泛终端的精细化智能防御体系建设

终端安全按照“本体防护、责任落实、统一准入、安全可视、在运合规”的管控原则，采取终端防病毒、泛终端准入控制、桌面终端管理、DNS安全监测分析、终端威胁分析以及基于威胁的多维分析和集中管理等技术手段，通过采集终端侧的防病毒数据、桌管数据、EDR数据和网络层面的全流量威胁分析数据和范终端准入数据，以及DNS 解析数据，结合终端的威胁情报数据，实现从终端层面、网络分析层面到全局监测层面的多维数据打通和综合分析，做到针对终端的全局化的全流量的可视化综合分析与预警。实现针对网络终端设备的身份明确化、风险度量化、分析智能化和管理可视化的目标。

(1) 身份明确化

精确的设备可见性是安全实践的基石。对所有在线设备进行扫描和深入识别，获取终端的网络地址、系统网络指纹、系统开发端口和服务指纹，并根据积累和运营的指纹库裁定每个终端的类型、操作系统、厂商信息。并根据所获取的设备指纹信息，采用智能识别和唯一性算法为每个终端建议指纹身份信息。作为终端生命周期管理的唯一性依据。

(2) 风险度量化

对终端硬件资产、软件与操作系统、网络配置变动的监控，还提供终端体检与系统修复、升级与补丁分发、流量管理、系统优化与加速、企业级软件商店等几十项安全管理功能。可以根据企业单位内部要求、行业管理规定、终端风险等级下发统一安全策略，针对不同状态的终端执行特殊安全策略，实施手术刀似的精准管理。通过细粒度的统计与详尽的日志报表可以纵观全网终端的安全态势，包括病毒查杀趋势、高危漏洞修复态势、文件风险等级划分等，对全网终端风险做到量化观测，高效管理，全面监控。采用大数据分析技术，持续收集持续收集用户和设备的环境数据、用户的业务访问行为数据，并进行风险建模和关联分析，度量潜在的安全风险。

(3) 分析智能化

将分散的终端行为数据、 终端防病毒数据、业务访问行为数据、准入审计数据、设备资产数据、网络流量解析数据和DNS域名检测数据进行统一收集，形成以终端-业务-行为为中心的行为画像，以大数据分析技术和多维分析技术，进行以威胁视角的关联分析，及时得到受害目标、 攻击者、攻击手法、漏洞情况、恶意样本、传播方式等威胁详情，针对分析的威胁结果，通过威胁的验证，判断威胁真实性和影响面。

(4) 管理可视化

资产管理可视化通过DNS安全域名监测系统、终端防病毒系统、终端桌面管理系统、网络准入控制系统等多个系统的告警信息提取，实现资产导入、资产标签化、资产组合等，并根据其告警所涵盖的风险，实现资产与风险的关联，并形成完整资产库。

风险可视化以威胁全生命周期的维度，通过多种威胁检测手段对威胁进行可视化展示。根据设定的动作进行自动化通知下发告警，提升日常运营工作的效率。在部署终端防病毒和桌面管理的办公计算机，对其进行威胁情报告警的通报以推动相关EDR处置模块的运行。

建设任务

构建终端多维综合威胁分析系统，需要从终端接入控制、终端授权控制、终端行为分析、终端防病毒控制以及网络流量分析等多个维度的数据分析，同时，从内部运营的管理视角和外部威胁的视角等视角进行威胁告警和响应。通过安全接入网关系统，不仅有效的检测所有的泛终端资产，还将PC终端的安全防护措施平滑迁移至泛终端，使泛终端具备安全核查、安全评估、准入控制、接入防护等技防能力。通过与终端杀毒软件和桌管系统进行协同，可以实现安全防护系统的一体化管理和资源整合，实现安全防护策略的统一管理，建立全面、集中、统一的终端安全管理体系。通过终端安全响应系统（EDR）、DNS安全监测系统和网络高级威胁全流量分析等协同综合分析，可以实现针对终端安全事件的精确定位和详细攻击手段溯源。通过终端本体的安全监测和行为分析，结合网络全流量分析和DNS安全监测分析，实现从事前安全控制，事中的全面审计和监测，到事后的追踪溯源的安全事件全过程的可管可控，精细防护，智能防御。

(1) 全面的终端接入控制能力

针对泛终端进行接入控制，针进行终端发现、用户注册、认证授权、安全检查、隔离修复、访问控制、入网追溯等“一站式”的入网控制管理，实现终端统一安全准入及防护，完善终端体系下的安全保障体系建设。

终端接入与资产发现

针对终端PC办公和移动办公设备，通过联动接入网络设备的事件管理和数据查询，实时的发现网络中有接入的行为和流量感知，实时感知终端设备的内部通信和网间通信的行为，实现接入即感知和访问即感知。对所有在线设备进行网络扫描和深入识别，获取终端的网络地址、系统网络指纹、系统开发端口和服务指纹，并根据积累和运营的指纹库裁定每个终端的类型、操作系统、厂商信息。

身份认证完成后，对准入客户端将自动对终端进行环境安全检查，检查项包括系统弱密码、漏洞、共享安全、U盘自启动、必装软件、终端防火墙等10余项评估项。只有各项检查均通过的终端，才允许进入网络，防止不合规终端入网，给网络带来安全风险。对于环境安全检查未通过的终端，准入客户端将引导其进行修复，修复完成并重新检查通过后，方可进入网络。

终端认证与授权控制

网络终端设备种类多，情况复杂，部分设备有完整的操作系统，可以采用多种认证方式，部分设备的系统的特殊性，在认证上手段具有局限性。所以在终端设备的认证支持多种认证方式包含：用户名密码、数字证书、Ukey、短信码、设备唯一识别码、终端指纹、二维码、一次性令牌。短息支持短息猫和短信平台等多种方式。

不同的终端设备和使用环境，需要基于时间、终端、接入点、接入方式等场景条件的认证约束策略。根据用户的属性信息（角色、分组、标识、类型）、终端（类型、操作系统、安全状态）、接入点和接入类型（有线或者无线、ip地址、端口）、访问目的、认证类型定义场景并自动选择匹配的认证源，并进行场景的授权。

终端合规检测与监控

终端设备分布广泛，具有多种使用场景和环境，并且数量大，容易造成安全隐患。终端设备的安全程度，对于整体网络安全至关重要，需要保障不同类型和不同场景的终端设备进入安全合规，并且对终端进行实时的监控，及时发现沦陷设备和高危行为，快响应和处置，提升终端的安全能力。

（编辑：济南站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!