河南农信：一体化终端安全管理项目

获奖单位：河南省农村信用 联合

---

项目背景及目标

一、项目背景

络信息安全是国家重点发展的项目之一。关于 络信息安全的治理，已经成为了国家以及相关部门的重点研究方向， 络信息安全的保护工作是构建和谐发展 会的重要基础。《国家信息化发展战略纲要》中要求加快构建关键信息基础设施安全保障体系，提升全天候全方位感知 络安全态势能力，做好风险评估、漏洞发现等基础性工作，要完善 络安全监测预警和 络安全重大事件应急处置机制。监管部门也越来越重视此方面的问题，多次明确要求“省联 要对二级法人的桌面终端安全和防病毒软件开展统筹管理”。

近年来河南省联 聚焦新一代IT系统项目建设,河南农信的科技金融水平取得了较快的发展。业务发展方向也在逐渐从线下向线上迁移，对计算机 络系统的依赖程度逐步加深, 络安全问题变得越来越重要。因此，信息安全的防御理念已不能仅局限于 关级别、 络边界（防火墙、IDS、漏洞扫描）等方面，重要的安全设施已集中部署在机房或 络入口处，来自于 络外部的安全威胁处在严密的监控之下；而来自 络内部计算机终端的安全威胁则成为了科技安全管理者亟待解决的重要问题。

二、面临挑战

（一）全省农信 投入生产使用的内 终端设备包括柜面终端、办公电脑、助农服务终端、ATM、查询机、超级柜台、银铁通、虚拟柜员机等其他具有操作系统的设备数量较多；各类型设备的厂商品牌、型 复杂多样；各联 的设备更新采购周期不同导致各地硬件配置高低参差不齐，差异较大。

（二）柜面终端操作系统里应用的C盘还原工具，会导致安装在C盘目录下杀毒软件的病毒库文件因重启还原而不能正常更新，手动更新将为后期维护工作增大工作量。

（三）助农服务终端总量在一万台以上， 络架构是通过外联平台进行net转换后接入内 ，且 络模式单通，因而成为安全管理软件对助农终端管控的一个障碍。

三、解决的问题

（一）扫描终端系统漏洞并自动分发补丁；

（二）有效解决移动存储介质使用管理问题；

（三）有效解决终端合规接入 络问题；

（四）防范内 设备非法外联；

（五）终端设备资产信息管理；

（六）制订统一的内 安全策略；

（七）防范内部敏感信息泄露；

（八）对终端应用软件进行统一监控、管理；

（九）快速有效地定位 络中病毒、蠕虫、黑客引入点，及时、准确地切断安全事件发生点和 络；

（十）构架统一 络安全 警处置平台，安全事件响应及事件查询。

项目方案

一、项目介绍

一体化终端安全管理系统包括 络接入控制模块、终端安全管理模块、防病毒模块、统一登录模块和SOC展示平台五大模块。

（一）终端安全管理模块以终端管理为核心，形成集主机监控审计、补丁管理、桌面应用管理、信息安全管理、终端行为管控等终端安全行为一体的管理体系，为管理员提供终端多位一体、统一管理的解决方案，打造安全的内 环境，保障终端安全稳定运行。

（二）防病毒模块以大数据技术为支撑、以可靠服务为保障，能够为用户精确检测已知病毒木马、未知恶意代码，有效防御APT攻击，并提供终端资产管理、漏洞补丁管理、XP安全防护等诸多功能。控制中心为管理员提供了统一修复漏洞、统一杀毒、统一升级等多种管理功能，管理员可以通过控制台直接对 内所有终端进行统一管理。

（三）统一登录模块是为实现各子模块的登录入口统一、账 密码一致等功能而设计，可实现使用一个账 登录 络接入控制模块、终端安全管理模块、防病毒模块、SOC展示平台，方便管理人员日常维护。

（四）SOC展示平台是将 络接入控制模块、终端安全管理模块、防病毒模块服务端提取的数据统一进行大屏展示，展示省、市、县各级相关数据，集中展示了客户端安装数量、补丁安装情况、策略执行情况等数据，对于管理人员直观了解系统运行情况，及时发现问题、及时响应处理提供了参考依据。

二、项目架构

通过 络接入控制管理、终端安全管理、防病毒管理等产品组成，并由SOC展示平台进行集中统一数据展示，完成对上述安全管理组件的统一集中管理与审计，最终形成联动化的、集成化的、完整的终端安全体系建设。系统子功能模块架构详见附件一。

三、系统安全设计

（一）分级管理：系统支持对管理员分级管理，实现不同管理员管理不同内容,可分为授权、管理和审计等多种角色划分，具有安全性高、可靠性强的特点，适合集中授权、多角色参与监控的管理模式。

（二）通信保护：系统的组件间通信时，数据传输是经过加密的，客户端和服务器端相互通信使用双向认证机制，防止已安装同类客户端的非本 络计算机非法进入 络，同时也防止模拟的假客户端和服务器进行通信。

（三）客户端软件强保护机制：系统的客户端系统具有自我防护机制，防止用户随意停止、卸载。

（四）服务器安全设计：服务器系统具备保护服务器功能。保证管理系统服务器端使用的安全性，保证其受到恶意修改IP地址的方式攻击时仍可正常工作, 络中出现恶意修改成与管理服务器相同属性（如相同的IP地址、相同的MAC地址等）的机器时，出现IP地址或MAC地址冲突等现象时，管理服务器将不会被阻断出 （即不会出现地址冲突的现象），只有发起恶意攻击的设备才会被自动阻断，不会影响管理服务器的正常管理。

（五）提供系统审计员、系统管理员、系统操作员三权分立的权限管理体系。

（六）系统日志：系统提供运行审计和操作审计机制，保证系统的稳定运行。

四、实施方案

（一）2018年9月-11月系统功能性测试、兼容性测试、功能模块定向开发测试。

（二）2018年11月在郑州市市区联 、市郊联 、三门峡全辖农信 进行生产环境测试。

（三）2019年2月完成上线培训、机构信息导入、三级管理员账 创建、应急流程及应急预案等上线准备工作。

（四）2019年3月开始在全省农信 安装部署，针对不同类型设备分别安装办公电脑完整包、柜面终端精简包、自助设备精简包、助农终端精简包。

（五）2019年5月全面开启 络准入控制策略。

创新点

一、针对不同的终端制作安装包和安装方式

由于终端类型多、品牌型 多、功能差异，针对不同的终端类型研发了具有针对性的安装包和安装方式，包括柜面终端安装包、办公电脑安装包、自助终端迷你包、自助终端安装包等满足不同终端的安装和采取现场安装、远程推送等安装方式。

二、登录方式统一

一体化终端安全管理系统需要登录 络接入控制模块、终端安全管理模块、防病毒模块和SOC展示平台，各模块登录地址、账 、密码独立，为方便管理人员登录各个模块，开发了统一登录模块，实现了登录地址统一，账 密码一致。

三、SOC展示平台多级展示

河南农信分省、市、县三级管理，各级都有管理员，各级需展示的内容不同，特开发三级展示结构，实现各级管理员查看权限所对应的机构信息。

四、支持嵌入式系统补丁安装

由于河南农信业务系统存在大量嵌入式操作系统，对于只支持标准版操作系统安装漏洞补丁情况，重新设计补丁索引，兼顾嵌入式系统，实现标准版系统和嵌入式系统共用一套索引文件，覆盖更多终端。

五、防病毒模块默认安装路径变动

对于柜面终端有还原C盘的功能特点，特将防病毒模块的病毒库默认安装路径修改到D盘，避免病毒库文件被还原。

技术实现特点

一、 络接入控制模块由接入控制 关、接入客户端以及集中管理平台构成，三者各司其职，共同构成 络接入控制模块不可或缺的组成部分，能确保合规的、健康的终端设备接入内部 络访问被授权的资源。

二、终端安全管理模块遵循 络防护和端点防护并重理念，实现内部 络终端的可控管理，达到 络安全防护管理的目的。

三、SOC展示平台针对信息安全集中管理的趋势，通过集成的安全系统，构建以SMP为核心的、相互协作的统一安全管理平台。该平台不仅集中收集、过滤、智能关联分析安全信息，提供 络和主机的信息安全总体视图和安全趋势 告，同时重点关注内部安全的有效控制，整体展示全局的和局部的信息安全状况。

四、统一登录模块采用三层设计架构，实现各子模块的登录入口统一、账 密码一致功能，通过WEB平台登录 络接入控制模块、终端安全管理模块、防病毒模块、SOC展示平台，方便管理人员日常维护。

五、资产管理：自动识别全 终端资产信息，实时监控系统状态并告警，保障业务连续性；

安全策略管理：通过非法外联、外设管理、进程控制等多元化方式，提升终端安全等级。

六、漏洞补丁管理：对全 终端漏洞进行扫描并关联，根据终端分组或操作系统类型错峰下发补丁。

七、 络安全接入：支持旁路应用准入、802.1x准入及其它多种准入技术，对不满足安全性检查的终端不予接入 络，并引导到修复区进行安全修复。

八、审计管控：全 文件终端审计，外设使用审计，多级管理，多种 警方式，实现高效的全 管控。

九、多引擎技术：拥有领先的系统修复引擎、QEX脚本查杀引擎、启发式引擎、QVM人工智能引擎，有效查杀已知和未知病毒。

十、立体化主防：具备隔离防护、入口防护、系统防护等主动防御技术。

项目过程管理

一、2018年6月立项招标；

二、2018年9月项目组人员进场，截至同年11月完成系统功能性测试、兼容性测试、功能模块定向开发测试工作；

三、2018年11月部署在在郑州市市区联 、市郊联 生产环境进行绿灯测试；

四、2019年1月三门峡市6家县级联 部署进行试运行；

五、2019年2月完成上线培训、机构导入、账 创建等上线准备工作；

六、2019年3月开始在全省农信 安装部署；

七、2019年5月全面开启 络准入控制策略。

运营情况

截至2019年9月底本月全省各类终端安装部署44386台，其中办公电脑12552台、柜面终端19888台、自助终端12213台。

一、 络接入控制模块控制可信计算机的访问权限，为终端入 安全管理提供强有效的保障，规避来自于内部的信息安全风险。

全省入 策略创建5337条，已开启5286条，开启率99%。

例外设备添加5470台，例外原因集中在终端配置低暂缓安装、服务器占用IP不安装等。

二、该模块以终端管理为核心，形成集主机监控审计、补丁管理、桌面应用管理、信息安全管理、终端行为管控等终端安全行为一体的管理体系，为管理员提供终端多位一体、统一管理的解决方案，打造安全的内 环境，保障终端安全稳定运行。

全省开启的违规外联、杀毒软件执行监控等强制策略执行正常，移动存储审计策略已基本开启完毕。

三、该模块以大数据技术为支撑、以可靠服务为保障，能够为用户精确检测已知病毒木马、未知恶意代码，有效防御APT攻击，并提供终端资产管理、漏洞补丁管理、XP安全防护等诸多功能。

项目成效

农信 的生产经营活动中，人工柜台、办公电脑、智能终端设备、自助机具等不但是全省农信对外运营服务的基础平台，也是基层 点操作风险最为集中、涉及范围最广、发生频率最高、最难控制、危害程度最大的工作区域。一体化终端安全管理系统上线后，情况出现了很大的改观。

一是对全省农信 所有接入内 的终端设备 络接入进行了规范。

二是对全省农信 内 终端设备统一进行安全管控、病毒查杀以及防护，营造出安全的内 环境。

三是通过终端行为管控，可有效提高全员合规操作意识，防范操作风险。从而避免了可能因操作风险给银行的管理、效益以及声誉带了的巨大负面影响。

一体化终端安全管理系统的上线对保障我省农信系统基层行 点稳健、安全运营具有重要意义。

经验总结

一、组建专业队伍

实行“目标牵引，深度融合”协同创新模式。项目组于2019年9月正式成立，项目组成员相继进场。截止全面推广阶段，项目组成员共计31人。其中甲方包含2位经理和4位基层行 科技人员；乙方包含2位经理和23位驻场支持人员。项目组队伍的专业优势涵盖了技术研发、测试管理、现场实施、河南农信 络及系统建设、基层科技运维管理等多个方面。

二、完善工作机制

实行“项目经理 + 研发人员 + 骨干成员”三位一体的工作研究机制。以一体化终端安全管理系统各阶段工作要点为牵引，协同项目组各成员及其他相关项目组，根据项目需求分工设置专人专岗，通过集中汇 、定期会议、试点单位交流等多种工作推进机制，落实项目各阶段目标。

三、细化管理形式

围绕总体工作目标及阶段性工作计划。建立工作推进微信群，根据工作性质和人员自身优势，统筹兼顾，合理分配，避免大才小用、闲置不用；记录整理各阶段性的工作 告，进行“规范化、高效化、动态化”管理。

四、加强合作交流

加强项目组与相关项目组之间的工作交流合作，加强项目组内部成员之间的工作交流合作。联系工作实际，结合各相关项目组的技术特点和相关优势，对一体化终端安全管理系统子模块以及上线部署方式进行了优化调整，做到相互借鉴，相互学习，达到了“1+1>2”的合作效果；充分调动项目组内成员的主动性和积极性，倡导取长补短、互相学习的工作风气，对提高项目组成员的整体技术水平起到了很大作用。