政府及企事業(yè)單位對安全的要求更高，特別是對專業(yè)的安全服務(wù)需求很大，免費的安全產(chǎn)品可能并不能滿足其需求。商業(yè)安全產(chǎn)品具備更加豐富、靈活的安全功能，能夠享受更加專業(yè)的技術(shù)支持服務(wù)。下面介紹幾款主流的付費終端安全防護產(chǎn)品。

360天擎終端安全管理系統(tǒng)

天擎是奇虎360面向政府、軍隊、金融、制造業(yè)、醫(yī)療、教育等大型企事業(yè)單位推出的以安全防御為核心、以運維管控為重點、以可視化管理為支撐、以可靠服務(wù)為保障的全方位終端安全解決方案。天擎系統(tǒng)為用戶構(gòu)建能夠有效抵御已知病毒、零日漏洞、APT攻擊和未知惡意代碼的新一代終端安全防御體系，并提供企業(yè)安全統(tǒng)一管控、終端硬件準(zhǔn)入、軟件準(zhǔn)入、上網(wǎng)行為管理等諸多管理類功能；并且承諾在2014年4月微軟停止免費主流支持服務(wù)之后，依然向天擎產(chǎn)品用戶提供Windows XP補丁和安全更新。

圖1 天擎系統(tǒng)架構(gòu)圖

天擎是主要針對傳統(tǒng)終端安全產(chǎn)品的各種不足，以及用戶對云時代終端安全的強烈需求而推出的終端安全產(chǎn)品，張聰表示，360終端安全就是基于大數(shù)據(jù)技術(shù)和威脅情報技術(shù)的云計算、大數(shù)據(jù)時代的終端安全體系，簡單來說可以總結(jié)為十二個字，即看得見，防得住，查得清，搞得定。看得見是指看得見終端，看得見基礎(chǔ)信息，看得到有沒有脆弱性信息，安全度信息，數(shù)據(jù)敏感度如何；防得住是指能防住大多數(shù)攻擊，能攔截新的但不是首次的攻擊；查得清是指能夠偵測到安全威脅，能夠查清安全威脅怎么進來的。搞得定，是指能夠加固企事業(yè)單位的安全體系。

張聰表示，360終端安全產(chǎn)品是建立在領(lǐng)先理念上的終端安全產(chǎn)品，具有未來終端安全產(chǎn)品的特質(zhì)。這主要表現(xiàn)在以下幾個方面：首先，360具有強大的創(chuàng)新能力，在技術(shù)能力方面很強，360的終端安全產(chǎn)品的理念也非常先進，它不是在終端上看終端，而是在大數(shù)據(jù)上看終端，通過機器學(xué)習(xí)、人工智能、大數(shù)據(jù)等技術(shù)可以實現(xiàn)多方面的攻擊檢測。其次，360的終端安全產(chǎn)品實現(xiàn)了終端安全一體化，即平臺一體化（完美兼容 Windows、Linux、國產(chǎn)操作系統(tǒng)），功能一體化（集終端防病毒和安全管控與一體），數(shù)據(jù)一體化（結(jié)合云端大數(shù)據(jù)和威脅情報有效感知本地安全態(tài)勢），從而為企事業(yè)單位用戶構(gòu)建了從管控到殺毒到終端響應(yīng)的全面立體的終端安全防護體系。第三，360終端安全的部署管理非常簡單，門檻很低。并且能夠通過管理可視化，將企事業(yè)安全整體安全態(tài)勢的呈現(xiàn)給企事業(yè)單位的領(lǐng)導(dǎo)。

此外，360終端安全產(chǎn)品也具有和芯片級結(jié)合的防御能力，并且在防漏洞方面具有較高的水平。據(jù)張聰透露，360安全終端產(chǎn)品目前最大的用戶擁有100萬終端，而360安全終端產(chǎn)品最大終端支持?jǐn)?shù)目可以達(dá)到億級的規(guī)模。

1.產(chǎn)品架構(gòu)

圖1為天擎終端安全管理系統(tǒng)的架構(gòu)圖。

從圖1可以看出，天擎終端安全管理系統(tǒng)包括安全控制中心和客戶端兩層。

第一層：安全控制中心。這是天擎的核心，部署在服務(wù)器端，有兩大功能：一方面提供了管理臺，采用B/S架構(gòu)，管理員可以隨時隨地地通過瀏覽器打開訪問，對天擎進行管理和控制。主要有設(shè)備分組管理、策略制定下發(fā)、全網(wǎng)健康狀況監(jiān)測、統(tǒng)一殺毒、統(tǒng)一漏洞修復(fù)、網(wǎng)絡(luò)流量管理、終端軟件管理、硬件資產(chǎn)管理以及各種報表和查詢等。另一方面，提供了系統(tǒng)運維的基礎(chǔ)服務(wù)，如：云查殺服務(wù)、終端升級服務(wù)、數(shù)據(jù)服務(wù)、通訊服務(wù)等。

第二層：客戶端。客戶端部署在需要被保護的服務(wù)器或者終端，執(zhí)行最終的木馬病毒查殺、漏洞修復(fù)等安全操作，并與安全控制中心通信，提供控制中心管理所需的相關(guān)數(shù)據(jù)信息。

2.產(chǎn)品功能及原理

天擎系統(tǒng)主要提供如下安全功能：

安全趨勢監(jiān)控：支持全網(wǎng)一鍵檢測，幫助管理員發(fā)現(xiàn)全網(wǎng)內(nèi)漏洞、木馬、插件、系統(tǒng)危險項、安全配置項等威脅數(shù)量和危險終端數(shù)量。支持終端狀況展現(xiàn)，幫助管理員對全網(wǎng)不健康終端、亞健康終端、健康終端進行統(tǒng)計。支持安全動態(tài)跟蹤，幫助管理員了解全網(wǎng)內(nèi)漏洞補丁的修復(fù)狀況。支持威脅趨勢分析，幫助管理員全面了解企業(yè)內(nèi)終端危險項、木馬、病毒、漏洞、新增文件等的發(fā)展趨勢。

安全運維管理：支持對終端升級、漏洞修復(fù)、木馬查殺、插件清理、系統(tǒng)危險項等的全局管理以及分組管理，支持安全策略分組下發(fā)，幫助管理員管理復(fù)雜的多層次網(wǎng)絡(luò)以及多部門組織架構(gòu)。支持一對一遠(yuǎn)程協(xié)助功能，終端用戶可以直接向360客服求助，幫助管理員分擔(dān)支持壓力。支持網(wǎng)絡(luò)準(zhǔn)入管理，禁止沒有按要求安裝天擎終端安全管理系統(tǒng)、存在安全問題的終端，或者外來非法終端接入企業(yè)網(wǎng)絡(luò)，幫助管理員保證入網(wǎng)終端合規(guī)，防止非法終端入侵網(wǎng)絡(luò)，給企業(yè)業(yè)務(wù)系統(tǒng)造成破壞。

惡意軟件防護：360天擎支持對蠕蟲病毒、惡意軟件、廣告軟件、勒索軟件、引導(dǎo)區(qū)病毒、BIOS病毒的查殺，這依賴于QVM人工智能引擎、云查殺引擎、AVE（針對可執(zhí)行文件的引擎）、QEX（針對非可執(zhí)行文件的引擎）等多引擎的協(xié)同工作。360云查殺建立在云端龐大的黑白名單數(shù)據(jù)庫基礎(chǔ)上，病毒檢出率高，系統(tǒng)資源占用低，通過使用云端的黑白名單驗證的方法，可以最大限度的保護數(shù)據(jù)安全。

終端軟件管理：360天擎提供自動、半自動和手動的應(yīng)用程序控制機制，通過采用應(yīng)用程序文件白名單機制，對不處于白名單中的應(yīng)用程序和文件判定為“黑名單”或者“灰名單”，有效控制惡意軟件的滲透和快速傳播。

外設(shè)與移動存儲管理：360天擎采用策略化的外設(shè)管理模式，管理員統(tǒng)一定義出針對不同類別外設(shè)的多個策略，一個策略可以包括多種類型設(shè)備的控制，使管理策略更有針對性；同時支持硬件準(zhǔn)入管理，可對終端的USB存儲設(shè)備、光驅(qū)、串口、VPN等外界設(shè)備進行可讀寫、只讀和禁用權(quán)限設(shè)置。

Windows XP 防護：360天擎采用了多層防護、標(biāo)本兼治、技術(shù)與安全管理策略相結(jié)合的整體設(shè)計思路，在Windows XP系統(tǒng)之上由內(nèi)到外采用了四層防護手段，包含了系統(tǒng)加固、熱補丁修復(fù)、危險應(yīng)用隔離、“非白即黑”安全策略等多項舉措。

硬件資產(chǎn)管理：360天擎可以監(jiān)控企業(yè)終端硬件的變化，評估終端硬件的變化是否會給企業(yè)帶來負(fù)面的影響。支持硬件資產(chǎn)查詢及展示，可幫助管理員實時查看企業(yè)全網(wǎng)終端電腦的硬件配置；支持跟蹤硬件資產(chǎn)變更情況，可幫助管理員及時獲取硬件資產(chǎn)的變更記錄，方便財務(wù)審計，輕松構(gòu)建專業(yè)的企業(yè)硬件資產(chǎn)監(jiān)控與審計平臺。

企業(yè)軟件統(tǒng)一管理：360天擎企業(yè)軟件管家集軟件下載、升級、卸載等功能于一體，為企業(yè)提供必要的一站式軟件管理服務(wù)。支持軟件的統(tǒng)一分組、定時分發(fā)，并可實現(xiàn)自動安裝應(yīng)用以及強制卸載應(yīng)用，幫助管理員按照企業(yè)規(guī)定管理終端用戶軟件的安裝。支持查詢?nèi)W(wǎng)終端的軟件安裝情況以及終端進程信息，幫助管理員及時發(fā)現(xiàn)違規(guī)軟件及可疑應(yīng)用。

終端流量管理：管理員可以了解各終端的網(wǎng)絡(luò)流量情況，支持對終端的上傳及下載流量限制進行統(tǒng)一管控，幫助管理員管理網(wǎng)絡(luò)流量、避免非法應(yīng)用占用大量帶寬，保證企業(yè)正常業(yè)務(wù)的平穩(wěn)運行。

終端準(zhǔn)入管理：360天擎使用主機完整性策略和準(zhǔn)入硬件旁路設(shè)備來發(fā)現(xiàn)和評估哪些終端遵從策略，判斷哪些終端是否允許安全訪問企業(yè)核心資源。非遵從性客戶端會定向至修復(fù)服務(wù)器，通過下載必需的終端安全軟件、補丁程序及病毒定義更新等使客戶端計算機保持遵從性。

遠(yuǎn)程技術(shù)支持：360天擎遠(yuǎn)程技術(shù)支持模塊可以滿足企業(yè)技術(shù)支持需求，終端或者管理控制中心在必要時均可以發(fā)起遠(yuǎn)程的請求，待終端同意后就可以建立一對一的連接并提供必要的服務(wù)了。

日志報表查詢：支持對終端安全日志、漏洞修復(fù)、病毒日志、木馬查殺、插件清除、系統(tǒng)危險項等的報表統(tǒng)計。能夠從終端、全網(wǎng)、分組等多維度，以及圖表、數(shù)據(jù)等多視圖角度進行統(tǒng)計和展現(xiàn)，同時支持報表的導(dǎo)出及打印。

邊界聯(lián)動防御：天擎系統(tǒng)可以與360的邊界防護設(shè)備——天眼威脅感知系統(tǒng)進行聯(lián)動，借助360天眼的深度檢測能力，結(jié)合360天擎在終端上的精確防御能力，實現(xiàn)對PC終端的攻擊防御，提高全網(wǎng)的安全防護能力。

華為AnyOffice移動安全平臺

華為從移動終端安全、網(wǎng)絡(luò)傳輸安全、應(yīng)用安全、敏感數(shù)據(jù)安全以及安全管理五個維度對移動終端進行全方位防護，幫助企業(yè)在BYOD的高效率與信息安全之間找到最佳平衡點。華為AnyOffice移動安全平臺圍繞身份和設(shè)備可識別（Identity）、數(shù)據(jù)不泄密（Privacy）和設(shè)備可管理（Compliance）三個關(guān)鍵點，為企業(yè)用戶提供業(yè)界最廣泛的安全性和最簡單易用的管理方案。

1.產(chǎn)品設(shè)計原理

AnyOffice的設(shè)計思想是充分開放、做強能力，為開發(fā)者提供最豐富的企業(yè)級安全平臺能力。AnyOffice遵循云、管、端架構(gòu)。其中端部分既有獨立App模式，也提供嵌入到各App的SDK模式；管道側(cè)提供軟件或電信級嵌入式硬件形態(tài)的安全網(wǎng)關(guān)；云側(cè)提供統(tǒng)一管理平臺，支持企業(yè)部署和云部署模式。

AnyOffice平臺對于App開發(fā)者來說，提供了豐富的接口，包括原生接口、C接口供開發(fā)者集成，也支持WebView的安全接管。不管開發(fā)者用安卓、iOS的原生語言，還是用C語言，或HTML5語言，均能獲得AnyOffice提供的企業(yè)級安全能力。

AnyOffice平臺致力于讓安全能力更強、接口更豐富外，還大力提升了易集成性。華為進行了大量API接口的開放，不斷提高API的易用性，持續(xù)降低用戶在移動應(yīng)用集成安全能力上的工作量和成本；經(jīng)過優(yōu)化，當(dāng)前只需要幾小時就能完成API的集成工作。

圖2 組件之間的關(guān)系圖

平臺提供一個統(tǒng)一的移動安全客戶端AnyOffice。AnyOffice作為單一的移動客戶端，是用戶和網(wǎng)絡(luò)、應(yīng)用的唯一交互界面，簡潔的客戶端可降低管理和維護復(fù)雜度。同時，AnyOffice客戶端也是一個安全的移動辦公工作平臺，以O(shè)ne-agent的模式集成了安全沙箱、安全郵件客戶端、安全瀏覽器、移動終端管理（MDM）軟件、L3VPN客戶端、虛擬桌面等一系列應(yīng)用，可滿足移動辦公的通用需求，保障企業(yè)員工安全、便捷、高效地接入和訪問企業(yè)內(nèi)網(wǎng)。

另 外，AnyOffice具 備環(huán)境感知特性，可通過與網(wǎng)絡(luò)側(cè)的接入控制網(wǎng)關(guān)SACG（Security Access Control Gateway）和SVN SSL VPN網(wǎng)關(guān)聯(lián)動，實現(xiàn)用戶在公司內(nèi)、外網(wǎng)的智能感知，無縫切換應(yīng)用安全策略，帶給用戶一致性體驗。

2.產(chǎn)品相關(guān)組件及功能

AnyOffice安全平臺的解決方案主要包含三個組件：AnyOffice客戶端，SVN安全接入網(wǎng)關(guān)，MDM數(shù)據(jù)服務(wù)器。三個組件之間的關(guān)系如下圖2所示。

第一，AnyOffcie客戶端。該客戶端是一款安裝在移動終端上的客戶端軟件?；贏nyOffice安全工作臺，集成了安全瀏覽器、安全郵件、移動終端管理（MDM）客戶端等一系列華為自研應(yīng)用，可滿足移動辦公的通用需求，保障企業(yè)員工安全、便捷、高效地接入企業(yè)內(nèi)網(wǎng)。AnyOffice客戶端支持當(dāng)前流行的Android、IOS智能終端操作系統(tǒng)，允許根據(jù)企業(yè)實際需求增減第三方應(yīng)用。AnyOffice客戶端通過沙箱技術(shù)，實現(xiàn)了個人數(shù)據(jù)與企業(yè)數(shù)據(jù)的安全隔離，解決了個人和企業(yè)應(yīng)用、數(shù)據(jù)混合帶來的數(shù)據(jù)泄密和病毒感染等風(fēng)險。

第二，SVN安全接入網(wǎng)關(guān)。主要包括SVN2230-M/2260-M/5530-M/5560-M（簡稱SVN）四個型號，是華為推出的優(yōu)秀VPN網(wǎng)關(guān)設(shè)備。設(shè)備提供豐富的認(rèn)證手段和靈活的訪問授權(quán)控制手段，包括VPNDB本地認(rèn)證、LDAP/AD/RADIUS/SecureID第三方認(rèn)證、數(shù)字證書認(rèn)證、終端硬件特征綁定以及多種認(rèn)證方式的組合認(rèn)證。設(shè)備具有強大的移動辦公安全接入能力，通過與AnyOffice客戶端建立L3/L4VPN加密隧道，保證數(shù)據(jù)及應(yīng)用傳輸?shù)陌踩?。同時，SVN支持通過全面的準(zhǔn)入檢查機制來保證接入終端的合規(guī)性，避免不合規(guī)終端接入企業(yè)網(wǎng)絡(luò)而引起的安全隱患。

第三，MDM數(shù)據(jù)服務(wù)器。由數(shù)據(jù)庫服務(wù)器和Web應(yīng)用服務(wù)器組成。數(shù)據(jù)庫服務(wù)器用于存儲資產(chǎn)管理等數(shù)據(jù)，Web應(yīng)用服務(wù)器用于存儲應(yīng)用程序包。SVN需要通過Web應(yīng)用服務(wù)器中轉(zhuǎn)才能訪問數(shù)據(jù)庫服務(wù)器。MDM數(shù)據(jù)服務(wù)器易于搭建和維護，可由企業(yè)提供通用的硬件平臺進行安裝。

北信源內(nèi)網(wǎng)安全管理及補丁分發(fā)（VRVEDP）系統(tǒng)

北信源公司通過對國內(nèi)和國外近幾年來計算機終端管理技術(shù)和發(fā)展趨勢的研究，將政府和企業(yè)內(nèi)部網(wǎng)絡(luò)終端安全管理概括的從終端狀態(tài)、行為、事件三個方面來進行防御，研制出北信源內(nèi)網(wǎng)安全管理及補丁分發(fā)系統(tǒng)軟件，簡稱VRVEDP系統(tǒng)。

1.產(chǎn)品設(shè)計原理

圖3 VRVEDP系統(tǒng)核心功能

VRVEDP系統(tǒng)遵循網(wǎng)絡(luò)防護和端點防護并重的理念，對網(wǎng)絡(luò)安全管理人員在網(wǎng)絡(luò)管理、終端管理過程中所面臨的種種問題提供解決方案，實現(xiàn)內(nèi)部網(wǎng)絡(luò)終端的可控管理，并能夠支持多級級聯(lián)廣域網(wǎng)架構(gòu)，達(dá)到最佳的管理效果。

VRVEDP系統(tǒng)強化了對網(wǎng)絡(luò)計算機終端狀態(tài)、行為以及事件的管理，它提供了防火墻、IDS、防病毒系統(tǒng)及專業(yè)網(wǎng)管軟件所不能提供的防護功能，對它們管理的盲區(qū)進行監(jiān)控，擴展成為一個實時的可控內(nèi)網(wǎng)管理平臺，并能夠同其他安全設(shè)備進行安全集成和報警聯(lián)動。

VRVEDP系統(tǒng)同英特爾公司Intel vPro（AMI）平臺有著密切的技術(shù)合作，涉及終端補丁修補、資源管理、遠(yuǎn)程管理、狀態(tài)監(jiān)控、策略制訂、訪問控制和安全審計等主動式集成管理技術(shù)。VRVEDP系統(tǒng)核心功能如下圖3所示。

2.VRVEDP系統(tǒng)模塊及功能

VRVEDP系統(tǒng)由8個部分組成：管理信息庫、Web中央管理平臺、區(qū)域管理器、注冊程序、補丁下載服務(wù)器、管理器終端保護模塊、報警中心模塊等。下面依次進行介紹。

管理信息庫：系統(tǒng)信息和網(wǎng)絡(luò)設(shè)備信息數(shù)據(jù)庫，包括系統(tǒng)組件（區(qū)域管理器、設(shè)備掃描器、Web中央管理平臺等）信息、系統(tǒng)運行配置參數(shù)（管理區(qū)域、運行參數(shù)、補丁分發(fā)等）信息、網(wǎng)絡(luò)終端對象（設(shè)備信息、設(shè)備變化信息、報警信息等）信息。

區(qū)域管理器：系統(tǒng)數(shù)據(jù)處理中心，與管理信息庫通訊，接受終端對象注冊程序采集過來的信息，并存入數(shù)據(jù)庫；接受來自控制臺的命令操作，發(fā)送到終端、掃描器執(zhí)行。對于存在多級管理要求的廣域網(wǎng)，網(wǎng)絡(luò)中可以存在多個區(qū)域管理器，系統(tǒng)數(shù)據(jù)提供逐級上報（轉(zhuǎn)發(fā)）設(shè)置模式。區(qū)域管理器內(nèi)置網(wǎng)絡(luò)掃描器，掃描器將設(shè)備最新狀態(tài)信息報送至區(qū)域管理器，由區(qū)域管理器處理后，同數(shù)據(jù)庫中原有信息進行遍歷搜索對比，根據(jù)管理規(guī)則在管理平臺上報警。網(wǎng)絡(luò)掃描器配合區(qū)域管理器進行工作，可以在分級模式下使用；掃描器只依據(jù)Web管理平臺中配置的工作范圍進行掃描，超越其范圍，將不負(fù)責(zé)執(zhí)行操作。

Web中央管理臺：本系統(tǒng)的管理配置中心，基于IE瀏覽器模式提供對系統(tǒng)的控制管理，中央管理臺由三個部分構(gòu)成：系統(tǒng)配置與信息查詢模塊、策略中心制訂模塊、補丁檢測中心模塊。Web中央管理臺管理內(nèi)容包括：①配置管理：區(qū)域管理器（掃描器）、注冊終端程序、系統(tǒng)策略中心等的運行配置參數(shù)設(shè)定；②信息查詢：查看網(wǎng)絡(luò)設(shè)備信息、報警信息等；③策略制訂：制訂終端系統(tǒng)應(yīng)用安全策略，分發(fā)至各網(wǎng)絡(luò)終端對象執(zhí)行；④補丁檢測：進行終端對象的操作系統(tǒng)漏洞檢測提示，并提供補丁下載。

終端注冊程序：系統(tǒng)終端管理程序，采集終端設(shè)備資產(chǎn)信息，檢測終端狀態(tài)行為等信息，執(zhí)行管理控制臺分發(fā)的各種安全策略，并將終端違規(guī)信息報送控制臺。終端注冊程序功能包括：終端桌面信息監(jiān)測、終端安全狀態(tài)信息審計、終端系統(tǒng)補丁檢測、執(zhí)行管理臺下發(fā)的安全策略、阻斷本機聯(lián)網(wǎng)狀態(tài)等。

圖4 UEM系統(tǒng)架構(gòu)圖

補丁下載服務(wù)器：安裝在與Internet網(wǎng)絡(luò)連接的機器上，實時下載補丁廠商發(fā)布的補丁。

管理器終端保護模塊：輔助模塊，該模塊可對重要計算機端口、網(wǎng)絡(luò)協(xié)議、通訊IP范圍以及其他網(wǎng)絡(luò)應(yīng)用進行安全配置，防止計算機收到惡意的IP沖突和各種網(wǎng)絡(luò)、病毒攻擊等威脅，確保計算機實時無干擾運行。

報警中心模塊：輔助模塊，系統(tǒng)綜合違規(guī)報警信息平臺，匯總本系統(tǒng)中所有安全報警事件信息，選擇報警方式，其中包括電子郵件、信使服務(wù)、SNMP Trap、手機短信等多種報警方式。

中軟統(tǒng)一終端安全管理系統(tǒng)

中軟統(tǒng)一終端安全管理系統(tǒng)（CSS United End-Point Management System，簡稱UEM）是中軟公司在對企業(yè)內(nèi)網(wǎng)安全管理展開全面調(diào)查的基礎(chǔ)上，創(chuàng)造性地形成了一套完備的終端安全一體化解決方案。

1.產(chǎn)品設(shè)計原理及架構(gòu)

UEM系統(tǒng)是以“木桶原理”為理論依據(jù)，以安全策略為驅(qū)動，按照PDR安全模型的“保護-檢測-響應(yīng)”工作流程循環(huán)檢測，同時結(jié)合保密規(guī)定的“等級保護”指導(dǎo)方針，采用多種安全技術(shù)實現(xiàn)了對終端主機全方位、多層次的安全防護。按照“保護-檢測-響應(yīng)”的工作流程逐步完善終端安全防護策略，并將事件處理方式和處理流程登錄到用戶知識庫，逐步形成內(nèi)網(wǎng)事故應(yīng)急響應(yīng)流程和共享安全解決方案的知識庫。

系統(tǒng)分為三個組件：客戶端、服務(wù)器和控制臺，系統(tǒng)采用分布式監(jiān)控，集中式管理的工作模式。組件之間采用C/S工作模式，組件的通信是采用HTTP/HTTPS加密傳輸方式。支持任意層級的服務(wù)器級聯(lián)，上下級服務(wù)器之間采用HTTPS協(xié)議進行數(shù)據(jù)交換，系統(tǒng)體系架構(gòu)如下圖4所示。

客戶端：安裝在受保護的終端計算機上，實時監(jiān)測客戶端的用戶行為和安全狀態(tài)，實現(xiàn)客戶端安全策略管理。一旦發(fā)現(xiàn)用戶的違規(guī)行為或計算機的安全狀態(tài)異常，系統(tǒng)及時向服務(wù)器發(fā)送告警信息，并執(zhí)行預(yù)定義的應(yīng)急響應(yīng)策略。

服務(wù)器：安裝在專業(yè)的數(shù)據(jù)服務(wù)器上，需要數(shù)據(jù)庫的支持，通過安全認(rèn)證建立與多個客戶端系統(tǒng)的連接，實現(xiàn)客戶端策略的存儲和下發(fā)、日志的收集和存儲。上下級服務(wù)器間基于HTTPS進行通信，實現(xiàn)組織結(jié)構(gòu)、告警、日志統(tǒng)計信息等數(shù)據(jù)的搜集。

控制臺：人機交互界面，是管理員實現(xiàn)對系統(tǒng)管理的工具。通過安全認(rèn)證建立與服務(wù)器的信任連接，實現(xiàn)策略的制定下發(fā)以及數(shù)據(jù)的審計和管理。

2.UEM系統(tǒng)功能

UEM系統(tǒng)包含基本功能和可選功能，默認(rèn)情況下只提供基本功能，可選功能由產(chǎn)品License控制。

基本功能：包括用戶身份認(rèn)證、網(wǎng)絡(luò)訪問控制、非法外聯(lián)控制、接口外設(shè)管理、移動存儲介質(zhì)管理、CDROM/CDRW/刻錄機的控制、輔助硬盤的控制及打印機管理。這八項基本功能主要是針對用戶使用終端權(quán)限的一些基本控制，如果需要更高層級的終端保護功能，就必須選配其他功能模塊。下面將對可選功能進行介紹。

可信移動存儲介質(zhì)管理：該功能實現(xiàn)了用戶對移動存儲介質(zhì)管理的要求，對可信移動存儲介質(zhì)從購買到銷毀的整個生命周期進行管理和控制。

終端接入管理：對接入內(nèi)網(wǎng)的計算機進行統(tǒng)一的管理，未經(jīng)許可的計算機不能接入內(nèi)網(wǎng)，主要功能包括終端接入認(rèn)證、終端安全檢查和內(nèi)網(wǎng)安全掃描。

補丁管理與軟件分發(fā)管理：統(tǒng)一配置終端計算機的補丁管理策略，實現(xiàn)對系統(tǒng)補丁狀況的掃描，自動完成補丁分發(fā)；規(guī)劃企業(yè)統(tǒng)一分發(fā)的軟件安裝包，按照統(tǒng)一的軟件分發(fā)策略，自動完成企業(yè)軟件的部署。

終端安全運維管理：按照統(tǒng)一的安全策略監(jiān)控客戶端的運行狀況，通過軟件自動分發(fā)和軟硬件資產(chǎn)的統(tǒng)一管理大大節(jié)約了企業(yè)信息系統(tǒng)的維護成本，通過系統(tǒng)遠(yuǎn)程幫助控制實現(xiàn)遠(yuǎn)程維護計算機，清除系統(tǒng)故障。

遠(yuǎn)程管理：通過終端用戶與服務(wù)器相互授權(quán)的機制建立終端與服務(wù)器之間的信任通信體系，管理員通過服務(wù)器實現(xiàn)對終端用戶提供實時幫助的功能。

安全存儲與傳輸管理：具體包括加密文件夾、硬盤保護區(qū)和文件安全分發(fā)三項功能。加密文件夾為終端用戶提供了個人文件加密存儲的文件服務(wù)。硬盤保護區(qū)是在本地硬盤上提供一個或多個安全存放本地敏感文件的加密存儲空間。文件安全分發(fā)實現(xiàn)了文件在指定范圍內(nèi)的自動加密或自動解密，在指定范圍外的用戶不能共享這些加密文件。

安全文檔管理：基于透明加解密技術(shù)，在客戶終端上實施對客戶文件的透明加密、透明解密，有效防止內(nèi)部和外部竊取機密的行為，從根本上解決泄密防范問題。

結(jié)語

隨著信息技術(shù)的進一步發(fā)展，終端安全在企業(yè)安全中的地位將會變得越來越重要，希望本專題能夠引起企事業(yè)單位對終端安全的重視，也希望讀者朋友能夠從此專題中得到幫助。