第一章 终端安全概述

二十一世纪以计算机和网络通信为代表的信息化技术迅速发展，现代政府部门、金融机构、企事业单位和商业等组织的日常办公对信息系统以及计算机终端愈发依赖，信息技术几乎渗透到了世界的各行各业及工作生活的方方面面。组织机构的正常运行高度依赖于信息系统，而针对其所承载的服务和数据的安全保护就显得尤为重要，如数据的安全性、完整性，终端计算机的可靠性、可用性等方面出现缺陷，将会给组织机构带来不可计量的损失。而如今，全球化的互联网使得组织机构不仅依赖信息系统，还不可避免地通过计算机与外部的信息系统建立密切联系。面对来自外部以及内部的威胁，对信息系统及系统终端的保护需求则更为突出。

面对日益严峻的安全风险，大部分组织机构通过以边界安全网关类设备为基础构建信息系统安全防护体系，并在一定程度上抵御来自外部的攻击，然而内部信息系统是不断变化发展的，系统环境在任何时刻都会呈现开放、共享等特点，不应以孤岛形式存在，外部威胁只是安全风险的一部分，作为办公环境的重要组成，开放的信息系统及办公计算机终端环境将面临更为严峻的内部威胁挑战。正因如此，终端的安全性显得格外重要且又是容易被忽略的安全薄弱环节。

而计算机具有点数多、覆盖面大、难管理等特点，加之人员人手有限，终端分布环境复杂，威胁风险事件较多，使信息安全人员对终端安全工作处于被动状态。在终端安全方面，一旦出现病毒感染、恶意破坏传播、数据丢失等事件，将会造成严重损失，后果不堪设想。

第二章 风险分析

二.1 人工运维加剧威胁防御成本

传统终端安全产品以策略、特征为基础，辅以组织规定以及人员操作制度驱动威胁防御，勒索病毒等高级威胁一旦产生，将会在内部不可控的感染传播。信息系统的恢复工作，需要逐台逐点完成，大量人工成本呈几何增长态势。

另外针对新型病毒而言，需要充分研究其技术特点，以针对性的防御措施进行加固，这就对企业运维人员的专业性要求极高，那么面对层出不穷的新型威胁，现阶段以传统防病毒产品为基础进行有效应对难度较大。

二.2 基于特征匹配杀毒无法有效抵御新型病毒

已有防病毒产品基于病毒特征库方式进行杀毒，在高级威胁持续产生的大环境下，呈现被动、后知后觉等检测特点，无法及时有效防御新型病毒，如WannaCry勒索病毒。另外，本地特征库数量受存储、性能、资源等多方面影响，现有本地特征库文件规模无法满足已知病毒的查杀需求。

二.3 病毒特征库数量增长加重主机运算资源

伴随着已知病毒样本的不断增加，本地病毒特征库数量日益增多，现已严重加剧终端存储、运算资源成本，查杀病毒过程会出现卡顿、假死等现象，严重影响用户日常办公。而信息系统环境亦会伴随着信息技术更新而迭代，现有防病毒产品已无法适配如云化等新的特定场景。

二.4 杀毒处置方式落后无法适应病毒新的传播方式与环境

如信息系统内某台终端发现病毒，防病毒产品将采取基于文件隔离的方式进行处置，此种方式相对落后，如文件隔离失败情况产生，单点威胁将快速辐射到面，因此传统防毒产品已经无法适应新的病毒传播方式及环境。

二.5 终端间缺少基本的访问控制体系

从近年来的安全事件我们可以看到，攻击者从以破坏为主的攻击逐渐转变为以特定的政治或经济目的为主的高级可持续攻击。无论从著名的Lockheed Martin Cyber Kill Chain（洛克希德-马丁公司提出的网络攻击杀伤链），还是近年名声大噪的勒索病毒、挖矿病毒，这些攻击都有一些显著特点，一旦边界的防线被攻破或绕过，攻击者就可以在数据中心内部横向移动，而中心内部基本没有安全控制的手段可以阻止攻击。这也突出了传统安全的一个主要弱点，复杂的安全策略、巨大的资金和技术都用于了边界防护，而同样的安全级别并不存在于内部。

二.6 终端间访问关系无法有效可视

对终端间访问关系的梳理必不可少，若通过路由表单等静态报表很难看到每个业务域内部各个终端的访问关系展示以及访问记录，也无法通过可视化的方式看到每个业务域之间的访问关系展示以及每个业务域的流量状态、访问趋势、流量排行

二.7 终端间没有实现同一的准入控制

对终端的接入管控少，通过网络接口、无线网络即可接入，并且畅通无阻，直接可以访问业务系统等进行破环，相当于防护只防护外围，没有防护内部。

第三章 设计思路

三.1 构建多维度威胁防御体系

通过结合边界以及终端的应用部署，提供全网终端病毒、木马、入侵攻击等威胁防御能力，通过人工智能引擎、全网信誉库、云查引擎、行为分析等技术，全面应对威胁，有效防御新型未知病毒的感染与传播，解决现有信息系统安全问题，构建百分百多维度威胁防御体系。

三.2 建设终端准入管控体系

通过结合对终端的准入要求，进行合规性的准入控制，并且将终端的权限进行管控，解决现有的问题。

第四章 建设方案

图6-1 系统部署

部署无需对网络进行调整或对网络设备进行配置，控制中心采用旁路方式接入内部网络，在办公环境所有主机上（包括物理PC终端、虚拟机、物理服务器、云主机）安装EDR客户端代理，被管理主机能连通控制中心即可。管理员通过B/S管理中心对全网已安装客户端代理的主机进行策略设定下发、监控管理、安全审计等操作，客户端代理则负责策略接收、任务执行、日志上报等事项，以便整体保障终端安全性。

未安装代理的客户端或未认证的终端PC，访问核心网络中受保护区域时，TCP连接会被直接阻断，http请求被重定向到终端代理下载页面或portal认证页面。 终端认证通过或下载并安装了终端代理后，可以正常访问相关页面和服务。下次登录时只要不卸载终端代理，就可以一直访问相关服务。

部署示意图

功能：只有安装终端安全管理系统客户端的PC才有权限访问受保护服务器。

1. 用户访问受保护服务器打开终端分发页面。

2. 点击链接，下载并安装系统客户端，之后用户PC可正常访问受保护服务器。