【51CTO.com綜合報(bào)道】

◆安全挑戰(zhàn)

從終端安全發(fā)展過(guò)程來(lái)看，終端安全產(chǎn)品已經(jīng)從基礎(chǔ)的安全防范如終端打補(bǔ)丁、防非法外聯(lián)、病毒庫(kù)統(tǒng)一升級(jí)等第一代終端安全產(chǎn)品，發(fā)展到現(xiàn)在的集成終端打補(bǔ)丁、準(zhǔn)入控制、U盤(pán)管理、非法外聯(lián)、甚至是流程處理等功能的多功能終端安全管理產(chǎn)品，即第二代終端安全產(chǎn)品。不論是第一代終端安全管理產(chǎn)品，還是第二代終端安全管理產(chǎn)品，都缺乏對(duì)終端安全的全面風(fēng)險(xiǎn)管理，缺乏對(duì)終端安全中重要風(fēng)險(xiǎn)細(xì)致的分析和技術(shù)防范措施，缺少主動(dòng)防范機(jī)制，還面臨許多安全挑戰(zhàn)：

■難以對(duì)終端安全問(wèn)題實(shí)施主動(dòng)防范

現(xiàn)有終端安全產(chǎn)品，側(cè)重是否安裝防病毒、病毒庫(kù)是否及時(shí)升級(jí)、是否違規(guī)外聯(lián)、是否違規(guī)內(nèi)聯(lián)、是否U盤(pán)違規(guī)使用等被動(dòng)防護(hù)功能，缺乏入侵檢測(cè)、防火墻、防木馬等一些主動(dòng)防御功能，使終端仍時(shí)常面臨諸多安全威脅。

■難以有效解決終端信息安全風(fēng)險(xiǎn)管控問(wèn)題

現(xiàn)有終端安全管理產(chǎn)品還沒(méi)有對(duì)終端安全風(fēng)險(xiǎn)進(jìn)行管控和全面展現(xiàn)，管理人員也無(wú)法及時(shí)掌握所轄區(qū)域終端信息安全的現(xiàn)狀，無(wú)法及時(shí)進(jìn)行風(fēng)險(xiǎn)排查和處置。同時(shí)局部風(fēng)險(xiǎn)與全局風(fēng)險(xiǎn)會(huì)產(chǎn)生互動(dòng)影響，各地小風(fēng)險(xiǎn)會(huì)導(dǎo)致全局大風(fēng)險(xiǎn)，甚至可能演變成全網(wǎng)災(zāi)難性風(fēng)險(xiǎn)，而終端安全風(fēng)險(xiǎn)往往是風(fēng)險(xiǎn)的重要來(lái)源。

■難以解決終端資產(chǎn)在不同的使用周期面臨風(fēng)險(xiǎn)變化的問(wèn)題

資產(chǎn)價(jià)值越高，面臨的風(fēng)險(xiǎn)就越大。信息資產(chǎn)因其自身易泄露、易被篡改等特點(diǎn)，價(jià)值越高，面臨的風(fēng)險(xiǎn)就更大，而且信息資產(chǎn)面臨的風(fēng)險(xiǎn)會(huì)隨其生命周期的不同階段而變化?，F(xiàn)有終端安全管理產(chǎn)品還不能充分分析、提煉資產(chǎn)在實(shí)際管理使用過(guò)程中的不同階段的風(fēng)險(xiǎn)，不能動(dòng)態(tài)跟蹤該類(lèi)風(fēng)險(xiǎn)的變化并有效應(yīng)對(duì)。

■人為因素、制度因素導(dǎo)致終端安全隱患嚴(yán)重

由于缺乏安全意識(shí)培訓(xùn)和安全技術(shù)管控，內(nèi)部人員存在內(nèi)外網(wǎng)終端設(shè)備交叉使用違規(guī)行為。外來(lái)人員在允許上內(nèi)網(wǎng)工作的前提下，缺少技術(shù)管控，一旦發(fā)生風(fēng)險(xiǎn)也無(wú)法追溯和定位。在制度制定上，由于對(duì)終端安全缺乏足夠重視、缺少終端安全應(yīng)急預(yù)案和流程或應(yīng)急預(yù)案準(zhǔn)備不充分。因此人為隱患和制度缺陷導(dǎo)致安全事件時(shí)有發(fā)生。

■難以解決個(gè)人對(duì)終端安全管理產(chǎn)品使用抱抵觸情緒的尷尬現(xiàn)狀

現(xiàn)有終端安全管理產(chǎn)品通常需要在終端上安裝安全代理，用戶(hù)感覺(jué)自己的行為受限、受監(jiān)控，通常會(huì)產(chǎn)生抵觸情緒。如果終端安全管理產(chǎn)品不能在形式上解決用戶(hù)的抵制心理，用戶(hù)很容易將日常應(yīng)用中發(fā)生的問(wèn)題一股腦都推到桌面管理軟件的身上，使得桌面管理軟件在推廣過(guò)程中阻力重重，最終成為了擺設(shè)或者干脆棄之不用。

◆解決方案

針對(duì)上述終端安全管理所面臨的安全挑戰(zhàn)，天融信公司從用戶(hù)角度出發(fā)，推出了第三代終端安全風(fēng)險(xiǎn)管理解決方案，由終端安全防護(hù)平臺(tái)與終端安全管理平臺(tái)兩大部分組成。終端安全防護(hù)從技術(shù)和管理角度對(duì)終端安全風(fēng)險(xiǎn)進(jìn)行管理、防護(hù)和控制，降低風(fēng)險(xiǎn)的發(fā)生。終端安全管理對(duì)終端的各類(lèi)情況進(jìn)行監(jiān)測(cè)和風(fēng)險(xiǎn)分析，根據(jù)監(jiān)測(cè)和分析的結(jié)果不斷改進(jìn)和完善防護(hù)的策略，使所有終端風(fēng)險(xiǎn)都處于可接受的范圍之內(nèi)。

如下圖示，是天融信第三代終端安全風(fēng)險(xiǎn)管理解決方案架構(gòu)圖。

天融信終端安全風(fēng)險(xiǎn)管理架構(gòu)圖

天融信第三代終端安全管理解決方案，不僅實(shí)現(xiàn)了終端安全管理的各項(xiàng)功能，而且從終端安全風(fēng)險(xiǎn)分析著手，動(dòng)態(tài)地從資產(chǎn)生命周期、風(fēng)險(xiǎn)生命周期、終端安全邊界、人員、信息等多角度全面分析風(fēng)險(xiǎn)，跟蹤風(fēng)險(xiǎn)、處理風(fēng)險(xiǎn)，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的全生命周期管理。同時(shí)，將終端安全風(fēng)險(xiǎn)納入到網(wǎng)絡(luò)總體安全風(fēng)險(xiǎn)中，既可以作為單獨(dú)的風(fēng)險(xiǎn)管理平臺(tái)管控，也可以作為總體安全的一部分，從全局分析，并以此作為網(wǎng)絡(luò)管理、風(fēng)險(xiǎn)告警、輔助決策的依據(jù)。

■終端安全防護(hù)平臺(tái)

端安全防護(hù)平臺(tái)分為三個(gè)部分：終端代理部分、防護(hù)平臺(tái)管理部分、聯(lián)動(dòng)接口部分。核心處理層有兩大管理需求：安全風(fēng)險(xiǎn)管理和安全基礎(chǔ)管理，如下圖所示。

終端安全防護(hù)平臺(tái)功能架構(gòu)圖

終端安全防護(hù)平臺(tái)是終端安全管理體系的核心基礎(chǔ)組件，負(fù)責(zé)終端信息的采集和維護(hù)、終端安全風(fēng)險(xiǎn)的管理和防護(hù)、終端安全事件的監(jiān)測(cè)和控制，為終端安全管理平臺(tái)提供所需要的各類(lèi)數(shù)據(jù)的采集和傳輸。

■終端安全管理平臺(tái)

終端安全管理平臺(tái)包括三個(gè)子系統(tǒng)：安全管理子系統(tǒng)、業(yè)務(wù)支撐子系統(tǒng)和自身管理子系統(tǒng)，如下圖示。

終端安全管理平臺(tái)功能架構(gòu)圖

終端安全管理平臺(tái)將終端安全防護(hù)平臺(tái)的數(shù)據(jù)進(jìn)行匯總，可對(duì)數(shù)據(jù)進(jìn)行梳理、統(tǒng)計(jì)和深度關(guān)聯(lián)分析，形成關(guān)聯(lián)分析報(bào)告，為安全策略的制定提供依據(jù)；可查看安全策略全局下發(fā)后的終端安全風(fēng)險(xiǎn)整體狀況，為安全策略的調(diào)整提供決策支撐；可為不同的用戶(hù)提供不同的安全視圖，保證不同層次的用戶(hù)能夠快速、方便地了解到所關(guān)心的安全信息。

終端安全管理平臺(tái)，將安全風(fēng)險(xiǎn)分為四類(lèi)：運(yùn)行安全類(lèi)、信息安全類(lèi)、資產(chǎn)使用生命周期管理類(lèi)和系統(tǒng)管理員審計(jì)類(lèi)，并根據(jù)風(fēng)險(xiǎn)的類(lèi)別、級(jí)別等，給予不同安全等級(jí)的處理。終端安全管理平臺(tái)所展示的信息，能夠根據(jù)風(fēng)險(xiǎn)級(jí)別進(jìn)行分類(lèi)展現(xiàn)，危險(xiǎn)級(jí)別高的信息將在最前端展現(xiàn)以提醒管理員及時(shí)處理，并且對(duì)于所有的風(fēng)險(xiǎn)的處理都能產(chǎn)生記錄，如處理管理員名、處理時(shí)間、是否處理等信息都能夠清晰可見(jiàn)。

終端安全防護(hù)平臺(tái)和終端安全管理平臺(tái)的控制臺(tái)是同一平臺(tái)，無(wú)縫連接，可以直接進(jìn)行界面切換和統(tǒng)一管理，保證所有信息的唯一視圖和全局展示。#p#

◆方案優(yōu)勢(shì)

天融信第三代終端風(fēng)險(xiǎn)安全管理解決方案，以安全風(fēng)險(xiǎn)管理為主導(dǎo)，具有以下優(yōu)勢(shì)：

■完善的終端安全風(fēng)險(xiǎn)管理體系

方案架構(gòu)先進(jìn)，突出風(fēng)險(xiǎn)管控，分重點(diǎn)防護(hù)。方案設(shè)計(jì)中技術(shù)和管理并重，注重系統(tǒng)間的協(xié)同防護(hù)，從組織與流程、制度與人員、場(chǎng)地與環(huán)境、網(wǎng)絡(luò)與系統(tǒng)、數(shù)據(jù)與應(yīng)用等多方面著手，在系統(tǒng)設(shè)計(jì)、建設(shè)和運(yùn)維的多環(huán)節(jié)進(jìn)行綜合協(xié)同防范?；诮y(tǒng)一安全管理，考慮合規(guī)性要求，統(tǒng)一處理各種安全事件，實(shí)現(xiàn)安全預(yù)警和及時(shí)響應(yīng)，輸出各種合規(guī)性要求的報(bào)告，從管理和技術(shù)兩方面為企業(yè)建立完善的終端安全風(fēng)險(xiǎn)管理體系。

■強(qiáng)大的關(guān)聯(lián)分析引擎

安全管理平臺(tái)內(nèi)置的關(guān)聯(lián)分析引擎可以對(duì)各種類(lèi)型的采集源產(chǎn)生的數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)分析，以發(fā)現(xiàn)深層次的信息。與傳統(tǒng)的基于事后數(shù)據(jù)及數(shù)據(jù)庫(kù)的事件關(guān)聯(lián)分析技術(shù)相比，系統(tǒng)更據(jù)有實(shí)時(shí)性，這樣就為快速響應(yīng)及動(dòng)態(tài)網(wǎng)絡(luò)攻擊防御提供了基礎(chǔ)。系統(tǒng)定義特定的場(chǎng)景描述語(yǔ)言用于描述攻擊場(chǎng)景及用戶(hù)業(yè)務(wù)場(chǎng)景，語(yǔ)言采用XML格式，支持用戶(hù)對(duì)語(yǔ)言本身進(jìn)行擴(kuò)充。為了更好的支持動(dòng)態(tài)響應(yīng)特性，分析引擎可以執(zhí)行用戶(hù)定義的外部動(dòng)作。

■實(shí)時(shí)自動(dòng)響應(yīng)引擎和技術(shù)

第三代終端安全風(fēng)險(xiǎn)管理系統(tǒng)解決方案，設(shè)計(jì)了輔助決策系統(tǒng)，該系統(tǒng)中預(yù)置了大量的腳本和程序，可以由用戶(hù)配置，實(shí)現(xiàn)對(duì)部分安全問(wèn)題的自動(dòng)響應(yīng)，響應(yīng)方式包括關(guān)閉網(wǎng)絡(luò)設(shè)備端口、自動(dòng)升級(jí)補(bǔ)丁、自動(dòng)配置防火墻策略等。實(shí)現(xiàn)了從被動(dòng)防守到主動(dòng)防御的轉(zhuǎn)變。此外輔助決策系統(tǒng)還具有良好的開(kāi)放性和升級(jí)性，可以在后期的維護(hù)過(guò)程中，不斷的進(jìn)行豐富和改進(jìn)。

■松耦合，熱插拔的設(shè)計(jì)

系統(tǒng)基于SOA設(shè)計(jì)，具有很高的松耦合性，能有效的整合不同的管理系統(tǒng)。同時(shí)系統(tǒng)可以在運(yùn)行狀態(tài)中加入新的組件或者卸除已有組件，整個(gè)過(guò)程都不影響系統(tǒng)的運(yùn)行。

■客戶(hù)端友好互動(dòng)界面，實(shí)現(xiàn)信息實(shí)時(shí)公告和遠(yuǎn)程協(xié)助。

方案改進(jìn)的終端界面可以讓終端用戶(hù)和管理者之間進(jìn)行通訊，為終端用戶(hù)提供防病毒，軟件安裝、遠(yuǎn)程協(xié)助以及其它維護(hù)申請(qǐng)等服務(wù)，減輕管理員的運(yùn)維負(fù)擔(dān)，同時(shí)，給用戶(hù)帶來(lái)切實(shí)的運(yùn)維幫助，抵消其通常對(duì)終端防護(hù)系統(tǒng)的抵觸情緒。

◆應(yīng)用領(lǐng)域

第三代終端安全風(fēng)險(xiǎn)管理解決方案，可以廣泛應(yīng)用于各行各業(yè)，尤其適用于大集團(tuán)公司、大行業(yè)，如石油、石化、電力等，以及政府部門(mén)如地稅、公安、法院、政務(wù)等國(guó)家機(jī)關(guān)，滿(mǎn)足其實(shí)現(xiàn)跨區(qū)域、分級(jí)管理，靈活掌握整個(gè)行業(yè)和系統(tǒng)的終端安全風(fēng)險(xiǎn)管控的需要，形成以總部為中心，負(fù)責(zé)全局終端安全策略的管理和下發(fā)，接收全局上報(bào)信息，數(shù)據(jù)綜合分析和與其他系統(tǒng)協(xié)同聯(lián)動(dòng)的功能。各地分公司和區(qū)域部門(mén)節(jié)點(diǎn)連接到總部節(jié)點(diǎn)，各地分公司和區(qū)域部門(mén)終端安全管理平臺(tái)還能單獨(dú)配置策略，在不違法總體安全策略的前提下實(shí)現(xiàn)分級(jí)管理。

以某省地稅第三代終端安全風(fēng)險(xiǎn)管理部署為例，在該省已經(jīng)部署了終端安全防護(hù)平臺(tái)的市局，僅部署終端安全管理平臺(tái)既可，對(duì)沒(méi)有安裝終端防護(hù)系統(tǒng)的地市，則同時(shí)部署終端安全防護(hù)平臺(tái)和終端安全管理平臺(tái)，省、地市、縣實(shí)現(xiàn)多級(jí)級(jí)聯(lián)部署。如下圖示。

某省局天融信終端安全風(fēng)險(xiǎn)管理部署示意圖

天融信提供的第三代終端安全風(fēng)險(xiǎn)管理解決方案，由省、市、縣3個(gè)層次組成，所有節(jié)點(diǎn)都與它的父節(jié)點(diǎn)以及所有的子節(jié)點(diǎn)進(jìn)行通信。父節(jié)點(diǎn)能夠?qū)λ械淖庸?jié)點(diǎn)進(jìn)行管理和查詢(xún)，包括系統(tǒng)監(jiān)測(cè)特征配置、黑白名單管理、歷史信息查詢(xún)和數(shù)據(jù)分析等。大部分的策略配置都是逐級(jí)下發(fā)的，從省局中心節(jié)點(diǎn)（根節(jié)點(diǎn)）發(fā)起一直到縣局節(jié)點(diǎn)。每個(gè)節(jié)點(diǎn)還能夠進(jìn)行本地配置，這些本地配置將只影響本地的終端安全防護(hù)和安全管理平臺(tái)和其下級(jí)節(jié)點(diǎn)，不影響上級(jí)或者平級(jí)部署的平臺(tái)。