主流商業(yè)終端安全產(chǎn)品

政府及企事業(yè)單位對(duì)安全的要求更高，特別是對(duì)專(zhuān)業(yè)的安全服務(wù)需求很大，免費(fèi)的安全產(chǎn)品可能并不能滿(mǎn)足其需求。商業(yè)安全產(chǎn)品具備更加豐富、靈活的安全功能，能夠享受更加專(zhuān)業(yè)的技術(shù)支持服務(wù)。下面介紹幾款主流的付費(fèi)終端安全防護(hù)產(chǎn)品。

360天擎終端安全管理系統(tǒng)

天擎是奇虎360面向政府、軍隊(duì)、金融、制造業(yè)、醫(yī)療、教育等大型企事業(yè)單位推出的以安全防御為核心、以運(yùn)維管控為重點(diǎn)、以可視化管理為支撐、以可靠服務(wù)為保障的全方位終端安全解決方案。天擎系統(tǒng)為用戶(hù)構(gòu)建能夠有效抵御已知病毒、零日漏洞、APT攻擊和未知惡意代碼的新一代終端安全防御體系，并提供企業(yè)安全統(tǒng)一管控、終端硬件準(zhǔn)入、軟件準(zhǔn)入、上網(wǎng)行為管理等諸多管理類(lèi)功能；并且承諾在2014年4月微軟停止免費(fèi)主流支持服務(wù)之后，依然向天擎產(chǎn)品用戶(hù)提供Windows XP補(bǔ)丁和安全更新。

圖1 天擎系統(tǒng)架構(gòu)圖

天擎是主要針對(duì)傳統(tǒng)終端安全產(chǎn)品的各種不足，以及用戶(hù)對(duì)云時(shí)代終端安全的強(qiáng)烈需求而推出的終端安全產(chǎn)品，張聰表示，360終端安全就是基于大數(shù)據(jù)技術(shù)和威脅情報(bào)技術(shù)的云計(jì)算、大數(shù)據(jù)時(shí)代的終端安全體系，簡(jiǎn)單來(lái)說(shuō)可以總結(jié)為十二個(gè)字，即看得見(jiàn)，防得住，查得清，搞得定。看得見(jiàn)是指看得見(jiàn)終端，看得見(jiàn)基礎(chǔ)信息，看得到有沒(méi)有脆弱性信息，安全度信息，數(shù)據(jù)敏感度如何；防得住是指能防住大多數(shù)攻擊，能攔截新的但不是首次的攻擊；查得清是指能夠偵測(cè)到安全威脅，能夠查清安全威脅怎么進(jìn)來(lái)的。搞得定，是指能夠加固企事業(yè)單位的安全體系。

張聰表示，360終端安全產(chǎn)品是建立在領(lǐng)先理念上的終端安全產(chǎn)品，具有未來(lái)終端安全產(chǎn)品的特質(zhì)。這主要表現(xiàn)在以下幾個(gè)方面：首先，360具有強(qiáng)大的創(chuàng)新能力，在技術(shù)能力方面很強(qiáng)，360的終端安全產(chǎn)品的理念也非常先進(jìn)，它不是在終端上看終端，而是在大數(shù)據(jù)上看終端，通過(guò)機(jī)器學(xué)習(xí)、人工智能、大數(shù)據(jù)等技術(shù)可以實(shí)現(xiàn)多方面的攻擊檢測(cè)。其次，360的終端安全產(chǎn)品實(shí)現(xiàn)了終端安全一體化，即平臺(tái)一體化（完美兼容 Windows、Linux、國(guó)產(chǎn)操作系統(tǒng)），功能一體化（集終端防病毒和安全管控與一體），數(shù)據(jù)一體化（結(jié)合云端大數(shù)據(jù)和威脅情報(bào)有效感知本地安全態(tài)勢(shì)），從而為企事業(yè)單位用戶(hù)構(gòu)建了從管控到殺毒到終端響應(yīng)的全面立體的終端安全防護(hù)體系。第三，360終端安全的部署管理非常簡(jiǎn)單，門(mén)檻很低。并且能夠通過(guò)管理可視化，將企事業(yè)安全整體安全態(tài)勢(shì)的呈現(xiàn)給企事業(yè)單位的領(lǐng)導(dǎo)。

此外，360終端安全產(chǎn)品也具有和芯片級(jí)結(jié)合的防御能力，并且在防漏洞方面具有較高的水平。據(jù)張聰透露，360安全終端產(chǎn)品目前最大的用戶(hù)擁有100萬(wàn)終端，而360安全終端產(chǎn)品最大終端支持?jǐn)?shù)目可以達(dá)到億級(jí)的規(guī)模。

1.產(chǎn)品架構(gòu)

圖1為天擎終端安全管理系統(tǒng)的架構(gòu)圖。

從圖1可以看出，天擎終端安全管理系統(tǒng)包括安全控制中心和客戶(hù)端兩層。

第一層：安全控制中心。這是天擎的核心，部署在服務(wù)器端，有兩大功能：一方面提供了管理臺(tái)，采用B/S架構(gòu)，管理員可以隨時(shí)隨地地通過(guò)瀏覽器打開(kāi)訪(fǎng)問(wèn)，對(duì)天擎進(jìn)行管理和控制。主要有設(shè)備分組管理、策略制定下發(fā)、全網(wǎng)健康狀況監(jiān)測(cè)、統(tǒng)一殺毒、統(tǒng)一漏洞修復(fù)、網(wǎng)絡(luò)流量管理、終端軟件管理、硬件資產(chǎn)管理以及各種報(bào)表和查詢(xún)等。另一方面，提供了系統(tǒng)運(yùn)維的基礎(chǔ)服務(wù)，如：云查殺服務(wù)、終端升級(jí)服務(wù)、數(shù)據(jù)服務(wù)、通訊服務(wù)等。

第二層：客戶(hù)端?？蛻?hù)端部署在需要被保護(hù)的服務(wù)器或者終端，執(zhí)行最終的木馬病毒查殺、漏洞修復(fù)等安全操作，并與安全控制中心通信，提供控制中心管理所需的相關(guān)數(shù)據(jù)信息。

2.產(chǎn)品功能及原理

天擎系統(tǒng)主要提供如下安全功能：

安全趨勢(shì)監(jiān)控：支持全網(wǎng)一鍵檢測(cè)，幫助管理員發(fā)現(xiàn)全網(wǎng)內(nèi)漏洞、木馬、插件、系統(tǒng)危險(xiǎn)項(xiàng)、安全配置項(xiàng)等威脅數(shù)量和危險(xiǎn)終端數(shù)量。支持終端狀況展現(xiàn)，幫助管理員對(duì)全網(wǎng)不健康終端、亞健康終端、健康終端進(jìn)行統(tǒng)計(jì)。支持安全動(dòng)態(tài)跟蹤，幫助管理員了解全網(wǎng)內(nèi)漏洞補(bǔ)丁的修復(fù)狀況。支持威脅趨勢(shì)分析，幫助管理員全面了解企業(yè)內(nèi)終端危險(xiǎn)項(xiàng)、木馬、病毒、漏洞、新增文件等的發(fā)展趨勢(shì)。

安全運(yùn)維管理：支持對(duì)終端升級(jí)、漏洞修復(fù)、木馬查殺、插件清理、系統(tǒng)危險(xiǎn)項(xiàng)等的全局管理以及分組管理，支持安全策略分組下發(fā)，幫助管理員管理復(fù)雜的多層次網(wǎng)絡(luò)以及多部門(mén)組織架構(gòu)。支持一對(duì)一遠(yuǎn)程協(xié)助功能，終端用戶(hù)可以直接向360客服求助，幫助管理員分擔(dān)支持壓力。支持網(wǎng)絡(luò)準(zhǔn)入管理，禁止沒(méi)有按要求安裝天擎終端安全管理系統(tǒng)、存在安全問(wèn)題的終端，或者外來(lái)非法終端接入企業(yè)網(wǎng)絡(luò)，幫助管理員保證入網(wǎng)終端合規(guī)，防止非法終端入侵網(wǎng)絡(luò)，給企業(yè)業(yè)務(wù)系統(tǒng)造成破壞。

惡意軟件防護(hù)：360天擎支持對(duì)蠕蟲(chóng)病毒、惡意軟件、廣告軟件、勒索軟件、引導(dǎo)區(qū)病毒、BIOS病毒的查殺，這依賴(lài)于QVM人工智能引擎、云查殺引擎、AVE（針對(duì)可執(zhí)行文件的引擎）、QEX（針對(duì)非可執(zhí)行文件的引擎）等多引擎的協(xié)同工作。360云查殺建立在云端龐大的黑白名單數(shù)據(jù)庫(kù)基礎(chǔ)上，病毒檢出率高，系統(tǒng)資源占用低，通過(guò)使用云端的黑白名單驗(yàn)證的方法，可以最大限度的保護(hù)數(shù)據(jù)安全。

終端軟件管理：360天擎提供自動(dòng)、半自動(dòng)和手動(dòng)的應(yīng)用程序控制機(jī)制，通過(guò)采用應(yīng)用程序文件白名單機(jī)制，對(duì)不處于白名單中的應(yīng)用程序和文件判定為“黑名單”或者“灰名單”，有效控制惡意軟件的滲透和快速傳播。

外設(shè)與移動(dòng)存儲(chǔ)管理：360天擎采用策略化的外設(shè)管理模式，管理員統(tǒng)一定義出針對(duì)不同類(lèi)別外設(shè)的多個(gè)策略，一個(gè)策略可以包括多種類(lèi)型設(shè)備的控制，使管理策略更有針對(duì)性；同時(shí)支持硬件準(zhǔn)入管理，可對(duì)終端的USB存儲(chǔ)設(shè)備、光驅(qū)、串口、VPN等外界設(shè)備進(jìn)行可讀寫(xiě)、只讀和禁用權(quán)限設(shè)置。

Windows XP 防護(hù)：360天擎采用了多層防護(hù)、標(biāo)本兼治、技術(shù)與安全管理策略相結(jié)合的整體設(shè)計(jì)思路，在Windows XP系統(tǒng)之上由內(nèi)到外采用了四層防護(hù)手段，包含了系統(tǒng)加固、熱補(bǔ)丁修復(fù)、危險(xiǎn)應(yīng)用隔離、“非白即黑”安全策略等多項(xiàng)舉措。

硬件資產(chǎn)管理：360天擎可以監(jiān)控企業(yè)終端硬件的變化，評(píng)估終端硬件的變化是否會(huì)給企業(yè)帶來(lái)負(fù)面的影響。支持硬件資產(chǎn)查詢(xún)及展示，可幫助管理員實(shí)時(shí)查看企業(yè)全網(wǎng)終端電腦的硬件配置；支持跟蹤硬件資產(chǎn)變更情況，可幫助管理員及時(shí)獲取硬件資產(chǎn)的變更記錄，方便財(cái)務(wù)審計(jì)，輕松構(gòu)建專(zhuān)業(yè)的企業(yè)硬件資產(chǎn)監(jiān)控與審計(jì)平臺(tái)。

企業(yè)軟件統(tǒng)一管理：360天擎企業(yè)軟件管家集軟件下載、升級(jí)、卸載等功能于一體，為企業(yè)提供必要的一站式軟件管理服務(wù)。支持軟件的統(tǒng)一分組、定時(shí)分發(fā)，并可實(shí)現(xiàn)自動(dòng)安裝應(yīng)用以及強(qiáng)制卸載應(yīng)用，幫助管理員按照企業(yè)規(guī)定管理終端用戶(hù)軟件的安裝。支持查詢(xún)?nèi)W(wǎng)終端的軟件安裝情況以及終端進(jìn)程信息，幫助管理員及時(shí)發(fā)現(xiàn)違規(guī)軟件及可疑應(yīng)用。

終端流量管理：管理員可以了解各終端的網(wǎng)絡(luò)流量情況，支持對(duì)終端的上傳及下載流量限制進(jìn)行統(tǒng)一管控，幫助管理員管理網(wǎng)絡(luò)流量、避免非法應(yīng)用占用大量帶寬，保證企業(yè)正常業(yè)務(wù)的平穩(wěn)運(yùn)行。

終端準(zhǔn)入管理：360天擎使用主機(jī)完整性策略和準(zhǔn)入硬件旁路設(shè)備來(lái)發(fā)現(xiàn)和評(píng)估哪些終端遵從策略，判斷哪些終端是否允許安全訪(fǎng)問(wèn)企業(yè)核心資源。非遵從性客戶(hù)端會(huì)定向至修復(fù)服務(wù)器，通過(guò)下載必需的終端安全軟件、補(bǔ)丁程序及病毒定義更新等使客戶(hù)端計(jì)算機(jī)保持遵從性。

遠(yuǎn)程技術(shù)支持：360天擎遠(yuǎn)程技術(shù)支持模塊可以滿(mǎn)足企業(yè)技術(shù)支持需求，終端或者管理控制中心在必要時(shí)均可以發(fā)起遠(yuǎn)程的請(qǐng)求，待終端同意后就可以建立一對(duì)一的連接并提供必要的服務(wù)了。

日志報(bào)表查詢(xún)：支持對(duì)終端安全日志、漏洞修復(fù)、病毒日志、木馬查殺、插件清除、系統(tǒng)危險(xiǎn)項(xiàng)等的報(bào)表統(tǒng)計(jì)。能夠從終端、全網(wǎng)、分組等多維度，以及圖表、數(shù)據(jù)等多視圖角度進(jìn)行統(tǒng)計(jì)和展現(xiàn)，同時(shí)支持報(bào)表的導(dǎo)出及打印。

邊界聯(lián)動(dòng)防御：天擎系統(tǒng)可以與360的邊界防護(hù)設(shè)備——天眼威脅感知系統(tǒng)進(jìn)行聯(lián)動(dòng)，借助360天眼的深度檢測(cè)能力，結(jié)合360天擎在終端上的精確防御能力，實(shí)現(xiàn)對(duì)PC終端的攻擊防御，提高全網(wǎng)的安全防護(hù)能力。

華為AnyOffice移動(dòng)安全平臺(tái)

華為從移動(dòng)終端安全、網(wǎng)絡(luò)傳輸安全、應(yīng)用安全、敏感數(shù)據(jù)安全以及安全管理五個(gè)維度對(duì)移動(dòng)終端進(jìn)行全方位防護(hù)，幫助企業(yè)在BYOD的高效率與信息安全之間找到最佳平衡點(diǎn)。華為AnyOffice移動(dòng)安全平臺(tái)圍繞身份和設(shè)備可識(shí)別（Identity）、數(shù)據(jù)不泄密（Privacy）和設(shè)備可管理（Compliance）三個(gè)關(guān)鍵點(diǎn)，為企業(yè)用戶(hù)提供業(yè)界最廣泛的安全性和最簡(jiǎn)單易用的管理方案。

1.產(chǎn)品設(shè)計(jì)原理

AnyOffice的設(shè)計(jì)思想是充分開(kāi)放、做強(qiáng)能力，為開(kāi)發(fā)者提供最豐富的企業(yè)級(jí)安全平臺(tái)能力。AnyOffice遵循云、管、端架構(gòu)。其中端部分既有獨(dú)立App模式，也提供嵌入到各App的SDK模式；管道側(cè)提供軟件或電信級(jí)嵌入式硬件形態(tài)的安全網(wǎng)關(guān)；云側(cè)提供統(tǒng)一管理平臺(tái)，支持企業(yè)部署和云部署模式。

AnyOffice平臺(tái)對(duì)于A(yíng)pp開(kāi)發(fā)者來(lái)說(shuō)，提供了豐富的接口，包括原生接口、C接口供開(kāi)發(fā)者集成，也支持WebView的安全接管。不管開(kāi)發(fā)者用安卓、iOS的原生語(yǔ)言，還是用C語(yǔ)言，或HTML5語(yǔ)言，均能獲得AnyOffice提供的企業(yè)級(jí)安全能力。

AnyOffice平臺(tái)致力于讓安全能力更強(qiáng)、接口更豐富外，還大力提升了易集成性。華為進(jìn)行了大量API接口的開(kāi)放，不斷提高API的易用性，持續(xù)降低用戶(hù)在移動(dòng)應(yīng)用集成安全能力上的工作量和成本；經(jīng)過(guò)優(yōu)化，當(dāng)前只需要幾小時(shí)就能完成API的集成工作。

圖2 組件之間的關(guān)系圖

平臺(tái)提供一個(gè)統(tǒng)一的移動(dòng)安全客戶(hù)端AnyOffice。AnyOffice作為單一的移動(dòng)客戶(hù)端，是用戶(hù)和網(wǎng)絡(luò)、應(yīng)用的唯一交互界面，簡(jiǎn)潔的客戶(hù)端可降低管理和維護(hù)復(fù)雜度。同時(shí)，AnyOffice客戶(hù)端也是一個(gè)安全的移動(dòng)辦公工作平臺(tái)，以O(shè)ne-agent的模式集成了安全沙箱、安全郵件客戶(hù)端、安全瀏覽器、移動(dòng)終端管理（MDM）軟件、L3VPN客戶(hù)端、虛擬桌面等一系列應(yīng)用，可滿(mǎn)足移動(dòng)辦公的通用需求，保障企業(yè)員工安全、便捷、高效地接入和訪(fǎng)問(wèn)企業(yè)內(nèi)網(wǎng)。

另 外，AnyOffice具 備環(huán)境感知特性，可通過(guò)與網(wǎng)絡(luò)側(cè)的接入控制網(wǎng)關(guān)SACG（Security Access Control Gateway）和SVN SSL VPN網(wǎng)關(guān)聯(lián)動(dòng)，實(shí)現(xiàn)用戶(hù)在公司內(nèi)、外網(wǎng)的智能感知，無(wú)縫切換應(yīng)用安全策略，帶給用戶(hù)一致性體驗(yàn)。

2.產(chǎn)品相關(guān)組件及功能

AnyOffice安全平臺(tái)的解決方案主要包含三個(gè)組件：AnyOffice客戶(hù)端，SVN安全接入網(wǎng)關(guān)，MDM數(shù)據(jù)服務(wù)器。三個(gè)組件之間的關(guān)系如下圖2所示。

第一，AnyOffcie客戶(hù)端。該客戶(hù)端是一款安裝在移動(dòng)終端上的客戶(hù)端軟件?；贏(yíng)nyOffice安全工作臺(tái)，集成了安全瀏覽器、安全郵件、移動(dòng)終端管理（MDM）客戶(hù)端等一系列華為自研應(yīng)用，可滿(mǎn)足移動(dòng)辦公的通用需求，保障企業(yè)員工安全、便捷、高效地接入企業(yè)內(nèi)網(wǎng)。AnyOffice客戶(hù)端支持當(dāng)前流行的Android、IOS智能終端操作系統(tǒng)，允許根據(jù)企業(yè)實(shí)際需求增減第三方應(yīng)用。AnyOffice客戶(hù)端通過(guò)沙箱技術(shù)，實(shí)現(xiàn)了個(gè)人數(shù)據(jù)與企業(yè)數(shù)據(jù)的安全隔離，解決了個(gè)人和企業(yè)應(yīng)用、數(shù)據(jù)混合帶來(lái)的數(shù)據(jù)泄密和病毒感染等風(fēng)險(xiǎn)。

第二，SVN安全接入網(wǎng)關(guān)。主要包括SVN2230-M/2260-M/5530-M/5560-M（簡(jiǎn)稱(chēng)SVN）四個(gè)型號(hào)，是華為推出的優(yōu)秀VPN網(wǎng)關(guān)設(shè)備。設(shè)備提供豐富的認(rèn)證手段和靈活的訪(fǎng)問(wèn)授權(quán)控制手段，包括VPNDB本地認(rèn)證、LDAP/AD/RADIUS/SecureID第三方認(rèn)證、數(shù)字證書(shū)認(rèn)證、終端硬件特征綁定以及多種認(rèn)證方式的組合認(rèn)證。設(shè)備具有強(qiáng)大的移動(dòng)辦公安全接入能力，通過(guò)與AnyOffice客戶(hù)端建立L3/L4VPN加密隧道，保證數(shù)據(jù)及應(yīng)用傳輸?shù)陌踩?。同時(shí)，SVN支持通過(guò)全面的準(zhǔn)入檢查機(jī)制來(lái)保證接入終端的合規(guī)性，避免不合規(guī)終端接入企業(yè)網(wǎng)絡(luò)而引起的安全隱患。

第三，MDM數(shù)據(jù)服務(wù)器。由數(shù)據(jù)庫(kù)服務(wù)器和Web應(yīng)用服務(wù)器組成。數(shù)據(jù)庫(kù)服務(wù)器用于存儲(chǔ)資產(chǎn)管理等數(shù)據(jù)，Web應(yīng)用服務(wù)器用于存儲(chǔ)應(yīng)用程序包。SVN需要通過(guò)Web應(yīng)用服務(wù)器中轉(zhuǎn)才能訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)服務(wù)器。MDM數(shù)據(jù)服務(wù)器易于搭建和維護(hù)，可由企業(yè)提供通用的硬件平臺(tái)進(jìn)行安裝。

北信源內(nèi)網(wǎng)安全管理及補(bǔ)丁分發(fā)（VRVEDP）系統(tǒng)

北信源公司通過(guò)對(duì)國(guó)內(nèi)和國(guó)外近幾年來(lái)計(jì)算機(jī)終端管理技術(shù)和發(fā)展趨勢(shì)的研究，將政府和企業(yè)內(nèi)部網(wǎng)絡(luò)終端安全管理概括的從終端狀態(tài)、行為、事件三個(gè)方面來(lái)進(jìn)行防御，研制出北信源內(nèi)網(wǎng)安全管理及補(bǔ)丁分發(fā)系統(tǒng)軟件，簡(jiǎn)稱(chēng)VRVEDP系統(tǒng)。

1.產(chǎn)品設(shè)計(jì)原理

圖3 VRVEDP系統(tǒng)核心功能

VRVEDP系統(tǒng)遵循網(wǎng)絡(luò)防護(hù)和端點(diǎn)防護(hù)并重的理念，對(duì)網(wǎng)絡(luò)安全管理人員在網(wǎng)絡(luò)管理、終端管理過(guò)程中所面臨的種種問(wèn)題提供解決方案，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)終端的可控管理，并能夠支持多級(jí)級(jí)聯(lián)廣域網(wǎng)架構(gòu)，達(dá)到最佳的管理效果。

VRVEDP系統(tǒng)強(qiáng)化了對(duì)網(wǎng)絡(luò)計(jì)算機(jī)終端狀態(tài)、行為以及事件的管理，它提供了防火墻、IDS、防病毒系統(tǒng)及專(zhuān)業(yè)網(wǎng)管軟件所不能提供的防護(hù)功能，對(duì)它們管理的盲區(qū)進(jìn)行監(jiān)控，擴(kuò)展成為一個(gè)實(shí)時(shí)的可控內(nèi)網(wǎng)管理平臺(tái)，并能夠同其他安全設(shè)備進(jìn)行安全集成和報(bào)警聯(lián)動(dòng)。

VRVEDP系統(tǒng)同英特爾公司Intel vPro（AMI）平臺(tái)有著密切的技術(shù)合作，涉及終端補(bǔ)丁修補(bǔ)、資源管理、遠(yuǎn)程管理、狀態(tài)監(jiān)控、策略制訂、訪(fǎng)問(wèn)控制和安全審計(jì)等主動(dòng)式集成管理技術(shù)。VRVEDP系統(tǒng)核心功能如下圖3所示。

2.VRVEDP系統(tǒng)模塊及功能

VRVEDP系統(tǒng)由8個(gè)部分組成：管理信息庫(kù)、Web中央管理平臺(tái)、區(qū)域管理器、注冊(cè)程序、補(bǔ)丁下載服務(wù)器、管理器終端保護(hù)模塊、報(bào)警中心模塊等。下面依次進(jìn)行介紹。

管理信息庫(kù)：系統(tǒng)信息和網(wǎng)絡(luò)設(shè)備信息數(shù)據(jù)庫(kù)，包括系統(tǒng)組件（區(qū)域管理器、設(shè)備掃描器、Web中央管理平臺(tái)等）信息、系統(tǒng)運(yùn)行配置參數(shù)（管理區(qū)域、運(yùn)行參數(shù)、補(bǔ)丁分發(fā)等）信息、網(wǎng)絡(luò)終端對(duì)象（設(shè)備信息、設(shè)備變化信息、報(bào)警信息等）信息。

區(qū)域管理器：系統(tǒng)數(shù)據(jù)處理中心，與管理信息庫(kù)通訊，接受終端對(duì)象注冊(cè)程序采集過(guò)來(lái)的信息，并存入數(shù)據(jù)庫(kù)；接受來(lái)自控制臺(tái)的命令操作，發(fā)送到終端、掃描器執(zhí)行。對(duì)于存在多級(jí)管理要求的廣域網(wǎng)，網(wǎng)絡(luò)中可以存在多個(gè)區(qū)域管理器，系統(tǒng)數(shù)據(jù)提供逐級(jí)上報(bào)（轉(zhuǎn)發(fā)）設(shè)置模式。區(qū)域管理器內(nèi)置網(wǎng)絡(luò)掃描器，掃描器將設(shè)備最新?tīng)顟B(tài)信息報(bào)送至區(qū)域管理器，由區(qū)域管理器處理后，同數(shù)據(jù)庫(kù)中原有信息進(jìn)行遍歷搜索對(duì)比，根據(jù)管理規(guī)則在管理平臺(tái)上報(bào)警。網(wǎng)絡(luò)掃描器配合區(qū)域管理器進(jìn)行工作，可以在分級(jí)模式下使用；掃描器只依據(jù)Web管理平臺(tái)中配置的工作范圍進(jìn)行掃描，超越其范圍，將不負(fù)責(zé)執(zhí)行操作。

Web中央管理臺(tái)：本系統(tǒng)的管理配置中心，基于IE瀏覽器模式提供對(duì)系統(tǒng)的控制管理，中央管理臺(tái)由三個(gè)部分構(gòu)成：系統(tǒng)配置與信息查詢(xún)模塊、策略中心制訂模塊、補(bǔ)丁檢測(cè)中心模塊。Web中央管理臺(tái)管理內(nèi)容包括：①配置管理：區(qū)域管理器（掃描器）、注冊(cè)終端程序、系統(tǒng)策略中心等的運(yùn)行配置參數(shù)設(shè)定；②信息查詢(xún)：查看網(wǎng)絡(luò)設(shè)備信息、報(bào)警信息等；③策略制訂：制訂終端系統(tǒng)應(yīng)用安全策略，分發(fā)至各網(wǎng)絡(luò)終端對(duì)象執(zhí)行；④補(bǔ)丁檢測(cè)：進(jìn)行終端對(duì)象的操作系統(tǒng)漏洞檢測(cè)提示，并提供補(bǔ)丁下載。

終端注冊(cè)程序：系統(tǒng)終端管理程序，采集終端設(shè)備資產(chǎn)信息，檢測(cè)終端狀態(tài)行為等信息，執(zhí)行管理控制臺(tái)分發(fā)的各種安全策略，并將終端違規(guī)信息報(bào)送控制臺(tái)。終端注冊(cè)程序功能包括：終端桌面信息監(jiān)測(cè)、終端安全狀態(tài)信息審計(jì)、終端系統(tǒng)補(bǔ)丁檢測(cè)、執(zhí)行管理臺(tái)下發(fā)的安全策略、阻斷本機(jī)聯(lián)網(wǎng)狀態(tài)等。

圖4 UEM系統(tǒng)架構(gòu)圖

補(bǔ)丁下載服務(wù)器：安裝在與Internet網(wǎng)絡(luò)連接的機(jī)器上，實(shí)時(shí)下載補(bǔ)丁廠(chǎng)商發(fā)布的補(bǔ)丁。

管理器終端保護(hù)模塊：輔助模塊，該模塊可對(duì)重要計(jì)算機(jī)端口、網(wǎng)絡(luò)協(xié)議、通訊IP范圍以及其他網(wǎng)絡(luò)應(yīng)用進(jìn)行安全配置，防止計(jì)算機(jī)收到惡意的IP沖突和各種網(wǎng)絡(luò)、病毒攻擊等威脅，確保計(jì)算機(jī)實(shí)時(shí)無(wú)干擾運(yùn)行。

報(bào)警中心模塊：輔助模塊，系統(tǒng)綜合違規(guī)報(bào)警信息平臺(tái)，匯總本系統(tǒng)中所有安全報(bào)警事件信息，選擇報(bào)警方式，其中包括電子郵件、信使服務(wù)、SNMP Trap、手機(jī)短信等多種報(bào)警方式。

中軟統(tǒng)一終端安全管理系統(tǒng)

中軟統(tǒng)一終端安全管理系統(tǒng)（CSS United End-Point Management System，簡(jiǎn)稱(chēng)UEM）是中軟公司在對(duì)企業(yè)內(nèi)網(wǎng)安全管理展開(kāi)全面調(diào)查的基礎(chǔ)上，創(chuàng)造性地形成了一套完備的終端安全一體化解決方案。

1.產(chǎn)品設(shè)計(jì)原理及架構(gòu)

UEM系統(tǒng)是以“木桶原理”為理論依據(jù)，以安全策略為驅(qū)動(dòng)，按照PDR安全模型的“保護(hù)-檢測(cè)-響應(yīng)”工作流程循環(huán)檢測(cè)，同時(shí)結(jié)合保密規(guī)定的“等級(jí)保護(hù)”指導(dǎo)方針，采用多種安全技術(shù)實(shí)現(xiàn)了對(duì)終端主機(jī)全方位、多層次的安全防護(hù)。按照“保護(hù)-檢測(cè)-響應(yīng)”的工作流程逐步完善終端安全防護(hù)策略，并將事件處理方式和處理流程登錄到用戶(hù)知識(shí)庫(kù)，逐步形成內(nèi)網(wǎng)事故應(yīng)急響應(yīng)流程和共享安全解決方案的知識(shí)庫(kù)。

系統(tǒng)分為三個(gè)組件：客戶(hù)端、服務(wù)器和控制臺(tái)，系統(tǒng)采用分布式監(jiān)控，集中式管理的工作模式。組件之間采用C/S工作模式，組件的通信是采用HTTP/HTTPS加密傳輸方式。支持任意層級(jí)的服務(wù)器級(jí)聯(lián)，上下級(jí)服務(wù)器之間采用HTTPS協(xié)議進(jìn)行數(shù)據(jù)交換，系統(tǒng)體系架構(gòu)如下圖4所示。

客戶(hù)端：安裝在受保護(hù)的終端計(jì)算機(jī)上，實(shí)時(shí)監(jiān)測(cè)客戶(hù)端的用戶(hù)行為和安全狀態(tài)，實(shí)現(xiàn)客戶(hù)端安全策略管理。一旦發(fā)現(xiàn)用戶(hù)的違規(guī)行為或計(jì)算機(jī)的安全狀態(tài)異常，系統(tǒng)及時(shí)向服務(wù)器發(fā)送告警信息，并執(zhí)行預(yù)定義的應(yīng)急響應(yīng)策略。

服務(wù)器：安裝在專(zhuān)業(yè)的數(shù)據(jù)服務(wù)器上，需要數(shù)據(jù)庫(kù)的支持，通過(guò)安全認(rèn)證建立與多個(gè)客戶(hù)端系統(tǒng)的連接，實(shí)現(xiàn)客戶(hù)端策略的存儲(chǔ)和下發(fā)、日志的收集和存儲(chǔ)。上下級(jí)服務(wù)器間基于HTTPS進(jìn)行通信，實(shí)現(xiàn)組織結(jié)構(gòu)、告警、日志統(tǒng)計(jì)信息等數(shù)據(jù)的搜集。

控制臺(tái)：人機(jī)交互界面，是管理員實(shí)現(xiàn)對(duì)系統(tǒng)管理的工具。通過(guò)安全認(rèn)證建立與服務(wù)器的信任連接，實(shí)現(xiàn)策略的制定下發(fā)以及數(shù)據(jù)的審計(jì)和管理。

2.UEM系統(tǒng)功能

UEM系統(tǒng)包含基本功能和可選功能，默認(rèn)情況下只提供基本功能，可選功能由產(chǎn)品License控制。

基本功能：包括用戶(hù)身份認(rèn)證、網(wǎng)絡(luò)訪(fǎng)問(wèn)控制、非法外聯(lián)控制、接口外設(shè)管理、移動(dòng)存儲(chǔ)介質(zhì)管理、CDROM/CDRW/刻錄機(jī)的控制、輔助硬盤(pán)的控制及打印機(jī)管理。這八項(xiàng)基本功能主要是針對(duì)用戶(hù)使用終端權(quán)限的一些基本控制，如果需要更高層級(jí)的終端保護(hù)功能，就必須選配其他功能模塊。下面將對(duì)可選功能進(jìn)行介紹。

可信移動(dòng)存儲(chǔ)介質(zhì)管理：該功能實(shí)現(xiàn)了用戶(hù)對(duì)移動(dòng)存儲(chǔ)介質(zhì)管理的要求，對(duì)可信移動(dòng)存儲(chǔ)介質(zhì)從購(gòu)買(mǎi)到銷(xiāo)毀的整個(gè)生命周期進(jìn)行管理和控制。

終端接入管理：對(duì)接入內(nèi)網(wǎng)的計(jì)算機(jī)進(jìn)行統(tǒng)一的管理，未經(jīng)許可的計(jì)算機(jī)不能接入內(nèi)網(wǎng)，主要功能包括終端接入認(rèn)證、終端安全檢查和內(nèi)網(wǎng)安全掃描。

補(bǔ)丁管理與軟件分發(fā)管理：統(tǒng)一配置終端計(jì)算機(jī)的補(bǔ)丁管理策略，實(shí)現(xiàn)對(duì)系統(tǒng)補(bǔ)丁狀況的掃描，自動(dòng)完成補(bǔ)丁分發(fā)；規(guī)劃企業(yè)統(tǒng)一分發(fā)的軟件安裝包，按照統(tǒng)一的軟件分發(fā)策略，自動(dòng)完成企業(yè)軟件的部署。

終端安全運(yùn)維管理：按照統(tǒng)一的安全策略監(jiān)控客戶(hù)端的運(yùn)行狀況，通過(guò)軟件自動(dòng)分發(fā)和軟硬件資產(chǎn)的統(tǒng)一管理大大節(jié)約了企業(yè)信息系統(tǒng)的維護(hù)成本，通過(guò)系統(tǒng)遠(yuǎn)程幫助控制實(shí)現(xiàn)遠(yuǎn)程維護(hù)計(jì)算機(jī)，清除系統(tǒng)故障。

遠(yuǎn)程管理：通過(guò)終端用戶(hù)與服務(wù)器相互授權(quán)的機(jī)制建立終端與服務(wù)器之間的信任通信體系，管理員通過(guò)服務(wù)器實(shí)現(xiàn)對(duì)終端用戶(hù)提供實(shí)時(shí)幫助的功能。

安全存儲(chǔ)與傳輸管理：具體包括加密文件夾、硬盤(pán)保護(hù)區(qū)和文件安全分發(fā)三項(xiàng)功能。加密文件夾為終端用戶(hù)提供了個(gè)人文件加密存儲(chǔ)的文件服務(wù)。硬盤(pán)保護(hù)區(qū)是在本地硬盤(pán)上提供一個(gè)或多個(gè)安全存放本地敏感文件的加密存儲(chǔ)空間。文件安全分發(fā)實(shí)現(xiàn)了文件在指定范圍內(nèi)的自動(dòng)加密或自動(dòng)解密，在指定范圍外的用戶(hù)不能共享這些加密文件。

安全文檔管理：基于透明加解密技術(shù)，在客戶(hù)終端上實(shí)施對(duì)客戶(hù)文件的透明加密、透明解密，有效防止內(nèi)部和外部竊取機(jī)密的行為，從根本上解決泄密防范問(wèn)題。

結(jié)語(yǔ)

隨著信息技術(shù)的進(jìn)一步發(fā)展，終端安全在企業(yè)安全中的地位將會(huì)變得越來(lái)越重要，希望本專(zhuān)題能夠引起企事業(yè)單位對(duì)終端安全的重視，也希望讀者朋友能夠從此專(zhuān)題中得到幫助。