◆廖莹璐 颜颖 肖鹏 李石稳

（1.云南电网有限责任公司信息中心 云南 650217；2.云南云电同方科技有限公司 云南 650217）

1 背景

随着云计算、大数据应用的落地，以及物联网设备的普及，企业内部的网络资产种类越来越多、使用越来越复杂，这导致了传统的机房管理系统、IP备案系统失效，很多用户对自己资产情况无从感知，各类攻击事件频发，并且大量的威胁事件都是发生在终端，大多数终端的地址又是动态分配的，安全事件追溯困难，数据分散在各种设备中，需要更多的人员来排查，耗时又费力，并且效果不佳。每产生一个安全事件，相关联的人员特别多，分析的效率特别低，无法在第一时间发现和处理攻击源，产生无法挽回的后果。同时，互联网的开放性使得安全生态十分脆弱，承载着丰富功能与数据的终端成为黑客攻击的首要目标，企业数据安全与运营安全都面临着极大威胁。通过对企业终端安全现状的研究，其主要面临以下几方面问题，如没有明确的终端资产备案系统，主要依靠人工记录，责任划分不明确；系统存在弱口令、没有安装防病毒软件、缺少补丁以及开启不必要的服务等；缺乏检测机制，无法发现终端存在的漏洞风险。可见来源于终端的安全威胁已经成为企业信息安全领域最大的问题，因此除了要求建设资产智能监管平台，实现资产信息补全、资产闭环监管外，终端安全合规及威胁检测分析是保障企业数据安全与运营安全的前提，是安全建设的基础和重要保证。

2 研究概述

企业内部终端规模庞大，分布广，操作系统众多，配置层次不一致，难以实现资产闭环监管。人工收集资产信息存在工作量大、收集不全和业务系统统计不准确的问题，资产专项梳理工作仍无法很好地解决错报漏报不上报问题，监测存在困难，护网、日常安全监测、应急时发现难于定位的资产，可能成为安全防护体系的短板。终端安全漏洞种类多，终端远程维护的难度大，各种威胁情报频发，通报响应时间周期较长，然而黑客利用威胁情报及漏洞的技术越来越成熟，时间短攻击快，造成不可估量的损失。目前企业终端安全防护薄弱环节主要包括以下几个方面。

2.1 缺乏资产智能监管机制

企业对属地资产监管范围太大，难以快速、全面、精准管理资产。私搭乱建现象严重，不易检测，责任划分不明确，终端违规操作难以记录和发现，在如此复杂的终端环境中，任何内部员工的误操作和非法操作都有可能被黑客所利用，成为安全防护体系的短板。

2.2 缺乏威胁检测能力

终端及内部业务系统存在弱口令，缺少安装补丁等，而大多数的攻击是利用安全漏洞发起，但由于缺乏检测机制，无法发现终端及下设业务系统存在的漏洞风险。缺乏威胁安全事件溯源及威胁分析联动机制，导致安全事件追溯困难，无法在第一时间发现攻击源，给企业网络带来了巨大的安全隐患。

2.3 缺乏防御各类威胁能力

目前各类病毒威胁事件频发，各单位持续面临着木马、蠕虫和勒索病毒等威胁，且由于大量终端处于内外网环境下，造成交叉感染现象严重，这就很难彻底清除某些感染性较强的病毒。随着终端操作系统不断发展和更新迭代，某些厂商或开源社区会停止对旧版本系统补丁升级服务，而各单位仍存在大量以上系统终端，在迁移至更高版本之前，这些系统漏洞将会成为较大安全隐患。

2.4 缺少终端安全准入控制

企业内部网络包含着各种各样的终端、网络设备和安全设备等，平台搭载着许多重要的业务系统和数据，如果外来终端未经认证授权接入内部网络，进行数据窃取等非法操作，或因设备携带病毒木马发生病毒感染，扩散到企业内网，导致网络陷于瘫痪状态，其后果不堪设想。

3 解决方案

3.1 资产智能监管

面对网络暴露面的服务器、网络设备、安全设备等目标进行信息收集，识别出存活设备，然后获取其服务提供商等基本信息，以及设备类型、设备品牌、设备型号、开放端口、提供服务、使用组件及版本等设备指纹信息，帮助客户常态化的建立更新网络暴露面资产数据库，保证资产数据的新鲜度，从而便于开展日常稽核扫描、建立资产关联情报库、暴露面资产关联性分析等一系列常态化的资产安全风险管理工作，实现了资产的全生命周期管理。

（1）资产探测

通过周期性主动探测、持续性监测资产、资产信息核查通报实现资产闭环监管，使用端口扫描工具Nmap、Masscan、Zgrab等进行探测，从资产探测、信息补全、资产监管、退运等环节，实现资产全生命周期管理。有效避免安全资产监管盲区，及时回收退运安全资产，形成有效的联动防御平台。为了满足全端口快速扫描又不会造成漏报，使用Masscan基于异步无状态扫描工具对扫描机制进行了改进，首先扫描出存活的主机、然后进行端口扫描，最后通过nmap对操作系统、服务进行扫描，使用Zgrab对Web服务进行扫描。同时通过采集目标网络的流量，对流量中应用层 HTTP，FTP，SMTP 等协议数据包中的特殊字段banner或IP、TCP三次握手、DHCP等协议数据包的指纹特征进行分析，从而实现对网络资产信息的被动探测。采用主动和被动的方式进行资产探测，通过资产信息核查通报来实现资产信息补全、资产闭环监管等工作，有效保证资产数据的新鲜度。

（2）资产备案

支持按设备、APP、无线、业务系统、互联网应用等分别进行备案，形成全面的资产安全备案管理体系。建立一套完整的资产风险台账库，并定期进行自动更新，一方面可以让用户清晰准确掌握全网资产分布及安全态势，另一方面可以及时感知资产变化，发现违规外联和新增的风险情况。

3.2 终端合规管理

终端合规管理旨在帮助用户完成主机系统配置安全评估，使安全检查过程达到标准化、持续化，提升检查结果的准确性和合规性，为客户构筑一道可信、受控的安全基础防线。根据安全基线规范和各种安全基本制度规范，编制了一整套的终端安全基线检查策略，包括核查脚本、检查点、检查项等内容，支持Windows和Linux操作系统、网络设备、安全设备、虚拟化、云计算等设备及组件的安全配置核查能力。终端安全基线检查有助于用户一键获知被核查设备安全基线配置详情，找出不符合安全管理规范的终端，提高安全配置检查及问题修复的高效性及准确性，避免人工检查存在的疏漏，并能持续进行监控。基线扫描总体从账号管理、系统服务、日志审计、认证授权、口令策略、文件权限等维度进行分析，支持检查口令锁定策略、口令复杂度、禁用不必要的系统服务、主机访问控制、账号文件权限设置、记录账户登录日志、防病毒管理、关闭不必要的自启动项、补丁安装、用户权限设置、登录失败处理等核查策略模板，同时对每一个不符合项进行详细描述，提供加固指导方案，帮助用户科学合理地进行短板修复，提高主机入侵门槛。

3.3 终端威胁检测

威胁检测关联分析平台充分的整合现有的安全数据，通过用户行为分析引擎，记录用户访问网络的任何一次网络行为，以数据驱动安全，获取资产信息、生成行为轨迹、实现攻击源攻击链图、关系图、关联分析等，快速定位分析攻击源信息，检测失陷主机，提高排查攻击源的时间效率，及早发现攻击源，有效应对未知攻击和复杂攻击，为后续信息安全工作推进提供有效的依据，最大限度的保护企业信息安全提供了重要的价值。威胁检测关联分析平台全面覆盖威胁、资产、风险场景，精准的情报数据驱动关联分析场景，构建覆盖采集、分析、处置、展示、预测等阶段的闭环方案。

（1）管理平台

管理平台提供集中式威胁及数据分析、策略管理、程序及特征更新，并通过警报和报告进行监控。支持对终端安全日志、漏洞修复日志、病毒日志、软硬件变更、审计日志、资产日志等汇总，并进行报表统计。能够从终端、全网、分组等多维度以及图表、数据等多视图角度进行统计与展现，帮助管理员对日常安全防护、安全运维工作进行分析评估。

（2）智能探针

智能探针部署在受保护的终端上，进行相关安全信息采集、漏洞检测和威胁发现，并可根据管理平台下发的安全策略执行相关安全防护动作。智能探针可以部署在企业虚拟化主机内、企业物理服务器或物理PC主机。

（3）威胁检测关联分析平台

威胁检测关联分析平台依托海量数据，通过威胁情报分析引擎，结合外部攻击与高级威胁信息，帮助安全运营人员及时有效地检测发现传统防护手段漏过的未知威胁，以及发现内部违规与异常行为。也可基于威胁情报的上下文，帮助安全运营人员发现、研判、处置重大安全事件，自动阻断威胁源，与准入系统、防病毒系统、PKI认证系统形成联动防御。

图1 终端威胁检测

3.4 终端准入控制

终端准入控制的目标是屏蔽未经认证授权的设备和人员接入网络，是防止企业网络资源不受非法终端威胁的根本。基于病毒防御管理平台，业务模块的联动和数据情报的共享，在实现准入控制的同时，也构建了一道从终端、应用一直到网络的多层安全防护体系，实现从终端安全的检测，到核心应用的防护、网络接入的授权，层层确保终端的安全规范入网，NAC也实时监测始终保障安全防护点的存在，避免终端变成裸奔、非可信状态，同时也防止安全防护点的违规卸载和去化率过高，保障入网终端始终在安全可控范围内，并实时将安全动态及入网数据上报至威胁检测关联分析平台，供风险分析。

图2 终端准入控制

3.5 终端威胁防御

终端威胁防御采用云查杀引擎、系统修复引擎等多种引擎，有效查杀恶意文件。通过对终端进程行为的监测，结合大数据分析技术，从进程、文件、注册表、网络等维度对终端危险行为进行防御，并针对勒索加密、文件下载等特定场景定制防御策略，更精准地阻止恶意代码的行为。采用内存指令控制流检测技术，并与机器学习与人工智能技术深度结合，可以从系统的更底层发现漏洞攻击代码的执行，面对0Day漏洞也有显著防护效果。通过威胁情报、攻防对抗、机器学习等方式，从主机、网络等多个维度来评估企业网络中存在的未知风险，缩短威胁从发现到处置的时间，提升企业终端整体安全响应能力。

4 结论

本设计为企业解决终端的安全合规管理问题，实现企业终端资产定位和资产全生命周期管理，且实现终端资产基线合规核查及病毒防御，修复安全防护体系的短板，提高终端入侵门槛。为了防止企业网络资源不受非法终端接入而引起的各种威胁，实现了终端的准入控制。除此之外，为寻找威胁攻击源且记录用户上网行为轨迹，将终端流量数据接入威胁检测关联分析平台，供风险分析。最终达到规范化安全管理终端的目的，满足信息化合规性的要求。