主流商业终端安全产品

政府及企事业单位对安全的要求更高，特别是对专业的安全服务需求很大，免费的安全产品可能并不能满足其需求。商业安全产品具备更加丰富、灵活的安全功能，能够享受更加专业的技术支持服务。下面介绍几款主流的付费终端安全防护产品。

360天擎终端安全管理系统

天擎是奇虎360面向政府、军队、金融、制造业、医疗、教育等大型企事业单位推出的以安全防御为核心、以运维管控为重点、以可视化管理为支撑、以可靠服务为保障的全方位终端安全解决方案。天擎系统为用户构建能够有效抵御已知病毒、零日漏洞、APT攻击和未知恶意代码的新一代终端安全防御体系，并提供企业安全统一管控、终端硬件准入、软件准入、上网行为管理等诸多管理类功能；并且承诺在2014年4月微软停止免费主流支持服务之后，依然向天擎产品用户提供Windows XP补丁和安全更新。

图1 天擎系统架构图

天擎是主要针对传统终端安全产品的各种不足，以及用户对云时代终端安全的强烈需求而推出的终端安全产品，张聪表示，360终端安全就是基于大数据技术和威胁情报技术的云计算、大数据时代的终端安全体系，简单来说可以总结为十二个字，即看得见，防得住，查得清，搞得定。看得见是指看得见终端，看得见基础信息，看得到有没有脆弱性信息，安全度信息，数据敏感度如何；防得住是指能防住大多数攻击，能拦截新的但不是首次的攻击；查得清是指能够侦测到安全威胁，能够查清安全威胁怎么进来的。搞得定，是指能够加固企事业单位的安全体系。

张聪表示，360终端安全产品是建立在领先理念上的终端安全产品，具有未来终端安全产品的特质。这主要表现在以下几个方面：首先，360具有强大的创新能力，在技术能力方面很强，360的终端安全产品的理念也非常先进，它不是在终端上看终端，而是在大数据上看终端，通过机器学习、人工智能、大数据等技术可以实现多方面的攻击检测。其次，360的终端安全产品实现了终端安全一体化，即平台一体化（完美兼容 Windows、Linux、国产操作系统），功能一体化（集终端防病毒和安全管控与一体），数据一体化（结合云端大数据和威胁情报有效感知本地安全态势），从而为企事业单位用户构建了从管控到杀毒到终端响应的全面立体的终端安全防护体系。第三，360终端安全的部署管理非常简单，门槛很低。并且能够通过管理可视化，将企事业安全整体安全态势的呈现给企事业单位的领导。

此外，360终端安全产品也具有和芯片级结合的防御能力，并且在防漏洞方面具有较高的水平。据张聪透露，360安全终端产品目前最大的用户拥有100万终端，而360安全终端产品最大终端支持数目可以达到亿级的规模。

1.产品架构

图1为天擎终端安全管理系统的架构图。

从图1可以看出，天擎终端安全管理系统包括安全控制中心和客户端两层。

第一层：安全控制中心。这是天擎的核心，部署在服务器端，有两大功能：一方面提供了管理台，采用B/S架构，管理员可以随时随地地通过浏览器打开访问，对天擎进行管理和控制。主要有设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等。另一方面，提供了系统运维的基础服务，如：云查杀服务、终端升级服务、数据服务、通讯服务等。

第二层：客户端。客户端部署在需要被保护的服务器或者终端，执行最终的木马病毒查杀、漏洞修复等安全操作，并与安全控制中心通信，提供控制中心管理所需的相关数据信息。

2.产品功能及原理

天擎系统主要提供如下安全功能：

安全趋势监控：支持全网一键检测，帮助管理员发现全网内漏洞、木马、插件、系统危险项、安全配置项等威胁数量和危险终端数量。支持终端状况展现，帮助管理员对全网不健康终端、亚健康终端、健康终端进行统计。支持安全动态跟踪，帮助管理员了解全网内漏洞补丁的修复状况。支持威胁趋势分析，帮助管理员全面了解企业内终端危险项、木马、病毒、漏洞、新增文件等的发展趋势。

安全运维管理：支持对终端升级、漏洞修复、木马查杀、插件清理、系统危险项等的全局管理以及分组管理，支持安全策略分组下发，帮助管理员管理复杂的多层次网络以及多部门组织架构。支持一对一远程协助功能，终端用户可以直接向360客服求助，帮助管理员分担支持压力。支持网络准入管理，禁止没有按要求安装天擎终端安全管理系统、存在安全问题的终端，或者外来非法终端接入企业网络，帮助管理员保证入网终端合规，防止非法终端入侵网络，给企业业务系统造成破坏。

恶意软件防护：360天擎支持对蠕虫病毒、恶意软件、广告软件、勒索软件、引导区病毒、BIOS病毒的查杀，这依赖于QVM人工智能引擎、云查杀引擎、AVE（针对可执行文件的引擎）、QEX（针对非可执行文件的引擎）等多引擎的协同工作。360云查杀建立在云端庞大的黑白名单数据库基础上，病毒检出率高，系统资源占用低，通过使用云端的黑白名单验证的方法，可以最大限度的保护数据安全。

终端软件管理：360天擎提供自动、半自动和手动的应用程序控制机制，通过采用应用程序文件白名单机制，对不处于白名单中的应用程序和文件判定为“黑名单”或者“灰名单”，有效控制恶意软件的渗透和快速传播。

外设与移动存储管理：360天擎采用策略化的外设管理模式，管理员统一定义出针对不同类别外设的多个策略，一个策略可以包括多种类型设备的控制，使管理策略更有针对性；同时支持硬件准入管理，可对终端的USB存储设备、光驱、串口、VPN等外界设备进行可读写、只读和禁用权限设置。

Windows XP 防护：360天擎采用了多层防护、标本兼治、技术与安全管理策略相结合的整体设计思路，在Windows XP系统之上由内到外采用了四层防护手段，包含了系统加固、热补丁修复、危险应用隔离、“非白即黑”安全策略等多项举措。

硬件资产管理：360天擎可以监控企业终端硬件的变化，评估终端硬件的变化是否会给企业带来负面的影响。支持硬件资产查询及展示，可帮助管理员实时查看企业全网终端电脑的硬件配置；支持跟踪硬件资产变更情况，可帮助管理员及时获取硬件资产的变更记录，方便财务审计，轻松构建专业的企业硬件资产监控与审计平台。

企业软件统一管理：360天擎企业软件管家集软件下载、升级、卸载等功能于一体，为企业提供必要的一站式软件管理服务。支持软件的统一分组、定时分发，并可实现自动安装应用以及强制卸载应用，帮助管理员按照企业规定管理终端用户软件的安装。支持查询全网终端的软件安装情况以及终端进程信息，帮助管理员及时发现违规软件及可疑应用。

终端流量管理：管理员可以了解各终端的网络流量情况，支持对终端的上传及下载流量限制进行统一管控，帮助管理员管理网络流量、避免非法应用占用大量带宽，保证企业正常业务的平稳运行。

终端准入管理：360天擎使用主机完整性策略和准入硬件旁路设备来发现和评估哪些终端遵从策略，判断哪些终端是否允许安全访问企业核心资源。非遵从性客户端会定向至修复服务器，通过下载必需的终端安全软件、补丁程序及病毒定义更新等使客户端计算机保持遵从性。

远程技术支持：360天擎远程技术支持模块可以满足企业技术支持需求，终端或者管理控制中心在必要时均可以发起远程的请求，待终端同意后就可以建立一对一的连接并提供必要的服务了。

日志报表查询：支持对终端安全日志、漏洞修复、病毒日志、木马查杀、插件清除、系统危险项等的报表统计。能够从终端、全网、分组等多维度，以及图表、数据等多视图角度进行统计和展现，同时支持报表的导出及打印。

边界联动防御：天擎系统可以与360的边界防护设备——天眼威胁感知系统进行联动，借助360天眼的深度检测能力，结合360天擎在终端上的精确防御能力，实现对PC终端的攻击防御，提高全网的安全防护能力。

华为AnyOffice移动安全平台

华为从移动终端安全、网络传输安全、应用安全、敏感数据安全以及安全管理五个维度对移动终端进行全方位防护，帮助企业在BYOD的高效率与信息安全之间找到最佳平衡点。华为AnyOffice移动安全平台围绕身份和设备可识别（Identity）、数据不泄密（Privacy）和设备可管理（Compliance）三个关键点，为企业用户提供业界最广泛的安全性和最简单易用的管理方案。

1.产品设计原理

AnyOffice的设计思想是充分开放、做强能力，为开发者提供最丰富的企业级安全平台能力。AnyOffice遵循云、管、端架构。其中端部分既有独立App模式，也提供嵌入到各App的SDK模式；管道侧提供软件或电信级嵌入式硬件形态的安全网关；云侧提供统一管理平台，支持企业部署和云部署模式。

AnyOffice平台对于App开发者来说，提供了丰富的接口，包括原生接口、C接口供开发者集成，也支持WebView的安全接管。不管开发者用安卓、iOS的原生语言，还是用C语言，或HTML5语言，均能获得AnyOffice提供的企业级安全能力。

AnyOffice平台致力于让安全能力更强、接口更丰富外，还大力提升了易集成性。华为进行了大量API接口的开放，不断提高API的易用性，持续降低用户在移动应用集成安全能力上的工作量和成本；经过优化，当前只需要几小时就能完成API的集成工作。

图2 组件之间的关系图

平台提供一个统一的移动安全客户端AnyOffice。AnyOffice作为单一的移动客户端，是用户和网络、应用的唯一交互界面，简洁的客户端可降低管理和维护复杂度。同时，AnyOffice客户端也是一个安全的移动办公工作平台，以One-agent的模式集成了安全沙箱、安全邮件客户端、安全浏览器、移动终端管理（MDM）软件、L3VPN客户端、虚拟桌面等一系列应用，可满足移动办公的通用需求，保障企业员工安全、便捷、高效地接入和访问企业内网。

另 外，AnyOffice具 备环境感知特性，可通过与网络侧的接入控制网关SACG（Security Access Control Gateway）和SVN SSL VPN网关联动，实现用户在公司内、外网的智能感知，无缝切换应用安全策略，带给用户一致性体验。

2.产品相关组件及功能

AnyOffice安全平台的解决方案主要包含三个组件：AnyOffice客户端，SVN安全接入网关，MDM数据服务器。三个组件之间的关系如下图2所示。

第一，AnyOffcie客户端。该客户端是一款安装在移动终端上的客户端软件。基于AnyOffice安全工作台，集成了安全浏览器、安全邮件、移动终端管理（MDM）客户端等一系列华为自研应用，可满足移动办公的通用需求，保障企业员工安全、便捷、高效地接入企业内网。AnyOffice客户端支持当前流行的Android、IOS智能终端操作系统，允许根据企业实际需求增减第三方应用。AnyOffice客户端通过沙箱技术，实现了个人数据与企业数据的安全隔离，解决了个人和企业应用、数据混合带来的数据泄密和病毒感染等风险。

第二，SVN安全接入网关。主要包括SVN2230-M/2260-M/5530-M/5560-M（简称SVN）四个型号，是华为推出的优秀VPN网关设备。设备提供丰富的认证手段和灵活的访问授权控制手段，包括VPNDB本地认证、LDAP/AD/RADIUS/SecureID第三方认证、数字证书认证、终端硬件特征绑定以及多种认证方式的组合认证。设备具有强大的移动办公安全接入能力，通过与AnyOffice客户端建立L3/L4VPN加密隧道，保证数据及应用传输的安全。同时，SVN支持通过全面的准入检查机制来保证接入终端的合规性，避免不合规终端接入企业网络而引起的安全隐患。

第三，MDM数据服务器。由数据库服务器和Web应用服务器组成。数据库服务器用于存储资产管理等数据，Web应用服务器用于存储应用程序包。SVN需要通过Web应用服务器中转才能访问数据库服务器。MDM数据服务器易于搭建和维护，可由企业提供通用的硬件平台进行安装。

北信源内网安全管理及补丁分发（VRVEDP）系统

北信源公司通过对国内和国外近几年来计算机终端管理技术和发展趋势的研究，将政府和企业内部网络终端安全管理概括的从终端状态、行为、事件三个方面来进行防御，研制出北信源内网安全管理及补丁分发系统软件，简称VRVEDP系统。

1.产品设计原理

图3 VRVEDP系统核心功能

VRVEDP系统遵循网络防护和端点防护并重的理念，对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案，实现内部网络终端的可控管理，并能够支持多级级联广域网架构，达到最佳的管理效果。

VRVEDP系统强化了对网络计算机终端状态、行为以及事件的管理，它提供了防火墙、IDS、防病毒系统及专业网管软件所不能提供的防护功能，对它们管理的盲区进行监控，扩展成为一个实时的可控内网管理平台，并能够同其他安全设备进行安全集成和报警联动。

VRVEDP系统同英特尔公司Intel vPro（AMI）平台有着密切的技术合作，涉及终端补丁修补、资源管理、远程管理、状态监控、策略制订、访问控制和安全审计等主动式集成管理技术。VRVEDP系统核心功能如下图3所示。

2.VRVEDP系统模块及功能

VRVEDP系统由8个部分组成：管理信息库、Web中央管理平台、区域管理器、注册程序、补丁下载服务器、管理器终端保护模块、报警中心模块等。下面依次进行介绍。

管理信息库：系统信息和网络设备信息数据库，包括系统组件（区域管理器、设备扫描器、Web中央管理平台等）信息、系统运行配置参数（管理区域、运行参数、补丁分发等）信息、网络终端对象（设备信息、设备变化信息、报警信息等）信息。

区域管理器：系统数据处理中心，与管理信息库通讯，接受终端对象注册程序采集过来的信息，并存入数据库；接受来自控制台的命令操作，发送到终端、扫描器执行。对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，系统数据提供逐级上报（转发）设置模式。区域管理器内置网络扫描器，扫描器将设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。网络扫描器配合区域管理器进行工作，可以在分级模式下使用；扫描器只依据Web管理平台中配置的工作范围进行扫描，超越其范围，将不负责执行操作。

Web中央管理台：本系统的管理配置中心，基于IE浏览器模式提供对系统的控制管理，中央管理台由三个部分构成：系统配置与信息查询模块、策略中心制订模块、补丁检测中心模块。Web中央管理台管理内容包括：①配置管理：区域管理器（扫描器）、注册终端程序、系统策略中心等的运行配置参数设定；②信息查询：查看网络设备信息、报警信息等；③策略制订：制订终端系统应用安全策略，分发至各网络终端对象执行；④补丁检测：进行终端对象的操作系统漏洞检测提示，并提供补丁下载。

终端注册程序：系统终端管理程序，采集终端设备资产信息，检测终端状态行为等信息，执行管理控制台分发的各种安全策略，并将终端违规信息报送控制台。终端注册程序功能包括：终端桌面信息监测、终端安全状态信息审计、终端系统补丁检测、执行管理台下发的安全策略、阻断本机联网状态等。

图4 UEM系统架构图

补丁下载服务器：安装在与Internet网络连接的机器上，实时下载补丁厂商发布的补丁。

管理器终端保护模块：辅助模块，该模块可对重要计算机端口、网络协议、通讯IP范围以及其他网络应用进行安全配置，防止计算机收到恶意的IP冲突和各种网络、病毒攻击等威胁，确保计算机实时无干扰运行。

报警中心模块：辅助模块，系统综合违规报警信息平台，汇总本系统中所有安全报警事件信息，选择报警方式，其中包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。

中软统一终端安全管理系统

中软统一终端安全管理系统（CSS United End-Point Management System，简称UEM）是中软公司在对企业内网安全管理展开全面调查的基础上，创造性地形成了一套完备的终端安全一体化解决方案。

1.产品设计原理及架构

UEM系统是以“木桶原理”为理论依据，以安全策略为驱动，按照PDR安全模型的“保护-检测-响应”工作流程循环检测，同时结合保密规定的“等级保护”指导方针，采用多种安全技术实现了对终端主机全方位、多层次的安全防护。按照“保护-检测-响应”的工作流程逐步完善终端安全防护策略，并将事件处理方式和处理流程登录到用户知识库，逐步形成内网事故应急响应流程和共享安全解决方案的知识库。

系统分为三个组件：客户端、服务器和控制台，系统采用分布式监控，集中式管理的工作模式。组件之间采用C/S工作模式，组件的通信是采用HTTP/HTTPS加密传输方式。支持任意层级的服务器级联，上下级服务器之间采用HTTPS协议进行数据交换，系统体系架构如下图4所示。

客户端：安装在受保护的终端计算机上，实时监测客户端的用户行为和安全状态，实现客户端安全策略管理。一旦发现用户的违规行为或计算机的安全状态异常，系统及时向服务器发送告警信息，并执行预定义的应急响应策略。

服务器：安装在专业的数据服务器上，需要数据库的支持，通过安全认证建立与多个客户端系统的连接，实现客户端策略的存储和下发、日志的收集和存储。上下级服务器间基于HTTPS进行通信，实现组织结构、告警、日志统计信息等数据的搜集。

控制台：人机交互界面，是管理员实现对系统管理的工具。通过安全认证建立与服务器的信任连接，实现策略的制定下发以及数据的审计和管理。

2.UEM系统功能

UEM系统包含基本功能和可选功能，默认情况下只提供基本功能，可选功能由产品License控制。

基本功能：包括用户身份认证、网络访问控制、非法外联控制、接口外设管理、移动存储介质管理、CDROM/CDRW/刻录机的控制、辅助硬盘的控制及打印机管理。这八项基本功能主要是针对用户使用终端权限的一些基本控制，如果需要更高层级的终端保护功能，就必须选配其他功能模块。下面将对可选功能进行介绍。

可信移动存储介质管理：该功能实现了用户对移动存储介质管理的要求，对可信移动存储介质从购买到销毁的整个生命周期进行管理和控制。

终端接入管理：对接入内网的计算机进行统一的管理，未经许可的计算机不能接入内网，主要功能包括终端接入认证、终端安全检查和内网安全扫描。

补丁管理与软件分发管理：统一配置终端计算机的补丁管理策略，实现对系统补丁状况的扫描，自动完成补丁分发；规划企业统一分发的软件安装包，按照统一的软件分发策略，自动完成企业软件的部署。

终端安全运维管理：按照统一的安全策略监控客户端的运行状况，通过软件自动分发和软硬件资产的统一管理大大节约了企业信息系统的维护成本，通过系统远程帮助控制实现远程维护计算机，清除系统故障。

远程管理：通过终端用户与服务器相互授权的机制建立终端与服务器之间的信任通信体系，管理员通过服务器实现对终端用户提供实时帮助的功能。

安全存储与传输管理：具体包括加密文件夹、硬盘保护区和文件安全分发三项功能。加密文件夹为终端用户提供了个人文件加密存储的文件服务。硬盘保护区是在本地硬盘上提供一个或多个安全存放本地敏感文件的加密存储空间。文件安全分发实现了文件在指定范围内的自动加密或自动解密，在指定范围外的用户不能共享这些加密文件。

安全文档管理：基于透明加解密技术，在客户终端上实施对客户文件的透明加密、透明解密，有效防止内部和外部窃取机密的行为，从根本上解决泄密防范问题。

结语

随着信息技术的进一步发展，终端安全在企业安全中的地位将会变得越来越重要，希望本专题能够引起企事业单位对终端安全的重视，也希望读者朋友能够从此专题中得到帮助。