主流商業終端安全產品

政府及企事業單位對安全的要求更高，特別是對專業的安全服務需求很大，免費的安全產品可能并不能滿足其需求。商業安全產品具備更加豐富、靈活的安全功能，能夠享受更加專業的技術支持服務。下面介紹幾款主流的付費終端安全防護產品。

360天擎終端安全管理系統

天擎是奇虎360面向政府、軍隊、金融、制造業、醫療、教育等大型企事業單位推出的以安全防御為核心、以運維管控為重點、以可視化管理為支撐、以可靠服務為保障的全方位終端安全解決方案。天擎系統為用戶構建能夠有效抵御已知病毒、零日漏洞、APT攻擊和未知惡意代碼的新一代終端安全防御體系，并提供企業安全統一管控、終端硬件準入、軟件準入、上網行為管理等諸多管理類功能；并且承諾在2014年4月微軟停止免費主流支持服務之后，依然向天擎產品用戶提供Windows XP補丁和安全更新。

圖1 天擎系統架構圖

天擎是主要針對傳統終端安全產品的各種不足，以及用戶對云時代終端安全的強烈需求而推出的終端安全產品，張聰表示，360終端安全就是基于大數據技術和威脅情報技術的云計算、大數據時代的終端安全體系，簡單來說可以總結為十二個字，即看得見，防得住，查得清，搞得定。看得見是指看得見終端，看得見基礎信息，看得到有沒有脆弱性信息，安全度信息，數據敏感度如何；防得住是指能防住大多數攻擊，能攔截新的但不是首次的攻擊；查得清是指能夠偵測到安全威脅，能夠查清安全威脅怎么進來的。搞得定，是指能夠加固企事業單位的安全體系。

張聰表示，360終端安全產品是建立在領先理念上的終端安全產品，具有未來終端安全產品的特質。這主要表現在以下幾個方面：首先，360具有強大的創新能力，在技術能力方面很強，360的終端安全產品的理念也非常先進，它不是在終端上看終端，而是在大數據上看終端，通過機器學習、人工智能、大數據等技術可以實現多方面的攻擊檢測。其次，360的終端安全產品實現了終端安全一體化，即平臺一體化（完美兼容 Windows、Linux、國產操作系統），功能一體化（集終端防病毒和安全管控與一體），數據一體化（結合云端大數據和威脅情報有效感知本地安全態勢），從而為企事業單位用戶構建了從管控到殺毒到終端響應的全面立體的終端安全防護體系。第三，360終端安全的部署管理非常簡單，門檻很低。并且能夠通過管理可視化，將企事業安全整體安全態勢的呈現給企事業單位的領導。

此外，360終端安全產品也具有和芯片級結合的防御能力，并且在防漏洞方面具有較高的水平。據張聰透露，360安全終端產品目前最大的用戶擁有100萬終端，而360安全終端產品最大終端支持數目可以達到億級的規模。

1.產品架構

圖1為天擎終端安全管理系統的架構圖。

從圖1可以看出，天擎終端安全管理系統包括安全控制中心和客戶端兩層。

第一層：安全控制中心。這是天擎的核心，部署在服務器端，有兩大功能：一方面提供了管理臺，采用B/S架構，管理員可以隨時隨地地通過瀏覽器打開訪問，對天擎進行管理和控制。主要有設備分組管理、策略制定下發、全網健康狀況監測、統一殺毒、統一漏洞修復、網絡流量管理、終端軟件管理、硬件資產管理以及各種報表和查詢等。另一方面，提供了系統運維的基礎服務，如：云查殺服務、終端升級服務、數據服務、通訊服務等。

第二層：客戶端。客戶端部署在需要被保護的服務器或者終端，執行最終的木馬病毒查殺、漏洞修復等安全操作，并與安全控制中心通信，提供控制中心管理所需的相關數據信息。

2.產品功能及原理

天擎系統主要提供如下安全功能：

安全趨勢監控：支持全網一鍵檢測，幫助管理員發現全網內漏洞、木馬、插件、系統危險項、安全配置項等威脅數量和危險終端數量。支持終端狀況展現，幫助管理員對全網不健康終端、亞健康終端、健康終端進行統計。支持安全動態跟蹤，幫助管理員了解全網內漏洞補丁的修復狀況。支持威脅趨勢分析，幫助管理員全面了解企業內終端危險項、木馬、病毒、漏洞、新增文件等的發展趨勢。

安全運維管理：支持對終端升級、漏洞修復、木馬查殺、插件清理、系統危險項等的全局管理以及分組管理，支持安全策略分組下發，幫助管理員管理復雜的多層次網絡以及多部門組織架構。支持一對一遠程協助功能，終端用戶可以直接向360客服求助，幫助管理員分擔支持壓力。支持網絡準入管理，禁止沒有按要求安裝天擎終端安全管理系統、存在安全問題的終端，或者外來非法終端接入企業網絡，幫助管理員保證入網終端合規，防止非法終端入侵網絡，給企業業務系統造成破壞。

惡意軟件防護：360天擎支持對蠕蟲病毒、惡意軟件、廣告軟件、勒索軟件、引導區病毒、BIOS病毒的查殺，這依賴于QVM人工智能引擎、云查殺引擎、AVE（針對可執行文件的引擎）、QEX（針對非可執行文件的引擎）等多引擎的協同工作。360云查殺建立在云端龐大的黑白名單數據庫基礎上，病毒檢出率高，系統資源占用低，通過使用云端的黑白名單驗證的方法，可以最大限度的保護數據安全。

終端軟件管理：360天擎提供自動、半自動和手動的應用程序控制機制，通過采用應用程序文件白名單機制，對不處于白名單中的應用程序和文件判定為“黑名單”或者“灰名單”，有效控制惡意軟件的滲透和快速傳播。

外設與移動存儲管理：360天擎采用策略化的外設管理模式，管理員統一定義出針對不同類別外設的多個策略，一個策略可以包括多種類型設備的控制，使管理策略更有針對性；同時支持硬件準入管理，可對終端的USB存儲設備、光驅、串口、VPN等外界設備進行可讀寫、只讀和禁用權限設置。

Windows XP 防護：360天擎采用了多層防護、標本兼治、技術與安全管理策略相結合的整體設計思路，在Windows XP系統之上由內到外采用了四層防護手段，包含了系統加固、熱補丁修復、危險應用隔離、“非白即黑”安全策略等多項舉措。

硬件資產管理：360天擎可以監控企業終端硬件的變化，評估終端硬件的變化是否會給企業帶來負面的影響。支持硬件資產查詢及展示，可幫助管理員實時查看企業全網終端電腦的硬件配置；支持跟蹤硬件資產變更情況，可幫助管理員及時獲取硬件資產的變更記錄，方便財務審計，輕松構建專業的企業硬件資產監控與審計平臺。

企業軟件統一管理：360天擎企業軟件管家集軟件下載、升級、卸載等功能于一體，為企業提供必要的一站式軟件管理服務。支持軟件的統一分組、定時分發，并可實現自動安裝應用以及強制卸載應用，幫助管理員按照企業規定管理終端用戶軟件的安裝。支持查詢全網終端的軟件安裝情況以及終端進程信息，幫助管理員及時發現違規軟件及可疑應用。

終端流量管理：管理員可以了解各終端的網絡流量情況，支持對終端的上傳及下載流量限制進行統一管控，幫助管理員管理網絡流量、避免非法應用占用大量帶寬，保證企業正常業務的平穩運行。

終端準入管理：360天擎使用主機完整性策略和準入硬件旁路設備來發現和評估哪些終端遵從策略，判斷哪些終端是否允許安全訪問企業核心資源。非遵從性客戶端會定向至修復服務器，通過下載必需的終端安全軟件、補丁程序及病毒定義更新等使客戶端計算機保持遵從性。

遠程技術支持：360天擎遠程技術支持模塊可以滿足企業技術支持需求，終端或者管理控制中心在必要時均可以發起遠程的請求，待終端同意后就可以建立一對一的連接并提供必要的服務了。

日志報表查詢：支持對終端安全日志、漏洞修復、病毒日志、木馬查殺、插件清除、系統危險項等的報表統計。能夠從終端、全網、分組等多維度，以及圖表、數據等多視圖角度進行統計和展現，同時支持報表的導出及打印。

邊界聯動防御：天擎系統可以與360的邊界防護設備——天眼威脅感知系統進行聯動，借助360天眼的深度檢測能力，結合360天擎在終端上的精確防御能力，實現對PC終端的攻擊防御，提高全網的安全防護能力。

華為AnyOffice移動安全平臺

華為從移動終端安全、網絡傳輸安全、應用安全、敏感數據安全以及安全管理五個維度對移動終端進行全方位防護，幫助企業在BYOD的高效率與信息安全之間找到最佳平衡點。華為AnyOffice移動安全平臺圍繞身份和設備可識別（Identity）、數據不泄密（Privacy）和設備可管理（Compliance）三個關鍵點，為企業用戶提供業界最廣泛的安全性和最簡單易用的管理方案。

1.產品設計原理

AnyOffice的設計思想是充分開放、做強能力，為開發者提供最豐富的企業級安全平臺能力。AnyOffice遵循云、管、端架構。其中端部分既有獨立App模式，也提供嵌入到各App的SDK模式；管道側提供軟件或電信級嵌入式硬件形態的安全網關；云側提供統一管理平臺，支持企業部署和云部署模式。

AnyOffice平臺對于App開發者來說，提供了豐富的接口，包括原生接口、C接口供開發者集成，也支持WebView的安全接管。不管開發者用安卓、iOS的原生語言，還是用C語言，或HTML5語言，均能獲得AnyOffice提供的企業級安全能力。

AnyOffice平臺致力于讓安全能力更強、接口更豐富外，還大力提升了易集成性。華為進行了大量API接口的開放，不斷提高API的易用性，持續降低用戶在移動應用集成安全能力上的工作量和成本；經過優化，當前只需要幾小時就能完成API的集成工作。

圖2 組件之間的關系圖

平臺提供一個統一的移動安全客戶端AnyOffice。AnyOffice作為單一的移動客戶端，是用戶和網絡、應用的唯一交互界面，簡潔的客戶端可降低管理和維護復雜度。同時，AnyOffice客戶端也是一個安全的移動辦公工作平臺，以One-agent的模式集成了安全沙箱、安全郵件客戶端、安全瀏覽器、移動終端管理（MDM）軟件、L3VPN客戶端、虛擬桌面等一系列應用，可滿足移動辦公的通用需求，保障企業員工安全、便捷、高效地接入和訪問企業內網。

另 外，AnyOffice具 備環境感知特性，可通過與網絡側的接入控制網關SACG（Security Access Control Gateway）和SVN SSL VPN網關聯動，實現用戶在公司內、外網的智能感知，無縫切換應用安全策略，帶給用戶一致性體驗。

2.產品相關組件及功能

AnyOffice安全平臺的解決方案主要包含三個組件：AnyOffice客戶端，SVN安全接入網關，MDM數據服務器。三個組件之間的關系如下圖2所示。

第一，AnyOffcie客戶端。該客戶端是一款安裝在移動終端上的客戶端軟件。基于AnyOffice安全工作臺，集成了安全瀏覽器、安全郵件、移動終端管理（MDM）客戶端等一系列華為自研應用，可滿足移動辦公的通用需求，保障企業員工安全、便捷、高效地接入企業內網。AnyOffice客戶端支持當前流行的Android、IOS智能終端操作系統，允許根據企業實際需求增減第三方應用。AnyOffice客戶端通過沙箱技術，實現了個人數據與企業數據的安全隔離，解決了個人和企業應用、數據混合帶來的數據泄密和病毒感染等風險。

第二，SVN安全接入網關。主要包括SVN2230-M/2260-M/5530-M/5560-M（簡稱SVN）四個型號，是華為推出的優秀VPN網關設備。設備提供豐富的認證手段和靈活的訪問授權控制手段，包括VPNDB本地認證、LDAP/AD/RADIUS/SecureID第三方認證、數字證書認證、終端硬件特征綁定以及多種認證方式的組合認證。設備具有強大的移動辦公安全接入能力，通過與AnyOffice客戶端建立L3/L4VPN加密隧道，保證數據及應用傳輸的安全。同時，SVN支持通過全面的準入檢查機制來保證接入終端的合規性，避免不合規終端接入企業網絡而引起的安全隱患。

第三，MDM數據服務器。由數據庫服務器和Web應用服務器組成。數據庫服務器用于存儲資產管理等數據，Web應用服務器用于存儲應用程序包。SVN需要通過Web應用服務器中轉才能訪問數據庫服務器。MDM數據服務器易于搭建和維護，可由企業提供通用的硬件平臺進行安裝。

北信源內網安全管理及補丁分發（VRVEDP）系統

北信源公司通過對國內和國外近幾年來計算機終端管理技術和發展趨勢的研究，將政府和企業內部網絡終端安全管理概括的從終端狀態、行為、事件三個方面來進行防御，研制出北信源內網安全管理及補丁分發系統軟件，簡稱VRVEDP系統。

1.產品設計原理

圖3 VRVEDP系統核心功能

VRVEDP系統遵循網絡防護和端點防護并重的理念，對網絡安全管理人員在網絡管理、終端管理過程中所面臨的種種問題提供解決方案，實現內部網絡終端的可控管理，并能夠支持多級級聯廣域網架構，達到最佳的管理效果。

VRVEDP系統強化了對網絡計算機終端狀態、行為以及事件的管理，它提供了防火墻、IDS、防病毒系統及專業網管軟件所不能提供的防護功能，對它們管理的盲區進行監控，擴展成為一個實時的可控內網管理平臺，并能夠同其他安全設備進行安全集成和報警聯動。

VRVEDP系統同英特爾公司Intel vPro（AMI）平臺有著密切的技術合作，涉及終端補丁修補、資源管理、遠程管理、狀態監控、策略制訂、訪問控制和安全審計等主動式集成管理技術。VRVEDP系統核心功能如下圖3所示。

2.VRVEDP系統模塊及功能

VRVEDP系統由8個部分組成：管理信息庫、Web中央管理平臺、區域管理器、注冊程序、補丁下載服務器、管理器終端保護模塊、報警中心模塊等。下面依次進行介紹。

管理信息庫：系統信息和網絡設備信息數據庫，包括系統組件（區域管理器、設備掃描器、Web中央管理平臺等）信息、系統運行配置參數（管理區域、運行參數、補丁分發等）信息、網絡終端對象（設備信息、設備變化信息、報警信息等）信息。

區域管理器：系統數據處理中心，與管理信息庫通訊，接受終端對象注冊程序采集過來的信息，并存入數據庫；接受來自控制臺的命令操作，發送到終端、掃描器執行。對于存在多級管理要求的廣域網，網絡中可以存在多個區域管理器，系統數據提供逐級上報（轉發）設置模式。區域管理器內置網絡掃描器，掃描器將設備最新狀態信息報送至區域管理器，由區域管理器處理后，同數據庫中原有信息進行遍歷搜索對比，根據管理規則在管理平臺上報警。網絡掃描器配合區域管理器進行工作，可以在分級模式下使用；掃描器只依據Web管理平臺中配置的工作范圍進行掃描，超越其范圍，將不負責執行操作。

Web中央管理臺：本系統的管理配置中心，基于IE瀏覽器模式提供對系統的控制管理，中央管理臺由三個部分構成：系統配置與信息查詢模塊、策略中心制訂模塊、補丁檢測中心模塊。Web中央管理臺管理內容包括：①配置管理：區域管理器（掃描器）、注冊終端程序、系統策略中心等的運行配置參數設定；②信息查詢：查看網絡設備信息、報警信息等；③策略制訂：制訂終端系統應用安全策略，分發至各網絡終端對象執行；④補丁檢測：進行終端對象的操作系統漏洞檢測提示，并提供補丁下載。

終端注冊程序：系統終端管理程序，采集終端設備資產信息，檢測終端狀態行為等信息，執行管理控制臺分發的各種安全策略，并將終端違規信息報送控制臺。終端注冊程序功能包括：終端桌面信息監測、終端安全狀態信息審計、終端系統補丁檢測、執行管理臺下發的安全策略、阻斷本機聯網狀態等。

圖4 UEM系統架構圖

補丁下載服務器：安裝在與Internet網絡連接的機器上，實時下載補丁廠商發布的補丁。

管理器終端保護模塊：輔助模塊，該模塊可對重要計算機端口、網絡協議、通訊IP范圍以及其他網絡應用進行安全配置，防止計算機收到惡意的IP沖突和各種網絡、病毒攻擊等威脅，確保計算機實時無干擾運行。

報警中心模塊：輔助模塊，系統綜合違規報警信息平臺，匯總本系統中所有安全報警事件信息，選擇報警方式，其中包括電子郵件、信使服務、SNMP Trap、手機短信等多種報警方式。

中軟統一終端安全管理系統

中軟統一終端安全管理系統（CSS United End-Point Management System，簡稱UEM）是中軟公司在對企業內網安全管理展開全面調查的基礎上，創造性地形成了一套完備的終端安全一體化解決方案。

1.產品設計原理及架構

UEM系統是以“木桶原理”為理論依據，以安全策略為驅動，按照PDR安全模型的“保護-檢測-響應”工作流程循環檢測，同時結合保密規定的“等級保護”指導方針，采用多種安全技術實現了對終端主機全方位、多層次的安全防護。按照“保護-檢測-響應”的工作流程逐步完善終端安全防護策略，并將事件處理方式和處理流程登錄到用戶知識庫，逐步形成內網事故應急響應流程和共享安全解決方案的知識庫。

系統分為三個組件：客戶端、服務器和控制臺，系統采用分布式監控，集中式管理的工作模式。組件之間采用C/S工作模式，組件的通信是采用HTTP/HTTPS加密傳輸方式。支持任意層級的服務器級聯，上下級服務器之間采用HTTPS協議進行數據交換，系統體系架構如下圖4所示。

客戶端：安裝在受保護的終端計算機上，實時監測客戶端的用戶行為和安全狀態，實現客戶端安全策略管理。一旦發現用戶的違規行為或計算機的安全狀態異常，系統及時向服務器發送告警信息，并執行預定義的應急響應策略。

服務器：安裝在專業的數據服務器上，需要數據庫的支持，通過安全認證建立與多個客戶端系統的連接，實現客戶端策略的存儲和下發、日志的收集和存儲。上下級服務器間基于HTTPS進行通信，實現組織結構、告警、日志統計信息等數據的搜集。

控制臺：人機交互界面，是管理員實現對系統管理的工具。通過安全認證建立與服務器的信任連接，實現策略的制定下發以及數據的審計和管理。

2.UEM系統功能

UEM系統包含基本功能和可選功能，默認情況下只提供基本功能，可選功能由產品License控制。

基本功能：包括用戶身份認證、網絡訪問控制、非法外聯控制、接口外設管理、移動存儲介質管理、CDROM/CDRW/刻錄機的控制、輔助硬盤的控制及打印機管理。這八項基本功能主要是針對用戶使用終端權限的一些基本控制，如果需要更高層級的終端保護功能，就必須選配其他功能模塊。下面將對可選功能進行介紹。

可信移動存儲介質管理：該功能實現了用戶對移動存儲介質管理的要求，對可信移動存儲介質從購買到銷毀的整個生命周期進行管理和控制。

終端接入管理：對接入內網的計算機進行統一的管理，未經許可的計算機不能接入內網，主要功能包括終端接入認證、終端安全檢查和內網安全掃描。

補丁管理與軟件分發管理：統一配置終端計算機的補丁管理策略，實現對系統補丁狀況的掃描，自動完成補丁分發；規劃企業統一分發的軟件安裝包，按照統一的軟件分發策略，自動完成企業軟件的部署。

終端安全運維管理：按照統一的安全策略監控客戶端的運行狀況，通過軟件自動分發和軟硬件資產的統一管理大大節約了企業信息系統的維護成本，通過系統遠程幫助控制實現遠程維護計算機，清除系統故障。

遠程管理：通過終端用戶與服務器相互授權的機制建立終端與服務器之間的信任通信體系，管理員通過服務器實現對終端用戶提供實時幫助的功能。

安全存儲與傳輸管理：具體包括加密文件夾、硬盤保護區和文件安全分發三項功能。加密文件夾為終端用戶提供了個人文件加密存儲的文件服務。硬盤保護區是在本地硬盤上提供一個或多個安全存放本地敏感文件的加密存儲空間。文件安全分發實現了文件在指定范圍內的自動加密或自動解密，在指定范圍外的用戶不能共享這些加密文件。

安全文檔管理：基于透明加解密技術，在客戶終端上實施對客戶文件的透明加密、透明解密，有效防止內部和外部竊取機密的行為，從根本上解決泄密防范問題。

結語

隨著信息技術的進一步發展，終端安全在企業安全中的地位將會變得越來越重要，希望本專題能夠引起企事業單位對終端安全的重視，也希望讀者朋友能夠從此專題中得到幫助。