01方案架構

圖1：方案架構圖

安天遠程辦公綜合解決方案以零信任架構為基礎，協助客戶重構虛擬安全邊界，并提供更加安全的應用訪問環境和內網安全監測與遠程安全響應措施。方案由零信任應用安全交付、終端安全防護、內網安全監測、遠程應急響應和定制可視化指揮艙等部分組成，為政企機構遠程辦公業務場景的接入使用、安全管理、安全監測、安全處置、安全決策提供全方位安全能力支撐。

• 為遠程接入用戶提供多維安全防護的終端環境，保障安全的遠程辦公環境；

• 為企業內網及業務系統提供統一身份、多因子認證、單點登錄和鏈路透明加解密等措施，保障應用訪問入口安全；

• 為企業安全管理者提供基于身份、狀態、行為、內容的零信任策略手段，構建應用訪問控制策略的動態管控能力；

• 為企業安全管理者提供深度威脅檢測和分析措施，增強內網安全監測管控與高級威脅發現能力；

• 為企業安全處置人員提供遠程應急響應、威脅檢測、分析、處置、取證等配套工具，構建遠程應急處置通道；

• 為企業管理者提供員工行為畫像、信譽評估等整體安全態勢，按需打造可視化指揮艙支撐企業安全決策。

為解決遠程辦公員工異構終端的內網接入和遠程接入的便利性及安全性等問題，安天移動安全公司推出智信系列產品。基于智信零信任應用安全交付系統，在零信任安全架構基礎上協助客戶構建企業動態虛擬安全邊界，為企業提供安全可靠的應用訪問環境。通過統一身份認證、單點登錄、鏈路透明加解密為企業提供應用統一安全入口，相比傳統VPN更加安全便捷；通過web應用移動化、終端環境檢測助力企業低成本構建安全移動辦公環境；通過基于身份、狀態、行為、內容的零信任策略，保障應用訪問安全性；基于數字水印、文檔不落地、郵件代理等技術保障企業數據資產全生命周期安全。

圖2：智信零信任應用安全交付系統

安天智信零信任應用安全交付系統包括智信安全工作空間、智信應用安全交付網關、零信任策略優化平臺三個部分。

【智信安全工作空間】

智信安全工作空間適用于具有Web應用的企業，通過智信安全工作空間，用戶可在PC或手機上登錄公司Web應用。針對已有移動App的企業，通過集成智信SDK即可實現多個App單點登錄和全面的移動終端安全防護。

圖3：智信安全工作空間

【智信應用安全交付網關】

安天智信應用安全交付網關，可對企業Web應用或App接口進行代理，通過統一身份認證，結合動態策略來調整員工訪問應用的權限，保障應用訪問的安全性，防止非授權應用訪問內網、非授權用戶訪問內部應用和數據。

圖4：智信應用安全交付網關

【零信任策略優化平臺】

零信任策略優化平臺收集終端和網關側的數據，對企業資產情況，如應用、文件下載、文件分享、郵件附件的安全情況進行感知，對人員身份數據，如訪問記錄等進行統計和分析；基于機器學習算法動態分析用戶的行為，及時動態調整異常判斷策略，并根據動態策略分析出用戶異常行為作為報告和數據可視化展示，保障企業的安全態勢并為企業提供決策建議。

圖5：策略管理界面

在大面機遠程辦公條件下，員工配發的便攜機長時間暴露在互聯網之上，更存在部分員工需要使用個人電腦，甚至家庭公用電腦辦公的需求。面對遠程辦公環境下主機不可控、接入條件不可控、使用者不可控的難題。

針對PC遠程辦公終端，安天快速定制了智甲終端防御系統SOHO版。智甲終端防御系統內置安天自主研發的下一代威脅檢測引擎，基于黑白雙控模式，為非受控的遠程辦公主機提供惡意代碼檢測與查殺、安全加固、補丁升級、主防策略配置、主機防火墻、應用程序網絡訪問管控、U盤和外設管控等安全防護能力，切實保障本地環境安全。

圖6：安天智甲終端防御系統客戶端主界面

• 終端加固——有效提高客戶辦公環境的威脅對抗能力

智甲通過內核級主防驅動執行安全策略，對終端運行狀態進行約束，通過建立程序白名單、服務白名單、網絡白名單、啟動項白名單等多種策略，有效阻止終端非授信程序對本地數據的訪問和修改。此外，產品還能限制外設使用、藍牙、網絡共享等操作，以此降低數據外泄以及遭受病毒入侵的可能。同時，智甲參考STIG配置標準制定默認安全策略模板，最大化發揮系統自身內置安全能力。

• 主機防火墻——有效防護各類網絡威脅

智甲內置主機防火墻，對主機流量進行雙向過濾，有效攔截各種網絡掃描、嗅探攻擊，對終端各程序的網絡訪問進行檢測，一旦發現連接惡意地址，自動阻斷并告警。網絡管理員可以制定接入網絡白名單機制，如進行VPN連接時，可以阻斷其它未知網絡連接，只允許確定性的程序訪問內網資源等等。

• 惡意代碼防護——有效防護各類已知和未知病毒

智甲內置安天下一代威脅檢測引擎，可有效對各類病毒、蠕蟲、木馬、感染式病毒進行查殺，針對格式溢出、簽名偽造等APT攻擊載荷能力突出。針對勒索病毒，智甲能夠通過智能行為檢測、程序身份識別等多種方式對各類勒索病毒進行動態防護。

針對移動智能辦公終端，安天移動安全公司推出了智信APP，構建了移動端安全工作空間，在提供統一安全訪問入口的同時，充分發揮安天移動安全領域的優勢能力，為移動終端提供惡意代碼檢測、Wi-Fi熱點檢測、短信/二維碼 URL檢測、數據泄露/間諜軟件檢測等方面的安全防護能力。

遠程辦公員工的大量內網接入和業務系統交互需求，加大了安全威脅的內網傳播、橫向移動和遭受高級威脅攻擊的風險，針對內網的安全監測管控，安天基于探海威脅檢測系統和追影威脅分析系統組合聯動，為客戶提供基于網絡流量深包檢測和文件動靜態深度分析的能力，幫助客戶快速精準的發現內網安全威脅，增強高級威脅發現能力。

圖8：探海追影協同聯動

• 多層次多維度檢測，提升威脅發現能力

從包、流、會話、協議元數據、網絡行為、文件、文件行為等多個層次對采集的數據進行檢測，發現處于不同攻擊階段的威脅活動。

• 豐富的協議解析及全要素留存，支撐威脅追溯能力

對常見協議進行識別與細粒度解析，采集網絡元數據、應用層傳輸要素、載荷行為要素、威脅判定要素以及內置大量知識化標簽和自定義標簽等要素信息，并進行全要素的留存，為后續威脅分析溯源提供全面的數據支撐。

• 場景化規則能力，構建攻擊者難以預知的檢測策略

用戶可基于探海留存的全要素記錄，依據自身的流量情況、網絡業務、安全目標等場景特點，通過組合不同的要素對象，自定義場景檢測規則，形成不同客戶、不同部署場景下檢測能力的針對性和差異性，增加攻擊者繞過成本，提升對高級威脅的檢測能力。

• 動靜態綜合分析，有效檢出高級威脅

追影采用靜態、動態結合的分析手段，內置多種分析鑒定器，配合獨有的智能學習功能，可主動發現未知威脅，有效檢測未知漏洞利用、免殺木馬、商業軍火、A2PT組織的專用木馬等。

• 細粒度向量拆解，支撐威脅情報生產

  追影可以提取超過3000種細粒度的向量特征，這些分析數據可用于揭示惡意代碼的威脅行為和線索，為威脅檢測產品持續提供彈藥，并為后續分析提供數據支撐。

安天拓痕應急處置工具能夠為客戶提供遠程協助。遠程協助工具為軟硬件結合設備，由專用遠程硬件設備、遠程協助服務器、專家端軟件程序三者組成立體化遠程安全協助體系。企業安全專家團隊可通過第二通道遠程操作已斷網并疑似失陷的目標主機，且無需為主機安裝任何應用。遠程專家和現場人員協同處置既降低了現場人員的技能要求，又極大的提高了應急事件的處置效率及處理能力，可第一時間對隱患進行排查并實施緩解措施，有效遏制因威脅事件的迅速擴散給客戶帶來損失擴大等問題。

圖9：遠程響應處置示意

拓痕工具箱長期作為安天工程師的處置裝備，并列裝國家相關部門。產品組件融合了安天在安全監測與處置、流量安全分析、惡意代碼行為分析及應急響應積累的技術和能力，有效支撐應急響應處置，提升威脅獵殺的效果。

• 全自動檢測處置

提供一鍵自動檢查，基于安天反病毒引擎和內核級處置模塊的惡意代碼查殺處置機制，形成有效對抗惡意代碼的自我保護機制。

• 人工輔助檢測處置

拓痕處置工具建立處置現場與后方專家團隊的技術通道，專業指導運維人員展開應急處置工作，保障業務系統穩定運行。

疫情期間，各單位面臨著一面抓防疫，一面漸進有序復工生產的壓力，同時又要兼顧網絡安全威脅。安天編寫的“機構人員分布和返程分析工具”，在幫助各單位梳理員工的健康情況和節后返崗情況、幫助各單位安排好人員返程和開工工作等方面，為機構客戶的整體指揮決策提供了較好的參考和輔助作業，獲得廣泛好評。

圖10：機構人員分布和返程分析

從政企機構遠程辦公安全綜合防護的角度出發，安天可基于客戶場景和個性化需求，將遠程辦公的員工情況、遠程辦公的安全情況等結合起來，為客戶定制“可視化指揮艙”，協助客戶掌控遠程辦公安全態勢，并充分復用傳統IT運維決策基礎設施（可視化大屏等），形成特殊時期的整體指揮艙。

安天擁有自主領先的威脅監測分析能力，在PC場景和移動場景威脅檢測與防護能力有長期積累，在主機安全檢查與加固、主動防御和Wi-Fi安全、短信安全、掃碼安全、數據隱私安全等方面能力基礎深厚。

• 多場景動態策略管控

基于零信任安全架構，提供基于用戶身份、行為、內容、環境的動態安全訪問控制策略，內置多種安全策略模型，可基于場景需要靈活配置和選擇。

• 多端協同保障數據安全

覆蓋“訪問、交互、傳輸、存儲”立體化數據安全防護，基于國密算法的鏈路加密，擁有終端防截屏、防復制粘貼、基于身份的透明水印、文檔不落地瀏覽等功能；以及終端手機數據加密，關鍵數據使用白盒密鑰加密，服務端數據存儲加密等功能。

• 高效率遠程響應處置

通過遠程協助工具建立起處置現場與遠程專家團隊的技術通道，高效實現技術能力的最大輸出。

• 靈活交付快捷上線

靈活的交付模式適合不同的部署場景，不影響現有網絡結構，支持多種認證方式，無改造單點登錄，一鍵生成移動端應用，PC環境良好適配低占用。