◆ 安全挑战

从终端安全发展过程来看，终端安全产品已经从基础的安全防范如终端打补丁、防非法外联、病毒库统一升级等第一代终端安全产品，发展到现在的集成终端打补丁、准入控制、U盘管理、非法外联、甚至是流程处理等功能的多功能终端安全管理产品，即第二代终端安全产品。不论是第一代终端安全管理产品，还是第二代终端安全管理产品，都缺乏对终端安全的全面风险管理，缺乏对终端安全中重要风险细致的分析和技术防范措施，缺少主动防范机制，还面临许多安全挑战：

◇ 难以对终端安全问题实施主动防范

现有终端安全产品，侧重是否安装防病毒、病毒库是否及时升级、是否违规外联、是否违规内联、是否U盘违规使用等被动防护功能，缺乏入侵检测、防火墙、防木马等一些主动防御功能，使终端仍时常面临诸多安全威胁。

◇ 难以有效解决终端信息安全风险管控问题

现有终端安全管理产品还没有对终端安全风险进行管控和全面展现，管理人员也无法及时掌握所辖区域终端信息安全的现状，无法及时进行风险排查和处置。同时局部风险与全局风险会产生互动影响，各地小风险会导致全局大风险，甚至可能演变成全网灾难性风险，而终端安全风险往往是风险的重要来源。

◇ 难以解决终端资产在不同的使用周期面临风险变化的问题

资产价值越高，面临的风险就越大。信息资产因其自身易泄露、易被篡改等特点，价值越高，面临的风险就更大，而且信息资产面临的风险会随其生命周期的不同阶段而变化。现有终端安全管理产品还不能充分分析、提炼资产在实际管理使用过程中的不同阶段的风险，不能动态跟踪该类风险的变化并有效应对。

◇ 人为因素、制度因素导致终端安全隐患严重

由于缺乏安全意识培训和安全技术管控，内部人员存在内外网终端设备交叉使用违规行为。外来人员在允许上内网工作的前提下，缺少技术管控，一旦发生风险也无法追溯和定位。在制度制定上，由于对终端安全缺乏足够重视、缺少终端安全应急预案和流程或应急预案准备不充分。因此人为隐患和制度缺陷导致安全事件时有发生。

◇ 难以解决个人对终端安全管理产品使用抱抵触情绪的尴尬现状

现有终端安全管理产品通常需要在终端上安装安全代理，用户感觉自己的行为受限、受监控，通常会产生抵触情绪。如果终端安全管理产品不能在形式上解决用户的抵制心理，用户很容易将日常应用中发生的问题一股脑都推到桌面管理软件的身上，使得桌面管理软件在推广过程中阻力重重，最终成为了摆设或者干脆弃之不用。

◆ 解决方案

针对上述终端安全管理所面临的安全挑战，天融信公司从用户角度出发，推出了第三代终端安全风险管理解决方案，由终端安全防护平台与终端安全管理平台两大部分组成。终端安全防护从技术和管理角度对终端安全风险进行管理、防护和控制，降低风险的发生。终端安全管理对终端的各类情况进行监测和风险分析，根据监测和分析的结果不断改进和完善防护的策略，使所有终端风险都处于可接受的范围之内。

如下图示，是天融信第三代终端安全风险管理解决方案架构图。

天融信终端安全风险管理架构图

天融信第三代终端安全管理解决方案，不仅实现了终端安全管理的各项功能，而且从终端安全风险分析着手，动态地从资产生命周期、风险生命周期、终端安全边界、人员、信息等多角度全面分析风险，跟踪风险、处理风险，实现对风险的全生命周期管理。同时，将终端安全风险纳入到网络总体安全风险中，既可以作为单独的风险管理平台管控，也可以作为总体安全的一部分，从全局分析，并以此作为网络管理、风险告警、辅助决策的依据。

◇ 终端安全防护平台

端安全防护平台分为三个部分：终端代理部分、防护平台管理部分、联动接口部分。核心处理层有两大管理需求：安全风险管理和安全基础管理，如下图所示。

终端安全防护平台功能架构图

终端安全防护平台是终端安全管理体系的核心基础组件，负责终端信息的采集和维护、终端安全风险的管理和防护、终端安全事件的监测和控制，为终端安全管理平台提供所需要的各类数据的采集和传输。

◇ 终端安全管理平台

终端安全管理平台包括三个子系统：安全管理子系统、业务支撑子系统和自身管理子系统，如下图示。

终端安全管理平台功能架构图

终端安全管理平台将终端安全防护平台的数据进行汇总，可对数据进行梳理、统计和深度关联分析，形成关联分析报告，为安全策略的制定提供依据；可查看安全策略全局下发后的终端安全风险整体状况，为安全策略的调整提供决策支撑；可为不同的用户提供不同的安全视图，保证不同层次的用户能够快速、方便地了解到所关心的安全信息。

终端安全管理平台，将安全风险分为四类：运行安全类、信息安全类、资产使用生命周期管理类和系统管理员审计类，并根据风险的类别、级别等，给予不同安全等级的处理。终端安全管理平台所展示的信息，能够根据风险级别进行分类展现，危险级别高的信息将在最前端展现以提醒管理员及时处理，并且对于所有的风险的处理都能产生记录，如处理管理员名、处理时间、是否处理等信息都能够清晰可见。

终端安全防护平台和终端安全管理平台的控制台是同一平台，无缝连接，可以直接进行界面切换和统一管理，保证所有信息的唯一视图和全局展示。

◆ 方案优势

天融信第三代终端风险安全管理解决方案，以安全风险管理为主导，具有以下优势： 

◇ 完善的终端安全风险管理体系

方案架构先进，突出风险管控，分重点防护。方案设计中技术和管理并重，注重系统间的协同防护，从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手，在系统设计、建设和运维的多环节进行综合协同防范。基于统一安全管理，考虑合规性要求，统一处理各种安全事件，实现安全预警和及时响应，输出各种合规性要求的报告，从管理和技术两方面为企业建立完善的终端安全风险管理体系。

◇ 强大的关联分析引擎

安全管理平台内置的关联分析引擎可以对各种类型的采集源产生的数据进行实时关联分析，以发现深层次的信息。与传统的基于事后数据及数据库的事件关联分析技术相比，系统更据有实时性，这样就为快速响应及动态网络攻击防御提供了基础。系统定义特定的场景描述语言用于描述攻击场景及用户业务场景，语言采用XML格式，支持用户对语言本身进行扩充。为了更好的支持动态响应特性，分析引擎可以执行用户定义的外部动作。

 ◇ 实时自动响应引擎和技术

第三代终端安全风险管理系统解决方案，设计了辅助决策系统，该系统中预置了大量的脚本和程序，可以由用户配置，实现对部分安全问题的自动响应，响应方式包括关闭网络设备端口、自动升级补丁、自动配置防火墙策略等。实现了从被动防守到主动防御的转变。此外辅助决策系统还具有良好的开放性和升级性，可以在后期的维护过程中，不断的进行丰富和改进。

◇ 松耦合，热插拔的设计

系统基于SOA设计，具有很高的松耦合性，能有效的整合不同的管理系统。同时系统可以在运行状态中加入新的组件或者卸除已有组件，整个过程都不影响系统的运行。

◇ 客户端友好互动界面，实现信息实时公告和远程协助。

方案改进的终端界面可以让终端用户和管理者之间进行通讯，为终端用户提供防病毒，软件安装、远程协助以及其它维护申请等服务，减轻管理员的运维负担，同时，给用户带来切实的运维帮助，抵消其通常对终端防护系统的抵触情绪。

◆ 应用领域

第三代终端安全风险管理解决方案，可以广泛应用于各行各业，尤其适用于大集团公司、大行业，如石油、石化、电力等，以及政府部门如地税、公安、法院、政务等国家机关，满足其实现跨区域、分级管理，灵活掌握整个行业和系统的终端安全风险管控的需要，形成以总部为中心，负责全局终端安全策略的管理和下发，接收全局上报信息，数据综合分析和与其他系统协同联动的功能。各地分公司和区域部门节点连接到总部节点，各地分公司和区域部门终端安全管理平台还能单独配置策略，在不违法总体安全策略的前提下实现分级管理。

以某省地税第三代终端安全风险管理部署为例，在该省已经部署了终端安全防护平台的市局，仅部署终端安全管理平台既可，对没有安装终端防护系统的地市，则同时部署终端安全防护平台和终端安全管理平台，省、地市、县实现多级级联部署。如下图示。

某省局天融信终端安全风险管理部署示意图

天融信提供的第三代终端安全风险管理解决方案，由省、市、县3个层次组成，所有节点都与它的父节点以及所有的子节点进行通信。父节点能够对所有的子节点进行管理和查询，包括系统监测特征配置、黑白名单管理、历史信息查询和数据分析等。大部分的策略配置都是逐级下发的，从省局中心节点（根节点）发起一直到县局节点。每个节点还能够进行本地配置，这些本地配置将只影响本地的终端安全防护和安全管理平台和其下级节点，不影响上级或者平级部署的平台。