1、 0201 目录 contents 01/ 02/ 03/ 04/ 05/ 06/ 07/ 08/ 09/ 10/ 11/ 常见漏洞解决措施 安全检测及评估指标 安全管理策略及隐私 典型的安全防护场景 附录 概述 信息安全现状 商业智能的安全总体策略 设备及网络通信安全 应用及数据安全 移动端安全 03 05 08 10 13 18 21 23 27 30 33 商业智能安全白皮书 0403 01/ 概述 依据 中华人民共和国计算机信息系统安全保护条例 ( 国务院 147 号令 )、 国家信息化领导小组关于 加强信息安全保障工作的意见 ( 中办发 200327 号 )、 关于信息安全等级保护工

2、作的实施意见 ( 公通字 200466号)和 信息安全等级保护管理办法 (公通字200743号)、信息系统安全等级保护基本要求 (GB/ T 22239-2008)， 制定本白皮书。 本白皮书是中国商业智能产品 （以下简称 BI 产品） 的安全标准参考指南， 也是帆软商业智能系列产品 （FineBI、 FineReport） 的安全框架和标准。 本白皮书在现行通用的国内外安全技术类标准的基础上， 主要参考 信息系统安全等级保护基本要求 ， 并 根据国内外主流商业智能产品的技术标准和产品情况， 提出了 BI 软件整体安全的保护要求规范， 即安全管 理策略和隐私、 设备及网络通信安全、 应用及数据

3、安全、 移动端安全， 同时对帆软产品的安全特性及场景做了 详细的说明。 本白皮书适用于企业评估选型商业智能产品， 也适用于指导和规范帆软商业智能产品的规划、 设计、 交付 和相关解决方案在安全领域的程序和标准。 概述 01 商业智能安全白皮书 0605 信息安全 现状 02 02/ 信息安全现状 信息安全是指为数据处理系统而采取的技术的和管理的安全保护， 保护计算机硬件、 软件、 数据不因偶 然的或恶意的原因而遭到破坏、 更改、 显露。 这里面既包含了层面的概念， 其中计算机硬件可以看作是物理层 面， 软件可以看做是运行层面， 再就是数据层面； 又包含了属性的概念， 其中破坏涉及的是可用性，

4、更改涉及的 是完整性， 显露涉及的是机密性。 来自 360、 阿里巴巴、 腾讯等互联网企业， 以及公安部、 工信部下属机构的监测数据显示： 2016 年监测到 的企业信息安全事件数量已超过万起， 较 2014 年增长了近十倍， 且这些安全事件均给企业带来了不同程度的 经济损失。 世界范围来看， 据相关机构统计， 全世界平均每分钟有 2 个企业因为信息安全问题而倒闭， 11个企业因为 信息安全问题造成造成大概八百多万的直接经济损失。 而目前监测到的安全事件只是冰山一角， 新型病毒传 染， 网络黑客攻击， 企业内鬼泄密等很多安全性事件要在潜伏很久之后才会被发现， 信息安全已经成为企业 不得不重视的

5、环节。 绝大多数 （主流） 的商业智能软件均为 Web 应用， Gartner 数据分析显示， 2/3 的 Web 应用都或多或 少存在着安全问题， 其中很大一部分甚至是相当严重的问题。 首先， 企业 Web 应用安全的重视程度不足， 安全意识落后， 安全措施和安全教育宣传的力度不够， 没有将 安全压力传导到 BI 厂商。 整体来看， 企业在信息化安全建设中存在三大误区。 一是重视硬件投入忽视软件投 入， 往往喜欢花高价钱买一堆硬件设备装置在机房里， 比如防火墙、 网关。 二是认为信息安全就是杀毒软件， 认 为装上了杀毒软件、 布上了防火墙就万事大吉了 ， 并没有意识到信息化软件本身的安全漏洞

6、所带来的风险。 三 是安全保密意识缺乏， 防泄密靠自觉。 事实上， 企业事业单位的信息化安全防泄密， 不管是病毒、 黑客等威胁 还是其它的因素， 最重要的原因， 都是人为因素造成的。 商业智能安全白皮书 0807 其次， 商业智能厂商也很少关注到安全的问题， 即当前绝大部分 BI 产品是不安全的， 一经扫描， 就可以发 现许多安全漏洞。 比如当前很多 BI 厂商都在使用 MD5 加密， 但 MD5 加密已经不够安全， 漏洞警报系统多 年前就已向安全专业人员发出过公共警告： MD5 应被视为已被破解的加密方式， 不适合继续使用。 对于安全 性要求高的企业， 是不允许使用 MD5 作为加密方式的。

7、 最后， 传统的操作系统由于逐渐成熟， 系统漏洞越来越难以利用， 攻击者的目标也从系统漏洞渐渐转移到 应用漏洞。 同时由于大多企业对 Web 应用安全的不重视， 当前存在漏洞的 Web 应用程序是很容易被攻击者 所利用， 最终导致用户的重要数据被篡改、 泄露或破坏。 OWASP组织 （开放式web应用程序安全项目） 在” TOP10 2017” 中公布了 2017 年的 “十大安全隐患列表” ， 其中列为第一的就是注入。 在使用有 SQL 注入漏洞的应用 的情况下， 就算用户在网络和服务器的安全上大量投入， 也无法真正意义上保护 Web 应用本身的安全， 因为 在网络层安全设备看来， 这都是正

8、常的访问连接， 因此， 通过简单的 SQL 注入语句， 就能实现轻易攻陷 Web 应用， 访问他们本没有权限的敏感数据。 所以， 在外部安全环境形势越来越严峻的形式下， 越来越多的企业开始重视自身信息系统的安全建设， 而 这也是必然趋势。 除了基本的安全宣传， 内外网隔离和安装相关安全防护软硬件等措施， 企业也对采购的相 关信息系统 （OA、 ERP、 CRM 等） 提出了更高的安全要求， 例如必须修复已知的安全漏洞， 提供第三方权威 机构的安全扫描检测报告， 在账户安全， 数据安全， 运营安全等方面提供完备的解决方案等。 商业智能的 安全总体策略 03 商业智能安全白皮书 1009 03/

9、商业智能的安全总体策略 BI 产品必须保证基本的安全要求 基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求， 根据实 现方式的不同， 基本安全要求分为基本技术要求和基本管理要求两大类。 技术类安全要求与信息系统提供的技术安全机制有关， 主要通过在信息系统中部署软硬件并正确地配置 其安全功能来实现， 这也是商业智能所必备的安全能力。 为了便于理解， 我们将基本技术要求分为设备及网络 通信安全、 应用及数据安全、 移动安全管理三个方面进行解读和阐述。 管理类安全要求与信息系统中各种角色参与的活动有关， 主要通过控制各种角色的活动， 从政策、 制度、 规 范、 流程

10、以及记录等方面做出规定来实现。 我们用安全管理策略及隐私来解读和阐述管理类安全要求。 设备及网络 通信安全 04 商业智能安全白皮书 1211 c. 应具有登录防暴力破解功能， 如登陆失败结束会话、 限制非法登录次数和当网络登录连接超时自动 退出等措施； d. 应对网络设备的管理员登录地址进行限制。 4.2.2 网络边界安全 a. 应在网络边界部署访问控制设备， 启用访问控制功能； b. 应在网络边界处监视以下攻击行为： 端口扫描、 强力攻击、 木马后门攻击、 拒绝服务攻击、 缓冲区溢出 攻击、 IP 碎片攻击和网络蠕虫攻击等； c. 应能够对边界进行完整性检查， 对内网用户私自访问外网和非授

11、权用户私自访问内网进行有效阻断。 4.2.3 安全审计 a. 应对网络系统中的网络设备运行状况、 网络流量、 用户行为等进行日志记录； b. 审计记录应包括： 事件的日期和时间、 用户、 事件类型、 事件是否成功及其他与审计相关的信息； c. 应能够根据记录数据进行分析， 并生成审计报表； d. 应对审计记录进行保护， 避免受到未预期的删除、 修改或覆盖等。 4.2.4 HTTPS 通信 a. 经由 HTTPS 进行通信， 利用 SSL/TLS 加密数据包， 防止获取网站账户及隐私信息； b. HTTPS 服务端证书可提供网站服务器的身份认证， 用于验证站点所有者身份， 保护交换数据的隐私 及

12、完整性； c. HTTPS 客户端证书可提供客户端身份标识的认证， 用于识别客户端或用户的身份， 向服务器验证， 精准确定访问者身份； d. 服务端、 客户端双向认证， 避免匿名通信， 确保通信双方身份一致， 彼此信任。 04/ 设备及网络通信安全 4.1 设备安全 4.1.1 入侵防范 a. 应对 BI 应用服务器进行安全加固， 能够检测到对其的入侵行为， 记录入侵 IP、 攻击类型、 攻击目的、 攻击时间等关键信息， 并在发生严重入侵事件时提供报警； b. 应对 BI 应用服务器安装防恶意代码软件， 并及时更新防恶意代码软件和恶意代码库。 4.1.2 身份鉴别 a. 应对登录 BI 应用服

13、务器操作系统的用户进行身份鉴别； b. 应对登录失败进行必要的限制， 如结束会话、 限制非法登录次数和自动退出等； c. 应对服务器远程管理采取必要措施， 防止鉴别信息在网络传输过程中被监听； d. 应对登录 BI 应用服务器操作系统的不同用户分配不同的用户名， 同时采用两种或两种以上组合的鉴 别技术对管理用户进行身份鉴别。 4.1.3 访问控制 a. 应对访问 BI 应用服务器的用户进行访问控制， 控制其对资源的访问； b. 应及时删除多余、 过期的账户， 避免出现共享账户； c. 应对允许登录服务器的终端进行条件限制。 4.1.4 安全审计 a. 审计范围应覆盖到协同管理软件服务器和重要客

14、户端上的每个操作系统用户和数据库用户； b. 审计内容应包括重要用户行为、 系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关 事件； c. 应保护审计记录， 避免受到未预期的删除、 修改或覆盖等。 4.2 网络通信安全 4.2.1 网络设备防护 a. 应对登录网络设备的用户进行身份鉴别， 且用户的标识应唯一， 具有不易被冒用的特点； b. 主要网络设备应有两种及以上的鉴别技术来进行身份鉴别； 商业智能安全白皮书 1413 5.1 账户安全 商业智能软件应当提供身份安全、 访问控制和日志审计的安全机制来帮助客户保护账户安全以防止未授 权的用户进行操作。 5.1.1 身份安全 对登录用

15、户进行真实身份的鉴别， 可使用 “用户名 + 静态密码” 的方式， 支持使用 LDAP/AD 或 HTTP 认 证， 同时支持使用二次开发接口编写其他认证方式如 ADFS。 帆软数据分析平台在满足以上具体安全策略外， 还支持登录时提示上次登录地功能， 且支持单一登录， 开 启登录验证码后， 系统将在用户名和密码之外再增加额外一层安全保护。 应用 及数据安全 05 05/ 应用及数据安全 5.1.2 访问控制 为了保证信息和资源访问的安全， 防止对任何资源进行未授权的访问， 使系统在合法的范围内使用， 访问 控制是一项必不可少的技术， 它也是保护网络信息安全的最核心策略之一。 商业智能产品可采用

16、基于对象的 访问控制技术 （OBAC Model： Object-based Access Control Model） 。 OBAC 的核心是控制策略和控制规则， 在基于受控对象的访问控制模型中， 将访问控制列表与受控对象 或受控对象的属性相关联， 并将访问控制选项设计成为用户、 组或角色及其对应权限的集合； 同时允许对策略 和规则进行重用、 继承和派生操作。 从信息系统的数据差异变化和用户需求出发， 有效地解决了用户数量多、 数 据种类繁多、 资源更新变化频繁带来的系统安全管理难以维护的问题。 商业智能安全白皮书 1615 图示： OBAC 模型结构图 帆软数据分析平台 （决策系统） 对系

17、统权限采用 OBAC 基于对象的访问控制， 同时基于 OBAC 实现自主 访问控制和强制访问控制。 通过对角色、 部门、 用户授权， 确定用户的访问权限， 支持临时禁用账户， 同时对所 有资源访问都做权限验证， 避免了水平越权及垂直越权的问题。 5.2 应用安全 XSS 跨站脚本攻击、 木马上传、 SQL 注入、 cc 攻击等都是 Web 应用常见的安全问题， 如服务器端没有进 行适当的过滤处理， 极易引起用户敏感数据泄露、 系统瘫痪此类的问题。 对于这些常见的 OWASP 攻击， 商业智能软件应进行充分的防范。 结合帆软积累的方法经验， 有以下安全 防护策略可以应对。 5.3 数据安全 不管

18、是病毒、 黑客还是其他安全威胁， 其核心都是人为因素， 而人为因素本身， 以企业内部人员及商业间 谍的信息安全威胁最大。 商业智能软件作为数据展示的工具， 必须做好数据安全的防护工作， 以下为主要的 数据安全防护策略。 5.4 运维安全 5.4.1 审计日志 审计日志可以帮助审计人员对风险或违规操作进行审计， 也可以帮助更好的理解和诊断安全状况。 帆软使 用自主研发的 swift 引擎进行日志存储， 在保证性能的同时确保管理员无法对日志进行删除和修改。 商业智能安全白皮书 1817 5.4.2 密码审计 提供密码强度限制， 可以自行配置对于密码强度的限制， 设置后将不允许使用弱口令作为缺省密码

19、。 管理 员可通过设置强制用户进行定期密码修改。 帆软 BI 产品也支持密码防暴力破解， 当某 IP 或用户出现多次登 录密码错误时， 将对用户或 IP 进行锁定， 并提供给管理员查看及解锁的地方， 保证用户登录信息的安全。 5.4.3 备份还原 商业智能产品应当具备备份还原的功能， 确保系统发生故障或被恶意更改后可进行恢复。 如帆软 BI 产品 自带备份工具， 会定期自动对应用系统进行备份， 也可自行修改备份频率。 移动端安全 06 商业智能安全白皮书 2019 当前是移动互联网时代， 移动端安全也是商业智能产品安全防护的重中之重。 在保障移动端安全上， 一般 通过身份安全、 数据安全、 代

20、码安全、 网络通信安全、 客户端运行安全、 安全审计等多方面来实现安全保障。 6.1 身份安全 帆软 BI 移动端 （FineMobile） 应对登录用户进行身份唯一性标识和鉴别， 对终端常见的攻击手段提供 相应的安全保护策略。 6.2 数据安全 通过授权体系和客户端本地数据安全的方式， 保障数据安全。 帆软 BI 移动端的资源及数据授权体系继承于 PC 端， 其能力和安全防护标准均一致。 此外， 帆软可以在 平台目录级的控制上， 对移动端和 PC 端分别授权。 在保障客户端本地数据安全上， 主要有以下两点策略。 06/ 移动端安全 6.4 网络通信安全 6.3 客户端运行安全 保障客户端运行

21、安全， 核心是对 Activity 的劫持保护。 移动端需要对于重要页面有提示功能。 如发现登 录页 Activity被劫持， 会弹出提示， 防止被恶意攻击者替换上仿冒的恶意 Activity界面进行攻击和非法用途。 6.5 安全审计 用户行为会进行日志记录， 内容包括 （用户行为的日期和时间、 用户、 事件类型等） ， 日志信息可以区分行 为终端是移动端还是 PC 端， 并能根据记录数据进行分析， 生成审计报表。 商业智能安全白皮书 2221 开放网页应用安全计划 (OWASP) 定期会发布十大最关键 Web 应用安全风险， 商业智能则 必须提供相应的解决措施， 才能保护自己的应用。 07/

22、 常见漏洞 （OWASP TOP10 2017） 解决措施 常见漏洞 解决措施 07 商业智能安全白皮书 2423 安全检测 及评估指标 08 为方便评估商业智能产品的安全性， 特给出以下安全监测指标建议。 商业智能产品应当完成各项安全指 标的达标验证。 为确保系统完备的安全体系， 参照以下安全标准， 商业智能领域产品应完成各项安全指标的达标验证。 8.1 PC 端平台安全检测指标 帆软 BI 移动端 （FineMobile） 应对登录用户进行身份唯一性标识和鉴别， 对终端常见的攻击手段提供 相应的安全保护策略。 08/ 安全检测及评估指标 商业智能安全白皮书 2625 8.2 移动端安全检测

23、指标 商业智能安全白皮书 2827 09/ 安全管理策略及隐私 9.1 安全管理 相比于技术上的防护， 人们往往会容易忽略安全管理上的漏洞所带来的威胁， 而这部分带来的风险并不亚 于技术上的漏洞。 因此， 首先要加强安全教育， 引入安全意识， 将商业智能应用安全从源头开始防范。 9.1.1 安全管理部门 a. 应设立信息安全管理工作的职能部门， 设立安全主管、 系统管理员、 安全管理员和网络管理员等各个 方面的负责人， 并制定文件， 明确安全管理部门及各负责人的职责， 岗位管理制度应包括保密管理； b . 应配备专职安全管理员， 不可兼任， 且关键事务岗位应配备多人共同管理； c. 应根据各个

24、部门和职位的职责进行授权或分级授权， 并定期审查授权情况； d. 应加强各管理人员、 内部组织机构及安全职能部门的合作和沟通， 共同写作处理信息安全问题； e. 应加强与供应商、 专业的安全公司、 安全组织的合作和沟通； f. 安全管理员应定期进行安全检查， 包括日常运行， 系统漏洞和数据备份等， 并形成安全检查报告。 9.1.2 人员安全管理 a. 应对关键岗位人员任用前进行背景核查， 包括： 1、 个人身份核查； 2、 个人履历的核查； b. 应与关键岗位人员签订保密协议； c. 应建立安全培训制度， 定期对所有工作人员进行信息安全培训， 提高全员的信息安全意识； d. 应严格规范人员离岗

25、过程， 及时终止离岗员工权限， 关键岗位人员须承诺调离后的保密义务方可离开； e. 应确保外部人员访问事先提出书面申请， 批准后由专人陪同或监督， 并登记备案。 9.1.3 访问控制管理 a. 应建立包括物理和逻辑的系统访问权限管理制度； b. 根据人员职责分配不同的权限， 权限为满足工作需要的最小权限， 且未经明确允许的一律禁止； c. 应定期对权限进行检查， 如发现不恰当的权限设置应及时调整。 9.1.4 设施安全管理 a. 应由专门的部门或人员定期对机房供配电、 空调、 温湿度控制等设施进行维护管理； b. 应对信息系统相关设备、 线路等指定专门的部门或人员定期进行维护管理； c. 应对

26、终端计算机、 工作站、 便携机、 系统和网络等设备的操作和使用进行规范化管理， 按操作规程实 现主要设备 （包括备份和冗余设备） 的启动 / 停止、 加电 / 断电等操作； 安全管理策略 及隐私 09 商业智能安全白皮书 3029 d. 应根据安全等级和涉密范围， 对人员出入采取必要的技术与行政措施进行控制， 对人员进入和退出 的时间及进入理由进行登记等； e. 应确保信息处理设备必须经过审批才能带离机房或办公地点。 9.1.5 网络和系统安全管理 a. 应定期对网络和系统进行安全扫描和渗透测试， 并对发现的安全漏洞进行及时修补； b. 应进行计算机病毒等恶意代码的预防、 检测及系统被破坏后的

27、恢复措施； c. 应保证与所有外部设备的连接均得到允许授权； d. 应依据操作手册对系统进行维护， 详细记录操作日志， 包括重要的日常操作、 运行维护记录、 参数的 设置和修改等内容， 严禁进行未经授权的操作， 并定期对运行日志和审计数据进行分析， 以便及时发现异常 行为。 9.1.6 备份与恢复管理 a. 应识别需要定期备份的重要业务信息、 系统数据及软件系统等； b. 应建立备份与恢复管理相关的安全管理制度， 对备份信息的备份方式、 备份频度、 存储介质和保存期 等进行规范； c. 应根据数据的重要性和数据对系统运行的影响， 制定数据的备份策略和恢复策略， 备份策略须指明 备份数据的放置场

28、所、 文件命名规则、 介质替换频率和将数据离站运输的方法； d. 应建立控制数据备份和恢复过程的程序， 对备份过程进行记录， 所有文件和记录应妥善保存； e. 应定期执行恢复程序， 检查和测试备份介质的有效性， 确保可以在恢复程序规定的时间内完成备份的 恢复。 9.1.7 应急预案管理 a. 应在统一的应急预案框架下制定不同事件的应急预案， 应急预案框架应包括启动应急预案的条件、 应急处理流程、 系统恢复流程、 事后教育和培训等内容； b. 应从人力、 设备、 技术和财务等方面确保应急预案的执行有足够的资源保障； c. 应定期根据实际情况更新并开展应急演练。 9.2 隐私保护 商业智能产品应当

29、注重对用户的隐私保护， 遵守相关法律法规。 帆软严格遵守国家相关的法律法规， 不会侵犯客户的隐私， 仅为了提高产品对用户的服务质量和效率而收 集相关信息， 并将这些信息用于努力改善产品使用体验。 且帆软不会主动上传服务器的功能使用情况， 仅生成 行为数据文件保存在客户自己的服务器上， 客户可以主动提供， 帮助帆软改进产品。 典型的安全防 护场景 10 商业智能安全白皮书 3231 10/ 典型的安全防护场景 10.1 恶意访问防护 随着 “大数据” 一词大热， “爬虫” 也渐渐为大家所熟知， 对于企业而言， 被爬数据危害巨大。 有资料显示， 多家航空公司的低价机票数据被爬，然后被加价出售，对相

30、关企业造成了非常大的干扰，同时也扰乱了市场秩序。 同时， 和 cc 攻击一样， 由于对服务器进行大量的请求， 会导致服务器压力过大， 影响业务人员的正常使用， 甚 至导致服务器宕机。 常规 “反爬虫” 技术包括访问频率控制、 使用代理 IP 池、 抓包、 验证码的 OCR 处理等。 其中， 访问频率控 制是非常有效的一种手段， 通过限制单 IP 一段时间内访问数据的次数， 可以有效遏制爬虫爬取数据。 比如， 帆软 FineReport 10.0 提供访问频率控制功能， 开启后， 可以对一定时间内的访问次数进行限制， 超出则拉入黑名单， 无法再进行资源访问， 可有效缓解异常访问， 爬虫爬取和 c

31、c 攻击的情况。 10.2 账户安全设置 账户安全问题正成为威胁企业信息安全的重要因素， 很多用户在设置账户密码时会设置简单的密码或者 多个平台使用同一个密码， 并且没有定期改密码的习惯， 这就给很多不法分子以可乘之机， 只要通过简单的遍 历或者通过其他平台的账户密码就可以破解企业账户， 然后盗取大量重要信息， 给企业带来不可挽回的巨大 损失。 在一些安全保密等级强的企业， 例如制造型外企， 有很强的账户安全意识， 但是目前只能通过下达文件要 求和管理层督促的手段来推动账户安全策略的实施， 这种传统的方式不仅损耗大量人力， 效果也常常大打折 扣， 最终不了 了之。 比如， 帆软 FineBI

32、5.0 提供完善的强密码策略， 包括： 1） 增加五项密码强度限制选项， 管理员可设定密码复杂度限制， 密码强度不满足要求时登录会强制修改 密码； 2） 提供定期修改密码选项， 到规定时间时提示用户修改密码， 且新旧密码不允许相同； 3） 开启修改密码校验， 需要通过短信 / 邮箱验证才能修改密码。 同时为了防止账户被盗用或被暴力破解， 提供了防暴力破解策略， 包括： 1） 登陆失败次数限定， 限定登录失败次数上限， 超过则锁定账户或 IP 一段时间， 可由管理员进行解锁； 2） 提供滑块 / 短信 / 邮箱三种登录验证方式， 确保账户不被盗用。 10.3 数据防泄露 随着企业的发展， 产生了

33、大量的线上数据， 防止数据泄露成为企业信息安全的重点。 调查机构资料显示， 企 业面临的数据泄露威胁，不光来自外部的入侵，还要防止来自内部员工有意无意的泄露，堡垒都是从内部攻破的。 水印是一种数据防泄漏的有效方式， 在内部员工截图或者导出时， 既可以提醒该员工， 这是绝密资料， 禁 止外传，也可以起到震慑的作用。 同时万一有员工将带有水印的资料泄露出去，也方便企业追查责任人和泄漏源。 比如， 帆软 FineReport 10.0 就提供了水印功能， 报表可添加水印， 始终显示在数据上层， 可降低数据泄 露的风险。 在报表和决策报表中可以根据企业的场景， 添加访问人姓名， 访问时间， 访问IP和

34、文字等水印内容， 还 可根据需要调整水印的字号和颜色。 商业智能安全白皮书 3433 附录 11 11/ 附录 11.1 帆软产品的第三方安全检测 商业智能安全白皮书 3635 11.2 360 终端安全管理解决方案 360 天擎终端安全管系统是 360 企业安全集团面向政府、 企业、 金融、 军队、 医疗、 教育、 制造业等大型企 事业单位推出的集防病毒与终端安全管控于一体的解决方案。 360 天擎终端安全管理系统， 以大数据技术为 支撑、 以可靠服务为保障， 它能够为用户精确检测已知病毒木马、 未知恶意代码， 有效防御 APT 攻击， 并提供 终端资产管理、 漏洞补丁管理、 安全运维管控、

35、 网络安全准入、 移动存储管理、 终端安全审计、 XP 盾甲防护诸 多功能。 11.2.1 威胁发现 天擎终端可以收集终端上的各种安全状态信息， 包括： 漏洞修复情况、 病毒木马情况、 危险项情况、 安全 配置以及终端各种软硬件信息等。 这些安全状态信息会汇集到服务器端的控制中心， 使管理员全面了解网内 所有终端的安全情况、 硬件状态以及软件安装情况等。 11.2.2 立体防护 天擎终端具有漏洞修复、 病毒木马查杀、 黑白名单、 硬件准入、 软件准入、 安全审计等多样化的防护手段， 从准入、 防黑加固、 病毒查杀、 软件和终端行为控制等多个层次， 为用户构建立体防护网， 确保企业终端安全。 11.2.3 安全管控 天擎控制中心为管理员提供了统一修复漏洞、 统一杀毒、 统一升级、 流量管理、 软件统一分发卸载、 终端 安全策略管理等多种管理功能， 管理员可以通过控制台直接对网内所有终端进行统一管控。 商业智能安全白皮书 3837 扫码获取更多资料 与安全专家一对一交流 商业智能安全白皮书