政府及企事業(yè)單位對安全的要求更高，特別是對專業(yè)的安全服務(wù)需求很大，免費(fèi)的安全產(chǎn)品可能并不能滿足其需求。商業(yè)安全產(chǎn)品具備更加豐富、靈活的安全功能，能夠享受更加專業(yè)的技術(shù)支持服務(wù)。下面介紹幾款主流的付費(fèi)終端安全防護(hù)產(chǎn)品。

360天擎終端安全管理系統(tǒng)

天擎是奇虎360面向政府、軍隊(duì)、金融、制造業(yè)、醫(yī)療、教育等大型企事業(yè)單位推出的以安全防御為核心、以運(yùn)維管控為重點(diǎn)、以可視化管理為支撐、以可靠服務(wù)為保障的全方位終端安全解決方案。天擎系統(tǒng)為用戶構(gòu)建能夠有效抵御已知病毒、零日漏洞、APT攻擊和未知惡意代碼的新一代終端安全防御體系，并提供企業(yè)安全統(tǒng)一管控、終端硬件準(zhǔn)入、軟件準(zhǔn)入、上網(wǎng)行為管理等諸多管理類功能；并且承諾在2014年4月微軟停止免費(fèi)主流支持服務(wù)之后，依然向天擎產(chǎn)品用戶提供Windows XP補(bǔ)丁和安全更新。

圖1 天擎系統(tǒng)架構(gòu)圖

天擎是主要針對傳統(tǒng)終端安全產(chǎn)品的各種不足，以及用戶對云時(shí)代終端安全的強(qiáng)烈需求而推出的終端安全產(chǎn)品，張聰表示，360終端安全就是基于大數(shù)據(jù)技術(shù)和威脅情報(bào)技術(shù)的云計(jì)算、大數(shù)據(jù)時(shí)代的終端安全體系，簡單來說可以總結(jié)為十二個(gè)字，即看得見，防得住，查得清，搞得定?？吹靡娛侵缚吹靡娊K端，看得見基礎(chǔ)信息，看得到有沒有脆弱性信息，安全度信息，數(shù)據(jù)敏感度如何；防得住是指能防住大多數(shù)攻擊，能攔截新的但不是首次的攻擊；查得清是指能夠偵測到安全威脅，能夠查清安全威脅怎么進(jìn)來的。搞得定，是指能夠加固企事業(yè)單位的安全體系。

張聰表示，360終端安全產(chǎn)品是建立在領(lǐng)先理念上的終端安全產(chǎn)品，具有未來終端安全產(chǎn)品的特質(zhì)。這主要表現(xiàn)在以下幾個(gè)方面：首先，360具有強(qiáng)大的創(chuàng)新能力，在技術(shù)能力方面很強(qiáng)，360的終端安全產(chǎn)品的理念也非常先進(jìn)，它不是在終端上看終端，而是在大數(shù)據(jù)上看終端，通過機(jī)器學(xué)習(xí)、人工智能、大數(shù)據(jù)等技術(shù)可以實(shí)現(xiàn)多方面的攻擊檢測。其次，360的終端安全產(chǎn)品實(shí)現(xiàn)了終端安全一體化，即平臺一體化（完美兼容 Windows、Linux、國產(chǎn)操作系統(tǒng)），功能一體化（集終端防病毒和安全管控與一體），數(shù)據(jù)一體化（結(jié)合云端大數(shù)據(jù)和威脅情報(bào)有效感知本地安全態(tài)勢），從而為企事業(yè)單位用戶構(gòu)建了從管控到殺毒到終端響應(yīng)的全面立體的終端安全防護(hù)體系。第三，360終端安全的部署管理非常簡單，門檻很低。并且能夠通過管理可視化，將企事業(yè)安全整體安全態(tài)勢的呈現(xiàn)給企事業(yè)單位的領(lǐng)導(dǎo)。

此外，360終端安全產(chǎn)品也具有和芯片級結(jié)合的防御能力，并且在防漏洞方面具有較高的水平。據(jù)張聰透露，360安全終端產(chǎn)品目前最大的用戶擁有100萬終端，而360安全終端產(chǎn)品最大終端支持?jǐn)?shù)目可以達(dá)到億級的規(guī)模。

1.產(chǎn)品架構(gòu)

圖1為天擎終端安全管理系統(tǒng)的架構(gòu)圖。

從圖1可以看出，天擎終端安全管理系統(tǒng)包括安全控制中心和客戶端兩層。

第一層：安全控制中心。這是天擎的核心，部署在服務(wù)器端，有兩大功能：一方面提供了管理臺，采用B/S架構(gòu)，管理員可以隨時(shí)隨地地通過瀏覽器打開訪問，對天擎進(jìn)行管理和控制。主要有設(shè)備分組管理、策略制定下發(fā)、全網(wǎng)健康狀況監(jiān)測、統(tǒng)一殺毒、統(tǒng)一漏洞修復(fù)、網(wǎng)絡(luò)流量管理、終端軟件管理、硬件資產(chǎn)管理以及各種報(bào)表和查詢等。另一方面，提供了系統(tǒng)運(yùn)維的基礎(chǔ)服務(wù)，如：云查殺服務(wù)、終端升級服務(wù)、數(shù)據(jù)服務(wù)、通訊服務(wù)等。

第二層：客戶端?？蛻舳瞬渴鹪谛枰槐Ｗo(hù)的服務(wù)器或者終端，執(zhí)行最終的木馬病毒查殺、漏洞修復(fù)等安全操作，并與安全控制中心通信，提供控制中心管理所需的相關(guān)數(shù)據(jù)信息。

2.產(chǎn)品功能及原理

天擎系統(tǒng)主要提供如下安全功能：

安全趨勢監(jiān)控：支持全網(wǎng)一鍵檢測，幫助管理員發(fā)現(xiàn)全網(wǎng)內(nèi)漏洞、木馬、插件、系統(tǒng)危險(xiǎn)項(xiàng)、安全配置項(xiàng)等威脅數(shù)量和危險(xiǎn)終端數(shù)量。支持終端狀況展現(xiàn)，幫助管理員對全網(wǎng)不健康終端、亞健康終端、健康終端進(jìn)行統(tǒng)計(jì)。支持安全動態(tài)跟蹤，幫助管理員了解全網(wǎng)內(nèi)漏洞補(bǔ)丁的修復(fù)狀況。支持威脅趨勢分析，幫助管理員全面了解企業(yè)內(nèi)終端危險(xiǎn)項(xiàng)、木馬、病毒、漏洞、新增文件等的發(fā)展趨勢。

安全運(yùn)維管理：支持對終端升級、漏洞修復(fù)、木馬查殺、插件清理、系統(tǒng)危險(xiǎn)項(xiàng)等的全局管理以及分組管理，支持安全策略分組下發(fā)，幫助管理員管理復(fù)雜的多層次網(wǎng)絡(luò)以及多部門組織架構(gòu)。支持一對一遠(yuǎn)程協(xié)助功能，終端用戶可以直接向360客服求助，幫助管理員分擔(dān)支持壓力。支持網(wǎng)絡(luò)準(zhǔn)入管理，禁止沒有按要求安裝天擎終端安全管理系統(tǒng)、存在安全問題的終端，或者外來非法終端接入企業(yè)網(wǎng)絡(luò)，幫助管理員保證入網(wǎng)終端合規(guī)，防止非法終端入侵網(wǎng)絡(luò)，給企業(yè)業(yè)務(wù)系統(tǒng)造成破壞。

惡意軟件防護(hù)：360天擎支持對蠕蟲病毒、惡意軟件、廣告軟件、勒索軟件、引導(dǎo)區(qū)病毒、BIOS病毒的查殺，這依賴于QVM人工智能引擎、云查殺引擎、AVE（針對可執(zhí)行文件的引擎）、QEX（針對非可執(zhí)行文件的引擎）等多引擎的協(xié)同工作。360云查殺建立在云端龐大的黑白名單數(shù)據(jù)庫基礎(chǔ)上，病毒檢出率高，系統(tǒng)資源占用低，通過使用云端的黑白名單驗(yàn)證的方法，可以最大限度的保護(hù)數(shù)據(jù)安全。

終端軟件管理：360天擎提供自動、半自動和手動的應(yīng)用程序控制機(jī)制，通過采用應(yīng)用程序文件白名單機(jī)制，對不處于白名單中的應(yīng)用程序和文件判定為“黑名單”或者“灰名單”，有效控制惡意軟件的滲透和快速傳播。

外設(shè)與移動存儲管理：360天擎采用策略化的外設(shè)管理模式，管理員統(tǒng)一定義出針對不同類別外設(shè)的多個(gè)策略，一個(gè)策略可以包括多種類型設(shè)備的控制，使管理策略更有針對性；同時(shí)支持硬件準(zhǔn)入管理，可對終端的USB存儲設(shè)備、光驅(qū)、串口、VPN等外界設(shè)備進(jìn)行可讀寫、只讀和禁用權(quán)限設(shè)置。

Windows XP 防護(hù)：360天擎采用了多層防護(hù)、標(biāo)本兼治、技術(shù)與安全管理策略相結(jié)合的整體設(shè)計(jì)思路，在Windows XP系統(tǒng)之上由內(nèi)到外采用了四層防護(hù)手段，包含了系統(tǒng)加固、熱補(bǔ)丁修復(fù)、危險(xiǎn)應(yīng)用隔離、“非白即黑”安全策略等多項(xiàng)舉措。

硬件資產(chǎn)管理：360天擎可以監(jiān)控企業(yè)終端硬件的變化，評估終端硬件的變化是否會給企業(yè)帶來負(fù)面的影響。支持硬件資產(chǎn)查詢及展示，可幫助管理員實(shí)時(shí)查看企業(yè)全網(wǎng)終端電腦的硬件配置；支持跟蹤硬件資產(chǎn)變更情況，可幫助管理員及時(shí)獲取硬件資產(chǎn)的變更記錄，方便財(cái)務(wù)審計(jì)，輕松構(gòu)建專業(yè)的企業(yè)硬件資產(chǎn)監(jiān)控與審計(jì)平臺。

企業(yè)軟件統(tǒng)一管理：360天擎企業(yè)軟件管家集軟件下載、升級、卸載等功能于一體，為企業(yè)提供必要的一站式軟件管理服務(wù)。支持軟件的統(tǒng)一分組、定時(shí)分發(fā)，并可實(shí)現(xiàn)自動安裝應(yīng)用以及強(qiáng)制卸載應(yīng)用，幫助管理員按照企業(yè)規(guī)定管理終端用戶軟件的安裝。支持查詢?nèi)W(wǎng)終端的軟件安裝情況以及終端進(jìn)程信息，幫助管理員及時(shí)發(fā)現(xiàn)違規(guī)軟件及可疑應(yīng)用。

終端流量管理：管理員可以了解各終端的網(wǎng)絡(luò)流量情況，支持對終端的上傳及下載流量限制進(jìn)行統(tǒng)一管控，幫助管理員管理網(wǎng)絡(luò)流量、避免非法應(yīng)用占用大量帶寬，保證企業(yè)正常業(yè)務(wù)的平穩(wěn)運(yùn)行。

終端準(zhǔn)入管理：360天擎使用主機(jī)完整性策略和準(zhǔn)入硬件旁路設(shè)備來發(fā)現(xiàn)和評估哪些終端遵從策略，判斷哪些終端是否允許安全訪問企業(yè)核心資源。非遵從性客戶端會定向至修復(fù)服務(wù)器，通過下載必需的終端安全軟件、補(bǔ)丁程序及病毒定義更新等使客戶端計(jì)算機(jī)保持遵從性。

遠(yuǎn)程技術(shù)支持：360天擎遠(yuǎn)程技術(shù)支持模塊可以滿足企業(yè)技術(shù)支持需求，終端或者管理控制中心在必要時(shí)均可以發(fā)起遠(yuǎn)程的請求，待終端同意后就可以建立一對一的連接并提供必要的服務(wù)了。

日志報(bào)表查詢：支持對終端安全日志、漏洞修復(fù)、病毒日志、木馬查殺、插件清除、系統(tǒng)危險(xiǎn)項(xiàng)等的報(bào)表統(tǒng)計(jì)。能夠從終端、全網(wǎng)、分組等多維度，以及圖表、數(shù)據(jù)等多視圖角度進(jìn)行統(tǒng)計(jì)和展現(xiàn)，同時(shí)支持報(bào)表的導(dǎo)出及打印。

邊界聯(lián)動防御：天擎系統(tǒng)可以與360的邊界防護(hù)設(shè)備——天眼威脅感知系統(tǒng)進(jìn)行聯(lián)動，借助360天眼的深度檢測能力，結(jié)合360天擎在終端上的精確防御能力，實(shí)現(xiàn)對PC終端的攻擊防御，提高全網(wǎng)的安全防護(hù)能力。

華為AnyOffice移動安全平臺

華為從移動終端安全、網(wǎng)絡(luò)傳輸安全、應(yīng)用安全、敏感數(shù)據(jù)安全以及安全管理五個(gè)維度對移動終端進(jìn)行全方位防護(hù)，幫助企業(yè)在BYOD的高效率與信息安全之間找到最佳平衡點(diǎn)。華為AnyOffice移動安全平臺圍繞身份和設(shè)備可識別（Identity）、數(shù)據(jù)不泄密（Privacy）和設(shè)備可管理（Compliance）三個(gè)關(guān)鍵點(diǎn)，為企業(yè)用戶提供業(yè)界最廣泛的安全性和最簡單易用的管理方案。

1.產(chǎn)品設(shè)計(jì)原理

AnyOffice的設(shè)計(jì)思想是充分開放、做強(qiáng)能力，為開發(fā)者提供最豐富的企業(yè)級安全平臺能力。AnyOffice遵循云、管、端架構(gòu)。其中端部分既有獨(dú)立App模式，也提供嵌入到各App的SDK模式；管道側(cè)提供軟件或電信級嵌入式硬件形態(tài)的安全網(wǎng)關(guān)；云側(cè)提供統(tǒng)一管理平臺，支持企業(yè)部署和云部署模式。

AnyOffice平臺對于App開發(fā)者來說，提供了豐富的接口，包括原生接口、C接口供開發(fā)者集成，也支持WebView的安全接管。不管開發(fā)者用安卓、iOS的原生語言，還是用C語言，或HTML5語言，均能獲得AnyOffice提供的企業(yè)級安全能力。

AnyOffice平臺致力于讓安全能力更強(qiáng)、接口更豐富外，還大力提升了易集成性。華為進(jìn)行了大量API接口的開放，不斷提高API的易用性，持續(xù)降低用戶在移動應(yīng)用集成安全能力上的工作量和成本；經(jīng)過優(yōu)化，當(dāng)前只需要幾小時(shí)就能完成API的集成工作。

圖2 組件之間的關(guān)系圖

平臺提供一個(gè)統(tǒng)一的移動安全客戶端AnyOffice。AnyOffice作為單一的移動客戶端，是用戶和網(wǎng)絡(luò)、應(yīng)用的唯一交互界面，簡潔的客戶端可降低管理和維護(hù)復(fù)雜度。同時(shí)，AnyOffice客戶端也是一個(gè)安全的移動辦公工作平臺，以O(shè)ne-agent的模式集成了安全沙箱、安全郵件客戶端、安全瀏覽器、移動終端管理（MDM）軟件、L3VPN客戶端、虛擬桌面等一系列應(yīng)用，可滿足移動辦公的通用需求，保障企業(yè)員工安全、便捷、高效地接入和訪問企業(yè)內(nèi)網(wǎng)。

另 外，AnyOffice具 備環(huán)境感知特性，可通過與網(wǎng)絡(luò)側(cè)的接入控制網(wǎng)關(guān)SACG（Security Access Control Gateway）和SVN SSL VPN網(wǎng)關(guān)聯(lián)動，實(shí)現(xiàn)用戶在公司內(nèi)、外網(wǎng)的智能感知，無縫切換應(yīng)用安全策略，帶給用戶一致性體驗(yàn)。

2.產(chǎn)品相關(guān)組件及功能

AnyOffice安全平臺的解決方案主要包含三個(gè)組件：AnyOffice客戶端，SVN安全接入網(wǎng)關(guān)，MDM數(shù)據(jù)服務(wù)器。三個(gè)組件之間的關(guān)系如下圖2所示。

第一，AnyOffcie客戶端。該客戶端是一款安裝在移動終端上的客戶端軟件?；贏nyOffice安全工作臺，集成了安全瀏覽器、安全郵件、移動終端管理（MDM）客戶端等一系列華為自研應(yīng)用，可滿足移動辦公的通用需求，保障企業(yè)員工安全、便捷、高效地接入企業(yè)內(nèi)網(wǎng)。AnyOffice客戶端支持當(dāng)前流行的Android、IOS智能終端操作系統(tǒng)，允許根據(jù)企業(yè)實(shí)際需求增減第三方應(yīng)用。AnyOffice客戶端通過沙箱技術(shù)，實(shí)現(xiàn)了個(gè)人數(shù)據(jù)與企業(yè)數(shù)據(jù)的安全隔離，解決了個(gè)人和企業(yè)應(yīng)用、數(shù)據(jù)混合帶來的數(shù)據(jù)泄密和病毒感染等風(fēng)險(xiǎn)。

第二，SVN安全接入網(wǎng)關(guān)。主要包括SVN2230-M/2260-M/5530-M/5560-M（簡稱SVN）四個(gè)型號，是華為推出的優(yōu)秀VPN網(wǎng)關(guān)設(shè)備。設(shè)備提供豐富的認(rèn)證手段和靈活的訪問授權(quán)控制手段，包括VPNDB本地認(rèn)證、LDAP/AD/RADIUS/SecureID第三方認(rèn)證、數(shù)字證書認(rèn)證、終端硬件特征綁定以及多種認(rèn)證方式的組合認(rèn)證。設(shè)備具有強(qiáng)大的移動辦公安全接入能力，通過與AnyOffice客戶端建立L3/L4VPN加密隧道，保證數(shù)據(jù)及應(yīng)用傳輸?shù)陌踩?。同時(shí)，SVN支持通過全面的準(zhǔn)入檢查機(jī)制來保證接入終端的合規(guī)性，避免不合規(guī)終端接入企業(yè)網(wǎng)絡(luò)而引起的安全隱患。

第三，MDM數(shù)據(jù)服務(wù)器。由數(shù)據(jù)庫服務(wù)器和Web應(yīng)用服務(wù)器組成。數(shù)據(jù)庫服務(wù)器用于存儲資產(chǎn)管理等數(shù)據(jù)，Web應(yīng)用服務(wù)器用于存儲應(yīng)用程序包。SVN需要通過Web應(yīng)用服務(wù)器中轉(zhuǎn)才能訪問數(shù)據(jù)庫服務(wù)器。MDM數(shù)據(jù)服務(wù)器易于搭建和維護(hù)，可由企業(yè)提供通用的硬件平臺進(jìn)行安裝。

北信源內(nèi)網(wǎng)安全管理及補(bǔ)丁分發(fā)（VRVEDP）系統(tǒng)

北信源公司通過對國內(nèi)和國外近幾年來計(jì)算機(jī)終端管理技術(shù)和發(fā)展趨勢的研究，將政府和企業(yè)內(nèi)部網(wǎng)絡(luò)終端安全管理概括的從終端狀態(tài)、行為、事件三個(gè)方面來進(jìn)行防御，研制出北信源內(nèi)網(wǎng)安全管理及補(bǔ)丁分發(fā)系統(tǒng)軟件，簡稱VRVEDP系統(tǒng)。

1.產(chǎn)品設(shè)計(jì)原理

圖3 VRVEDP系統(tǒng)核心功能

VRVEDP系統(tǒng)遵循網(wǎng)絡(luò)防護(hù)和端點(diǎn)防護(hù)并重的理念，對網(wǎng)絡(luò)安全管理人員在網(wǎng)絡(luò)管理、終端管理過程中所面臨的種種問題提供解決方案，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)終端的可控管理，并能夠支持多級級聯(lián)廣域網(wǎng)架構(gòu)，達(dá)到最佳的管理效果。

VRVEDP系統(tǒng)強(qiáng)化了對網(wǎng)絡(luò)計(jì)算機(jī)終端狀態(tài)、行為以及事件的管理，它提供了防火墻、IDS、防病毒系統(tǒng)及專業(yè)網(wǎng)管軟件所不能提供的防護(hù)功能，對它們管理的盲區(qū)進(jìn)行監(jiān)控，擴(kuò)展成為一個(gè)實(shí)時(shí)的可控內(nèi)網(wǎng)管理平臺，并能夠同其他安全設(shè)備進(jìn)行安全集成和報(bào)警聯(lián)動。

VRVEDP系統(tǒng)同英特爾公司Intel vPro（AMI）平臺有著密切的技術(shù)合作，涉及終端補(bǔ)丁修補(bǔ)、資源管理、遠(yuǎn)程管理、狀態(tài)監(jiān)控、策略制訂、訪問控制和安全審計(jì)等主動式集成管理技術(shù)。VRVEDP系統(tǒng)核心功能如下圖3所示。

2.VRVEDP系統(tǒng)模塊及功能

VRVEDP系統(tǒng)由8個(gè)部分組成：管理信息庫、Web中央管理平臺、區(qū)域管理器、注冊程序、補(bǔ)丁下載服務(wù)器、管理器終端保護(hù)模塊、報(bào)警中心模塊等。下面依次進(jìn)行介紹。

管理信息庫：系統(tǒng)信息和網(wǎng)絡(luò)設(shè)備信息數(shù)據(jù)庫，包括系統(tǒng)組件（區(qū)域管理器、設(shè)備掃描器、Web中央管理平臺等）信息、系統(tǒng)運(yùn)行配置參數(shù)（管理區(qū)域、運(yùn)行參數(shù)、補(bǔ)丁分發(fā)等）信息、網(wǎng)絡(luò)終端對象（設(shè)備信息、設(shè)備變化信息、報(bào)警信息等）信息。

區(qū)域管理器：系統(tǒng)數(shù)據(jù)處理中心，與管理信息庫通訊，接受終端對象注冊程序采集過來的信息，并存入數(shù)據(jù)庫；接受來自控制臺的命令操作，發(fā)送到終端、掃描器執(zhí)行。對于存在多級管理要求的廣域網(wǎng)，網(wǎng)絡(luò)中可以存在多個(gè)區(qū)域管理器，系統(tǒng)數(shù)據(jù)提供逐級上報(bào)（轉(zhuǎn)發(fā)）設(shè)置模式。區(qū)域管理器內(nèi)置網(wǎng)絡(luò)掃描器，掃描器將設(shè)備最新狀態(tài)信息報(bào)送至區(qū)域管理器，由區(qū)域管理器處理后，同數(shù)據(jù)庫中原有信息進(jìn)行遍歷搜索對比，根據(jù)管理規(guī)則在管理平臺上報(bào)警。網(wǎng)絡(luò)掃描器配合區(qū)域管理器進(jìn)行工作，可以在分級模式下使用；掃描器只依據(jù)Web管理平臺中配置的工作范圍進(jìn)行掃描，超越其范圍，將不負(fù)責(zé)執(zhí)行操作。

Web中央管理臺：本系統(tǒng)的管理配置中心，基于IE瀏覽器模式提供對系統(tǒng)的控制管理，中央管理臺由三個(gè)部分構(gòu)成：系統(tǒng)配置與信息查詢模塊、策略中心制訂模塊、補(bǔ)丁檢測中心模塊。Web中央管理臺管理內(nèi)容包括：①配置管理：區(qū)域管理器（掃描器）、注冊終端程序、系統(tǒng)策略中心等的運(yùn)行配置參數(shù)設(shè)定；②信息查詢：查看網(wǎng)絡(luò)設(shè)備信息、報(bào)警信息等；③策略制訂：制訂終端系統(tǒng)應(yīng)用安全策略，分發(fā)至各網(wǎng)絡(luò)終端對象執(zhí)行；④補(bǔ)丁檢測：進(jìn)行終端對象的操作系統(tǒng)漏洞檢測提示，并提供補(bǔ)丁下載。

終端注冊程序：系統(tǒng)終端管理程序，采集終端設(shè)備資產(chǎn)信息，檢測終端狀態(tài)行為等信息，執(zhí)行管理控制臺分發(fā)的各種安全策略，并將終端違規(guī)信息報(bào)送控制臺。終端注冊程序功能包括：終端桌面信息監(jiān)測、終端安全狀態(tài)信息審計(jì)、終端系統(tǒng)補(bǔ)丁檢測、執(zhí)行管理臺下發(fā)的安全策略、阻斷本機(jī)聯(lián)網(wǎng)狀態(tài)等。

圖4 UEM系統(tǒng)架構(gòu)圖

補(bǔ)丁下載服務(wù)器：安裝在與Internet網(wǎng)絡(luò)連接的機(jī)器上，實(shí)時(shí)下載補(bǔ)丁廠商發(fā)布的補(bǔ)丁。

管理器終端保護(hù)模塊：輔助模塊，該模塊可對重要計(jì)算機(jī)端口、網(wǎng)絡(luò)協(xié)議、通訊IP范圍以及其他網(wǎng)絡(luò)應(yīng)用進(jìn)行安全配置，防止計(jì)算機(jī)收到惡意的IP沖突和各種網(wǎng)絡(luò)、病毒攻擊等威脅，確保計(jì)算機(jī)實(shí)時(shí)無干擾運(yùn)行。

報(bào)警中心模塊：輔助模塊，系統(tǒng)綜合違規(guī)報(bào)警信息平臺，匯總本系統(tǒng)中所有安全報(bào)警事件信息，選擇報(bào)警方式，其中包括電子郵件、信使服務(wù)、SNMP Trap、手機(jī)短信等多種報(bào)警方式。

中軟統(tǒng)一終端安全管理系統(tǒng)

中軟統(tǒng)一終端安全管理系統(tǒng)（CSS United End-Point Management System，簡稱UEM）是中軟公司在對企業(yè)內(nèi)網(wǎng)安全管理展開全面調(diào)查的基礎(chǔ)上，創(chuàng)造性地形成了一套完備的終端安全一體化解決方案。

1.產(chǎn)品設(shè)計(jì)原理及架構(gòu)

UEM系統(tǒng)是以“木桶原理”為理論依據(jù)，以安全策略為驅(qū)動，按照PDR安全模型的“保護(hù)-檢測-響應(yīng)”工作流程循環(huán)檢測，同時(shí)結(jié)合保密規(guī)定的“等級保護(hù)”指導(dǎo)方針，采用多種安全技術(shù)實(shí)現(xiàn)了對終端主機(jī)全方位、多層次的安全防護(hù)。按照“保護(hù)-檢測-響應(yīng)”的工作流程逐步完善終端安全防護(hù)策略，并將事件處理方式和處理流程登錄到用戶知識庫，逐步形成內(nèi)網(wǎng)事故應(yīng)急響應(yīng)流程和共享安全解決方案的知識庫。

系統(tǒng)分為三個(gè)組件：客戶端、服務(wù)器和控制臺，系統(tǒng)采用分布式監(jiān)控，集中式管理的工作模式。組件之間采用C/S工作模式，組件的通信是采用HTTP/HTTPS加密傳輸方式。支持任意層級的服務(wù)器級聯(lián)，上下級服務(wù)器之間采用HTTPS協(xié)議進(jìn)行數(shù)據(jù)交換，系統(tǒng)體系架構(gòu)如下圖4所示。

客戶端：安裝在受保護(hù)的終端計(jì)算機(jī)上，實(shí)時(shí)監(jiān)測客戶端的用戶行為和安全狀態(tài)，實(shí)現(xiàn)客戶端安全策略管理。一旦發(fā)現(xiàn)用戶的違規(guī)行為或計(jì)算機(jī)的安全狀態(tài)異常，系統(tǒng)及時(shí)向服務(wù)器發(fā)送告警信息，并執(zhí)行預(yù)定義的應(yīng)急響應(yīng)策略。

服務(wù)器：安裝在專業(yè)的數(shù)據(jù)服務(wù)器上，需要數(shù)據(jù)庫的支持，通過安全認(rèn)證建立與多個(gè)客戶端系統(tǒng)的連接，實(shí)現(xiàn)客戶端策略的存儲和下發(fā)、日志的收集和存儲。上下級服務(wù)器間基于HTTPS進(jìn)行通信，實(shí)現(xiàn)組織結(jié)構(gòu)、告警、日志統(tǒng)計(jì)信息等數(shù)據(jù)的搜集。

控制臺：人機(jī)交互界面，是管理員實(shí)現(xiàn)對系統(tǒng)管理的工具。通過安全認(rèn)證建立與服務(wù)器的信任連接，實(shí)現(xiàn)策略的制定下發(fā)以及數(shù)據(jù)的審計(jì)和管理。

2.UEM系統(tǒng)功能

UEM系統(tǒng)包含基本功能和可選功能，默認(rèn)情況下只提供基本功能，可選功能由產(chǎn)品License控制。

基本功能：包括用戶身份認(rèn)證、網(wǎng)絡(luò)訪問控制、非法外聯(lián)控制、接口外設(shè)管理、移動存儲介質(zhì)管理、CDROM/CDRW/刻錄機(jī)的控制、輔助硬盤的控制及打印機(jī)管理。這八項(xiàng)基本功能主要是針對用戶使用終端權(quán)限的一些基本控制，如果需要更高層級的終端保護(hù)功能，就必須選配其他功能模塊。下面將對可選功能進(jìn)行介紹。

可信移動存儲介質(zhì)管理：該功能實(shí)現(xiàn)了用戶對移動存儲介質(zhì)管理的要求，對可信移動存儲介質(zhì)從購買到銷毀的整個(gè)生命周期進(jìn)行管理和控制。

終端接入管理：對接入內(nèi)網(wǎng)的計(jì)算機(jī)進(jìn)行統(tǒng)一的管理，未經(jīng)許可的計(jì)算機(jī)不能接入內(nèi)網(wǎng)，主要功能包括終端接入認(rèn)證、終端安全檢查和內(nèi)網(wǎng)安全掃描。

補(bǔ)丁管理與軟件分發(fā)管理：統(tǒng)一配置終端計(jì)算機(jī)的補(bǔ)丁管理策略，實(shí)現(xiàn)對系統(tǒng)補(bǔ)丁狀況的掃描，自動完成補(bǔ)丁分發(fā)；規(guī)劃企業(yè)統(tǒng)一分發(fā)的軟件安裝包，按照統(tǒng)一的軟件分發(fā)策略，自動完成企業(yè)軟件的部署。

終端安全運(yùn)維管理：按照統(tǒng)一的安全策略監(jiān)控客戶端的運(yùn)行狀況，通過軟件自動分發(fā)和軟硬件資產(chǎn)的統(tǒng)一管理大大節(jié)約了企業(yè)信息系統(tǒng)的維護(hù)成本，通過系統(tǒng)遠(yuǎn)程幫助控制實(shí)現(xiàn)遠(yuǎn)程維護(hù)計(jì)算機(jī)，清除系統(tǒng)故障。

遠(yuǎn)程管理：通過終端用戶與服務(wù)器相互授權(quán)的機(jī)制建立終端與服務(wù)器之間的信任通信體系，管理員通過服務(wù)器實(shí)現(xiàn)對終端用戶提供實(shí)時(shí)幫助的功能。

安全存儲與傳輸管理：具體包括加密文件夾、硬盤保護(hù)區(qū)和文件安全分發(fā)三項(xiàng)功能。加密文件夾為終端用戶提供了個(gè)人文件加密存儲的文件服務(wù)。硬盤保護(hù)區(qū)是在本地硬盤上提供一個(gè)或多個(gè)安全存放本地敏感文件的加密存儲空間。文件安全分發(fā)實(shí)現(xiàn)了文件在指定范圍內(nèi)的自動加密或自動解密，在指定范圍外的用戶不能共享這些加密文件。

安全文檔管理：基于透明加解密技術(shù)，在客戶終端上實(shí)施對客戶文件的透明加密、透明解密，有效防止內(nèi)部和外部竊取機(jī)密的行為，從根本上解決泄密防范問題。

結(jié)語

隨著信息技術(shù)的進(jìn)一步發(fā)展，終端安全在企業(yè)安全中的地位將會變得越來越重要，希望本專題能夠引起企事業(yè)單位對終端安全的重視，也希望讀者朋友能夠從此專題中得到幫助。