工

具。

就上述所說的所有安全需求問題，需要一套能將其關(guān)聯(lián)在一起，在終端上建

立一個(gè)大數(shù)據(jù)收集的體系，基于大數(shù)據(jù)收集體系，實(shí)時(shí)地去看更多的安全風(fēng)險(xiǎn)，

根據(jù)看到的安全風(fēng)險(xiǎn)，制定積極有效的安全策略，實(shí)現(xiàn)動(dòng)態(tài)及時(shí)有效的做出更快

更準(zhǔn)確的安全決策。

2.2安全運(yùn)營需求分析

安全運(yùn)營從技術(shù)角度分析系統(tǒng)上線運(yùn)行后在整個(gè)較長的后續(xù)運(yùn)維期間對安

全運(yùn)營的需求。主要包括：

2.2.1掌握信息資產(chǎn)需求

信息安全運(yùn)營的前提是摸清網(wǎng)內(nèi)信息資產(chǎn)的全貌，這些資產(chǎn)包括主機(jī)/服務(wù)器、

辦公終端、業(yè)務(wù)終端、IoT終端、泛終端等，資產(chǎn)的信息包括設(shè)備類型、域名、

IP、端口、系統(tǒng)版本信息等，這是終端安全運(yùn)營的前提和基礎(chǔ)，而企業(yè)往往并不

完全掌握這些資產(chǎn)信息，采用人工方式進(jìn)行資產(chǎn)梳理對于龐大的信息系統(tǒng)既不可

能，也不全面，因此，首先需要進(jìn)行全網(wǎng)信息資產(chǎn)的自動(dòng)化發(fā)現(xiàn)，并結(jié)合業(yè)務(wù)特

點(diǎn),定期對資產(chǎn)的重要性等情況進(jìn)行梳理，形成資產(chǎn)清單，并能對變化進(jìn)行周期

性的監(jiān)控。

2.2.2日常安全運(yùn)營需求

企業(yè)信息安全系統(tǒng)在上線后，需要對終端及系統(tǒng)進(jìn)行日常安全運(yùn)維，包括定

期的系統(tǒng)安全評估、檢查系統(tǒng)的配置是否滿足安全防護(hù)的需求，定期檢查設(shè)備的

運(yùn)行狀態(tài)和系統(tǒng)漏洞情況，及時(shí)修補(bǔ)系統(tǒng)漏洞，對于應(yīng)用系統(tǒng)新上線的功能模塊

或者新上線系統(tǒng)進(jìn)行安全評估、綜合審計(jì)，并在上線后定期進(jìn)行滲透測試，針對

于暴露于互聯(lián)網(wǎng)的WEB應(yīng)用服務(wù)器由于其面臨的風(fēng)險(xiǎn)更大，還需要提供更專業(yè)

更實(shí)時(shí)的運(yùn)維服務(wù)支撐。

2.2.3重要時(shí)期安全保障需求

對于重要行業(yè)，如zf、能源、教育醫(yī)療、金融、廣電等，重要時(shí)期的安全運(yùn)

營保障服務(wù)尤為重要，是單位領(lǐng)導(dǎo)關(guān)注的重點(diǎn)工作。重要時(shí)期的安全運(yùn)營保障包

括了事前、事中、事后的整體的安全運(yùn)營保障服務(wù)，需要更加全面的安全評估檢

查、滲透測試，以及應(yīng)急演練，現(xiàn)場值守、應(yīng)急處置和后續(xù)的工作總結(jié)等。重要

時(shí)期的安全保障能力集中體現(xiàn)了企業(yè)安全運(yùn)營的能力水平。

2.2.4專家安全運(yùn)營支撐需求

當(dāng)前安全威脅形勢已經(jīng)發(fā)生了很大的變化，大部分安全事件都是由于未知威

脅或者高級(jí)安全威脅導(dǎo)致的，如近兩年發(fā)生的勒索病毒事件，企業(yè)內(nèi)部的安全團(tuán)

隊(duì)面對這樣的威脅形勢往往束手無策，一旦發(fā)生安全事件，如果無法及時(shí)處置,

將導(dǎo)致不可估量的損失，這些損害不僅