安全挑戰(zhàn)

當(dāng)前全球網(wǎng)絡(luò)安全形勢嚴峻,，網(wǎng)絡(luò)攻擊層出不窮,，且攻擊來源、攻擊目的,、攻擊方法以及攻擊規(guī)模都在發(fā)生著巨大的變化,，尤其針對終端系統(tǒng)的主動入侵、漏洞利用,、勒索病毒,、未知威脅、非法接入,、違規(guī)操作,、信息泄密,、存儲介質(zhì)隨意使用等安全問題頻發(fā)。

1.原有終端安全建設(shè)集成度弱

目前多數(shù)政企單位在安全建設(shè)過程中,，由于受條件和其它因素限制,，可能部署了多套系統(tǒng)，而這些系統(tǒng)往來自不同廠商,，彼此獨立完成不同的功能,，這就帶來了新的問題：

（1）終端被各種軟件占據(jù)，資源耗費巨大

各軟件均有獨立的數(shù)據(jù)庫,、內(nèi)存加載項,、數(shù)據(jù)掃描行為等一系列資源需求，包括對磁盤存儲需求,、內(nèi)存需求,、CPU需求等,，這些資源需求往往處于自身軟件設(shè)計的考慮,，極易導(dǎo)致對整體終端系統(tǒng)資源的較大消耗，影響用戶實際使用體驗,，干擾用戶正常業(yè)務(wù)工作,。

（2）系統(tǒng)之間容易產(chǎn)生沖突

終端安全軟件實現(xiàn)方式往往采用進程注入,、API掛載、驅(qū)動掛載等系統(tǒng)級的處理方式,，使得安全軟件之間或安全軟件與其它軟件的兼容性出現(xiàn)問題,。

（3）系統(tǒng)之間獨立，無法聯(lián)動

安全從過去的孤立針對某個方面的防護已經(jīng)全面進入大數(shù)據(jù)階段,，通過各種數(shù)據(jù)的整合,、分析、處置是應(yīng)對新型威脅的有效辦法,。而過去安全建設(shè)所產(chǎn)生的多種安全防護體系彼此孤立,，無論從系統(tǒng)層面還是數(shù)據(jù)層面都無法進行有效整合，從而造成實際防護效果大打折扣,，在應(yīng)對未知威脅時捉襟見肘,。

（4）管理維護困難

多個安全系統(tǒng)的存在造成要針對每個系統(tǒng)有不同的運維管理的工作量，如系統(tǒng)的安全策略的定義,、細化,、調(diào)優(yōu)、更改,，系統(tǒng)的更新,，系統(tǒng)日志管理、數(shù)據(jù)庫管理等一系列工作,。這無疑給安全管理人員提出來非常高的要求,，增加了工作量和確保對系統(tǒng)的設(shè)置不會出錯,。

2.缺乏防御各類威脅能力

（1）病毒防護問題

目前各政企單位持續(xù)面臨木馬、蠕蟲和勒索病毒等威脅,，且由于大量終端處于辦公網(wǎng)內(nèi),，造成交叉感染現(xiàn)象嚴重，又很難徹底清除某些感染性較強的病毒,。

（2）高級威脅分析溯源問題

針對于企業(yè)的高級威脅則更加復(fù)雜,，無法對高級威脅的各個階段進行有效的關(guān)聯(lián)檢測，導(dǎo)致針對高級威脅一無所知,，無法確認它潛伏的時間,、進入的途徑、造成的影響和范圍,。

（3）停服系統(tǒng)加固問題

隨著Windows系統(tǒng)不斷發(fā)展和迭代過程,，微軟相繼發(fā)布停止對XP、WIN7以及Server 2008等系統(tǒng)補丁升級服務(wù),，而各單位仍存在大量以上系統(tǒng)終端,，在遷移至更高版本之前，這些系統(tǒng)漏洞將會成為較大安全隱患,。

3. 缺少終端安全準入控制

企業(yè)內(nèi)部網(wǎng)絡(luò)包含著多種多樣的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)終端,，內(nèi)部服務(wù)器和PC搭載著許多重要的應(yīng)用平臺和數(shù)據(jù)，而如果外來終端可以隨便接入企業(yè)網(wǎng)絡(luò),，由于外來使用者的防范意識普遍偏低,，防毒措施往往不到位，一旦發(fā)生病毒感染,，往往擴散到全網(wǎng)絡(luò),，令網(wǎng)絡(luò)陷于癱瘓狀態(tài)。

4.缺少統(tǒng)一安全運維處置能力

盡管各政企單位均制定了相應(yīng)的終端安全管理制度,，但由于缺乏有效的技術(shù)執(zhí)行措施，需要面對各種合規(guī)管控難題,，主要表現(xiàn)在：

? 非辦公終端隨意接入工作網(wǎng)絡(luò)

? 內(nèi)網(wǎng)的業(yè)務(wù)終端違規(guī)外連

? USB,、藍牙等設(shè)備任意連接辦公終端

? 娛樂、炒股等非辦公軟件屢禁不止

? 終端安全基線缺乏自動化的檢查措施

5.整體安全決策力未形成閉環(huán)

安全威脅的產(chǎn)生是動態(tài)的過程,，對其監(jiān)控管理卻是靜態(tài)過程,；一方面，大部分安全思想都是基于攻防對抗思想,，防御總是落后于攻擊,，所以一旦攻擊發(fā)生，在消除攻擊的同時其實已經(jīng)對整個系統(tǒng)帶來了危害,。深入分析整個現(xiàn)狀的本質(zhì),，主要是因為缺少有效的一體化整體安全決策解決方案,，無法看到終端更多維度的數(shù)據(jù)，從而無法基于數(shù)據(jù)進行安全態(tài)勢分析,，繼而無法基于分析進行安全運營,，最終無法基于安全運營進行安全決策。

解決方案

奇安信終端安全管理解決方案（以下簡稱天擎）是奇安信結(jié)合多年安全技術(shù)經(jīng)驗及實踐要求,，自主研發(fā)的以安全防御為核心,、以運維管控為重點、以可視化管理為支撐,、以可靠服務(wù)為保障的全方位終端安全解決方案,。

方案為用戶構(gòu)建能夠有效抵御已知、未知病毒和APT攻擊的新一代終端安全防御體系,，提供統(tǒng)一終端安全防御,、統(tǒng)一終端合規(guī)管理、統(tǒng)一終端運維管理及終端安全運營與協(xié)調(diào)等功能,。

1.統(tǒng)一終端安全防御

（1）終端安全一體化

采用多元,、包容、開放的架構(gòu)設(shè)計,，實現(xiàn)在平臺一體化,、功能一體化、數(shù)據(jù)一體化,。

平臺一體化體現(xiàn)在跨平臺的統(tǒng)一管理,，兼容各類終端及服務(wù)器Windows、Linux,、國產(chǎn)操作系統(tǒng),、MacOS X，同時支持云桌面和服務(wù)器虛擬化,。

功能一體化方面,，集終端防病毒和安全管控于一體，真正解決多客戶端,、終端資源占用高,、兼容性等問題。

數(shù)據(jù)一體化體現(xiàn)在數(shù)據(jù)結(jié)構(gòu)設(shè)計方面,，采用全新的Skyler2標準架構(gòu),，將各個模塊的數(shù)據(jù)標準化，進而實現(xiàn)高效的數(shù)據(jù)交互,，提高軟件的運行效率,。

（2）病毒防御

天擎采用云查殺引擎、QOWL貓頭鷹引擎、人工智能引擎,、主防引擎等多種引擎,，能夠有效攔截已知和未知病毒，并應(yīng)用了入口防護,、系統(tǒng)防護,、網(wǎng)絡(luò)防護及應(yīng)用防護等主動防御技術(shù)。通過海量病毒樣本數(shù)據(jù)的自學(xué)習(xí),，天擎的人工智能引擎無需頻繁更新特征庫,，實現(xiàn)較高病毒檢出率。

（3）高級威脅檢測能力

天擎EDR模塊在利用已有的經(jīng)驗和技術(shù)來阻止已知威脅的前提下,，通過云端威脅情報能力,、攻防對抗能力、機器學(xué)習(xí)等方式,，來快速發(fā)現(xiàn)并阻止先進的惡意軟件和零日漏洞等威脅事件,。同時基于終端的背景數(shù)據(jù)、惡意軟件的行為以及完整的高級威脅生命周期等多個角度,，對高級威脅進行全面的檢測和響應(yīng),，實現(xiàn)快速、自動化的阻止,、補救,、取證，對終端進行有效的防護,。

（4）停服系統(tǒng)加固

WIN7和XP等停服系統(tǒng),，避免因微軟停服而增加的安全隱患?！疤旃贰币鎽?yīng)用全新的技術(shù)與解決方案,，擺脫了傳統(tǒng)安全技術(shù)對文件、流量,、數(shù)據(jù),、行為等特征的依賴，采用了內(nèi)存指令控制流檢測技術(shù),，并與人工智能,、機器學(xué)習(xí)技術(shù)深度結(jié)合，可從更底層監(jiān)測漏洞攻擊代碼的執(zhí)行,，不依賴已知漏洞特征和已知攻擊代碼的特征，可發(fā)現(xiàn)利用未知漏洞發(fā)起的攻擊,。

2.統(tǒng)一終端合規(guī)管理

（1）同臺管理準入方案

基于天擎“一體化”管理平臺,，業(yè)務(wù)模塊的聯(lián)動和數(shù)據(jù)情報的共享，在實現(xiàn)準入控制的同時，也構(gòu)建了一道從終端,、應(yīng)用一直到網(wǎng)絡(luò)的多層安全防護體系,，實現(xiàn)從終端安全的檢測，到核心應(yīng)用的防護,、網(wǎng)絡(luò)接入的授權(quán),，層層確保終端的安全規(guī)范入網(wǎng)，NAC也實時監(jiān)測始終保障天擎安全防護點的存在,，避免終端變成裸奔,、非可信狀態(tài)，同時也防止天擎安全防護點的違規(guī)卸載和去化率過高,，保障入網(wǎng)終端始終在安全可控范圍內(nèi),，并實時上報安全動態(tài)及入網(wǎng)數(shù)據(jù)，供風(fēng)險分析,。

（2）軟硬件資產(chǎn)統(tǒng)一管理

實現(xiàn)對軟硬件資產(chǎn)信息收集,，對終端硬件變動，軟件變動產(chǎn)生告警信息,，終端自助資產(chǎn)登記,，設(shè)置必填項以及輸入類型，最大限度的提供用戶一個便利的使用場景,。

3.統(tǒng)一終端運維管理

奇安信結(jié)合服務(wù)于萬家政企用戶的終端運維管理實戰(zhàn)經(jīng)驗,，向政企單位提供成熟穩(wěn)定的補丁及軟件分發(fā)功能、硬件資產(chǎn)管理及運行監(jiān)控功能和遠程桌面加固功能,，幫助政企單位有效降低終端運維工作量,。

4.終端安全運營與協(xié)調(diào)體系

天擎具備終端實時數(shù)據(jù)的采集能力、存儲能力,，可對政企單位終端進行淪陷終端檢測及響應(yīng),、終端態(tài)勢信息收集，采用完善的分析模型對實時數(shù)據(jù)進行處理,，根據(jù)定制的量化指標量化態(tài)勢信息,，以易懂的圖形化界面展示全單位終端態(tài)勢信息，幫助政企單位建立終端安全運營與協(xié)調(diào)體系,。

方案優(yōu)勢

1.病毒防御多維化

? 多引擎技術(shù)：采用云查殺引擎,、OWL貓頭鷹引擎、主防引擎,、人工智能引擎,，有效查殺已知和未知病毒。

? 立體化主防：采用隔離防護,、5層入口防護,、7層系統(tǒng)防護及8層應(yīng)用防護等主動防御技術(shù)。

? 智能自學(xué)習(xí)：通過海量病毒樣本數(shù)據(jù)自學(xué)習(xí)，人工智能引擎無需頻繁更新特征庫,。

2.產(chǎn)品聯(lián)動方案立體化

本身具有終端安全防御云端公有/私有云查殺的功能特性,，同時支持和多種網(wǎng)絡(luò)安全設(shè)備聯(lián)動數(shù)據(jù)分析并協(xié)同處置，包括防火墻,、天眼分析平臺和NGSOC態(tài)勢感知平臺,，構(gòu)成了“云+端+邊界”的整體防御體系。

應(yīng)用價值

1. 全面滿足合規(guī)要求

通過一體化的終端管理平臺,，能夠?qū)Φ燃壉Ｗo等合規(guī)要求中的惡意代碼防范,、訪問控制、非法外聯(lián)管理,、資源控制,、資產(chǎn)管理、介質(zhì)管理,、安全審計等控制點進行全面覆蓋,。

2.實現(xiàn)強大的終端安全管理能力

方案擁有強大的終端安全管理功能，方便用戶通過管理平臺對內(nèi)網(wǎng)終端進行高效管理,，提供補丁分發(fā),、終端系統(tǒng)優(yōu)化、終端藍屏修復(fù),、終端硬件資產(chǎn)與狀態(tài)監(jiān)控,、終端體檢、終端升級,、終端系統(tǒng)修復(fù),、終端軟件管理、企業(yè)級軟件商店等幾十個安全管理功能,，統(tǒng)一下發(fā)安全策略,，針對不同狀態(tài)的終端執(zhí)行不同的安全策略，并進行精準管理,。正在被超過萬家政企用戶使用,，通過了穩(wěn)定性、性能方面的全面考驗,。

3.良好的用戶體驗與易用性

方案在用戶體驗方面得到了國內(nèi)萬家以上政企用戶的一致認可：絕大多數(shù)功能設(shè)計都要求一鍵完成,，包括一鍵修復(fù)、一鍵升級,、一鍵體檢等等,；具備靈活的分組管理，批量策略下發(fā),、分時掃描,、終端強制控制,、軟件靜默安裝,、一對一遠程協(xié)助等易用功能,；從產(chǎn)品設(shè)計到開發(fā)過程中全面貼合企業(yè)及管理員的安全管理需求，更大程度降低安全管理運維成本,，提高員工工作效率,。

適合政府、央企,、教育,、金融、制造業(yè)等多種企事業(yè)單位的終端安全應(yīng)用場景,，以下是天擎部分典型成功案例：