国际安全形势日趋严峻，自主创新上升为国家战略，国产化终端虽然是自研的CPU和操作系统，但也难以保证绝对的安全。国产化终端与普通终端一样都会面临木马蠕虫、勒索病毒、挖矿病毒、APT攻击等威胁。随着国产化终端广泛使用，攻击者也会开始瞄准这一趋势，研究攻破防线的手法，入侵信创终端以达到自己的目的。

杰思信创终端安全防护创新方案以EDR端点检测与响应技术理念为核心，结合CWPP、微隔离、自适应安全等前沿技术，能实时检测未知威胁并快速响应。无论是传统病毒木马、还是当下热门的变种威胁(如挖矿、勒索等)，亦或是高阶复杂的APT类入侵或其他未知威胁，都可实现全面的精准高效的检测防护。

方案可广泛部署于各类信创终端上，支持市面上绝大部分主流信创操作系统，包括银河麒麟、中标麒麟、统一UOS、中科方德等，支持本地环境、云环境等混合业务架构环境，可适用终端PC、服务器、云主机、工控主机等多应用场景，安装部署简单，自适应性强，支持统一管理监控，无感知，主机资源占用属国内最小、最轻。

目前已经得到国家重要部门单位客户的信任和批量使用，同时全面参与了目前国家要求的自主知识产权信息创新项目，及历年由公安部组织的网络安全攻防演练，得到了各个行业用户的认可。

方案主要功能和性能：

方案功能：

1、资产管理：对终端资产进行全面管理，对终端设备中的软件、硬件、文件、应用等资源进行管理和监控，包括资产识别、风险评估、安全策略制定、安全事件响应等。

2、安全基线检测：安全基线检测功能可以针对服务器操作系统的配置进行安全检测，并提供检测结果说明和加固建议，能够进行系统安全加固，降低入侵风险并满足安全合规要求。此外，针对不同终端系统检查内容有所区别。信创终端检查内容为：身份鉴别、访问控制、安全审计、SSH策略检测、入侵防范、恶意代码防范。

3、账户检测：针对终端用户的账户进行安全检测，包括对用户登录、注销、密码修改等操作进行实时监测和报警，以及针对账户权限、口令策略、密码复杂度、密码过期时间等参数进行检测和报警，从而发现和解决潜在的安全风险。

4、异常命令检测：提供基于特征码、基于行为和基于机器学习的异常命令检测。包括：未经授权的命令执行、命令滥用、命令注入等。

5、恶意程序检测：提供基于特征码、基于行为、基于机器学习的恶意程序检测，能及时发现未经授权的文件访问、数据窃取、恶意代码注入、系统资源占用等。

6、行为检测：通过分析终端系统的各种事件和行为，检测和发现潜在的安全威胁。结合事件分析，通过分析这些行为和事件，可以检测到异常行为，例如恶意软件执行、未经授权的访问、数据泄露等，从而及时发现并阻止安全威胁。此外，还可以通过记录这些行为和事件，提供安全取证和调查的依据，帮助企业了解安全事件的来源和影响范围。

7、主机微隔离：将数据中心内部的所有业务按照特定的原则划分为数个微小的网络节点，通过细粒度的策略控制，动态、灵活地实现业务系统内外部主机与主机的隔离，让东西向流量可视可控，以防御黑客或病毒对内网的持续性大面积的渗透和破坏，降低攻击面。

8、下发响应脚本：支持批量下发自定义响应脚本至终端执行，并返回执行结果。

9、黑白名单管理：黑白名单管理可以用于安全策略配置，更好地控制终端系统的安全策略，提高系统的安全性。

10、威胁溯源：追踪安全威胁的网络流量路径、安全威胁的来源和执行过程、安全威胁的传播路径和感染的文件。

11、告警通知：支持告警通知自定义阈值配置，包括但不限于网络威胁、系统威胁、授权、磁盘占用、主机异常离线等。

方案性能：

安装文件大小：信创客户端代理程序完整安装包文件8.29MB；

CPU占用：安装客户端后CPU占用峰值小于5%；

内存占用：内存占用峰值小于20MB；

磁盘占用：安装位置的安装目录磁盘占用13MB。

技术框架：

杰思信创终端安全防护创新方案主要由杰思猎鹰主机安全响应系统组成，方案部署架构包含安全管理平台、安全探针2大部分，并可对接外围联动。

安全管理平台：提供集中式威胁及数据分析、事件汇总可视化展示、安全策略集中管理、程序及特征更新等工作。

安全探针：部署在受保护的信创主机终端上，进行信创终端的安全信息采集、威胁发现与响应处置。

外围联动：通过智能沙箱和杰思安全实验室进行辅助检测判断。智能沙箱采用云端或私有化部署交付，满足不同场景的使用需求，可提供文件安全性的辅助判断。可与杰思安全实验室或第三方合作伙伴共享威胁情报，可在线或离线更新，包括恶意文件信息、恶意IP信息、恶意行为信息、漏洞库信息等内容。

合理性说明：

信创终端安全防护创新方案以EDR端点检测与响应技术理念为核心，结合CWPP、微隔离、自适应安全等前沿技术，方案主要由主机安全响应系统组成，整体系统设计创新创意合理，所执行的标准和规范，符合以下GA行业标准：“GAT403.2-2014信息安全技术入侵检测产品安全技术要求第2部分：主机型产品”。其创意合理性体现如下：

1、在系统设计时，充分考虑系统的容量及功能的扩充，方便系统扩容及平滑升级。

2、系统架构简单清晰合理，使用C/S架构，分为多个客户端和一个管理平台，管理使用B/S架构。

3、软件架构模块化、高度解耦，整个主机安全响应系统按落脚点可分为两部分，管理平台和安全探针。

4、功能架构闭环、环环相扣、功能象限相辅相成，系统功能架构模型遵循由预测（Predict）、防护（Prevent），检测（Detect）、响应（Response）四个能力象限组成的自适应安全防御模型。

5、技术架构科学合理，主机安全检测系统核心技术架构包括客户端、数据存储、数据分析和管理平台四大部分。

6、系统部署简单方便、高效快捷，本系统部署采用C/S架构，管理采用B/S架构，管理员通过浏览器登录管理平台，对系统进行管理。

创新性说明：

1、精准的行为预测能力

预测主要依赖于威胁情报，通过情报主动发现各种主机终端面临的各种攻击，并将情报反馈到防护阶段和检测功能，从而构成整个威胁处理流程的闭环。杰思安全推出的杰思信创终端安全防护创新方案，就是要实现对恶意威胁的可见、可感知，获取Who(谁在攻击)、How(如何攻击)、Where(在哪个区域进行攻击)、What(将造成怎样的危害)这四大恶意攻击要素，帮助用户构建更具针对性、更为有效的信创终端安全防线。

2、基于自学习的纵深行为检测

面对攻击者逐步采用未知恶意程序或手段的针对性攻击，传统的主机安全防护技术弊端日益突出。杰思猎鹰通过自主研发的智能行为追踪检测技术，在不依赖病毒特征库的情况下，即能识别检测出各类活跃的恶意程序、针对主机系统的恶意攻击、对主机系统恶意破坏等。

通过守护操作系统关键入口点，包括系统网络传输、注册表修改、文件拷贝、内存数据输入输出、磁盘读写、配置文件修改、系统提权等，并对攻击者常用和流行的攻击技术进行识别、归类、建模、训练、自学习。结合人工智能机器自学习技术，不断提升检测和识别精度，并自适应业务场景，不断优化防护机制，实现对已知为未知威胁的精准防护。

杰思信创终端安全防护创新方案能够实时检测终端的运行状态，核查终端存在的风险点和不符合规定项，如开启的威胁服务、开放的网络端口、存在的系统账户，关键文件的异常操作、系统安全策略设置等，并提供修复和整改措施，通过持续的检测和修复，不断降低终端安全风险，提升网络攻击门槛。

3、先进的行为防护能力

杰思信创终端安全防护创新方案通过不断的终端行为学习，形成基于终端的行为模型，在终端遭受网络攻击时，杰思信创终端安全防护系统通过行为模式识别和规则匹配，能够及时发现和阻断攻击行为，对终端能够起到实时地防护作用。例如，部署杰思猎鹰主机安全响应系统产品的终端，能够免受“永恒之蓝”病毒的攻击。

4、横向差异化威胁感知

目前黑客攻击的初期目标一般是针对少量的主机，传统的特征检测很难发现。主机安全响应系统通过EDR技术进行操作系统级行为检测，结合独创的主机环境变量横向对比技术，在全网同业务虚拟机服务器或主机中进行横向对比，感知主机异常变化，发现初期入侵点。并通过定点系统入口监控和行为合规监控，有效应对多种恶意程序的变形逃逸。

5、细致网络隔离防护

依据虚拟主机网络结构的特点和主机边界安全防护需求，提出以主机为保护对象的出站、入站访问控制理念，达到主机网络微隔离目的。在安全域划分上，不仅能够做到单主机、单分组、多个主机、多个分组混合划分，而且可跨云平台、跨操作系统进行。混杂的安全域划分模式，为管理员提供灵活多样的管理方式，适用于所有应用场景，在网络安全边界梳理工作上，不再受限于任何物理条件限制。

6、精准威胁事件溯源

对主机系统内部的动态行为进行记录和分析，可对整个安全事件进行梳理和展示。以图形化方式展示威胁事件的多维度信息关联，包括事件关联的主机、涉及到的恶意进程、进程文件的子/父级进程、进程运行时间、详细路径、安全属性、网络访问关系、相互调用关系等，让用户能快速追溯到根源。亦可通过对事件碎片整理，形成威胁分析中心，利用统一入口搜索关键字段，快速关联呈现相关事件内容，解决安全事件发生后无从着手的痛点。

7、及时有效的行为响应能力

在安全事件发生后，杰思信创终端安全防护创新方案能够及时清除攻击代码，阻断漏洞攻击或关闭服务，防止再被攻击。依托后端数据分析，实现攻击过程的溯源追踪，将攻击发生的时间、地点、进程、文件、注册表、服务、网络端口等进行关联分析，还原整个攻击过程，同时提取攻击特征，实现攻击二次抑制。

国际安全形势日趋严峻，各类主机等终端逐渐实现了自主创新，终端虽然是自研的CPU和操作系统，但也难以保证绝对的安全。信创终端与普通终端一样都会面临木马蠕虫、勒索病毒、挖矿病毒、APT攻击等威胁。随着信创终端广泛使用，攻击者也会开始瞄准这一趋势，研究攻破防线的手法，入侵信创终端以达到自己的目的。

企业在信创建设阶段，采购的信创PC、服务器、笔记本等都需要对其安全防护，建设期还会存在信创与非信创终端共存的现象无论是信创还是非信创终端，都一样面临病毒木马、蠕虫、勒索挖矿等热门已知威胁和未知威胁的入侵，需要从事前事中事后实现全生命周期防护与事件闭环。

解决问题：

1)国际安全形势日趋严峻，政府“云-网-端”的IT架构模式中，已建设的网络安全防护体系中大量集中在云、网侧异常IP流量分析为主。从历年公安部护网和国际黑客攻击实战对抗经验得出，90%为端到端攻击方式（社工、0day、无文件等），均无法在网络流量中有效发现和处置。

2)现有端侧（主机）安全防护依然以杀软、漏扫为主，基于已知威胁样本分析作为威胁特征发现和处置手段。攻击发现和溯源的终点只能到内部网络中的某台主机（IP地址），对主机中内部的威胁细节发现缺失，无法确定主机内部攻击细节，无法确定该失陷主机扩散范围。尤其是在国产信创系统中缺乏实战攻击样本，造成无经验可发现防护，丧失安全发现和防护能力。

应用特点及效果：

1)通过端侧（主机）内基于操作系统异常调用行为的分析，有效发现和防范0day、无文件等未知威胁攻击，有效解决外部威胁样本和情报补足，补足信创系统安全短板；

2)通过端侧（主机）内异常行为溯源画像分析，对主机中内部的威胁细节有效发现和处置，确定主机内部攻击细节，及时确定该失陷主机扩散范围并处置；

3)通过端侧（主机）的东西向端口和网络隔离手段，精准定位违规流量对应的进程信息，并快速抑制威胁扩散。

典型应用场景1：混合云一体化安全解决方案

—场景需求问题：云计算和数据中心的快速发展与规模化应用，政府、能源、金融、交通、教育、运营商等行业纷纷建立自己的数据中心。而在数据中心建设和应用过程中会面临一个很棘手的问题：各类主机的资产和安全问题如何统一管理防护？

根据不同业务的需要，用户的数据中心会以多种形式存在，有物理主机、私有云主机、公有云主机等，物理位置也不集中，分散于自有物理机房、多个IDC云机房等。IT安全管理员要对这些位于不同位置的主机实现资产和安全管理，是件费时费力的事情。

混合云环境中划分业务安全域，以及对东西向流量威胁进行有效防护，甚至面对多租户模式的安全防护等都是困扰已久的安全问题。

—场景解决方案：

杰思安全依据云计算场景的特点，提供混合云一体化安全解决方案。通过在需要保护的各类主机中部署轻量级安全探针，实现对众多主机的统一管理和防护。轻量级安全探针既能部署在物理主机内，也能部署在私有云主机和公有云主机中，在网络可达情况下，使用统一安全管理平台做同台管理。

—场景方案优势：

轻量级安全探针，对主机CPU资源占用＜1%，内存消耗＜25MB，即使在低配的物理主机或对性能消耗敏感的云主机上也能无感知运行；

多平台的适应性使混合云场景的防护更简单，满足跨NAT、跨云平台、跨物理环境、跨操作系统的统一部署和管理，节省安全投入和运维成本；

微隔离的融入能更好地解决业务安全域划分及东西向流量防护，同时提供多租户解决方案，实现不同用户间数据隔离，并支持SaaS模式交付。

典型应用场景2：全网态势协同分析防护方案

—场景需求问题：

随着APT等各类高级威胁事件的不断发生，信息安全不仅引起了企业领导的重视，更引起了国家领导人的广泛关注。越来越多的政企用户采用态势感知、流量安全分析等方式构建大数据安全，以实现对各种威胁攻击的感知和事件溯源。

收集全量的安全数据是保证安全态势分析结果准确、完整的先决条件。现有的态势分析方案，往往通过旁路流量采集、各类设备的syslog日志外发来进行数据收集，但唯独缺乏各类主机（包括服务器、PC机、专用主机等）的安全数据，使主机成为安全监控的盲点。

在安全事件发生的整个过程中，事件的完整溯源是防护底线，能第一时间发现并及时响应，扼制事件蔓延是防护关键。传统的安全防护体系中，虽然众多安全产品各尽其责，但由于缺乏安全情报共享和协同防御的能力，整个防护体系的防护能力反而大打折扣。

—场景解决方案：杰思猎鹰采用轻代理安全探针，可部署在各类物理和虚拟主机中提供安全防护功能。同时轻代理安全探针可采集主机内全量的资产与安全事件信息，包括软硬件配置、文件运行记录、网络访问记录、主机和网络入侵事件等。并能通过API接口、syslog方式与第三方态势分析平台、流量分析平台等进行数据共享，弥补主机侧数据的缺失。

管理平台与态势感知平台、流量分析平台等进行实时数据共享。当网络侧捕捉到入侵攻击时，管理平台能依据捕获的入侵特征，实时形成防护策略，与网络侧安全产品形成立体纵深防护，提升整体防护能力。

—解决方案优势

消除传统安全方案的监控盲区，实现对威胁发现的实时感强化了对于高级持续性威胁(APT)和精准式网络攻击的实时发现及智能化预警能力；

实现攻击路径的可视化呈现，方便威胁溯源和安全风险预防，弥补“隐蔽”流量在网络设备端监测的不足，多元素采样描绘“攻击者画像”；

全网快速实现纵深联动防御体系，抑制威胁在整个网络系统内的扩散，实现对新的未知威胁进行发现和处理，提升整体应对外部新威胁变化的能力。