《安全牛：新一代終端安全技術應用指南（2024版）（106頁）.pdf》由會員分享，可在線閱讀，更多相關《安全牛：新一代終端安全技術應用指南（2024版）（106頁）.pdf（106頁珍藏版）》請在三個皮匠報告上搜索。

1、新一代終端安全技術應用指南本報告為北京谷安天下科技有限公司（以下簡稱“本公司”）旗下媒體平臺安全牛研究撰寫，報告中所有文字、圖片、表格均受有關商標和著作權的法律保護，部分文字和數據采集于公開信息，所有權為原著者所有。未經本公司書面許可，任何組織和個人不得將本報告內容作為訴訟、仲裁、傳媒所引用之證明或依據，不得用于營利或用于未經允許的其他用途。任何未經授權使用本報告的相關商業行為都將違反中華人民共和國著作權法和其他法律法規以及有關國際公約的規定。未經授權或違法使用本報告內容者應承擔其行為引起的一切后果及法律責任，本公司將保留追究其法律責任的權利。版權聲明版權聲明本報告僅供本公司的客戶或公司許可的

2、特定用戶使用。本公司不會因接收人收到本報告而視其為本公司的當然客戶。任何非本公司發布的有關本報告的摘要或節選都不代表本報告正式完整的觀點，一切須以本公司發布的本報告完整版本為準。本報告中的行業數據主要為分析師市場調研、行業訪談及其他研究方法估算得來，僅供參考。因調研方法及樣本、調查資料收集范圍等的限制，本報告中的數據僅服務于當前報告。本公司以勤勉的態度、專業的研究方法，使用合法合規的信息，獨立、客觀地出具本報告，但不保證數據的準確性和完整性，本公司不對本報告的數據和觀點承擔任何法律責任。同時，本公司不保證本報告中的觀點或陳述不會發生任何變更。在不同時期，本公司可發出與本報告所載資料、意見及推測

3、不一致的報告。在任何情況下，本報告中的信息或所表述的意見并不構成對任何人的行為建議，也沒有考慮到個別客戶或用戶特殊的目的或需求?？蛻艋蛴脩魬紤]本報告中的任何意見是否符合其特定狀況，若有必要應尋求專家意見。任何出現在本報告中的包括但不限于評論、預測、圖表、指標、指標、理論、陳述均為市場和客戶或用戶提供基本參考，您須對您自主決定的行為負責。本公司不對因本報告資料全部或部分內容產生的，或因依賴本報告而引致的任何損失承擔任何責任，不對任何因本報告提供的資料不充分、不完整或未能提供特定資料產生的任何損失承擔任何責任。免責聲明免責聲明新一代終端安全技術應用指南第一章 新一代終端安全背景概述.61.1 終

4、端安全威脅態勢分析.61.2 法律法規安全防護要求.91.3 終端安全必要性分析.14第二章 新一代終端安全能力指南.162.1 新一代終端安全防護理念.162.2 新一代終端安全的能力框架.182.3 新一代終端安全關鍵技術.20第三章 新一代終端安全應用實施.253.1 實施建設原則.253.2 實施建設目標.263.3 實施建設指南.273.4 實施建設挑戰和建議.34第四章 新一代終端安全成功案例研究.394.1.案例一.某銀行終端安全案例（亞信安全提供）.394.2 案例一某運營商終端安全體系建設項目（奇安信提供）.424.3 案例三.能源行業終端安全防護案例（安天提供）.464.4

5、 案例四.某大型金融機構移動辦公安全案例分析（指掌易提供）.524.5.案例五.天士力集團終端安全案例分析（安恒提供）.55第五章 AI PC 應用安全技術研究.59目 錄新一代終端安全技術應用指南5.1.AI.PC 概念和發展.595.2.AI.PC 的特點與好處.625.3.AI.PC 的未來趨勢.655.4.AI.PC 帶來的安全問題和挑戰.675.5 對 AI.PC 安全管理的應對.69第六章 新一代終端安全研究.726.1 國外終端安全技術.726.2 國內終端安全技術.756.3 差距分析和用戶啟示.77第七章 新一代終端安全廠商推薦.807.1 廠商推薦指標.807.2 代表性廠

6、商推薦（按簡稱首字母排序）.81推薦廠商-愛加密.81推薦廠商-安恒信息.83推薦廠商-安天.85推薦廠商-江民科技.87推薦廠商-聯軟科技.89推薦廠商-綠盟科技.91推薦廠商-奇安信.93推薦廠商-瑞星.95推薦廠商-亞信安全.97推薦廠商-指掌易.99第八章 未來展望.101新一代終端安全技術應用指南隨著數字經濟的蓬勃發展，企業數字化轉型進程不斷加速，網絡安全形勢也日益嚴峻。勒索病毒、APT 攻擊等高級威脅層出不窮，攻擊手段和目標也更加復雜多樣，企業終端安全防護面臨前所未有的挑戰。傳統的終端安全防護手段已難以應對這些新興威脅和高級攻擊，企業亟需構建新一代終端安全防護體系，以提升安全防護能

7、力，保障業務安全穩定運行。同時，人工智能（AI）技術發展迅速，AI PC 的崛起也為終端安全帶來了新的機遇和挑戰。為了應對這些挑戰，新一代終端安全 2.0 應運而生。新一代終端安全是指以主動防御、智能化、數據驅動和自動化為核心特征的安全防護體系，例如基于行為分析的 EDR 技術、AI 驅動的威脅檢測技術、XDR 技術、零信任安全架構等技術手段，實現對終端的全面防護和安全運營，幫助企業有效提升終端安全防護能力，抵御高級威脅，保障數據安全。報告采用廠家資料收集、訪談和產品演示、用戶問卷調研、國際報告研究、案例分析等多種研究方法，對新一代終端安全技術進行深入解讀，旨在幫助國內甲方企業用戶了解新一代終

8、端安全的理念、技術和應用，提升終端安全防護能力。報告通過分析終端安全面臨的主要威脅和合規要求，以了解終端安全應用的必要性，并介紹新一代終端安全的理念、能力框架和關鍵技術，分享不同行業和場景下的終端安全最佳實踐案例，供企業參考借鑒。此外，報告還針對 AI PC 帶來的安全挑戰和機遇進行探討。最后對國內外終端安全市場、技術和應用的差距進行分析，并推薦國內具有代表性的終端安全廠商，為企業選擇合適的廠商和產品提供參考。引言引言新一代終端安全技術應用指南 EDR 正成為終端安全重要組成部分。EDR 正成為國內終端安全產品的重要組成部分，以應對高級威脅和未知威脅。未來，隨著利用 AI 輔助能力的提升，將降

9、低 EDR 的使用門檻，使之得到更廣泛的應用。一體化的整合能力不斷提升。國內廠商積極整合 UEM、EPP 和 EDR 等功能到統一平臺，將多樣化的終端安全功能整合至單一平臺，以簡化管理流程并提升工作效率。未來隨著企業數字化轉型的加速推進，IT 環境變得更加復雜和多樣化，終端安全將持續提升整合能力，提供融合多功能和跨平臺的一體化平臺。信創適配正在成為新賽道。國內廠商將終端信創安全作為關鍵發展方向。全面開展信創適配工作，并推出與國產操作系統兼容的產品。未來，隨著國家對網絡安全和信息化建設的不斷重視，將持續推動自主創新和生態系統的完善。數據安全能力得到重視。當前，終端的數據安全能力成為國內終端安全產

10、品的關健選項，廠商提供多種技術手段和產品方案來保障終端數據的安全。未來，數據安全技術將更加智能化和自動化，并且場景將擴展到云端、物聯網等更復雜的終端環境。人工智能正在從日志篩選向分析告警轉變。國內廠商積極探索 AI 技術在終端安全的應用，尤其是 AI 結合威脅情報的智能威脅檢測分析和告警。未來，隨著 AI 和機器學習技術的提升，AI 模型將持續優化，應用場景不斷拓展，自學習和自主響應將成為主要發展方向。終端安全解決方案重視與業務的融合。國內市場意識到終端安全與業務場景融合的重要性，是制定有效的解決方案的關健。未來，終端安全將繼續探索與用戶的業務場景深度融合，場景將更加豐富，管理將更加精細，提供

11、更貼近業務的終端安全防護。零信任安全理念逐漸被接受。國內廠商不斷推出基于零信任的終端安全解決方案，用于遠程或移動場景。未來，隨著零信任的廣泛和深入的應用，將發展出更多的應用場景。勒索防護體系日益完善。國內廠商高度重視勒索防護，提供多種技術手段和產品方案，防護體系完善，技術手段豐富。未來，為了應對不斷變化的勒索攻擊手段，勒索防護技術將繼續發展，以提供更全面有效的安全保障。物聯網和移動終端安全將成為終端安全防護的新興領域。物聯網終端和移動終端安全產品和方案的市場應用還處于早期階段，隨著物聯網設備的快速增長和移動應用場景的不斷拓展，未來將提供更多針對物聯網終端和移動終端的安全管理功能關鍵發現關鍵發現

12、新一代終端安全背景概述新一代終端安全技術應用指南6第一章 新一代終端安全背景概述終端安全是指用于防止惡意軟件、危險或惡意行為、數據泄露和所有其他可能影響終端的網絡攻擊的策略和軟件產品。在信息化和數字化快速發展的時代，終端安全作為企業的最后一道防線，其安全性直接影響到整個網絡的安全態勢。隨著網絡攻擊手段的不斷演進和法律法規的日益嚴格，終端安全的重要性愈發凸顯。1.1 終端安全威脅態勢分析在數字化轉型的浪潮中，企業的 IT 環境正經歷著前所未有的變革。除了傳統的 PC，移動設備、物聯網設備、信創設備等新興終端的加入，以及預計未來將迅速崛起的，AI PC 使得企業 IT 環境變得更加復雜和多樣化。這

13、些不同設備的操作系統和使用場景各異，給統一的安全管理帶來了巨大挑戰。（1）泛終端導致攻擊面擴大企業 IT 環境的復雜性日益增加，終端設備種類繁多，從傳統的 PC 和 Mac，到移動設備、物聯網設備、OT 設備、可穿戴設備等，呈現出高度多樣化和復雜化的特點。移動終端和員工自帶設備（BYOD）的普及，以及云計算的廣泛應用，使得企業面臨更加廣闊的攻擊面。這些設備的硬件配置、操作系統、應用軟件等差異巨大，加上移動終端帶來的管理挑戰和云環境的潛在風險，給企業的安全防護帶來了前所未有的壓力。新一代終端安全背景概述新一代終端安全技術應用指南7根據 IDC 數據顯示，2024 年云終端市場出貨量將增長 18，

14、AI 終端占比將達 55，搭載 AI 功能的終端設備將超70。另外，根據安全牛 2024 年調查顯示，國內企業移動終端（57%）、云終端（45%）和信創/國產終端（32%）的比例正在不斷上升。這種多樣化的終端環境，不僅增加了管理的難度，也擴大了潛在的攻擊面，使得安全防護變得更加復雜。國內企業終端類型（2）攻擊手段層出不窮攻擊者的手段不斷演變，攻擊鏈條日益復雜。勒索軟件攻擊的頻率和復雜性不斷增加，攻擊者往往利用多種攻擊手段，例如憑據竊取和初始訪問經紀服務，入侵目標系統并部署勒索軟件。勒索軟件攻擊是當前國內用戶面臨的最嚴重威脅之一，尤其是在能源、金融、政府等關鍵行業。根據安全牛 2024 年調研數

15、據，63%的組織認為勒索病毒是終端安全面臨的主要威脅之一。高級持續性威脅（APT）活動頻繁發生，APT 攻擊目標通常是政府機構、大型企業、科研院所等重要目標，攻擊手段隱蔽，攻擊周期長，防御難度大，可能會導致嚴重的政治、經濟和軍事損失，甚至會影響國家安全。根據安全牛 2024 年調研數據，52%的組織認為勒索病毒是終端安全面臨的主要威脅之一 魚叉式釣魚郵件、漏洞利用等手段也是攻擊者常用手段，用于入侵目標系統，竊取敏感數據并進行長期監控。根據 IDC 的調查數據，終端是勒索軟件攻擊的主要入口，入侵點包括網頁瀏覽（21%）、可移動媒體（18%）、電子郵件附件（17%）、供應鏈（17%）、電子郵件中的

16、網址（14%）和內部人員訪問（8%）。根據安全牛 2024 年調研數據，大部分組織認為與終端安全密切相關的高級攻擊是終端安全面臨的主要威脅，超過半數的組織認為勒索病毒（63%）、APT 攻擊（52%）和數據安全（50%）是終端安全面臨的主要威脅。80%57%45%32%29%主機終端(Windows/Linux)移動終端（IOS/安卓）云終端信創/國產終端專有設備（如穿戴設備等）新一代終端安全背景概述新一代終端安全技術應用指南8國內終端管理面臨的主要威脅（3）攻擊技術智能化與自動化攻擊者開始利用人工智能（AI）和自動化技術，提升攻擊的效率和隱蔽性。AI 技術被用于生成更加逼真的釣魚郵件、仿冒網

17、站和深度偽造（Deepfake）內容，增強了社會工程攻擊的效果。預計未來攻擊者會進一步利用AI進行“生成式分析”，以收集個人身份信息并進行更具針對性的攻擊。攻擊者還會利用 AI 來自動化攻擊流程，例如自動生成釣魚網站或冒充身份。（4）移動設備與 BYOD 的安全風險移動設備的普及和 BYOD 模式的廣泛采用，使得企業面臨更多的安全風險。移動設備易于丟失或被盜，且個人設備的安全防護措施參差不齊，增加了數據泄露的風險。此外，移動應用的安全性也值得關注，惡意應用可能竊取數據、獲取權限或傳播惡意軟件。根據安全牛 2024 年調查顯示，57%的國內企業都擁有移動終端，其中大概只有一半企業是進行了集中的移

18、動終端管理（32%），并且 27%的企業認為移動安全中遇到了較大的困難和挑戰。（5）內部威脅風險增加內部人員的疏忽、誤操作或惡意行為是企業面臨的重大安全威脅，內部威脅具有隱蔽性和難以預測性，難以及時發現，員工可能無意間下載惡意軟件，例如護網期間攻擊者可能利用內部人員協助完成入侵，另外就是內部員工可能被釣魚攻擊，造成數據泄露，內部威脅會導致數據泄露、系統癱瘓、商業機密泄露等嚴重后果。根據安全牛 2024 年調研數據，46%的組織認為數據安全是終端安全面臨的主要威脅之一（6）數據安全形勢日益嚴峻中華人民共和國數據安全法中華人民共和國個人信息保護法等法律法規的實施，對企業的數據安全提出了更嚴格的要求

19、。數據已成為企業的重要資產，終端設備存儲著大量敏感信息，終端設備一旦失竊、被攻破或遭受惡意軟件感染，可能會導致企業的商業機密、知識產權、個人隱私等敏感信息被泄露，造成巨大的經濟損失和聲譽損害。根據安全牛 202464%52%63%38%54%46%50%38%29%越來越多的泛終端造成攻擊面擴大APT攻擊/零日漏洞帶來的威脅勒索病毒未管理的設備終端漏洞或配置錯誤惡意軟件、病毒內部用戶操作數據安全，如數據泄露等弱密碼是否能滿足合規新一代終端安全背景概述新一代終端安全技術應用指南9年調研數據，50%的組織認為數據安全是終端安全面臨的主要威脅之一。（7）供應鏈攻擊風險上升供應鏈攻擊是近年來備受關注的

20、安全威脅。攻擊者通過入侵供應商的系統，將惡意軟件植入軟件更新或硬件設備中，從而滲透到企業的網絡。SolarWinds 事件就是典型的供應鏈攻擊案例，給全球眾多組織帶來了嚴重影響。（8）物聯網設備安全薄弱物聯網設備的快速增長帶來了新的安全挑戰。物聯網（IoT）設備在各行業的應用迅猛增長，從工業控制系統、智能辦公設備到個人可穿戴設備，數量龐大且類型多樣。然而物聯網設備通常具有較弱的安全防護措施，如常存在默認密碼、固件漏洞、缺乏更新機制等問題，很容易被攻擊者利用。物聯網僵尸網絡的出現，可以使得攻擊者可以控制大量的物聯網設備發起大規模的攻擊。1.2 法律法規安全防護要求在數字化時代和網絡安全威脅的不斷

21、升級的背景下，終端安全已成為國家安全和企業發展的重要組成部分。從國際到國內，各國政府和組織都在積極制定和實施一系列法律法規及標準，以確保終端安全，保護關鍵信息基礎設施，以及維護個人和組織的數據安全。1.2.1 國際終端防護要求與標準在全球化的背景下，數據跨境流動和網絡攻擊事件的頻繁發生促使各國政府出臺了相關法律法規以保護個人隱私、數據安全和國家安全。終端作為數據處理和存儲的重要載體，其安全性受到了越來越多的關注。（1）歐盟通用數據保護條例（GDPR）對終端防護的要求歐盟 通用數據保護條例（GDPR）是對個人數據的處理提出了嚴格的要求。GDPR從數據最小化原則、目的限定原則、數據主體權利、數據保

22、護影響評估，以及技術和組織措施等方面對數據處理進行規范。如個人數據控制者必須采取適當的技術和組織措施，確保數據處理的安全性，特別是防止未經授權或非法處理、意外丟失、破壞或損壞，以及防止任何形式的非法訪問。安全牛解讀：對于終端設備而言，這意味著終端安全產品必須內置強大的隱私保護機制。針對 GDPR 的要求，終端安全產品應具備數據安全模塊、數據管理模塊等功能。（2）美國聯邦信息安全現代化法案（FISMA）對終端防護的要求美國聯邦信息安全現代化法案（FISMA）主要關注美國政府機構的信息系統安全。從風險管理、安全控制評估、新一代終端安全背景概述新一代終端安全技術應用指南10持續監控、事故響應、授權和

23、認證幾個方面提出要求。如聯邦機構必須定期進行風險評估，評估其安全控制措施的有效性，持續監控其信息系統，并制定應對安全事故的計劃，以快速識別、控制和解決安全事故。安全牛解讀：對于終端安全產品應具備全面的防護功能，以滿足 FISMA 的規定，包括終端防護功能、數據加密功能、終端數據記錄和事件響應功能等。（3）ISO/IEC27002 對終端防護的要求ISO/IEC27002 提供了信息安全控制措施的建議。為信息安全提供了全面的指導。終端設備作為信息系統的末端節點，其安全性直接關系到整個組織的信息安全水平，ISO/IEC27002 對保護在用戶終端設備上存儲、處理或訪問的信息進行了建議。安全牛解讀：

24、ISO/IEC27002 從終端設備管理、終端應用管理、終端網絡管理、終端系統管理和終端數據管理等方面列出了各種信息安全控制措施等方面進行了建議。如應開展終端設備的注冊，可遠程禁用、刪除或鎖定設備；如應限制軟件安裝；用戶終端設備軟件和應用更新；最終用戶行為分析；如應開展訪問控制；防范惡意軟件；如應對存儲設備進行加密；備份。（4）NIST 網絡安全框架NIST 網絡安全框架（NISTCybersecurityFramework）是由美國國家標準與技術研究所（NIST）發布的一套指南，旨在幫助組織評估和改進其網絡安全風險管理能力。NIST 框架將網絡安全活動分為五個核心功能：識別、保護、檢測、響應

25、和恢復。安全牛解讀：根據 NIST 網絡安全框架，終端安全應提升終端資產識別、終端保護、威脅檢測和響應和事件恢復等能力。1.2.2 國內終端防護要求與標準在信息技術和網絡安全領域，終端設備作為信息系統的重要組成部分，其安全性直接影響到整個網絡的安全態勢。為應對日益復雜的網絡安全威脅，我國制定了一系列法律法規，共同構成了一個全面而層次分明的網絡安全法律框架，旨在從不同角度和層面保障終端安全。法律是最高級別的規范，為其他法規、國標和監管要求提供基礎和框架。如中華人民共和國網絡安全法作為基礎性法律，規定了網絡安全的基本要求和主要目標，為其他法規和標準提供指導。法規是在法律基礎上的具體實施細則，對法律

26、進行補充和細化。如關鍵信息基礎設施安全保護條例進一步細化了中華人民共和國網絡安全法對關鍵基礎設施終端的安全要求。國家標準是對法律和法規的技術性支撐，為網絡安全提供具體的技術要求和操作指南。如信息安全技術網絡安全等級保護基本要求對不同類型的環境提出了具體的安全要求。新一代終端安全背景概述新一代終端安全技術應用指南11 監管要求：監管要求是確保法律法規、國標得到有效執行的監督和管理措施。它們由監管機構制定，以確保網絡安全法律法規得到遵守和執行，例如網絡安全審查辦法。1.2.2.1 國家法律法規對安全目標的要求隨著信息技術的快速發展和網絡安全形勢的日益復雜，我國高度重視網絡安全和數據保護，積極構建了

27、覆蓋全面、層次分明的網絡安全法律體系，對終端安全提出了明確要求。（1）中華人民共和國網絡安全法（以下簡稱“網絡安全法”）我國全面規范網絡安全的綜合性法律，該法從網絡運行安全、網絡信息安全和監測預警與應急處置等方面進行了要求，并對關鍵信息基礎設施的運營者提出更高的要求，最后對個人信息提出嚴格要求。網絡安全法對終端安全的要求涵蓋了安全管理、技術防護、人員水平等多個層面，如應采取技術措施和其他必要措施，保障網絡安全、穩定運行，有效應對網絡安全事件。應防止信息泄露、毀損、丟失，應開展網絡安全認證、檢測、風險評估等活動。應進行檢測評估，應制定預案，提高應對網絡安全事件的水平和協同配合能力，及時處置與恢復

28、。應消除網絡安全事件安全隱患，防止危害擴大。2）中華人民共和國數據安全法（以下簡稱“數據安全法”）和中華人民共和國個人信息保護法（以下簡稱“個人信息保護法”）數據安全法從數據安全制度、數據安全保護義務等方面提出了相關要求，要求建立全流程數據安全管理制度、加強風險監測和應急處置、定期開展風險評估，個人信息保護法要求個人信息處理者應防止未經授權的訪問以及個人信息泄露、篡改、丟失的義務等求。終端作為數據處理活動的環節，數據安全法和個人信息保護法間接對終端安全建設提出了安全管理、技術措施和人員管理的要求，如應當按照數據分類分級保護制度，如應通過數據加密、防病毒、防惡意軟件、加強身份認證和訪問控制等新一

29、代終端安全背景概述新一代終端安全技術應用指南12提升終端的安全防護能力，如應當立即采取補救措施；如應檢測和及時響應安全事件；如應定期對從業人員進行安全教育和培訓，（3)中華人民共和國關鍵信息基礎設施安全保護條例對終端防護的要求中華人民共和國關鍵信息基礎設施安全保護條例細化了網絡安全法對關鍵信息基礎設施的要求，從網絡安全管理、技術保護措施和人員管理等方面對終端提出了要求。如應建立健全網絡安全管理、評價考核制度。如應開展網絡安全監測、檢測和風險評估。如應及時處置網絡安全事件。如應組織網絡安全教育、培訓。1.2.2.2 國家技術標準對安全技術的要求國家技術標準則為這些法律法規提供了具體的技術實現路徑

30、，確保終端設備在不同應用環境中的安全性和合規性。（1）GB/T22239-2019 網絡安全等級保護對終端防護的要求信息安全技術網絡安全等級保護基本要求（GB/T22239-2019，以下簡稱“基本要求”）是我國網絡安全等級保護制度的重要標準，規定了網絡安全等級保護的第一級到第四級等級保護對象的安全通用要求和安全擴展要求?；疽髮νㄓ?、移動、云環境、物聯網和工業控制系統等不同類型的環境提出了具體的安全要求 對通用場景，終端安全從身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據安全、安全管理中心等方面的防護提出了要求，如要求終端設備授予管理用戶所需的最小權限，應發現可能存在

31、的已知漏洞，并及時修補漏洞，應檢測入侵的行為并報警，應及時識別入侵和病毒行為，并將其有效阻斷。應對運行狀況進行集中監測；應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理；如應能對網絡中發生的各類安全事件進行識別、報警和分析。對移動場景，終端安全從無線接入安全、移動應用管控以及與移動終端管理等方面的防護提出了要求，如應開展檢測，阻斷非授權無線接入設備和非授權移動終端的接入，以及攻擊行為，應接受移動終端管理服務端的設備生命周期管理、設備遠程控制，如應對應用軟件安裝、運行進行管理等。對云環境終端場景，終端安全從網絡安全、數據安全、身份鑒別與訪問控制、惡意代碼防范等方面的防護提出了要求。如應

32、提供通信傳輸、邊界防護、入侵防范等安全能力。應該對網絡訪問進行控制。應對虛擬機進行審計。應對虛擬機進行惡意代碼防護。應及時識別入侵和病毒行為，并將其有效阻斷等。對物聯網場景，終端安全從物理安全防護、接入控制、身份識別和軟件安全配置等方面的防護提出了要求。如應保證只有授權的感知節點可以接入。應只有授權的用戶可以對感知節點設備上的軟件應用進行配置或變更。應其連接的網關節點設備進行身份標識和鑒別，應抵抗數據重放攻擊等。對工業控制系統場景，終端安全從設備管理、安全管理、檢測與響應和供應鏈安全等方面進行防護。如應對控制新一代終端安全背景概述新一代終端安全技術應用指南13設備進行更新；應禁止穿越區域邊界的

33、通用網絡服務，防止未經授權的訪問和數據泄露；應進行補丁更新、固件更新等工作。應進行身份鑒別、訪問控制和安全審計等安全要求，應對控制設備進行補丁更新、固件更新等。（2）GB/T39204-2022 信息安全技術關鍵信息基礎設施安全保護要求信息安全技術關鍵信息基礎設施安全保護要求（GB/T39204-2022）（以下簡稱“安全保護標準”）是我國關基安全保護的總綱性標準，安全保護標準從鑒別與授權、入侵防范、自動化工具等方面提出安全保護要求。如應對設備進行安全管控，對于異常用戶操作行為，建立動態的身份鑒別方式，或者采用多因子身份鑒別等方式；應實現訪問控制。應提高對高級可持續威脅（APT)等網絡攻擊行為

34、的入侵防范能力；應實現系統主動防護，及時識別并阻斷入侵和病毒行為。應使用自動化工具來支持系統賬戶、配置、漏洞、補丁、病毒庫等的管理。對于漏洞、補丁，應在經過驗證后及時修補。（3）其他國標要求中國國家標準還陸續發布了 GB/T29240-2012 信息安全技術終端計算機通用安全技術要求與測試評價方法、GB/T32925-2016 信息安全技術政府聯網計算機終端安全管理基本要求、GB/T30278-2013信息安全技術政務計算機終端核心配置規范、GB/T35278-2017信息安全技術移動終端安全保護技術要求、）GB/T36951-2018信息安全技術物聯網感知終端應用安全技術要求、GB/T369

35、51-2018信息安全技術物聯網感知終端應用安全技術要求等國標要求，涵蓋了不同終端類型，如計算機終端、移動終端、物聯網終端，并從物理安全、系統安全、應用安全到數據安全和人員安全等方面提出了具體的要求。這些要求包括：身份鑒別和訪問控制、安全審計、數據安全、可信計算、安全防護、漏洞管理、應用安全、人員安全、移動終端安全和物聯網終端安全，旨在保障終端設備的安全可靠，保護用戶的隱私和數據安全。企業在進行終端安全建設時，應參考這些國家標準，并結合自身實際情況，制定相應的安全策略和措施，確保終端設備的安全，1.2.2.3 國家對信創安全的要求與標準國家高度重視信創安全，相繼出臺了一系列政策，為信創產業發展

36、提供了政策保障。以下是信創對終端安全的要求與標準的具體內容，如“十四五”數字經濟發展規劃（國發202129 號），提出要提升核心產業競爭力，強化關鍵產品自給保障能力；關于加強數字政府建設的指導意見（國發202214 號）指出要提高自主可控水平，加強自主創新，加快數字政府建設領域關鍵核心技術攻關，強化安全可靠技術和產品應用。國資委 79 號文全面指導國資信創產業發展和進度，要求所有央企和地方國企落實信創全替代，總體目標是在 2027 年底實現 100%信創替代。信創對終端安全產品的要求重點關注自主可控、數據安全保障、代碼安全、安全可靠測評和兼容性互認證。自主可控：信創產品需要實現核心技術的自主可

37、控，減少對外依賴，確保技術和產品的安全性。數據安全保障：信創產品在處理數據時，需要確保數據的安全，防止數據泄露和濫用，保障用戶隱私和信息安全。代碼安全：信創產品的源代碼應無惡意安全漏洞或后門，代碼應可追溯、可重構，確保代碼的安全性和完整性。新一代終端安全背景概述新一代終端安全技術應用指南14 安全可靠測評：信創產品需要通過安全可靠測評，證明其安全性和可靠性，以滿足國家和行業的安全標準。兼容性互認證：信創產品應通過產品兼容性互認證，確保與其他產品的互操作性，保障系統的整體安全和穩定性。1.2.3 終端合規安全框架結合法律法規、國家標準和行業最佳實踐，終端合規安全框架主要包括安全管理、技術措施、人

38、員管理等安全措施，同時強調應對多場景能力的提升，以有效防范安全威脅，保護數據隱私，并確保在發生安全事件時能夠快速響應和處理。安全管理：因建立健全安全制度、制定安全策略，開展風險評估和安全運營，并對安全風險進行管理，及時發現安全事件并及時響應等。技術措施，包括對終端設備的管理，并從應用層、網絡層、數據層、設備層的防護措施、檢測與響應等進行保護。人員管理：應提升事件應對能力，并對所有員工開展安全教育和培訓。1.3 終端安全必要性分析在復雜的威脅態勢和嚴格的法律法規雙重驅動下，終端安全已成為企業和政府機構信息化建設中的重要一環。終端安全不僅關乎企業的日常運營，還涉及國家信息安全、數據主權和信創產業的

39、發展。新一代終端安全背景概述新一代終端安全技術應用指南151.3.1 應對攻擊威脅風險終端設備是網絡攻擊的主要目標之一。攻擊者通常將終端作為攻擊的切入點，通過利用終端設備的漏洞，植入惡意軟件，進而竊取數據、破壞系統或發起勒索攻擊。終端設備一旦失陷，攻擊者便可輕易地橫向移動至企業內部網絡的其他設備，造成更大的損失。終端安全產品可以提供主動防御機制，有效攔截勒索軟件和 APT 攻擊，保護用戶數據安全。1.3.2 防止數據泄露損失數據泄露不僅會導致企業的商業秘密和客戶信息被曝光，還可能引發法律責任和經濟賠償。終端設備通常存儲著大量的敏感數據，例如客戶信息、財務數據、知識產權等。一旦終端設備的安全防護

40、措施不到位，這些敏感數據就很容易被攻擊者竊取，給企業造成巨大的經濟損失和聲譽損害。終端安全產品可以對數據進行加密保護，監控數據流動，防止數據泄露，保障數據安全。1.3.3 保障業務連續性終端安全事件可能導致業務中斷，影響企業的正常運營和服務交付。業務中斷不僅帶來直接的經濟損失，還可能損害客戶信任和企業聲譽。通過加強終端安全，企業可以降低業務中斷的風險，確保業務的連續性和穩定性。安全的終端環境可以保障業務系統的穩定運行，提高員工的工作效率，進而促進企業的業務發展。1.3.4 滿足合規要求各國政府和行業監管機構都制定了相關的法律法規和行業標準，要求企業加強終端安全防護，例如網絡安全法、數據安全法等

41、。企業必須采取有效的措施，確保終端設備符合相關合規性要求，否則將面臨法律風險和罰款。終端安全產品可以幫助企業滿足相關法律法規的合規性要求，避免因違規而遭受處罰。1.3.5 滿足信創安全需求信創產業的發展是國家戰略的重要組成部分，隨著我國加速推進信息技術應用創新（信創）戰略，越來越多的企業和政府機構開始部署基于國產軟硬件的信創終端設備。信創終端的普及帶來了新的安全挑戰，特別是如何確保這些自主可控環境下的終端設備安全成為安全痛點。因此，終端安全應用的必要性在信創環境下尤其突出。終端安全產品需要適配信創環境，確保與國產操作系統和硬件的兼容性，推動信創產業發展。新一代終端安全能力指南新一代終端安全技術

42、應用指南16第二章 新一代終端安全能力指南在當今數字化轉型的浪潮中，企業面臨的網絡安全威脅日益復雜和多樣化。終端安全作為企業安全防護的最后一道防線，其重要性不言而喻。新一代終端安全框架與關鍵技術，將幫助企業構建全面而有效的安全防護體系，確保其在復雜多變的網絡環境中保持持續的安全狀態。2.1 新一代終端安全防護理念隨著終端安全威脅的復雜性和多樣性不斷增加，傳統終端安全產品已經無法滿足當前的安全需求。面對當前復雜多變的網絡安全威脅態勢，企業需要采用新一代的終端安全技術來應對這些挑戰，并為數字化轉型提供穩固的基礎。2.1.1 上一代終端安全應對能力的挑戰隨著數字化轉型的加速，企業面臨的終端安全挑戰日

43、益嚴峻。傳統終端安全產品的應對能力在多方面顯得不足，無法有效應對當前復雜的網絡攻擊和高級威脅。其局限性主要體現在以下幾個方面：泛終端管理不足。企業網絡邊界的模糊化和終端設備的多樣化，包括辦公終端、業務終端、移動終端、物聯網設備等，使得傳統的終端安全產品難以實現對所有類型終端的有效管理?；旌限k公模式下，員工使用個人設備訪問企業網絡，增加了管理的復雜性和安全風險。傳統安全產品無法覆蓋這些新型終端，導致安全策略的盲區，增加了非受控設備被攻擊的風險。未知威脅應對不足。傳統終端安全產品主要依賴于已知惡意軟件和病毒的特征庫，采用黑名單和警告處理的被動防御手段。這種方式難以識別和應對復雜的新興威脅和隱蔽的攻

44、擊模式。面對高級持續性威脅（APT）、勒索軟件、0day 漏洞攻擊等高級攻擊手段，傳統防護手段在應對未知威脅時明顯不足，需要從更底層實現對已知或未知漏洞利用攻擊的防護。缺乏主動防御。傳統終端安全產品通常以靜態防御為主，往往在攻擊發生后才能反應。這種被動的防御策略難以及時發現和阻止高級威脅，缺乏動態的威脅檢測和主動響應能力。高級威脅攻擊手段多樣化、目標明確、組織性強，傳統的“堵漏、設防”理念難以應對，需要更為主動的防御機制。響應速度慢。傳統終端安全產品通常是孤立的，缺乏與其他安全系統的有效集成，并且缺少自動化工具，導致安全事件響應速度緩慢。手工操作的滯后性使得安全事件處理效率低下，無法及時應對攻

45、擊。這種滯后的響應機制使得企業在面對緊急網絡攻擊時，無法迅速遏制威脅，增加了潛在的損失。數據保護措施不充分。傳統的終端安全產品在數據保護方面也存在不足，無法提供全面的防護措施。例如，在數據泄露、濫用和追溯方面，缺乏有效的應對機制，數據被竊取、篡改或濫用的風險增加。隨著數據泄露事件頻發，新一代終端安全能力指南新一代終端安全技術應用指南17企業面臨的合規壓力和聲譽風險也在增加。2.1.2 新一代終端安全防護能力的理念新一代終端安全防護的核心理念是針對現代復雜的網絡威脅，提升終端安全的覆蓋范圍、靈活性和自動化水平，確保企業在數字化轉型過程中始終保持高效的安全防護。（1）平臺功能整合化新一代終端安全防

46、護強調通過一體化平臺整合多種安全功能，實現統一管理和操作。此類平臺集成了資產管理、安全防護、數據保護和合規管理等功能，簡化了管理流程，提高了策略實施的效率和一致性。（2）防御策略主動化主動防御是新一代終端安全的核心，強調從被動反應轉向主動識別和中和潛在威脅。通過可信計算和威脅誘捕技術，安全系統能夠提前識別威脅并采取措施，減少攻擊面并增強防護能力。（3）威脅響應智能化通過人工智能和機器學習技術，安全系統能夠實現自動化的威脅識別、分析和響應。這種智能化應用不僅加快了威脅處理速度，還通過持續學習提高了對新型威脅的識別和應對能力。（4）防護措施動態化動態防御策略強調根據威脅環境的變化實時調整防御措施。

47、利用微隔離和零信任架構，安全系統能夠靈活應對不同類型的攻擊，限制攻擊的橫向移動，確保防護的靈活性和適應性。（5）安全方案整體化新一代終端安全能力指南新一代終端安全技術應用指南18新一代終端安全防護理念將終端安全融入整體網絡安全框架，提供縱深防護能力。通過與網絡安全、數據安全等系統的協同工作，構建多層次、全方位的安全防御體系，實現信息共享和策略同步。2.2 新一代終端安全的能力框架基于新一代終端安全的防護理念、終端合規安全框架和終端安全技術應用成熟度，安全牛構建了新一代終端安全的能力框架，該框架旨在企業通過實現全面防護、一體化管理、高效檢測與響應、數據安全保障支持等核心目標，構建一個全面、靈活且

48、高效的終端安全防護能力體系。該能力框架涵蓋管理能力、技術能力和人員能力三個維度，并圍繞終端安全管理的各個環節進行構建，以實現對終端的全面防護和安全運營。2.2.1 技術能力技術能力是終端安全建設的核心，它為終端提供直接的安全防護，并不斷演進以應對新的威脅：單一的終端代理，應部署單一的輕量級代理，實現對終端數據的采集、安全策略的執行和安全事件的響應。泛終端管理能力：應對終端設備進行統一管理，包括設備注冊、身份認證、安全策略配置、軟件分發、補丁管理、移動設備管理等，并支持多種終端類型，例如 PC、移動設備、物聯網設備等?？晒芾聿煌愋偷慕K端設備（如 PC、服務器、移動設備、物聯網設備、信創設備等）

49、，實現跨設備的集中管理，包括對設備資產管理、配置管理、應用管理、補丁和準入等管理?？v深的安全防護能力：應構建多層級的安全防護能力，包括應用層、系統層、網絡層、數據層等的保護能力，如惡意代碼防護、勒索防護、應用程序控制、網頁郵件保護、網絡控制、數據加密、數據防泄露等方面，以應對日益復雜的安全威脅。如有效查殺各種已知和未知的病毒、木馬、蠕蟲等惡意程序，以及補丁管理功能等。新一代終端安全能力指南新一代終端安全技術應用指南19 檢測與響應：應利用 EDR 技術對終端行為進行實時監控和分析，例如進程監控、文件監控、網絡連接監控等，及時發現和響應高級威脅，例如 APT 攻擊、勒索軟件等，并提供攻擊溯源和調

50、查取證功能。擴展檢測與響應：應利用 XDR 將能力擴展到更廣泛的范圍，例如網絡、云、身份等，實現跨平臺的安全數據分析和聯動響應，例如將終端安全數據與網絡安全數據、云安全數據進行關聯分析，并實現跨平臺的威脅情報共享和協同防御。2.2.2 管理能力管理能力是終端安全建設的基礎，它為技術能力和人員能力的發揮提供保障，并確保終端安全策略與企業整體安全戰略相一致。安全管理制度：應建立健全的終端安全管理制度，例如終端安全策略、終端訪問控制策略、數據安全策略等，明確各部門和人員的職責和權限，規范終端安全管理流程，例如事件響應流程、漏洞管理流程等。運營管理平臺：應構建統一的終端安全運營管理平臺，實現對終端資產

51、、安全策略、安全事件的集中管理和監控，并提供數據分析和報表功能，例如資產清單、漏洞報表、安全事件趨勢分析等。風險評估：應對終端安全風險進行全面評估，識別潛在的安全威脅和漏洞，例如進行漏洞掃描、滲透測試、安全配置評估等，并制定相應的應對措施，例如風險整改計劃、安全加固方案等。測試驗證：對終端安全防護措施進行測試和驗證，例如進行安全攻防演練、模擬攻擊測試等，評估其有效性，并及時進行改進和優化，例如調整安全策略、更新安全產品等。攻擊面管理：應開展攻擊面的識別和管理終端，例如識別終端上的軟件、服務、端口等，減少安全暴露面，例如關閉不必要的端口、禁用高危服務等，降低攻擊成功的可能性。態勢感知：應開展實時

52、感知終端安全態勢，例如收集終端安全日志、網絡流量、威脅情報等，及時發現和響應安全事件，例如進行安全告警、事件處置等，并進行溯源分析和取證，例如分析攻擊路徑、識別攻擊者等。2.2.3 人員管理 人員管理包括應提供持續運營的能力，確保在安全事件發生時能夠快速響應并恢復的安全團隊，通常需要通過第三方安全服務來支持，另外，還需要對內部人員具備安全意識。安全管理人員：應制定和實施終端安全管理制度，組織開展終端安全培訓和教育，提升員工的安全意識，并進行安全合規管理，例如制定安全基線、進行安全審計等，為終端安全建設提供管理保障。安全運維人員：應由安全運維人員為終端安全防護提供技術支持，確保終端安全產品發揮作

53、用，并為安全事件分新一代終端安全能力指南新一代終端安全技術應用指南20析提供初步信息。應開展終端安全產品的部署、配置、維護和升級，并進行安全事件的初步響應和處置，例如隔離受感染終端、收集攻擊證據等。安全運營人員：安全運營人員應提升終端安全事件的響應能力，保障終端安全運營的效率和效果，并為安全決策提供數據支撐。應開展終端安全事件的監控、分析和處置，以及安全運營平臺的管理和維護，并進行安全數據分析和威脅情報應用，例如分析安全事件趨勢、識別攻擊模式等。安全分析專家：安全分析專家應提升對高級威脅的分析和處置能力，增強安全防護的主動性，并為安全運營提供專家支持。應開展對終端安全事件進行深度分析和溯源，以

54、及對安全威脅進行研究和預警，例如進行惡意代碼分析、攻擊鏈分析、威脅情報分析等，并為安全事件處置提供專業建議。威脅情報人員：威脅情報人員應提升對威脅的預警和防御能力，增強安全防護的針對性，并為安全運營提供情報支撐，應開展收集、分析和應用威脅情報，例如收集開源情報、商業情報、內部情報等，為終端安全防護提供情報支持，例如制定 IOC 規則、識別攻擊者身份等。2.3 新一代終端安全關鍵技術隨著網絡攻擊的復雜化和高級化，傳統的終端安全防護手段已經難以滿足企業安全需求。新一代終端安全技術應運而生，它融合了多種先進技術，例如人工智能、機器學習、威脅情報等，可以對終端進行更全面、更精準、更高效的防護，提升企業

55、的終端安全防護能力。2.3.1 技術原理新一代終端安全技術原理的核心是主動防御和智能化響應，不再依賴于傳統的被動防御手段（例如簡單的病毒庫查殺），而是通過多層次的安全機制、多源威脅情報和智能化技術，主動識別、分析和響應潛在威脅，從而有效防御未知攻擊。新一代終端安全工作原理新一代終端安全能力指南新一代終端安全技術應用指南21新一代終端安全解決方案的工作原理和流程如下 終端的數據采集與監控：部署在終端上的 Agent 實時采集終端數據，這些數據是進行安全分析的基礎，例如進程信息、網絡連接、文件操作等，并進行監控。高級威脅行為分析：對采集到的數據進行深度分析，包括：數據管理：對原始數據進行清洗、歸一

56、化和存儲，為后續分析提供基礎。行為分析：基于機器學習和行為基線等技術，分析終端行為，識別異常行為和潛在威脅。風險評價：對檢測到的異常行為進行風險評估，確定其危害程度和優先級。調查追溯：對已發生的攻擊事件進行溯源分析，還原攻擊路徑和攻擊者身份。策略更新：根據分析結果，動態更新終端安全策略，例如防火墻規則、訪問控制策略等。威脅情報驅動：EDR 系統結合來自 NDR、云平臺、第三方情報等多源威脅情報，用于將終端行為與已知威脅進行匹配，提高威脅檢測的準確性。根據威脅情報，制定 IOC(IndicatorsofCompromise)規則和IOA(IndicatorsofAttack)規則，用于識別攻擊行

57、為。以及通過威脅狩獵和蜜罐等主動搜索終端上的潛在威脅，例如惡意文件、隱藏進程等?？梢暬\營：通過可視化平臺，將終端安全態勢進行多維度展示，包括展示終端資產信息、終端存在的漏洞和風險，并進行評估和修復、以及整體的終端風險和安全事件，并進行預警和處置。自動化聯動響應：檢測到威脅時，可以觸發自動化響應機制，例如：自動阻斷惡意連接和網絡攻擊、與其他安全設備聯動，例如隔離受感染終端、封堵攻擊源、或者將威脅信息上傳到云平臺，進行進一步分析和處置等。2.3.2 核心技術為了應對高級威脅，實現統一的終端安全運營，企業在部署過程中應掌握新一代終端安全的關鍵技術能力，確保新一代技術能夠有效應對日益復雜的威脅形勢。

58、關鍵技術能力包括統一輕量級代理、EDR、攻擊指標（IOA）和威脅指標（IOC）、威脅情報、自動化響應、攻擊鏈分析、機器學習與 AI 分析等（1）輕量級代理終端代理是終端安全解決方案的核心組件，負責實時監控和執行安全策略。隨著技術發展，現代終端代理的功能日益強大，涵蓋了數據采集、行為監控、策略執行、威脅檢測和響應等多個方面。它能夠實時采集終端上的各種數據，如進程、文件、網絡連接、用戶行為等，并將其傳輸到 EDR 引擎進行分析。同時，代理還能夠根據安全策略執行相應的操作，例如新一代終端安全能力指南新一代終端安全技術應用指南22隔離文件、終止進程、阻斷網絡連接等，實施關鍵點:輕量級：對終端性能影響小

59、，占用資源少，不會影響用戶體驗?？缙脚_：支持多種操作系統，例如 Windows、macOS、Linux、Android、iOS 等，以及信創操作系統和平臺。安全：自身具備安全防護能力，防止被惡意軟件攻擊或篡改，例如代碼混淆、數字簽名、完整性校驗等?？晒芾恚阂子诓渴?、配置和管理，支持遠程升級和策略下發。（2）EDREDR 是一種高級威脅檢測技術，旨在識別和應對復雜的攻擊行為和未知威脅。它通過持續監控終端行為、收集和分析安全數據，利用機器學習、行為基線等技術來檢測異?；顒?，并提供詳細的事件上下文信息，幫助安全人員快速調查和響應安全事件。EDR 的出現是為了彌補傳統殺毒軟件的不足，例如無法有效應對零

60、日攻擊、高級持續性威脅(APT)等 實施關鍵點:強大的分析能力：能夠處理海量的安全數據，并進行深度分析，例如關聯分析、攻擊鏈分析、用戶行為分析等。先進的檢測技術：采用機器學習、行為分析、威脅情報等技術，提高檢測的準確性和效率。豐富的威脅情報：集成高質量的威脅情報，增強威脅檢測能力，例如來自威脅情報平臺、安全廠商、開源社區等的情報數據?？梢暬蛨蟊恚禾峁┲庇^的可視化界面和報表功能，方便安全人員進行分析和管理，例如安全儀表盤、威脅地圖、事件報告等。（3）攻擊指標(IOA)和威脅指標(IOC)IOA 和 IOC 是將威脅情報轉化為可操作的規則，用于威脅檢測和響應的關鍵技術。IOA(攻擊指標):描述攻

61、擊者行為模式的指標，例如攻擊者常用的工具、技術和戰術(TTP)。IOA 可以幫助安全人員識別正在進行的攻擊，即使攻擊者使用了未知的惡意軟件。IOC(威脅指標):描述已知威脅的具體特征的指標，例如惡意文件的哈希值、惡意域名、惡意 IP 地址等。IOC 可以幫助安全人員快速識別和阻止已知的威脅。實施關鍵點:高質量的威脅情報：IOA 和 IOC 的有效性依賴于高質量的威脅情報。新一代終端安全能力指南新一代終端安全技術應用指南23 有效的規則引擎：需要一個強大的規則引擎來處理和應用 IOA 和 IOC 規則，例如支持正則表達式、模糊匹配等。與安全系統集成：IOA 和 IOC 規則需要與各種安全系統集成

62、，例如防火墻、入侵檢測系統、EDR 等。（4）威脅情報威脅情報是指關于網絡安全威脅的知識，包括攻擊者的身份、動機、目標、攻擊手法等。威脅情報可以幫助組織了解當前的威脅形勢，預測未來的攻擊趨勢，并采取相應的措施來防范攻擊。實施關鍵點:準確性和及時性：威脅情報必須準確、及時，才能發揮作用。相關性和可操作性：威脅情報應該與組織的業務和安全需求相關，并且能夠轉化為可操作的措施，例如安全策略、防護規則等。來源可靠性：威脅情報的來源必須可靠，以確保其準確性和可信度，例如來自專業的威脅情報機構、安全廠商等（5）自動化響應自動化響應是指利用自動化工具和技術來響應安全事件，例如隔離受感染主機、阻斷惡意連接、執行

63、殺毒操作等。自動化響應可以幫助組織快速處置安全事件，降低安全風險。實施關鍵點:準確性和可靠性：自動化響應必須準確、可靠，才能避免誤操作，例如在隔離主機前進行確認、設置自動回滾機制等。靈活性：自動化響應機制應該能夠根據不同的安全事件和場景進行靈活配置，例如針對不同類型的攻擊采取不同的響應措施?？煽匦裕喊踩藛T應該能夠控制自動化響應的過程，并進行必要的干預，例如設置人工審核環節、提供緊急停止按鈕等（6）攻擊鏈分析攻擊鏈分析通過分析攻擊者行為模式、攻擊步驟和攻擊目標，幫助企業識別并阻斷攻擊。攻擊鏈通常包括攻擊的各個階段，如偵察、武器化、交付、漏洞利用、安裝、命令與控制、以及數據竊取。通過識別攻擊鏈的

64、各個階段，安全團隊可以在不同階段采取防御措施，阻止攻擊的成功。實施關鍵點:新一代終端安全能力指南新一代終端安全技術應用指南24 階段識別：準確識別攻擊鏈的各個階段，例如利用 MITREATT&CK 框架進行攻擊行為建模。行為模式分析：深入分析攻擊者的行為模式，例如攻擊目標、攻擊手法、攻擊工具等。防御措施：在不同階段采取相應的防御措施，例如在偵察階段進行威脅情報分析，在漏洞利用階段進行漏洞修復等。自動化：實現攻擊鏈分析的自動化，例如自動提取攻擊特征、自動生成攻擊鏈報告等。威脅情報：集成威脅情報，提升攻擊鏈分析的準確性，例如利用威脅情報識別攻擊者的身份、動機等（7）機器學習與 AI 分析機

65、器學習和人工智能（AI）分析通過對海量終端數據進行自動化學習和建模，識別常見行為模式，并基于異常模式檢測潛在威脅。實施關鍵點:自適應學習：機器學習算法能夠自適應地從數據中學習，不斷提升檢測的準確性，減少誤報和漏報。異常檢測：利用機器學習和 AI 技術，識別和檢測異常行為，例如異常的網絡連接、異常的文件訪問等。深度學習：利用深度學習和神經網絡技術，提升 AI 分析的威脅檢測能力，應對復雜的攻擊場景新一代終端安全應用實施新一代終端安全技術應用指南25第三章 新一代終端安全應用實施在當今數字化轉型的浪潮中，終端安全已成為企業網絡安全戰略的核心組成部分。隨著高級持續性威脅（APT）、勒索軟件攻擊和數據

66、泄露事件的頻發，企業面臨的安全挑戰愈發復雜，文章為企業提供全面的終端安全解決方案指導，助力其在復雜的網絡環境中構建堅實的安全防護體系。3.1 實施建設原則在實施新一代終端安全技術時，企業應遵循以下關鍵原則，以確保安全措施的有效性和可持續性，構建高效、可靠和可持續的終端安全防護體系，確保在不斷變化的威脅環境中保持領先地位。（1）一體化設計原則。整合各種安全技術和功能模塊，通過統一的平臺來管理所有類型的終端設備，并確保不同操作系統和設備類型的兼容性和一致性。（2）主動響應設計原則。實現從“預防”到“檢測”與“響應”的轉變，提前識別和阻止潛在威脅，確保能夠主動發現和響應未知威脅。（3）場景化設計原則

67、。針對企業特定場景和業務需求，設計靈活的安全策略，滿足多樣化的場景需求，確保能夠提供差異化的防護措施。（4）智能化運營原則。利用大數據和 AI 技術，實現安全態勢感知和自動化響應，提高安全運營效率和決策能力。（5）可擴展性原則。確保系統設計的模塊化和可擴展性，預留接口和架構支持，以便于未來引入新的安全技術和創新應用，增強系統的防御能力。（6）易用性原則?？紤]用戶體驗，減少對用戶正常工作的影響。新一代終端安全應用實施新一代終端安全技術應用指南263.2 實施建設目標在實施新一代終端安全技術時，企業應明確以下建設目標，以確保安全措施的有效性和可持續性，并實現高效、可靠的終端安全防護體系。（1）打造

68、一體化終端安全防御體系。在一個平臺上管理所有類型的終端，包括 Windows、Linux、國產化操作系統、服務器、虛擬機、移動終端等，實現設備管理、配置管理、準入控制、資產管理、殺毒、漏洞修復、數據防泄漏等功能的統一管理。并從攻擊檢測、漏洞發現到防御和事件回溯，構建多層次的防護體系，實現全網安全事件的統一監控與分析。通過一體化平臺，簡化管理流程，確保風險可控、管控到位。（2）提升終端安全防護能力。采用高級威脅檢測技術（如行為分析、機器學習、威脅情報等），主動發現潛在和未知的威脅，實現快速溯源和威脅處置，抵御已知和未知的攻擊。并保護企業核心數據，防止數據泄漏、篡改和破壞。實現數據隔離、透明加解密

69、、數據防泄漏（DLP）、水印、終端防釣魚等功能。（3）實現自主可靠與安全可控。確保終端安全產品能夠全面適配國產化軟硬件環境，包括對國產 CPU、操作系統、數據庫、中間件等的支持。并確保終端設備可信，未被惡意軟件感染或非法控制，能夠按照預期方式運行。（4）滿足合規性與提升用戶體驗。確保符合國家和行業的相關安全標準（如等保 2.0），以及行業內部的安全規范和法律法規要求。并在保障安全的前提下，盡量減少對用戶正常辦公的影響，提供便捷易用的安全工具和平臺。（5）降低管理成本與提高運營效率。通過自動化部署、策略統一配置下發、可視化管理等功能，簡化管理流程，降低運維成本。并構建終端安全的“指揮中心”，基于

70、“數字化運營”思想，將運營指標和標準流程全面融入終端安全運營全過程。（6）持續改進與創新。持續改進和優化安全能力，以應對新技術和威脅等新的挑戰。并利用威脅情報、大數據分析和安全可視化等創新技術，增強對未知威脅的防御能力，實現對勒索攻擊的快速響應和恢復。新一代終端安全應用實施新一代終端安全技術應用指南273.3 實施建設指南在實施新一代終端安全技術時，企業應確保安全措施的有效性和可持續性，并實現高效、可靠的終端安全防護體系。3.3.1 部署終端統一安全管理平臺部署終端統一安全管理平臺旨在實現對企業內所有終端設備的集中管理和控制。通過有效管理不同類型的終端設備，包括物理機、虛擬機、云主機等，企業可

71、以提高管理效率，降低運維成本，并確保所有終端設備的安全性和合規性。關鍵功能：全面的終端安全能力：終端統一安全管理平臺應提供全面的終端安全能力，涵蓋預防、檢測、響應和預測等各個階段。例如，平臺應具備病毒查殺、漏洞修復、補丁管理、外設管控、應用程序控制、終端檢測與響應(EDR)、數據防泄漏(DLP)等功能。多平臺、多場景支持：平臺應支持各種終端類型，包括 Windows、Linux、MacOS、Android、iOS 等操作系統，以及 PC、服務器、虛擬機、移動設備、工控設備、物聯網設備等終端類型。同時，平臺應能適應不同的應用場景，例如辦公環境、生產環境、涉密環境等，以確保在各種環境下的安全性和管

72、理效率。統一管理和策略控制：平臺應提供統一的管理界面，方便管理員對所有終端進行集中管理，包括資產管理、策略配置、軟件分發、安全監控、事件告警、日志審計等。同時，平臺應支持基于角色的權限管理，以及細粒度的策略控制，例如可以根據不同的部門、用戶、終端類型和安全風險等級，下發不同的安全策略。一體化和聯動能力：平臺應能與其他安全產品進行聯動，例如防毒墻、入侵檢測系統(IDS)、入侵防御系統(IPS)、網絡威脅檢測與響應(NDR)、安全信息與事件管理(SIEM)、安全運營平臺(SOC)等，實現協同防御和安全事件的統一處置。新一代終端安全應用實施新一代終端安全技術應用指南28 可視化和數據分析：平臺應提供

73、可視化的安全態勢展示，以及豐富的安全數據分析工具，幫助管理員全面了解終端安全狀況，及時發現安全風險，并進行有效的安全運營。成功關鍵點：與業務場景深度融合，針對不同的業務場景，例如遠程辦公、數據交換、開發測試等，制定相應的安全策略和防護措施，實現安全與業務的平衡發展。確保安全措施既能保護企業資產，又不妨礙業務流程。避免安全孤島和能力割裂，實現集中管理、統一策略、協同聯動，提高管理效率，還增強了整體安全防護能力。利用自動化和智能化技術，提升終端安全管理效率，降低人工成本，實現安全策略的自動部署、威脅的自動檢測和響應。這種技術應用能夠顯著減少人為錯誤，提高響應速度。持續運營和優化：終端安全是一個持續

74、的過程，需要不斷進行安全評估、策略優化、漏洞修復、安全事件響應等，以適應不斷變化的威脅環境。定期的安全審計和改進措施能幫助企業保持領先的安全態勢。3.3.2 構建縱深安全防護能力構建縱深安全防護，通過多層次的安全措施，全面覆蓋和防御各種安全威脅，確保企業網絡和終端設備的安全，實現有效抵御已知和未知的威脅，減少安全事件的發生，提高企業的整體安全性。關鍵功能：提供多層級的安全防護能力，包括應用層、系統層、網絡層、數據層等的保護能力，如惡意代碼防護、勒索防護、應用程序控制、網頁郵件保護、網絡控制、數據加密、數據防泄露等方面，以應對日益復雜的安全威脅。如有效查殺各種已知和未知的病毒、木馬、蠕蟲等惡意程

75、序，以及補丁管理功能等。新一代終端安全應用實施新一代終端安全技術應用指南29 成功關鍵點：部署多層次的安全防護措施，確保全面覆蓋各種安全威脅。定期更新安全防護軟件，保持對新興威脅的有效防御能力。確保安全防護措施與企業的安全策略體系相一致。3.3.3 部署檢測與響應 EDR/XDR構建主動防護 EDR/XDR（終端檢測與響應）系統的目標是通過實時監控和分析終端行為，識別和響應高級威脅，提供可視化和安全分析功能，幫助安全團隊快速做出決策。EDR 系統在威脅發生時能夠提供快速響應能力，減少安全事件對企業的影響，確保企業的業務連續性和數據安全。關鍵功能：全面的終端信息采集：主動防御EDR需要實時采集終

76、端設備上的各種信息，例如進程、文件、網絡連接、用戶行為等。這為后續的威脅檢測和分析提供基礎數據。例如，未來智安 EDR 可以采集主機進程事件、文件操作、網絡行為、內核模塊、已安裝軟件等信息，綠盟 UES 可以監控終端設備的狀態、運行情況和安全狀況。智能威脅檢測引擎：EDR 需要利用機器學習、行為分析、威脅情報等技術，識別已知和未知的威脅。通過智能沙箱技術、機器學習技術、大數據關聯分析技術、威脅情報、異常行為分析等方式，主動發現安全威脅。威脅追蹤與溯源：EDR 不僅要檢測威脅，還要能夠追蹤威脅的傳播路徑，還原攻擊鏈，找到攻擊源頭。這有助于企業了解攻擊的全貌，并采取有效的防御措施?？焖夙憫c處置：

77、EDR 需要具備快速響應和處置威脅的能力，例如隔離受感染終端、查殺惡意文件、修復漏洞等。通過與其他安全產品（如防毒墻、APT 產品、態勢感知平臺等）進行聯動，EDR 可以實現數據共享和協同防御。成功關鍵點：清晰的安全策略：在部署EDR之前，需要制定清晰的安全策略，明確EDR的防護范圍、響應機制、數據處理方式等，以確保 EDR 能夠滿足企業的安全需求。專業的安全團隊：EDR 的部署和使用需要專業的安全人員進行操作和維護，以確保其能夠發揮最佳的防護作用。安全人員需要具備較高的專業知識和經驗，能夠進行風險判斷、白名單和黑名單的定義等。一體化安全架構：主動防御EDR應該融入企業整體的安全架構中，與其他

78、安全系統進行聯動，形成協同作戰的態勢。智能化安全運營：結合大數據和機器學習技術，分析形成規則庫、行為模板，EDR 可以實現安全態勢感知、威脅新一代終端安全應用實施新一代終端安全技術應用指南30預警和自動化響應。場景化安全策略：針對不同的應用場景制定不同的安全策略，例如遠程辦公、敏感數據處理等。安恒零信任解決方案可以根據用戶、終端、應用的可信狀態，進行動態自適應認證和業務分級訪問策略。3.3.4 構建數據安全構建數據安全體系的目標是保護企業的敏感數據，防止數據泄露和未經授權的訪問，確保數據的機密性、完整性和可用性。這不僅有助于滿足合規要求，還能有效保護企業的核心資產。關鍵功能：數據識別與分類：識

79、別和分類敏感數據是數據安全防護的基礎。企業需要明確哪些數據是高價值的并需要重點保護。例如，在“勒索攻擊”場景中，攻擊者會針對高價值數據進行加密勒索，因此識別和分類這些數據至關重要。數據訪問控制：限制對敏感數據的訪問權限，確保只有授權用戶才能訪問。通過精細化權限管理，可以根據安全評分實現動態訪問授權，將終端操作與具體人員綁定，實現責任到人。數據加密：對敏感數據進行加密，即使數據被竊取，攻擊者也無法讀取。數據加密措施包括對靜態數據和傳輸數據的加密，確保數據在存儲和傳輸過程中都保持安全。數據防泄露（DLP）：監控和阻止敏感數據通過各種渠道泄露。DLP 技術可以應用于電子郵件、網絡共享、移動存儲設備等

80、，結合地理圍欄和電子圍欄等技術，實現對數據泄露的全面防護。數據備份與恢復：定期備份敏感數據，并在數據丟失或損壞時進行恢復。數據備份與恢復是應對勒索病毒攻擊的重要措施，確保在數據被加密前進行備份，并在事后能夠快速恢復。構建勒索防護體系，實時監控和阻止勒索軟件的加密行為，保護企業的數據安全，并在勒索軟件攻擊發生時提供快速響應能力，以減少數據損失和業務中斷。新一代終端安全應用實施新一代終端安全技術應用指南31 成功關鍵點：建立數據安全管理體系：組織需要建立數據安全管理體系，明確數據安全責任，制定數據安全策略，并實施相應的安全措施。這需要從組織層面進行統籌規劃，并獲得管理層的支持。定期對關鍵業務數據或

81、敏感數據進行重點備份：確保數據的可恢復性。采用多層次的備份策略，包括本地備份和異地備份，以增加數據恢復的可靠性。評估和優化勒索防護策略：定期評估現有的勒索防護策略，識別潛在的薄弱環節，并根據新興威脅進行優化和調整。確保防護措施始終處于最佳狀態。員工培訓和意識提升：提高員工對勒索軟件威脅的認識，確保他們了解如何識別和應對潛在的攻擊，減少人為因素導致的安全風險。3.3.5 利用安全服務賦能通過與安全服務商的合作，企業可以獲得專業的技術能力，提升整體安全防護水平，并更有效地應對不斷變化的安全威脅。關鍵服務：利用威脅情報服務：確保及時獲取和分析最新的威脅信息，幫助企業提前識別潛在風險并調整防御策略。威

82、脅情報服務可以提供關于新型攻擊手法、惡意軟件樣本和攻擊者活動的深入分析。實施威脅狩獵服務：通過主動搜索和分析網絡環境中的異?；顒?，發現并應對未知威脅，提升整體安全態勢感知能力。威脅狩獵服務可以幫助企業識別潛在的安全漏洞和攻擊路徑。新一代終端安全應用實施新一代終端安全技術應用指南32 部署安全專家服務：應利用外部安全專家的專業知識進行行為分析，深入理解復雜的安全事件，提供針對性的解決方案和建議。定期與服務商溝通：應保持與安全服務商的密切溝通，確保服務的持續改進和優化，以適應不斷變化的安全威脅環境。成功關鍵點：選擇經驗豐富的安全運營服務商：選擇具有豐富經驗和良好聲譽的安全服務商，確保其能夠提供高質

83、量的安全服務和支持。與安全運營服務商簽訂服務協議：明確服務內容和服務級別，確保雙方的責任和義務清晰可見。服務協議應包括服務范圍、響應時間、報告機制等關鍵要素。對安全運營服務的執行情況進行監督和評估：定期評估安全服務的執行效果，確保其符合企業的安全需求和預期目標。通過監督和評估，及時發現問題并進行改進。3.3.6 攻擊面管理構建攻擊面管理能力旨在通過嚴格的網絡準入控制和安全策略，減少潛在的攻擊路徑和漏洞，降低被攻擊的風險。這一能力的實現有助于提高整體安全性，減少安全事件的發生。關鍵功能：身份認證：確保只有經過授權的用戶才能訪問網絡資源。通過多因素認證（MFA）等技術，進一步增強身份驗證的安全性，

84、防止未經授權的訪問。新一代終端安全應用實施新一代終端安全技術應用指南33 設備合規性檢查：在設備接入網絡之前，檢查其是否符合企業的安全策略要求。例如，確保設備安裝了最新的殺毒軟件、操作系統補丁和其他必要的安全更新。網絡訪問控制：根據用戶身份和設備的安全狀態，動態調整用戶的網絡訪問權限。通過細粒度的訪問控制策略，限制用戶只能訪問與其角色和權限相符的資源。安全策略自動化：利用自動化工具和技術，動態調整安全策略以適應不斷變化的網絡環境和安全需求，確保策略的實時性和有效性。成功關鍵點：制定網絡準入控制策略：確保網絡準入控制策略與企業的整體安全策略體系相一致。策略應涵蓋身份驗證、設備合規性、訪問權限等多

85、個方面。選擇合適的網絡準入控制產品：根據企業的具體需求，選擇合適的網絡準入控制產品，并進行有效的部署和配置。產品應具備良好的擴展性和兼容性，以適應企業未來的發展需求。監控和分析系統運行狀態：對網絡準入控制系統的運行狀態進行持續監控和分析，及時發現和解決潛在問題。通過定期審計和評估，確保系統的穩定性和安全性。員工培訓和意識提升：提高員工對網絡安全的認識，確保他們了解并遵循企業的安全策略和準入控制要求。針對不同的終端，應用不同的攻擊面收斂策略：新一代終端安全應用實施新一代終端安全技術應用指南343.4 實施建設挑戰和建議在實施終端安全解決方案的過程中，企業面臨多重挑戰，這些挑戰可能影響安全體系的有

86、效性和可持續性。以下是主要的挑戰及相應的原因分析和專家建議，以幫助企業更好地應對這些問題。（1）安全體系建設的碎片化問題企業在安全體系建設過程中，常常采用“頭痛醫頭，腳痛醫腳”的方式，導致安全產品功能堆砌，策略失衡，形成多個安全孤島。這種碎片化的安全體系使得各個安全組件難以協同工作，增加了管理復雜度和成本，并為攻擊者提供了多個潛在的突破口。原因分析：這種現象通常源于缺乏整體的安全戰略規劃，企業在面對新興威脅時傾向于快速部署單一功能的安全產品，而沒有考慮到與現有系統的集成和整體架構的協調。此外，缺乏統一的安全管理平臺和策略框架，使得各個安全工具各自為戰，難以形成合力等。安全牛建議：制定統一的安全

87、戰略：建立全面的安全戰略框架，確保所有安全措施和工具在同一戰略下協調運作，避免孤立和重復建設。采用成熟的安全架構框架，指導安全體系的設計和實施，確保各組件的協調一致。整合安全工具和平臺：選擇能夠集成多種功能的安全平臺，減少使用不同工具帶來的復雜性，實現統一管理和監控。通過集中化的安全管理平臺，實現對所有安全措施的統一配置和監控，提高管理效率。標準化安全流程：制定標準化的安全流程和協議，確保不同部門和系統遵循一致的安全標準，減少碎片化風險。加強跨部門協作：建立跨部門的安全工作組，促進信息共享和協作，確保安全措施在整個組織內的一致性。新一代終端安全應用實施新一代終端安全技術應用指南35（2）泛終端

88、安全管理難度加大隨著移動辦公和云計算的普及，企業的終端設備種類繁多，包括 PC 機、服務器、工控上位機、手持終端等，操作系統也多樣化。傳統的安全邊界逐漸消失，終端管理難度顯著增加。此外，用戶安全意識參差不齊，使得終端設備容易成為攻擊的跳板。原因分析：終端多樣性和移動化趨勢使得傳統的邊界防護手段失效，企業需要面對不同設備和操作系統的復雜性。用戶安全意識的不足則增加了管理的難度，因為即使有完善的技術措施，人的因素仍然是安全鏈條中的薄弱環節等。安全牛建議：統一管理平臺：部署統一的安全管理平臺，實現對不同類型終端設備的集中管理和監控，簡化管理流程。采用零信任架構：通過身份驗證和設備合規性檢查，確保只有

89、經過驗證的用戶和設備能夠訪問企業資源。擴展檢測與響應：應利用 XDR 將能力擴展到更廣泛的范圍，例如網絡、云、身份等，實現跨平臺的安全數據分析和聯動響應，例如將終端安全數據與網絡安全數據、云安全數據進行關聯分析，并實現跨平臺的威脅情報共享和協同防御。網絡分段與隔離：通過網絡分段和隔離策略，限制終端設備之間的直接通信，降低安全事件的影響范圍。（3）缺乏行為分析能力企業在面對高級持續性威脅（APT）和復雜攻擊時，往往缺乏有效的行為分析能力，難以識別和響應潛在的威脅。這使得企業容易成為有組織攻擊的目標，增加了安全事件的風險。原因分析：行為分析能力的缺乏通常是由于企業缺少專業的安全分析工具和人員，無法

90、對海量的安全數據進行有效分析和利用。此外，傳統的安全產品多側重于已知威脅的防護，而對未知威脅的檢測能力不足等。新一代終端安全應用實施新一代終端安全技術應用指南36 安全牛建議：利用第三方安全專家服務：采購安全專家服務，開展行為分析，彌補內部經驗不足的問題，采購在線威脅情報服務和威脅狩獵服務，實現主動識別和應對未知威脅。利用人工智能和機器學習：通過 AI 和機器學習技術，自動識別和學習正常行為模式，提高對異常行為的檢測能力。培訓專業人才：培養具備行為分析技能的專業人員，提供相關培訓和認證，提升團隊的分析能力。（4）業務場景化的安全需求挑戰描述：企業需要根據不同的業務場景和用戶角色，制定差異化的安

91、全策略。這包括對辦公網、生產網、開發網等不同網絡區域進行安全隔離，以及對不同用戶授予不同的訪問權限。然而，許多安全產品缺乏場景化設計，難以滿足這些個性化需求。原因分析：安全產品的通用性設計往往忽略了企業的具體業務需求，導致產品在實際應用中無法靈活適應不同的業務場景。此外，企業內部缺乏對業務需求的深入分析和安全策略的定制化能力。新一代終端安全應用實施新一代終端安全技術應用指南37 安全牛建議：梳理企業業務流程：與安全廠商緊密合作，梳理企業業務流程和操作環境，識別特定的安全需求和潛在風險，從而定制更符合實際需求的安全解決方案。定制化安全策略：根據企業實際業務場景、網絡環境和終端類型，制定安全策略和

92、定制化的解決方案，方案應能夠靈活調整，適應不同的業務需求和變化的威脅環境。模塊化設計：選擇模塊化的安全產品，企業根據自身的業務需求選擇和組合不同的安全功能模塊，在不影響整體安全性的情況下，優化成本和資源配置。行業特定解決方案：選擇特定行業的安全解決方案，包括行業特有的法規要求和風險因素，提供更有效的安全防護。如應針對不同的終端類型的特點，建立不同的防護策略：（5）數據安全防護沒有經驗挑戰描述：許多企業在數據安全防護方面缺乏經驗，導致在保護敏感數據和防止數據泄露時面臨困難。企業可能不知道如何有效地實施數據加密、數據防泄露（DLP）等措施，或者如何在數據安全策略中平衡安全性和業務需求。原因分析：數

93、據安全防護的復雜性和技術要求較高，許多企業缺乏專業的知識和經驗來實施有效的防護措施。此外，快速變化的業務環境和數據合規要求增加了數據安全管理的難度。新一代終端安全應用實施新一代終端安全技術應用指南38 安全牛建議：引入專業顧問：聘請數據安全專家或顧問，幫助企業評估現有的安全措施，并制定適合的安全策略。這可以彌補內部經驗不足的問題。建立數據安全政策：制定明確的數據安全政策和流程，確保所有員工了解并遵循。這包括數據訪問控制、加密標準和數據泄露應急響應等。進行定期的數據安全審計和風險評估，識別潛在的安全漏洞，并及時采取措施進行修復。采用先進技術：引入先進的數據安全技術，如數據加密、訪問控制和數據丟失

94、防護（DLP）等，以提供更強的安全保障。建立安全文化：在企業內部建立重視數據安全的文化，鼓勵員工主動報告安全問題，并積極參與安全改進。新一代終端安全成功案例研究新一代終端安全技術應用指南39第四章 新一代終端安全成功案例研究4.1 案例一 某銀行終端安全案例（亞信安全提供）（1）案例背景公司簡介：某股份制商業銀行是全國 19 家系統重要性銀行之一，上海證券交易所主板上市企業，位列 2023 年全球銀行品牌 500 強，穩居全國城商行 Top 行列。案例背景：在金融業國產化及監管合規的大背景下，該銀行需要將其現有的終端安全產品進行國產化替換。該銀行組織規模龐大，擁有廣泛的分支機構和大量的員工，終

95、端設備數量數以萬計，且架構多樣，類型復雜。因此，該銀行迫切需要一套能夠實現不同架構終端統一管理，支持多級分布式部署的終端信創產品。（2）用戶問題該銀行在終端安全方面面臨的挑戰主要包括：終端架構多樣化與統一管理難題:銀行終端設備類型多樣，包括個人電腦、服務器、ATM 機、POS 機等，且分布在總行、分行以及子公司等多個層級，管理起來非常復雜。銀行業務涉及支付清算、客戶服務、內部辦公等多個場景，每個場景對終端設備的需求和安全要求都有所不同。銀行的 IT 架構包括核心業務系統、支付清算系統、辦公自動化系統等，這些系統可能運行在不同的硬件和軟件平臺上，增加了統一管理的難度。信創產品替換與兼容性挑戰:在

96、信創替換過程中，需要保證業務不受影響，且銀行的 IT 架構需要支持新舊系統的平滑過渡，同時保證新系統的安全性和兼容性，這增加了替換的復雜性。終端安全管理平臺的整合難題:金融機構普遍存在終端產品 agent 多、管理平臺多的問題，導致管理效率低下，且容易出現安全漏洞。該銀行需要一個能夠整合各類終端安全管理工具的平臺，以實現對全行終端的統一管理。終端安全防護與 HVV 應對:金融行業每年都會面臨 HVV（黑客攻擊模擬）的挑戰，這對終端安全防護提出了更高的要求。在 HVV 期間，銀行需要確保所有終端設備都能夠抵御外部攻擊，保護客戶和銀行的數據安全。（3）案例實施 項目目標:構建一個強壯、有效的終端安

97、全運營體系，實現對全行終端的統一管理和安全防護。項目需求:信創非信創一體化管理:實現對信創和非信創終端的統一管理，包括授權和策略的統一下發。新一代終端安全成功案例研究新一代終端安全技術應用指南40 攻擊面管理:提供未知資產發現、互聯網暴露面資產發現、資產分級、漏洞風險管理等能力。全網威脅分析與處置:提升辦公終端全網威脅可視、可查、可控的能力。分域防控與縱深防御:控制域間訪問權限，防止網內風險跨域擴散。統一平臺與分批建設:基于統一平臺建設，各子產品共用終端注冊接口，方便用戶逐步擴展應用。實施思路和方法論:采用結合產品、防御策略、服務為一體的終端安全運營體系，構建邏輯結構為三層的終端安全管理體系，

98、形成多層次的防護服務。項目實施內容:部署亞信安全終端安全管理平臺，支持多種信創 CPU 架構和多種操作系統，實現對信創和非信創終端的統一管理。集中管理示意圖 構建多層次的終端安全管理體系，包括總行、分支機構和二級控制中心，實現集中管理和分權管理。實施攻擊面管理，提供未知資產發現、互聯網暴露面資產發現、資產分級、漏洞風險管理等能力。實施全網威脅分析與處置，通過全網告警關聯分析、告警聚合、調查分析、聯動處置等配套機制，提升辦公終端全網威脅可視、可查、可控的能力。實施分域防控與縱深防御，采用微隔離方式，將網絡劃分成不同的邏輯域，控制域間訪問權限，防止網內風險跨域擴散。（4）關鍵成功因素 技術優勢:亞

99、信安全終端安全管理平臺支持多種信創 CPU 架構和多種操作系統，實現了信創和非信創終端的統一新一代終端安全成功案例研究新一代終端安全技術應用指南41管理。針對性:方案實施充分考慮到了客戶分權分域跨地區管理的需求，采用分域防控與縱深防御的設計，有效控制了風險的跨域擴散。創新性:項目創新性引入攻擊面管理和全網威脅分析與處置的理念，提升辦公終端全網威脅可視、可查、可控的能力?？陕涞匦?項目采用了成熟的技術和解決方案，如終端安全一體化管理平臺、攻擊面管理、分域防控，項目的解決方案采用模塊化設計，可以根據不同的業務場景和需求進行靈活配置和擴展。（5）實施收益 提升業務處理效率:業務系統部署周期縮短 30

100、%，日常運維時間縮減一半，顯著降低運維成本。減少風險暴露面:通過攻擊面管理方案，排查資產存在的攻擊面并提供修復措施，減少企業 70%的風險暴露面。提高運營效率:通過全網告警關聯聚合，減少 85%的告警量，減少管理員分析告警的成本。安全牛評價 銀行行業由于行業本身的特點，對數據安全和業務連續性要求極高、業務場景復雜多樣、IT 架構復雜等，常存在終端架構多樣化與統一管理、信創產品替換與兼容性、終端安全管理平臺的整合以及終端安全防護與 HVV 應對等問題。亞信安全提供的解決方案，其關鍵能力在于信創非信創一體化管理、攻擊面管理、全網威脅分析與處置以及分域防控與縱深防御，案例通過構建多層次的終端安全管理

101、體系，實現了對全行終端的統一管理和安全防護，有效解決了該銀行面臨的終端安全管理難題。并且引入了攻擊面管理和全網威脅分析與處置的理念，能夠幫助企業更好地應對 HVV 等安全挑戰。該銀行案例的成功經驗，為其他面臨類似挑戰的金融機構提供了寶貴的借鑒經驗，特別是對于組織規模龐大、擁有廣泛分支機構和大量員工的銀行或集團企業，具有一定的參考意義。新一代終端安全成功案例研究新一代終端安全技術應用指南424.2 案例一某運營商終端安全體系建設項目（奇安信提供）（1）案例背景該運營商是財富世界 500 強企業，在國內 31 個?。ㄗ灾螀^、直轄市）和境外多個國家和地區設有分支機構，通過覆蓋全國、通達世界的現代通信

102、網絡和全球客戶服務體系，為近 5 億用戶提供各類基礎通信服務。作為頭部運營商集團，該運營商一直以來都非常重視網絡安全建設，已經構建了成熟的安全防護體系。但隨著互聯網業務的快速發展及護網常態化機制的變化，在終端數據的獲取與匯總、集團監管的落實、運營工作的執行、日常問題的處理等方面暴露出的問題越來越多，日益影響到集團整體安全狀態。盡管構建了成熟的安全防護體系，但面對近 40 萬分布在全國的各類型終端，仍然存在太多的終端安全“盲區”，一直無法實現真正意義上的統抓統管：既看不到40萬終端的安全狀態，也無法檢驗終端安全運營工作的實際效果和積極改進。（2）用戶面臨的問題和挑戰 終端資產盤點不清：近 40

103、萬終端分布在全國各地的分支機構，設備本身還會定期進行新舊替換或升級，很難清晰掌握資產全貌。終端安全軟件覆蓋率較低：部分終端沒安裝安全軟件，導致這部分終端不在集團安全管理范圍，統一安全策略無法落實到位，不合規終端、感染病毒終端大量存在。終端問題無法定位到“人”：出現異?；蚓o急情況時無法定位到“人”，發生的安全問題得不到快速處理。漏洞修復不及時，易被攻擊：對于每月微軟發布的漏洞補丁，無法及時進行修復，甚至不清楚終端上的漏洞和補丁現狀，導致網內很多終端存在漏洞，很容易遭到非法攻擊，整體安全風險。高級威脅攻擊無應對手段：面對重保、攻防實戰以及日常生產過程中發生的高級威脅攻擊，缺少有效的防護手段。同時存

104、在被監管單位通報的問題。新一代終端安全成功案例研究新一代終端安全技術應用指南43（3）案例實施 明確的運營指標和流程規范、考核制度在該運營商進行終端安全運營體系建設的過程中，為了更有效地進行終端安全運營管理，奇安信幫助該運營商完成了終端安全運營管理組織的規劃、建立、完善，拉通了內部溝通協調機制，健全了終端安全管理規范及管理方法，制定了明確的運營指標和流程規范、考核制度。定義標準化工作流程為了提升終端安全運營效率，奇安信根據該運營商的日常運營需要，為其定義了近百個標準化工作流程（SOP），覆蓋指標運營、漏洞修復、病毒防護、重保加固、日常終端安全運維等多個場景，為主要運營工作提供了明確的操作規范。

105、設置數字定義的工作指標為了明確終端安全運營效果，奇安信幫助該運營商為每項終端安全運營工作設置了數字定義的工作指標，包括終端安全軟件安裝率、實名率、病毒庫更新率、補丁庫更新率、特定高危漏洞比率、病毒掃描執行率、病毒風險終端比率等。利用終端安全運營平臺進行支撐整個終端安全體系，通過奇安信終端安全管理系統+終端安全運營平臺（ESOP）進行支撐。管理系統提供終端安全層面的縱深防護能力建設，并確保終端在任何時候都能可信、安全、合規地訪問數據和業務。ESOP 以終端安全數據和威脅情報數據為基礎，依托數據采集、實時關聯分析、持續監測、可視化技術，結合標準操作流程，為客戶的終端安全運營和決策提供數據支撐。新一

106、代終端安全成功案例研究新一代終端安全技術應用指南44（4）關鍵成功因素建設“體系化、數字化”的終端安全防護體系：為了確保全集團 40 萬終端安全，增強終端安全的可見性，提升終端安全運營的效果和效率，該運營商與奇安信深度合作，依托奇安信對終端安全的深刻理解、優秀的產品能力以及豐富的運營經驗和全面的人員儲備，通過深入現狀梳理、整體規劃，幫助用戶建立了從集團統抓統管的角度出發，基于“體系化防御、數字化運營”方法，構建了一體化的終端安全運營體系，通過指標牽引、流程驅動的方式，真正實現了終端資產清晰化、終端風險可視化、終端基線合規化、終端運營體系化。新一代終端安全成功案例研究新一代終端安全技術應用指南4

107、5（5）實施收益項目遵循該運營商集約化建設原則，在建設規模和實施進度均處于行業領先水平，是運營商終端安全全國全網集中管理的最佳實踐，項目成效顯著。依托“數字化運營”方法，該運營商構建了可量化、可看見、可提升的終端安全運營模式，并在運營管理、效率、效果等方面取得了“質”的突破：運營管理提升：該運營商實現了對總部和各分子公司終端安全運營工作相同標準的量化考核，通過橫向對比很容易發現各分子公司的運營差距，通過縱向對比很容易查看各類運營工作的提升幅度，更加客觀的評估整體終端安全狀態，并制定下個階段的運營目標。運營效率提升：通過定義的近百個標準化工作流程（SOP），有效降低了因操作原因導致的問題，大大提

108、高了日常的運營效率。運營效果提升：徹底告別了運營效果不詳的窘境，通過各項指標對應數字的變化，可以清晰地看出終端安全運營已經獲得了顯著的提升。目前，該運營商已經將 20 多個運營指標、30 多個運營流程全面融入到每天的終端安全運營工作中，快速把安裝率、實名率、特定高危漏洞處置率等多個基礎運營指標提升到 80%以上，并修復了上萬個特定關注的高危漏洞，主動發現并解決了多起勒索和高危挖礦病毒應急事件，還在攻防演練中準確定位并處置了若干起終端及疑似失陷終端。安全牛評價：電信運營商行業由于終端設備數量龐大且分布廣泛、終端類型多樣、安全防護難度大，以及業務場景對網絡安全和數據安全的要求極高等現狀，普遍存在終

109、端資產盤點不清、終端安全軟件覆蓋率較低、終端問題無法定位到人、漏洞修復不及時以及高級威脅攻擊無應對手段等的終端安全管理難題。奇安信提供的解決方案，關鍵能力在于“體系化防御、數字化運營”的理念，以及天擎+終端安全運營平臺（ESOP）的應用。通過建立一體化的終端安全運營體系，實現了終端資產清晰化、終端風險可視化、終端基線合規化和終端運營體系化，有效提升了該運營商的終端安全防護能力和運營效率。該案例為其他面臨類似挑戰的企業提供了一定的借鑒經驗，特別是對于擁有大量終端設備且分布范圍廣的大型企業和機構，例如政府部門、金融機構、能源企業等，具有一定的參考意義。新一代終端安全成功案例研究新一代終端安全技術應

110、用指南464.3 案例三 能源行業終端安全防護案例（安天提供）1.案例背景某能源集團是國內以電力為核心的綜合能源企業，業務覆蓋電力生產和銷售、新能源、環保等相關產業。集團擁有大量發電廠、變電站、輸電線路等關鍵基礎設施，以及遍布全國的營業網點和辦公機構，IT 環境復雜，終端類型多樣，包括傳統桌面、工作站、服務器、虛擬化終端、工控上位機、專用終端、自助設備和手持終端等，操作系統涵蓋 Windows、Linux、國產操作系統（如歐拉、麒麟、統信）和 Android 等。隨著集團業務的不斷發展，業務數據安全的重要性也日益凸顯。近年來，國內外針對能源企業和關鍵基礎設施的網絡攻擊呈快速增長，網絡安全形勢嚴

111、峻。按照信息系統重要性和等級保護的要求，集團網絡結構優化設計為集團業務網和集團外聯網。集團業務網參照等保三級要求，加強了強身份驗證和細粒度管控機制，但集團目前仍面臨著嚴峻的網絡安全風險，為了保證核心數據的防護，有效的避免勒索病毒等網絡攻擊對業務連續性的影響，該集團決定實施終端安全防護解決方案。2.用戶問題、痛點和挑戰無論是從所面臨的外部網絡安全環境，還是內部的安全技術能力、人力資源投入角度看，全集團在終端安全方面面臨不小挑戰，主要有：勒索軟件攻擊威脅加?。耗茉葱袠I作為關鍵基礎設施，是勒索軟件攻擊的重點目標，集團面臨著數據泄露、業務中斷、經濟損失和監管處罰等風險。終端類型復雜多樣：集團終端類型繁

112、多，操作系統復雜，安全防護難度大。安全防護能力不足：傳統的安全防護手段難以應對新型勒索軟件攻擊，存在防護漏洞。安全管理難度大：終端數量龐大，安全管理分散，難以實現統一的安全策略和防護措施。3.案例實施 項目目標終端安全防護系統項目總體目標為：建設終端安全防護體系，實現總部、分級機構以及各生產廠病毒防護，提升集團整體安全防護能力。實時分析防病毒軟件使用情況，及時發現安全事件，降低安全風險，滿足安全等級保護要求和監管要求。提供國產化的防病毒軟件及許可，實現安全軟件自主可控的要求。新一代終端安全成功案例研究新一代終端安全技術應用指南47 要有靈活的可擴展性，能隨集團業務發展進行快速適應，包括架構、業

113、務和環境等方面。項目需求終端安全防護系統項目具體需求包括：終端系統能支持集團所有類型的終端類型，包括PC機、服務器、虛擬機、工程師站、操作站、工控機和手持終端設備。終端系統能支持 Windows、Linux、國產化和安卓操作系統，可以隨著集團業務需要適配新增加的操作系統。統一管理：能對如上提到的不同類型、不同操作系統終端實現一個管控中心統一管理。覆蓋集團總部、二級機構和生產廠所有的客戶端；支持對集團、分公司、生產廠實現分級管控?？梢造`活的根據需求制定和部署安全防護策略。實時監控全網防病毒系統查殺、更新、運行等情況。實現全網計算機終端統一補丁升級更新和監控。對重大病毒可以及時的發出告警，并定期生

114、成報告，保證系統安全的使用。支持勒索病毒專項防護，對已知和未知勒索病毒進行識別和處置，保護終端系統運行。核心技術國產化，包括威脅檢測引擎、所用硬件設備為自主可控國產化產品。支持威脅告警日志、系統運行日志、審計日志等數據輸出，可與第三方平臺進行對接。項目實施思路和方法論項目實施采用“統一規劃、分步實施”的策略，首先進行頂層設計，制定整體方案，然后根據集團實際情況分階段實施。按照“先集團、后分支；先辦公、后生產；先試點、后全員”步驟進行項目實施。安天智甲產品主要由客戶端軟件與管理中心兩部分組成，客戶端是部署于終端內的 Agent 和安全組件，主要用于威脅檢測與處置，主機環境監控、資產信息發現與探測

115、、安全基準檢測、入侵檢測防護、網絡與端口防護，并可以執行管理中心下發的多重處置任務。智甲管理中心主要面向安全管理人員，對端點類資產進行統一安全管理，集中監測分析端點安全事件、制定和下發相關處置任務策略。管理中心通過智甲的信息采集形成網內主機資產地圖與漏洞風險地圖。管理中心采用 B/S 架構，管理員使用瀏覽器即可訪問管理中心。同時，管理平臺提供各類標準開放接口，提供 syslog 接口和相應日志格式，支持對接云平臺、態勢感知系統等第三方平臺。新一代終端安全成功案例研究新一代終端安全技術應用指南48本項目包括集團和眾多分布在全國的分支機構，用戶終端數量大，地域分布廣，因此采用分級部署方案，利用企業

116、自己的專網，將這些終端納入到統一管控。此場景下用戶內網在不同的分支機構部署智甲管理中心，多臺管理中心形成多級部署，部署示意圖如下所示。此種部署下，分級管理中心可以通過互聯網的升級服務器進行系統升級，也可以通過一級管理中心服務器進行升級。通常情況下，建議統一升級源。沒有聯網的分支（如某些生產廠）則單獨部署管理中心，管理自己范圍內的終端設備，升級采用升級光盤或者手動/工具從安天升級服務器上下載升級包完成升級。圖多級部署場景示意圖客戶端部署：客戶端可以借助第三方工具如準入系統，或者現有的 AD 域等方式完成推送安裝。對于確實無法借助如上方式實現批量自動安裝的設備，可通過自管理中心通過 web 下載安

117、裝包，一鍵安裝后客戶端無需做任何配置即可連接到管理中心，實現后續的策略同步、任務執行、數據上報、軟件更新等功能。4.關鍵成功因素本項目能實現最初的項目目標，達成用戶的各項需求，主要體現在以下幾個方面：動態綜合適配各場景安全防護特性智甲采用動態適配設計思路，提供“防護業務+防護設備”雙場景綜合動態適配能力，以滿足企業各種防護場景。在防護業務方面，智甲可動態切換防御模式和采集模式兩種，一方面作為獨立終端安全防御設備為終端設備提供安全防護能力，可根據終端設備防護需求，采用全面防御或策略防御兩種模式；另一方面采集模式指智甲可作為終端輕量級采集探針，提供日常采集和按需采集兩種方式，采集終端設備信息，與其

118、他安全設備結合，例如流量分析檢測設備、態勢感知系統和SIEM 系統等，實現企業網絡整體安全防御。在防護設備方面，支持防護多種操作系統平臺，包括 Windows 桌面系統、新一代終端安全成功案例研究新一代終端安全技術應用指南49Windows 服務器操作系統、Linux 系統、國產化操作系統、移動操作系統、國產操作系統和各虛擬化平臺等，智甲基于防護設備類型，策略動態適配相應防護模式，滿足對不同終端設備類型的差異化安全防護需求。高級可持續威脅（APT）等防護能力通過對各種威脅行為體的作業手法、漏洞利用工具和高級木馬的分析，安天不斷改善威脅檢測引擎和主動防御內核，通過扇區監控、內核服務和驅動監控、文

119、件監控、注冊表監控、瀏覽器和郵件客戶端保護等機制，攔截格式文檔攻擊和橫向移動。面對 APT 攻擊，智甲采用“未知可疑程序捕獲+管理端靜態分析+文件關聯分析+威脅清除追溯”的防護策略，終端會對新增的未知文件進行初步分析，針對發現的可疑程序會上報管理中心，管理中心集成有靜態深度分析模塊（安天下一代威脅檢測引擎的分析模式），可以通過提取文件向量信息進行分析，判斷文件是否為高危險文件，并且可結合安天追影威脅分析系統進行深度動態分析。一旦判斷該文件為高級威脅載荷，可以通過文件關聯分析排查出與該文件有關的其他攻擊載荷，就可以針對相關威脅載荷進行統一清除，對其持久化進行處置。有效的勒索病毒防護目前主流殺毒軟

120、件均通過采用白名單或文件防護功能，防御勒索病毒，安天智甲研發工程師通過多年研究和跟蹤勒索病毒的攻擊方法，發現以上防御技術均有缺陷，對新型的勒索病毒并不適用，無法真正抵御勒索病毒。智甲提出終端上文件多維信息監測和關聯分析的精準檢測勒索病毒的鑒定方法。平臺監測文件加密動作、加密文件數量、文件訪問和改寫頻率、文件后綴名形態變化和勒索 URL 采集等，通過對監測的多維信息進行關聯分析，判斷用戶是否被勒索病毒攻擊，同時為每項監測信息設置報警策略，當勒索病毒攻擊時，智甲自動向用戶報警，并將文件自動備份到智甲安全隔離區中。該鑒定方法極大提高了勒索軟件檢測精準性。領先的國產化防護能力智甲是國內較早的支持為國產

121、化操作系統提供安全防護的產品，具有可信驗證、病毒查殺、進程防護、漏洞檢測、虛擬補丁、終端管理、網絡防護等多種功能。2015 年起，在國家相關部門的統一規劃下，安天分別與中標麒麟、中科方德、銀河麒麟等國產操作系統廠商進行了深入的代碼級合作，實現了預裝試點。2016 年，成功支撐了“型號首批萬套部署”，獲得了主管部門的高度認可。按照“國產硬件+國產化操作系統”的雙國產組合計算，智甲已實現對近百種版本的環境良好適配，并且與中標麒麟、銀河麒麟、中科方德、達夢數據庫等廠商的產品具有兼容互認證明。便捷的分級管理能力安天智甲終端防御系統可提供虛擬分級功能。虛擬分級即基于一個安天智甲物理管理中心，虛擬出多個邏

122、輯安天智甲管理中心，邏輯安天智甲管理中心之間單獨管理各自的終端、維護各自的安全策略，共享物理智甲服務器的硬件資源、公共黑白庫資源以及可管理終端最大數值等，有效提高了用戶管理的靈活性。新一代終端安全成功案例研究新一代終端安全技術應用指南505.實施收益 通過部署安天終端安全解決方案，該能源集團取得了顯著的成效：終端安全事件減少 80%:有效降低了勒索軟件攻擊等安全事件的發生率。漏洞修復率提升 35%:及時修復系統漏洞，提升了終端的安全性。安全運營成本降低 40%:通過集中管理和自動化工具，降低了安全運營成本。安全合規通過率達到 100%:滿足了國家和能源行業相關安全標準和合規要求。項目成果:建立

123、了跨平臺的一體化集中管理的終端安全防護系統，降低實施、管理和后期運維成本。只需一個管理中心便能實現 PC 終端、服務器、虛擬云終端、專用終端、移動終端等多平臺的病毒統一查殺、漏洞統一修復、病毒庫統一升級、勒索統一防護、APT 全網追溯等管控操作?？衫脧姶蟮牟《静闅⑴c多重防護功能，增強終端防護能力，構建有效防護體系。領先的國產化引擎，幫助用戶精準識別、快速處理安全威脅，避免錯殺漏殺；漏洞修復、防勒索、未知威脅防護等防護功能。能實時感知全網終端態勢，提升安全事件響應速度，及時有效清除安全威脅。全方位感知全網終端資產信息、終端安全態勢；當發生安全事件時，可通過全網追溯、定點查殺等手段進行快速響應。

124、引入領先的下一代反病毒引擎，形成有針對性的主動防御機制，及時發現勒索行為并立刻響應攔截；通過設定受保護文件類型，阻止非授信進程的修改；精準識別疑似勒索行為，自動化備份，并禁止其他進程訪問，將損失降到最低。通過與客戶現有的安全系統以及安全設備進行安全日志對接，并在關鍵節點放置深度分析設備，實現對威脅狀態、脆弱性狀態、運行狀態、安全合規狀態、以及系統整體安全狀態的統一監測、統一分析、統一告警、快速處置。響應上層各業務應用模塊或者安全監測分析人員的調用，實現對特定威脅特征、特定脆弱性特征、以及特定系統特征的歷史日志按需追溯、未來日志按需監測、按需審計，進而實現安全事件處置效果追蹤、整改效果驗證、情報

125、研判、未知威脅發現等業務功能。安全牛評價：能源行業作為關鍵基礎設施，由于容易成為攻擊目標、終端類型繁多且操作系統復雜、IT 環境復雜等現狀，普遍存在勒索軟件攻擊威脅加劇、終端類型復雜多樣、安全防護能力不足以及安全管理難度大等問題。新一代終端安全成功案例研究新一代終端安全技術應用指南51安天提供的解決方案，其關鍵能力在于動態綜合適配各場景安全防護特性、高級可持續威脅（APT）防護能力、有效的勒索病毒防護、領先的國產化防護能力以及便捷的分級管理能力。方案的優勢在于其針對性、創新性和可落地性，能夠有效提升企業的終端安全防護能力和運營效率，并采用了動態適配設計思路、多維信息監測和關聯分析的勒索病毒鑒定

126、方法等先進技術，能夠幫助企業更好地應對勒索軟件攻擊、APT 攻擊等安全挑戰。該能源集團的成功經驗，為其他面臨類似挑戰的能源企業以及其他關鍵基礎設施行業，例如政府部門、金融機構、交通運輸等，都具有一定的借鑒意義。4.2 案例三 能源行業終端安全防護案例（安天提供）新一代終端安全成功案例研究新一代終端安全技術應用指南524.4 案例四 某大型金融機構移動辦公安全案例分析（指掌易提供）（1）案例背景某大型金融機構是我國首批上市的商業銀行之一，涉及公司銀行、財務管理、個人信貸、資產管理等 12 個業務模塊，入圍英國銀行家雜志評選的 2024 年度 2024 年全球 1000 強銀行 及 2024 年全

127、球銀行品牌 500 強排行榜。近年來，云計算、人工智能和 5G 等新技術廣泛應用，給金融科技在數字化轉型建設、運營效率等方面提供基礎條件，某大型金融機構順勢實現了業務、辦公應用等移動化，混合辦公、營銷等多個移動化場景投入推廣使用。然而，移動辦公也帶來了新的安全挑戰，如何確保移動辦公環境下的數據安全和業務安全成為亟待解決的問題。（2）用戶問題由于移動產品的特性，移動辦公也會帶來相應的安全風險。實施移動辦公或遠程辦公之后，該金融機構的業務數據或會面臨以下風險：移動端風險:員工使用的移動設備及操作系統版本多樣化，且存在越獄或 ROOT 等安全風險，業務數據在這些終端環境中存在安全隱患。傳輸網絡風險:

128、移動網絡環境不可控，通過 4G 或各種公共 Wi-Fi 接入辦公系統，存在網絡被劫持、數據被竊取的風險。服務接入風險:辦公業務系統的服務器直接暴露于互聯網，存在被攻擊的風險。員工行為風險:員工的不規范操作，例如截屏、復制、分享等，可能導致數據泄露。（3）案例實施 項目目標打造全鏈路、集約化、可擴展的移動安全平臺，保障移動辦公環境下的數據安全和業務安全。項目需求:安全接入:實現安全可靠的移動辦公接入方式。數據安全:保障移動辦公環境下數據的機密性和完整性。傳輸安全:確保數據在傳輸過程中的安全。新一代終端安全成功案例研究新一代終端安全技術應用指南53 實施思路和方法論:基于零信任安全理念，構建全方位

129、移動安全防護體系。項目實施內容:部署指掌易移動業務智能安全平臺（MBS）:提供統一的移動辦公入口，實現對移動設備、應用和數據的安全管理。部署指掌易移動安全接入網關（SDP）:隱藏企業業務服務器，建立安全傳輸通道，保障數據傳輸安全。構建安全工作空間:將辦公應用運行在與個人區域隔離的安全工作空間內，防止數據泄露。實現多因素可信認證:對移動設備、接入時間、接入地點、接入網絡等進行安全評估，確保接入安全。實施數據防泄露（DLP）:防止應用層數據外泄，包括應用水印、截屏錄屏保護、復制黏貼保護等。（4）關鍵成功因素 零信任安全理念:以“永不信任，始終驗證”為原則，構建全方位移動安全防護體系。全鏈路安全防護

130、:覆蓋移動辦公的各個環節，包括設備、應用、數據、傳輸、接入等。集約化建設:統一建設安全管控平臺，降低企業安全投入成本，統一安全標準?？蓴U展架構:方案架構具備靈活的擴展能力，可以不斷擴展新的安全技術和安全業務能力。（5）實施收益建立安全可信的安全工作域:有效保障了移動辦公環境下的數據安全和業務安全。提供綜合的認證及持續訪問控制:實現了對移動設備和用戶的安全認證和訪問控制。打造閉環一體化的零信任數據可信訪問安全平臺:實現了對移動辦公的全方位安全防護。安全牛評價：金融行業由于對數據安全和保密性要求極高、移動辦公模式下數據流動性增強、傳統 IT 架構難以適應移動辦公等現狀，普遍存在移動辦公安全難題，如

131、移動端風險、傳輸網絡風險、服務接入風險以及員工行為風險等。指掌易提供的解決方案，其關鍵能力在于基于零信任安全理念構建全方位移動安全防護體系，方案的優勢在于其全鏈路安全防護能力、集約化建設、可擴展架構，能夠有效提升企業的移動辦公安全防護水平和運營效率，并采用了零信任安全理念、多因素可信認證等先進技術，能夠幫助企業更好地應對移動辦公帶來的安全挑戰。新一代終端安全成功案例研究新一代終端安全技術應用指南54該大型金融機構的成功經驗，為其他正在探索移動辦公模式的金融機構以及對數據安全和保密性要求極高的政府機構、大型企業等，都具有一定的借鑒意義。新一代終端安全成功案例研究新一代終端安全技術應用指南55 4

132、.5 案例五 天士力集團終端安全案例分析（安恒提供）（1）案例背景天士力集團是以國際化為引領、以大健康產業為主線、生物醫藥和數智健康兩大產業體系協同并進的高科技企業集團，集團員工上萬名，連續多年榮獲中國民營企業 500 強、制造業 500 強。隨著業務的快速發展和擴展，天士力集團的 IT 系統日益龐雜，遠程辦公、臨時帳號等新的辦公業務場景越來越豐富，對日常的安全管理要求越來越高。集團面臨著系統漏洞修復、惡意軟件防護、員工訪問權限控制等多方面的安全挑戰。（2）用戶問題、痛點和挑戰天士力集團在終端安全方面面臨的主要挑戰包括：終端資產管理混亂：集團辦公終端比較分散，管理者無法及時掌握終端資產的詳細信

133、息，例如終端數量、類型、部門分布、責任人等，難以發現終端設備存在的安全漏洞、弱密碼等安全隱患，增加了被攻擊的風險。惡意軟件入侵和黑客攻擊：惡意軟件入侵及黑客攻擊，導致集團用戶辦公終端、業務服務器中毒，影響正常辦公和業務正常運轉；終端惡意程序外聯惡意域名，導致企業被監管機構通告，影響企業聲譽。遠程辦公安全管控：集團員工上萬名，如何保障員工安全地訪問業務系統，尤其是遠程辦公場景下，如何快速高效地接入業務，同時對不同員工分配不同的業務權限，限制非授權訪問，減少業務暴露，保證業務安全，也是集團面臨的一個重要問題。原因分析：（3）案例實施 項目目標：構建全方位、多層次的信息安全防護體系，保障業務正常運轉

134、，保障員工正常辦公。項目需求：終端安全防護：有效防護惡意軟件入侵和黑客攻擊，降低安全風險。風險暴露面收斂：全面梳理脆弱性信息，降低被攻擊的風險。遠程辦公安全接入：保障遠程辦公安全，實現業務的遠程安全接入。新一代終端安全成功案例研究新一代終端安全技術應用指南56 精細化權限管理：對不同員工分配不同的業務權限，限制非授權訪問。終端資產管理：實現對終端資產的清晰管理和追溯。實施思路和方法論：以人和資產為導向，采用零信任體系架構，構建一體化安全防護解決方案。項目實施內容：一、惡意軟件入侵及黑客攻擊防護在集團數據網服務器中部署 EDR 系統，實時監測并響應惡意軟件入侵及黑客攻擊行為。通過 EDR 的深度

135、分析能力，及時發現并阻止潛在威脅，確保業務服務器安全。在辦公網終端上安裝辦公智盾安全軟件，提供全面的防病毒、入侵檢測功能。結合威脅情報 C2（Command and Control）發現機制，對潛在威脅進行快速溯源和處置。安裝實施 EDR 和辦公智盾以來，幫助集團用戶實時發現病毒入侵風險，降低安全風險 99%以上，有效抵御病毒入侵4000 多次，實時監測安全事件 10000 多次。二、對外應用暴露風險控制通過資產盤點對主機進程、賬戶、端口等維度的資產形成資產清單，全面梳理弱口令、高危端口、高危漏洞“兩高一弱”脆弱性信息，實現終端暴露面的最小化收斂，降低被攻擊的風險；同時對于發現的安全漏洞，立即

136、向用戶發出預警，實施針對性的防護措施，降低對外應用暴露風險。零信任應用隱藏與風險暴露面收縮，采用零信任安全模型，對外部訪問進行嚴格控制，隱藏非必要應用，減少風險暴露面。通過動態訪問控制和身份驗證機制，確保只有授權用戶才能訪問敏感應用。新一代終端安全成功案例研究新一代終端安全技術應用指南57三、遠程辦公安全管控零信任方案幫助集團實現業務的遠程接入，對于遠程辦公場景，采用零信任安全策略，對遠程用戶進行嚴格的身份驗證和訪問控制，確保遠程用戶只能訪問其所需的應用和資源，防止敏感信息泄露和非法訪問。引入掃碼身份確認機制，用戶在訪問應用或設備時，需通過掃碼進行身份驗證，動態調整其應用訪問權限，確保權限管理

137、的精細化和安全性。通過釘釘/企微進行掃碼身份確認及應用權限控制，一鍵接入業務系統，提高辦公的便捷性，。通過這些措施集團顯著提高了用戶賬戶管理的安全性和效率，減少了因賬戶管理不善而帶來的風險，辦公提效 30%以上。四、從設備管理到人的管理升級通過資產登記對終端使用人和員工個人企業編號進行關聯，將人和資產進行綁定，實施一人多設備、一設備多人的精細化管理，對每臺設備和每個用戶進行 1 對 1 的資產登記。清晰記錄設備信息、用戶信息及其關聯關系，便于管理和追溯。生產網實現 1 對 n 的掃碼身份確認及應用權限控制，提高管理效率和安全性，便于生產車間終端設備多人共用。安恒終端安全解決方案通過綜合運用 E

138、DR、辦公智盾、零信任安全模型、兩高一弱風險檢測及防護、掃碼身份確認等新一代終端安全成功案例研究新一代終端安全技術應用指南58技術手段，實現了從惡意軟件入侵及黑客攻擊防護、對外應用暴露風險控制、遠程辦公安全管控到從設備管理到人的管理升級的全面安全保障。（4）關鍵成功因素 安恒 EDR 系統：提供深度分析能力，及時發現并阻止潛在威脅，確保業務服務器安全。安恒辦公智盾安全軟件：提供防病毒、入侵檢測功能，并結合威脅情報 C2 發現機制，對潛在威脅進行快速溯源和處置。零信任安全模型：對外防黑客、內治內鬼、內外兼修，有效提升終端安全防護水平。掃碼身份確認機制：提高了用戶賬戶管理的安全性和效率，提升辦公效

139、率。資產登記：實現了對終端資產的精細化管理，便于管理和追溯。（5）實施收益 終端安全事件減少 99%：有效降低了惡意軟件入侵和黑客攻擊事件的發生率。漏洞修復率提升 90%：及時修復系統漏洞，提升了終端的安全性。安全運營成本降低 70%：通過集中管理和自動化工具，降低了安全運營成本。安全合規通過率達到 100%：滿足了國家和行業相關安全標準和合規要求。安全牛點評醫藥行業對數據安全和合規性要求較高，任何安全事件都可能對企業聲譽和業務運營造成負面影響。并且大型醫藥行業企業集團普遍存在的終端安全管理難題，例如終端資產管理混亂、惡意軟件入侵和黑客攻擊、遠程辦公安全管控等，根源在于集團公司本身的特點，例如

140、辦公終端比較分散、IT 系統日益龐雜、新的辦公業務場景越來越豐富等。安恒信息提供的解決方案，其關鍵能力在于以人和資產為導向的安全管理新思路，以及零信任體系架構的應用，實現了對終端的全面安全防護，并結合零信任安全模型、兩高一弱風險檢測及防護、掃碼身份確認等技術手段，有效解決了集團面臨的終端安全管理難題。方案的優勢在于其針對性、創新性和可落地性，能夠有效提升企業的終端安全防護能力和運營效率。該案例對其他正在進行數字化轉型的大型企業，以及對數據安全和合規性要求較高的醫療機構、政府部門等，都具有一定的借鑒意義。AIPC 應用安全技術研究新一代終端安全技術應用指南59第五章 AI PC 應用安全技術研究

141、隨著 AI PC 技術的快速發展，不僅為用戶提供了更智能化和個性化的計算體驗，還在全球 PC 市場中占據了越來越重要的地位。然而，AI PC 的普及也伴隨著一系列安全挑戰，包括數據隱私、API 安全、供應鏈風險和模型應用風險等。為了應對這些挑戰，應確保 AI PC 在提供創新功能的同時，能夠有效保護用戶的隱私和數據安全。5.1 AI PC 概念和發展5.1.1 AI PC 的定義AI PC 目前還沒有統一的定義，不同機構和廠商對其有不同的理解：Gartner 將 AI PC 定義為配備神經處理單元（NPU）的 PC，這類 PC 能夠在本地支持 AI 任務。聯想擴展定義到大模型的本地化應用層面，

142、認為 AI PC 是指將大模型引入電腦本地，通過生成式 AI 進一步拓展 PC 的能力。Forrester 將 AI PC定義為嵌入 AI 芯片和算法的 PC，專為改善 CPU、GPU 和 NPU 等計算單元的 AI 工作負載體驗而設計。AI PC 通過專用硬件加速 AI 任務的執行，使得復雜的 AI 應用得以在本地順暢運行，尤其在處理圖像識別、語音處理等任務時比傳統 PC 更為高效。安全牛認為 AI PC 是集成了 AI 硬件（NPU），結合本地個人模型和 AI 應用，提升計算和智能處理能力的 PC。5.1.2 AI PC 的發展 早期探索（SmartPC）：2015 年左右，微軟等廠商開始

143、探索智能 PC 的應用場景，如在 Windows10 中引入 AI語音助手 Cortana，Mac 設備根據環境調整屏幕背光等。SmartPC 主要聚焦于本地的特定場景優化，如背景燈光、語音喚醒、開蓋即開機等功能，這些功能深入到遠程辦公和視頻會議等日常辦公場景中，為用戶提供個性化體驗。AIPC 應用安全技術研究新一代終端安全技術應用指南60 PC+云端的 AI：隨著生成式 AI 和云計算技術的快速發展，用戶通過云端的 AI 應用實現更強大的 AI 功能，完成更復雜的任務。然而，PC+云 AI 存在數據泄露風險、運算速度較慢等挑戰。AI PC：芯片廠商開始研發搭載 NPU 的 AI PC，如英特

144、爾在 2021 年發布的第 11 代酷睿處理器中，搭載了DLBoost:VNNI、DLBoost:DP4a、GNA2.0 等 AI 加速技術。PC 廠商如微軟的 Surface 第 7 版后配備了 NPU，蘋果的 M1、M2 芯片也內置了類似功能。這些硬件升級使 PC 能夠處理更復雜的 AI 計算任務，如智能學習、分析預測等，為用戶提供個性服務、內容創作、設備個性化等云端協同的主動智能服務。5.1.3 AI PC 與傳統 PC 的區別 處理器架構的差異（CPU/NPU/GPU）：傳統 PC 主要依賴于 CPU 和 GPU 的計算能力，而 AI PC 則在此基礎上增加了 NPU 等專用硬件單元，

145、使用 CPU+GPU+NPU 的架構。CPU 擅長快速計算，適合邏輯處理、控制任務等場景；GPU 擅長并行處理，適合圖像處理、視頻識別、圖像優化等 AI 場景；NPU 專門加速 AI 任務，適合神經網絡推理和訓練的密集型任務，如實時語音識別。模型和數據本地化：AI PC 不僅具備強大的硬件支持，還能夠在本地運行預訓練的 AI 模型。用戶可以在不連接網絡的情況下，快速執行 AI 任務，如圖像識別、語音識別等。相比傳統 PC 的云端依賴，AI PC 顯著減少了操作時延，增強了隱私保護能力，因為數據可以在本地處理，而無需上傳到云端。應用智能化：AI PC 通過智能體 API 和用戶友好的開發工具，使

146、非專業用戶也可以參與到 AI 應用的開發過程中，推動 AI 應用的普及和智能化水平的提升。用戶能夠使用更多智能化的應用，而模型廠商可以根據用戶個人智能體的反饋和實際應用效果，持續優化模型，提升系統的智能化水平，為用戶帶來更加智能的應用體驗。AIPC 應用安全技術研究新一代終端安全技術應用指南615.1.4 AI PC 的應用場景與未來展望隨著 AI PC 技術的不斷發展，其應用場景也在不斷擴展，為各行各業帶來了新的機遇和挑戰。應用場景 個人消費領域：AI PC 在個人消費領域的應用主要體現在智能助手、個性化推薦和多媒體處理等方面。通過本地AI 計算，用戶可以享受更快速的語音識別、圖像處理和個性

147、化內容推薦。企業辦公與生產力：在企業環境中，AI PC 可以用于提高辦公效率和生產力。例如，通過智能文檔處理、實時翻譯和會議記錄等功能，幫助員工更高效地完成工作任務。教育與培訓：AI PC 可以為教育行業提供智能化的教學工具和個性化學習體驗。通過 AI 技術，學生可以獲得定制化的學習建議和實時反饋，教師可以利用智能分析工具優化教學方法。醫療與健康：在醫療領域，AI PC 可以用于輔助診斷、健康監測和個性化醫療服務。通過本地 AI 計算，醫療設備可以更快速地處理患者數據，提供精準的健康建議。智能家居與物聯網：AI PC在智能家居中的應用包括智能家電控制、家庭安全監控和環境優化等。通過本地AI計算

148、，智能家居設備可以更快速地響應用戶指令，提高用戶體驗。AIPC 應用安全技術研究新一代終端安全技術應用指南62 未來展望 技術融合與創新：隨著 AI 技術的不斷進步，AI PC 將繼續融合更多的創新技術，如 5G、邊緣計算和區塊鏈等，進一步提升其計算能力和應用場景。生態系統的擴展：AI PC 的普及將推動相關生態系統的發展，包括硬件制造商、軟件開發商和服務提供商的合作，形成一個完整的產業鏈。隱私與安全的提升：隨著數據隱私和安全問題的日益突出，AI PC 將更加注重本地數據處理和隱私保護，確保用戶數據的安全性。普及與應用深化：隨著技術的成熟和成本的降低，AI PC 將逐漸普及到更多的消費和商業領

149、域，其應用也將更加深入和廣泛。通過不斷的技術創新和應用拓展，AI PC 有望在未來成為個人計算設備的重要組成部分，為用戶提供更加智能和個性化的體驗。5.2 AI PC 的特點與好處AI PC 通過其獨特的硬件架構、智能化應用和隱私保護功能，為用戶提供了高效、安全和個性化的使用體驗。其本地大模型、混合算力架構和開放的 AI 應用生態，使得 AI PC 不僅在速度和隱私性上優于傳統 PC，還能為用戶帶來更多智能化的功能和服務。5.2.1 AI PC 的特征AI PC 具有以下五個核心特點：AIPC 應用安全技術研究新一代終端安全技術應用指南63 自然語言交互的個人智能體：AI PC 通過多模態的自

150、然語言交互界面（UI），使用戶能夠通過語音、文本或圖像與設備進行互動。它不僅能理解用戶的自然語言命令，還可以根據用戶的偏好和使用習慣進行個性化的反饋和調整?；诒镜卮竽Ｐ偷闹悄荏w，AI PC 能夠在離線模式下工作，提供快速響應，減少對云端的依賴。內嵌個人大模型：AI PC 內置的個人大模型能在本地處理復雜的 AI 任務，如語音識別、圖像處理和自然語言處理，提高了任務處理速度，并增強了隱私保護能力。分析后的結果可以上傳到云端，支撐大數據下的應用智能決策。此外，邊緣計算作為輔助架構，確保 AI PC 在需要大量算力時，借助云算力完成更高強度的任務。個性化的本地知識庫則根據用戶需求提供更精準的建議和

151、反饋。標配本地混合 AI 算力：AI PC 通常采用 CPU、NPU 和 GPU 相結合的本地混合計算架構，使設備能夠高效處理各種 AI 計算任務。CPU 負責常規任務，GPU 用于并行計算和圖形處理，NPU 專門用于加速神經網絡的推理和訓練工作。此外，AI PC 還可以與個人終端、家庭主機或企業邊緣設備協同工作，實現更強大的算力分布和管理。開放的 AI 應用生態：AI PC 支持 AI 原生應用和 AI 賦能應用，能夠根據用戶需求進行智能體任務調度，并適配混合 AI 算力平臺。這種開放的生態系統允許開發者為 AI PC 設計新的應用場景，如智能辦公、自動化圖像處理、游戲優化等，極大提升用戶的

152、使用體驗。例如，Adobe和TopazLabs已經在其照片和視頻應用程序中嵌入了AI功能，展現了 AI PC 在創意類工作中的潛力。設備級個人數據與隱私安全保護：AI PC 通過將隱私數據存儲在本地，確保用戶的敏感數據不會被傳輸到云端。例如，非敏感任務可以調用云端大模型處理，而涉及隱私的任務則在本地完成。硬件級安全芯片的引入通過數據加密和脫敏技術，確保用戶數據的安全傳輸和存儲。AI 賦能的安全管理使安全管理更加智能主動和快速應對。AIPC 應用安全技術研究新一代終端安全技術應用指南645.2.2 AI PC 的主要功能AI PC 在功能上具有多樣性，能夠顯著提升用戶的工作效率、設備個性化體驗以

153、及多媒體處理能力：文檔處理：AI PC 在辦公場景中表現卓越，能夠自動生成和處理文檔，如 PPT、Excel 表格、會議記錄等，提高員工的生產力。通過內置的 AI 算法，用戶可以快速生成會議紀要，進行文檔翻譯和總結，顯著提升日常工作效率。本地知識庫：AI PC 內置的本地知識庫能夠對所有本地存儲的文件和文檔進行分類，并根據用戶的需求提供智能化的洞察力和建議。例如，當用戶需要查找特定文件時，AI 可以根據上下文進行智能搜索，快速定位所需文件。應用智能化：通過 AI PC，用戶能夠使用各種智能化應用，如 AI 生成的游戲攻略、AI 旅行計劃、智能互聯和健康建議等。例如，AI PC 可以根據用戶的會

154、議姿勢提供健康建議，提醒用戶適時休息，甚至為聽力障礙者提供語音轉文本的功能。設備個性化：AI PC 能夠學習用戶的偏好和行為，并根據這些信息優化設備的性能和使用體驗。例如，設備可以根據用戶的語音習慣進行個性化調整，優化電子郵件回復的準確性，甚至通過 AI 監控設備的時鐘速度、風扇或溫度來延長設備的使用壽命。此外，在遠程辦公場景中，AI PC 可以通過 AI 降噪、背景虛化等功能優化視頻通話的質量。多媒體和通訊：AI PC 通過 AI 技術提升多媒體處理能力，尤其是在音頻降噪、圖像處理和視頻會議體驗方面。例如，Windows11 中的 MicrosoftStudioEffects 已經能夠通過本

155、地 AI 模型實現圖像重建、目光矯正等功能。此外，AI PC 還能夠在不依賴云端的情況下進行語音識別和翻譯，減少隱私風險并提高響應速度。5.2.3 AI PC 的優勢AI PC 的優勢主要是可以通過本地模型和硬件級加密技術增強數據安全和隱私性，支持設備離線快速處理 AI 任務，并能與云端協作。即便網絡不佳，AI PC 也能保證設備穩定運行，同時提供易于使用的智能化服務。AIPC 應用安全技術研究新一代終端安全技術應用指南65 本地大模型：AI PC 的本地大模型使得設備能夠在離線狀態下快速處理 AI 任務，減少對云端的依賴。這種架構不僅提高了運行速度，還增強了設備的隱私性，因為數據可以完全在本

156、地處理，避免了上傳到云端的風險。速度快：相比于完全依賴云端的 AI 解決方案，AI PC 利用本地算力能夠實現更快的響應速度，尤其是在需要實時處理的大型任務中，表現尤為突出。同時，AI PC 不僅能夠在本地運行 AI 任務，還可以與云端協同工作，利用云端的強大算力處理更為復雜的任務。在本地運行 AI 任務的優勢在于能夠與本地硬件，如相機和麥克風等設備直接交互，減少延遲，提高響應速度。隱私性：AI PC 通過本地數據處理和隱私推理技術，確保用戶的敏感數據不會被外泄。同時，設備能夠通過硬件級加密和脫敏技術，進一步加強數據的安全性?？煽啃裕河捎贏I PC能夠在本地處理任務，即便在網絡連接不佳或無法連

157、接云端的情況下，設備仍然能夠正常運行，確保了高可靠性。易用性：AI PC的智能化應用和個性化功能使得設備更加易用，用戶無需具備專業的技術背景即可享受智能化服務。此外，通過智能體 API，用戶可以輕松定制個性化的 AI 功能，進一步提升使用體驗。通過這些特點和功能，AI PC 為用戶提供了一個強大且靈活的平臺，能夠滿足多樣化的需求，并在速度、隱私和易用性方面提供顯著的優勢。5.3 AI PC 的未來趨勢隨著 AI 技術在 PC 領域的深入應用，AI PC 市場呈現出快速增長的趨勢。根據 Gartner 和 IDC 的預測，AI PC 將在未來幾年成為 PC 市場的主流，AI PC 的需求將持續攀

158、升，性能提升、用戶體驗優化，市場規?？焖贁U大，標志著 AI PC 將在全球范圍內引領下一代個人計算設備的革新。AIPC 應用安全技術研究新一代終端安全技術應用指南665.3.1 應用趨勢AI PC 的應用趨勢主要由用戶需求和廠商推動，形成了一個以智能化和個性化為核心的新生態系統。自創 AI 應用：隨著生成式 AI 和智能體技術的應用，用戶不再僅僅是簡單的消費者，而是能夠通過低成本的開發工具自創應用。越來越多的用戶社區開始興起，用戶可以分享自己開發的AI應用，并根據日常體驗的反饋進行迭代，形成一個以用戶需求為導向的應用生態系統。日常使用中的體驗反饋逐漸成為驅動服務遷移和應用優化的核心力量。廠商發

159、展推動：廠商在大模型的驅動下，將快速推出更多 AI 賦能的應用程序。這些應用程序不再僅僅依賴傳統的用戶評價體系，還通過基于用戶意圖的反饋機制進行迭代，形成一個動態的應用評價機制。未來的應用生態將呈現出“眾創應用”和“專業應用”并行發展的全新格局，滿足不同用戶群體的需求。5.3.2 市場趨勢根據 Gartner 和 IDC 的預測，AI PC 市場將在未來幾年實現飛速增長，特別是在商用和消費領域。Gartner 的預測：預計到 2025 年，AI PC 的出貨量將增長 165%，達到 1.14 億臺。到 2026 年，AI PC 將成為大型企業購買新筆記本電腦時的首選。Gartner 還預測，到

160、 2025 年，全球支持 AI 功能的 PC 出貨量將占全球 PC出貨量的 43%，這一數據將在未來幾年繼續增長，AI 筆記本電腦的出貨量預計將在 2025 年占筆記本電腦總量的51%。AIPC 應用安全技術研究新一代終端安全技術應用指南67 IDC 的預測：到 2027 年，國內 AI 筆記本和臺式機的市場占比將從 2023 年的 8.1%增長到 2027 年的 84.6%。IDC 還預測，AI PC 的裝配比例將在 2027 年達到 PC 市場的 85%，成為市場主流。此外，AI PC 在國內大型企業中的滲透率也將顯著上升，預計到 2027 年，IT、互聯網、金融等科技領先行業的大型企業將

161、首先大規模采用 AI PC，裝配比例達到 74%。隨著市場需求的增加，AI PC 的需求也將高速增長，IDC 預測，未來五年中小企業的 AI PC 銷售額將增長 16 倍，而大型企業的 AI PC 銷售額將增長 191 倍。這些趨勢表明，AI PC 不僅將在技術層面帶來變革，還將在市場和應用生態中引發深遠影響，推動個人計算設備的全面升級和創新。5.4 AI PC 帶來的安全問題和挑戰AI PC 的快速發展為用戶帶來了前所未有的智能化體驗，但同時也引發了諸多安全問題和挑戰，涵蓋了數據隱私、API安全、大模型安全、供應鏈和大模型應用風險。隨著 AI 技術的廣泛應用，這些挑戰變得愈加復雜和重要。（1

162、)AI PC 私人數據集中化帶來的數據隱私風險AI PC 在本地處理大量用戶的敏感數據，如行為習慣、語音、位置和本地知識庫等。這使得數據更加集中化，雖然在一定程度上提升了隱私保護，但也加大了潛在的攻擊風險。如果設備被惡意攻破，攻擊者可能竊取或濫用這些敏感信息，導致嚴重的數據泄露問題。因此，確保設備的物理安全、數據加密和訪問控制成為數據隱私保護的首要任務。例如，本地知識庫的集中化處理雖然減少了云端傳輸的數據暴露點，但一旦設備被物理或遠程攻破，所有存儲的敏感數據將面臨巨大風險。AIPC 應用安全技術研究新一代終端安全技術應用指南68（2)大量 API 調用帶來的 API 風險AI PC 依賴大量的

163、 API 調用來實現復雜功能，如與云端的協作、調用第三方服務等。這種頻繁的 API 調用增加了安全漏洞的風險。如果某些 API 接口設計不夠安全，可能導致數據泄露或被惡意利用。此外，依賴第三方 API 也可能引入惡意代碼或后門，進一步影響整個系統的安全性。例如，某些 API 在輸入驗證不嚴格的情況下，攻擊者可以通過 SQL 注入或跨站腳本攻擊（XSS）獲取系統控制權或竊取數據。因此，API 的安全性管理至關重要，特別是在涉及敏感信息的場景下，API 的訪問權限和身份驗證必須嚴格控制。（3)自創應用大量增加帶來的開發風險AI PC 的普及使得用戶能夠輕松創建自定義應用，這類應用廣泛應用于視頻編輯

164、、音樂制作、圖形設計等領域。自創應用雖然促進了創新，但也帶來了潛在的安全問題。普通用戶在開發這些應用時，可能缺乏足夠的安全意識或技術經驗，導致應用存在安全漏洞或缺陷，容易被攻擊者利用。例如，一些自創應用可能沒有經過嚴格的安全測試，惡意軟件或不良代碼可以輕易嵌入其中，增加了系統面臨的風險。此外，隨著應用生態的復雜性增加，管理和監控這些自創應用的安全性變得更加困難。（4)硬件供應鏈風險AI PC 依賴不同硬件廠商的供應鏈，在供應鏈的任何環節，攻擊者都可能通過植入惡意代碼或硬件后門來影響設備的整體安全。例如，某些設備可能依賴外部供應商提供的固件更新和組件，如果供應商的安全防護薄弱或被攻擊者入侵，AI

165、 PC 系統便可能受到攻擊。因此，確保供應鏈的安全性和可信性是 AI PC 安全管理的重要環節。（5)模型應用風險人工智能模型在 AI PC 中的深度集成，涉及數據安全、模型風險和 AI 應用風險日益凸顯。數據安全風險：大模型面臨的主要安全威脅包括數據投毒、對抗樣本攻擊和訓練數據泄露。數據投毒攻擊是指攻擊者向模型的訓練數據中注入惡意數據，導致模型輸出錯誤甚至有害的結果。對抗樣本攻擊也是一種常見的威脅，攻擊者通過生成精心設計的輸入數據，欺騙 AI 模型，使其做出錯誤判斷。大模型風險：大模型的應用風險主要體現在模型來源的可信性、API 調用安全性以及知識產權和版權問題上。確保模型的訓練數據來源可靠

166、至關重要，使用未經驗證的數據可能導致模型輸出不穩定甚至有害的結果。API 調用的安全性也是關鍵，設計不安全的 API 可能導致模型被惡意利用或數據泄露。此外，AI 技術的廣泛應用帶來了知識產權和版權保護的難題。AI 應用風險：AI PC 在內容生成和處理方面也帶來了惡意利用、虛假信息等安全風險。例如，AI 模型可以被惡意用來生成深度偽造（deepfake）視頻，欺詐者通過這些偽造視頻進行詐騙或其他惡意活動。AI 生成的內容可能包含虛假信息或仇恨言論，容易突破傳統的安全防線，給社會帶來嚴重的負面影響。AI 模型的偏見問題也可能引AIPC 應用安全技術研究新一代終端安全技術應用指南69發道德和法律

167、風險，模型的訓練數據可能包含種族、性別等方面的偏見，導致 AI 系統輸出的決策具有偏見，不僅影響用戶體驗，還有可能引發法律糾紛。這些安全問題和挑戰需要在 AI PC 的設計、開發和使用過程中得到充分的重視和解決，以確保用戶的安全和隱私。5.5 對 AI PC 安全管理的應對應對 AI PC 帶來的多重安全問題和挑戰，需要構建系統性的安全防護體系。通過在數據加密、API 安全、供應鏈安全、模型安全監控和 AI 驅動的安全分析等方面采取多層次的措施，用戶可以有效管理和防范 AI PC 的安全威脅。此外，人工智能治理也是至關重要的一環，確保 AI 技術在透明和合規的框架下應用，最大程度地降低與隱私、

168、版權和倫理相關的風險。5.5.1 數據安全隨著 AI PC 在本地處理和存儲大量的個人數據，數據泄露的風險增加，應加強數據加密和保護機制。實時加密本地存儲的敏感數據：利用高級加密算法或硬件加密模塊對本地存儲的個人數據進行實時加密，以確保即使設備被攻破，攻擊者也無法直接讀取敏感信息。實時加密能夠在數據寫入和讀取時動態加密和解密，從而保證數據在存儲全過程的安全性。硬件安全模塊（HSM）是一種專用設備，用于安全生成、存儲和管理加密密鑰。通過將密鑰存儲在 HSM 中，可以有效防止密鑰被軟件層面的惡意攻擊竊取或泄露，確保數據加密的安全性。訪問控制功能：應實施嚴格的訪問控制策略，確保只有經過授權的用戶和進

169、程才能訪問敏感數據。通過多因素認證（MFA）和基于角色的訪問控制（RBAC）機制，可以進一步強化訪問管理，減少未經授權的訪問風險。5.5.2 API 安全AI PC 依賴大量 API 調用來實現與外部系統的交互，這使得 API 成為潛在的攻擊面。因此 API 的安全管理至關重要。嚴格的訪問權限：實施嚴格的權限控制，確保只有經過授權的用戶或服務才能調用API。通過API密鑰認證等機制，可以有效防止未經授權的 API 調用。AIPC 應用安全技術研究新一代終端安全技術應用指南70 使用身份驗證機制防止 API 濫用：引入多因素認證（MFA）等身份驗證機制來驗證 API 調用者的身份，確保每次API

170、 請求都經過有效的認證和授權，從而防止惡意用戶濫用 API。API監控：應對API進行全面監控，詳細記錄API的調用，包括時間、調用者身份和請求內容等，以及時發現異?；顒?，并進行溯源分析，防止潛在的攻擊。5.5.3 供應鏈安全AI PC 的硬件和軟件供應鏈復雜，任何一環的漏洞都可能導致整個系統的安全風險，因此供應鏈的安全防護至關重要。確保來源可信：確保采購經過認證的可信供應商。對供應商進行嚴格的安全審核和合規檢查，防止因不安全的第三方供應商引入惡意軟件或后門。實施完整性檢查：定期掃描 AI PC 中的關鍵組件，確保硬件和軟件未被篡改。識別未經授權的修改，及時防止供應鏈攻擊帶來的安全風險。漏洞掃

171、描：使用軟件成分分析（SCA）工具識別潛在漏洞。使用軟件成分分析（SCA）工具掃描 AI 應用、開源組件和依賴庫，自動識別潛在的安全漏洞，了解系統中使用的所有開源組件的安全狀況，并及時為已知漏洞打上補丁，確保供應鏈的安全性。5.5.4 模型安全監控AI PC 中的大模型是智能功能的核心，但同時也面臨對抗性攻擊和模型投毒等威脅，應重點對模型的安全性進行管理。對抗性攻擊和模型投毒檢測能力：部署專門的模型安全檢測工具，識別潛在的對抗性攻擊和模型投毒行為。分析輸入數據的異常性或模型輸出的偏差，快速檢測出是否有惡意輸入試圖欺騙或篡改 AI 模型。模型行為監控：實時監控模型的行為和輸出，識別可能的異常情況

172、。例如，設定基線模型行為，并通過持續監控來檢測明顯偏離正常行為的輸出，及時預警潛在的安全威脅。通過這種監控，可以防止模型被攻擊后產生有害的或不準確的結果。加強 AI 模型的可解釋性和合規性：應提升 AI 模型的可解釋性，用戶和開發者能夠更好地理解模型的決策邏輯，確保系統在做出關鍵性決策時具備足夠的透明度，從而提高系統的安全性和合規性。5.5.5 AI 驅動的安全AI PC 可以結合自帶的 AI 能力，驅動威脅檢測和分析的智能化程度。實時監控和響應安全事件：采用 AI 驅動的安全分析工具，監控系統的運行狀態，并通過機器學習算法分析海量AIPC 應用安全技術研究新一代終端安全技術應用指南71的安全

173、日志，快速識別潛在威脅。AI 技術可以減少對人工監控的依賴，提升安全事件的響應速度。檢測異?；顒樱和ㄟ^用戶和設備行為分析（UEBA），實時監控AI PC用戶的行為模式。例如，分析用戶的登錄時間、操作習慣、設備訪問歷史等，識別異?；顒?。一旦發現偏離正常操作范圍的活動，系統可以自動發出警報，防止潛在威脅進一步擴散。通過這些措施，AI PC 的安全管理可以得到顯著提升，確保用戶數據和系統的安全性。新一代終端安全研究新一代終端安全技術應用指南72第六章 新一代終端安全研究終端安全經歷了漫長的發展歷程，從最初的單機殺毒軟件到如今的 XDR 解決方案，其功能和架構都在不斷演變，以應對日益復雜的網絡安全威脅

174、。第一階段：單機殺毒軟件。20 世紀 90 年代，個人計算機的普及催生了殺毒軟件的需求。早期的殺毒軟件主要依靠病毒特征碼進行檢測。第二階段：終端安全防護平臺(EPP)。21 世紀初，隨著互聯網的普及，網絡安全威脅逐漸增多，殺毒軟件的功能不斷擴展，逐漸形成了集成了多種終端安全功能的 EPP 平臺，例如惡意軟件防護、漏洞利用防御、防火墻等。第三階段：終端檢測和響應(EDR)。2010 年左右，高級持續性威脅（APT）攻擊陸續出現，為了應對高級威脅，例如 APT 攻擊、勒索軟件等，EDR 技術應運而生。EDR 可以對終端行為進行實時監控和分析，并在發現威脅時及時發出警報并進行響應。第四階段：擴展檢測

175、和響應(XDR)。2016 年至今，隨著國家對網絡的安全重視，將安全防護擴展到更廣泛的范圍，例如網絡、云等，XDR 解決方案出現了。XDR 可以整合來自多個安全產品的數據，并提供統一的安全事件響應和管理平臺。6.1 國外終端安全技術國外終端安全技術的應用已經進入了一個高度成熟的階段，展現出技術的先進性、市場的激烈競爭以及完善的生態系統，如各種類型的終端安全產品和服務層出不窮，新技術和新方法不斷涌現，EPP、EDR、UEM 等技術已經成熟，而XDR、AI、自動化、云安全、BYOPC 等技術則在快速發展階段。新興技術則包括 ASCA、EAI 和 AMTD 等，在未來可能會引起關注。（1）終端安全防

176、護平臺（EPP）廠商提供功能完備的產品EPP 已經發展多年，成為一項成熟的技術。大多數廠商能夠提供具備關鍵功能的 EPP 產品，例如惡意軟件防護、漏洞利用防御、攻擊修復等。廠商之間的差異化主要體現在高級 EDR 功能、身份威脅檢測和響應、安全配置管理和新興的XDR 等方面。例如，微軟的 MicrosoftDefenderforEndpoint 集成了強大的漏洞管理功能，并提供跨終端、網絡、云和應用的檢測威脅檢測和響應能力，并具有攻擊中斷功能的自動化威脅響應能力。新一代終端安全研究新一代終端安全技術應用指南73 CrowdStrikeFalcon 具有統一的安全代理，身份保護、文件完整性監控、云

177、安全等功能。SentinelOne 的 Singularity 包括欺騙、終端取證、身份保護等，專注于擴展附加產品組合以涵蓋攻擊面，正在加強統一終端和身份保護代理，并儀表板。TendMicro 的 TrendVisionOne 平臺中集成攻擊面管理、安全配置管理和 XDR 功能，以幫助主動降低風險和安全運營。（2）統一終端管理（UEM）：廠商提供功能基本一致的產品UEM 工具可以將多個平臺的設備管理功能整合到一個控制臺進行集中管理。Gartner 報告指出，UEM 工具已經成為主流工具，目前 UTM 普遍具備多操作系統支持、注冊和配置、配置管理、操作系統更新和應用系統的部署和更新等功能，例如

178、IBMMaaS360 支持管理微軟 Windows10/11、AppleiOS、macOS、Android 等，提供原生 MAM 和容器化功能保護數據，并提供預先打包的應用程序存儲庫和第三方應用程序修補自動化功能。Matrix42 的 UEM 支持管理大多數 Linux 發行版、微軟 Windows10/11、macOS、AppleiOS 等，并提供預先打包的應用程序庫和第三方應用程序修補的自動化功能。42Gears 的 SureMDM 可以管理 Windows10/11、大多數 Linux 發行版、macOS 等系統，并支持 USB、Wi-Fi、云或藍牙連接的外圍設備，提供原生 MAM 和容

179、器化功能保護數據。BlackBerryUEM 支持 AppleiOS、iPadOS、macOS、GoogleChromeOS、Android、微軟 Windows10/11，并提供原生 MAM 和容器化功能來保護公司數據。（3）終端檢測和響應（EDR）：大部分廠商提供并成為 EPP 的一個必要組成部分EDR 技術憑借實時監控、行為分析和多方法威脅檢測等優勢，能夠及時地發現和阻止更潛在的威脅。近年來，EDR 在國外市場迅速成熟，目前大多數終端安全廠商都將 EDR 功能集成到其 EPP 產品中實現無縫集成，成為 EPP 的一個必要組成部分。Gartner 報告指出，EDR 已經成為成熟的終端安全策

180、略的必要元素，大約 57%的組織已經部署了 EDR 功能，比2022 年增長了 15%。隨著 EDR 解決方案復雜性不斷增加，再加上企業用戶網絡安全技能的差距，推動了對托管服務的需求增加。供應商正在努力提高易用性和產品的集成度，并減少其解決方案對端點性能的影響，以提供更無縫的管理體驗。例如 CrowdStrike 的 FalconEDR 提供安全核心功能及其快速阻止攻擊的能力，并可以收集的廣泛終端數據，利用人工智能技術和威脅情報，提供實時威脅檢測和自動化事件響應，以及輕量化的代理，在全球市場廣泛應用。BitdefenderGravityZone 的 EDR 可收集較完整的終端數據，并進行威脅檢

181、測和事件調查，嵌入式 DPI 傳感器可 新一代終端安全研究新一代終端安全技術應用指南74以實現更深層次的網絡攻擊行為。Broadcom(VMware)的 EDR 功能已經成熟，并增加了 IDS 與終端身份、身份驗證和應用程序等數據。Fortinet 的 FortiEDR 提供實時可視性、保護、檢測、自動化和補救措施，以檢測和應對攻擊。CheckPoint 的 EDR 增強了警報與事件的關聯性以及自動分析攻擊鏈和自動修復常見威脅等功能，并注重易用性，（4）擴展檢測與響應（XDR）作為 SIME 的替代品正快速興起XDR 作為 EDR 的擴展，集成了來自多個安全產品（如網絡、云端、電子郵件等）的事

182、件和警報數據，并提供了統一的安全事件響應和狩獵工具集，幫助安全團隊全面了解整個企業中的安全問題和事件，更全面地應對復雜攻擊。與 SIME不同的優勢是，XDR 可以在數據量不斷增加的情況下提供準確、及時的檢測和更好的有終端上下文的調查工作流程；并且擴展了檢測能力，終端、身份和電子郵件，并可進行可視化調查，并方便的進行分析；未來將利用 AI 能力進行創新。目前國外 XDR 應用越來越廣泛，各大廠商正將 XDR 作為自己的發展方向，關聯多個單獨組件（如電子郵件、網絡或瀏覽器），以全面了解整個企業的安全問題和事件。例如，微軟的 MicrosoftDefenderExpertsforXDR 擁有數據最豐

183、富的終端信息，通過與 MicrosoftSentinelSIEM 的緊密結合，實現警報的分類、調查、響應和威脅追蹤，并正在豐富更多功能。CrowdStrike 的 FalconInsightXDR 通過豐富的高質量的終端數據，對上下文進行檢測、調查，可以對事件評分邏輯調整，具有較強的響應工作流程的自動化能力，并提供優質威脅情報和數據可視化，以幫助決策。PaloAltoNetworks 提供較強的多平臺功能和分析能力，滿足混合云組織的要求。擁有一系列威脅狩獵方法，在事件中提供了大量的終端上下文，并且具有事件協作、沙盒和取證功能的聊天功能。（5）人工智能和自動化技術正被積極用于提高效率人工智能在終

184、端安全領域的應用迫切廣泛，AI 驅動的 EDR 解決方案可能更精準地識別異常行為和潛在威脅。自動化的事件響應可以根據預定義的規則和策略自動執行安全操作，全年事件響應時間并減少安全風險。Forrester 報告指出，人工智能可以用于檢測和響應更復雜的威脅，例如無文件攻擊、人工智能生成的惡意軟件等。Gartner 報告指出，人工智能可以幫助組織應對網絡安全技能差距的挑戰，許多廠商都積極將人工智能技術融入終端安全產品中。例如，微 軟 的 MicrosoftDefenderforEndpoint 提 供 攻 擊 中 斷 功 能 的 自 動 化 威 脅 響 應 能 力，MicrosoftDefender

185、ExpertsforXDR 正在增強對高可信度事件的攻擊進行自動阻斷的自動化響應能力。新一代終端安全研究新一代終端安全技術應用指南75 CrowdStrike的alconEDR可以通過使用攻擊指標（IOAs）自動檢測攻擊者行為，并利用AI技術分析實時監控數據，自動識別威脅活動，實現對高級威脅的檢測和預防。而 CrowdStrikeXDR 通過簡化自動化工作流程，提供快速的調查工作流程、以及精確的響應措施，顯著提高了安全運營的效率和效果。SentinelOne 的 Singularity 平臺通過自動防御實現終端保護，提供基于文件、無文件、用戶或應用程序行為的攻擊補救功能，尤其是釣魚攻擊中，可以

186、極大節省時間，減少安全運營中心（SOC）人員配置。BMMaaS360 和 Matrix42 的 UEM 則是針對設備提供預先打包的應用程序存儲庫和第三方應用程序修補自動化功能。6.2 國內終端安全技術國內終端安全技術的功能已較為全面，涵蓋了病毒查殺、漏洞修復、終端管理、數據防泄密、EDR、零信任等多個方面，并廣泛應用于等保合規、遠程辦公、數據防泄漏、勒索軟件防護、移動終端安全等場景。技術總體呈現一體化、智能化、場景化的發展趨勢。國內廠商積極投入研發，并推出了涵蓋多種安全功能的一體化終端安全管理平臺，同時，國內廠商也積極引入 AI、大數據等新技術來提升產品的智能化水平，此外，國內終端安全產品和解

187、決方案也已廣泛應用于等保合規、遠程辦公、數據防泄漏等多種場景。（1）一體化整合管理正在快速興起，但是不同類別終端整合難度較大近年來，終端安全一體化管理作為一種新興的終端安全解決方案迅速崛起，UES 的核心目標是將多樣化的終端安全功能整合至單一平臺，以簡化管理流程并提升工作效率。目前國內正在將 UTM、EPP 和 EDR 等進行整合管理，但是針對不同終端類型，如云終端和移動終端，因為廠商的產品線相對獨立，導致整合難度較大，還是由不同平臺分開提供。例如，奇安信天擎、亞信安全 TrustOne、綠盟一體化終端安全管理系統 UES 和安天智甲等，都提供了一體化的終端安全管理平臺，涵蓋了資產管理、安全防

188、護、桌面管控、數據安全、檢測與響應（EDR）等多種功能。（2）終端檢測與響應(EDR)正在成為終端安全的重要組成部分終端檢測與響應(EDR)可以實現識別威脅行為進行快速隔離，并分析和追溯攻擊行為，從而采取相應的防御措施。隨著應對高級威脅及未知威脅需求的增加，各大安全廠商都在積極研發和推廣 EDR 產品，目前正逐漸成為終端安全產品的重要組成部分。本次入圍的大部分廠商，如綠盟一體化終端安全管理系統 UES、奇安信天擎、亞信安全的 TrustOne、安天智甲、安恒信息的 EDR、瑞星的終端威脅檢測與響應系統等都提供了威脅檢測、追蹤溯源等 EDR 高級威脅的主要功能。新一代終端安全研究新一代終端安全技

189、術應用指南76（3）信創作為新賽道正全面進行適配隨著國家對網絡安全和信息化建設的不斷重視，國內終端安全產品正在逐步加強自主可控和國產化特性，信創終端安全成為了一個關鍵的發展方向。國產終端安全廠商積極進行信創適配工作，并推出與國產操作系統兼容的產品，確保了產品的自主性和安全性。例如，本次入圍的大部分廠商，如江民科技的赤豹、瑞星的終端威脅檢測與響應系統、安天的智甲、安恒的辦公智盾、奇安信天擎與可信瀏覽器、綠盟科技的 UES、亞信安全的 TrustOne 信創版等都在積極適配國產化終端，包括 CPU 架構、國產操作系統以及辦公軟硬件。（4）勒索防護體系完善技術豐富國內終端安全廠商高度重視勒索防護能力

190、，目前產品成熟度相對較高，防護體系完善，技術手段豐富，產品功能豐富，并且能夠適應信創環境和不斷變化的勒索軟件攻擊趨勢。未來，勒索防護技術將繼續發展，以應對不斷變化的勒索攻擊手段，為用戶提供更全面、有效的安全保障。本次入圍的大部分廠商，如奇安信天擎、綠盟科技的 UES、亞信安全的 TrustOne、安恒信息的 EDR、安天的智甲、瑞星的終端威脅檢測與響應系統、江民科技的赤豹等都推出了各自的勒索軟件防護的解決方案。（5）數據安全正作為終端安全的重要能力終端國內安全廠商普遍具備數據安全能力，各廠商都提供多種技術手段和產品方案來保障終端數據的安全，如數據防泄密（DLP）、數據加密等。例如，奇安信天擎提

191、供數據偵探+安全工作空間+審計水印的方案，幫助企業防止數據泄露；綠盟科技的 UES 通過一個中心，三重防護實現數據的完整性、保密性和備份恢復。亞信安全 TrustOne 新一代安全產品，提供數據防泄漏和文檔加密管控。聯軟科技 UniDLP 數據防泄密產品，可以幫助企業防止敏感數據的泄露。DES、文檔加密等產品可以幫助企業進行數據加密。安天智甲對遭受勒索的文檔進行自動加密備份。安恒辦公智盾提供全流程數據管控等解決方案。（6）人工智能依托威脅情報能力正在從日志降噪向智能告警升級國內安全廠商普遍重視 AI 結合威脅情報的收集、分析和應用，建立了較為完善的威脅情報體系，在終端安全領域的應用日益成熟，A

192、I 應用正在從之前的日志降噪正在向結合威脅情報進行智能告警升級。例如，奇安信依托威脅分析團隊的威脅情報數據和 QAX-GPT 應用于終端安全的威脅檢測和告警，以及攻擊溯源。綠盟科技的 UES 充分利用積累的 30 萬+漏洞庫、異常行為分析引擎和威脅情報數據。安天智甲依托安天賽博超腦數據運營平臺生產的威脅情報數據和 AVL PLUS 威脅情報檢測引擎,可對終端系統側環境數據、行為數據進行威脅監測及告警，并對威脅事件溯源分析。安恒信息 EDR 結合威脅情報對外聯 IP、可疑文件實時鑒定，幫助客戶實現風險一站式實時監測。亞新一代終端安全研究新一代終端安全技術應用指南77信安全產品依托信立方大模型（A

193、ICube），基于 ATT&CK 及攻擊場景的智能分析算法、智能告警降噪算法、數字人輔助事件分析與智能運營技術、智能響應處置技術，深度檢測威脅、為用戶提供極簡的操作體驗。（7）零信任安全理念正被逐步接受零信任安全模型在國內正逐漸獲得認可，依據安全牛 2024 年的調查數據，國內有 54%的組織支持零信任模型，視其為提升終端安全性的關鍵因素。對終端安全管理與零信任方案進行融入的態度零信任價值正逐漸被更多組織所認識和接受，多家廠商已經推出了基于零信任模型的終端安全解決方案。例如，亞信安全的 TrustOne、安恒信息的 ZTSA、安天的智信、奇安天信零信任工作系統、綠盟科技的零信任安全工作空間、指

194、掌易的零信任安全架構，都在積極利用零信任實現遠程、移動辦公等場景的身份和訪問安全。6.3 差距分析和用戶啟示對比國內外終端安全技術的發展現狀，可以發現國外市場在 EDR、XDR、人工智能等新興技術方面占據領先地位，這得益于其長期研發投入和完善的技術生態系統。而國內市場雖然在信創環境下取得了一定的進展，但在技術成熟度、市場應用廣度和生態系統建設的完善程度上仍有較大提升空間。國內終端安全廠商的一些不足之處主要體現在以下幾個方面：EDR 技術應用難度較高:EDR 技術在分析過程中需要深入了解用戶的業務場景，目前國內 EDR 產品的應用仍以人工分析為主，需要客戶具備一定的安全知識儲備，才能更好地發揮

195、EDR 的作用。因此在國內基本是具有安服團隊的大型企業才能使用 EDR 產品。自動化程度不足:國內終端安全產品的自動化程度普遍較低，這主要是由于國內廠商普遍采用 API 進行對接，但非非常常支支持持23%支支持持31%中中立立41%不不支支持持5%新一代終端安全研究新一代終端安全技術應用指南78具體的數據標準尚未統一，導致廠商之間自動化聯動困難，并且廠商之間主動合作開發和應用自動化技術的情況較少。因此，廠商之間的自動化聯動需要甲方用戶的推動才能實現。集成化程度不足:目前國內終端安全產品的集成化平臺的程度較低，這主要是由于國內廠商之間的合作不足，廠商不同產線部門分割明顯，各自為政，導致集成困難。

196、人工智能應用不足:雖然大部分國內廠商開始重視人工智能技術的應用，但在實際應用過程中，AI 在分析效果存在誤報較高，安全運營效率和自動化程度有待提升的情況，需要人工進行二次判斷。誤報過高會導致安全人員疲于應對，難以有效處理真正有威脅的告警。信創適配存在挑戰:由于信創產業發展迅速，版本更新迭代較快，國內廠商在適配所有信創版本方面存在一定困難，難以確保產品在所有信創環境下的兼容性和穩定性。XDR 技術發展不成熟:XDR 作為一種新興技術，適用于有一定安全基礎的用戶，在國內的應用和發展還不夠成熟，產品功能和性能有待完善，例如跨平臺數據整合能力不足、安全事件響應效率較低等。安全運營服務水平有待提升:國內

197、廠商在安全運營服務方面與國外廠商相比仍有一定差距，例如威脅情報的質量和覆蓋范圍、安全事件響應速度、安全運營平臺的自動化和智能化程度等。對國內用戶的啟示：關注產品的實際應用效果：除了關注產品功能，用戶更應該關注產品的實際應用效果，例如 EDR 和 XDR 的易用性、AI 技術的準確性、信創環境的適配性等，進行充分的測試和評估，選擇真正能夠解決自身安全問題的產品。關注產品的集成能力：在考慮多個產品的自動化能力時，應考慮產品與自身環境的集成能力，選擇能夠與自身已有的其他安全工具無縫集成的解決方案，避免出現“安全孤島”和兼容性問題。重視安全運營服務：用戶應重視廠商提供的安全運營服務質量，包括威脅情報、

198、事件響應和持續監控等，以獲得新一代終端安全研究新一代終端安全技術應用指南79專業的安全專家知識和技能支持，彌補自身安全團隊的不足。評估信創和零信任產品的適配性：在選擇零信任和信創產品時，用戶應評估其在國內環境中的適配性和實施效果，以確保技術的有效性和可操作性。持續關注終端安全技術發展趨勢：用戶應持續關注終端安全技術發展趨勢，及時了解最新的安全威脅和防護技術，并根據自身需求不斷優化和完善終端安全防護體系。新一代終端安全廠商推薦新一代終端安全技術應用指南80第七章 新一代終端安全廠商推薦為了幫助企業用戶更好地進行終端安全產品選型，安全牛將推薦廠商的關鍵選型指標，品牌影響力、市場應用、產品技術能力、

199、產品管理能力、產品創新能力等多方面因素。企業用戶可以參考這些指標，結合自身需求和實際情況，對不同廠商的產品進行評估和比較，最終選擇最合適的終端安全解決方案7.1 廠商推薦指標安全牛建議攻擊面管理產品選擇應考量品牌影響力、市場應用情況、產品技術能力、終端管理能力、產品創新能力等多方面因素，針對企業場景明確不同建設階段的目標和需求，從而為產品評估選擇提供全面依據。評價維度評價項品牌影響力企業成立時間品牌知名度市場應用情況市場占有率案例情況產品技術能力泛終端管理能力移動安全方面縱深防御能力威脅檢測與響應擴展威脅檢測與響應能力數據安全能力信創支持能力勒索防護能力產品管理能統一平臺風險管理評估驗證攻擊面

200、管理協同聯動產品服務與創新能力威脅情報服務威脅狩獵服務自動化與智能化能力專利數量研發人員新一代終端安全廠商推薦新一代終端安全技術應用指南817.2 代表性廠商推薦（按簡稱首字母排序）報告從品牌影響力、市場應用、產品技術、產品管理、服務與創新五大能力維度，對當前國內新一代終端安全管理廠商進行了評估分析，并收錄其中具有較高應用代表性的 10 家廠商（排名不分先后，按首字母序排列）。推薦廠商-愛加密 簡介北京智游網安科技有限公司（以下簡稱“愛加密”）成立于 2013 年，并在同年啟動終端安全業務。愛加密專注于移動應用安全工具、服務和解決方案，以及以移動安全為核心驅動的安全集成業務，目前終端安全團隊

201、183 人，主要服務于金融、能源、運營商、互聯網等多個行業。終端安全能力 典型產品介紹 移動應用安全平臺類產品：移動應用安全大數據平臺：采集和分析移動應用數據，提供風險識別和安全評估，支持監管單位和運營單位的移動應用安全管理。新一代終端安全廠商推薦新一代終端安全技術應用指南82 移動安全管理平臺：提供應用檢測、加固和態勢感知等安全能力，幫助企業構建完整的移動安全管理體系。移動應用渠道監測平臺：監測應用分發渠道，幫助識別和下架盜版、仿冒應用，保護企業聲譽和用戶信息安全。移動威脅態勢感知平臺：監測移動應用運行狀況和安全攻擊，提供實時響應和追蹤溯源，幫助企業掌握安全態勢。推薦理由：較高的知名度：智游

202、網安專注于移動應用安全領域，擁有多項技術專利和軟件著作權，積極參與行業標準制定，在國內移動應用市場具有較高的知名度?？蛻舫^ 2000 多家，保護的 APP 數量超過 100 多萬個。較全面的移動應用安全體系：針對移動應用安全提供安全加固、安全檢測、個人信息檢測、移動威脅態勢感知平臺等。移動應用資產儲備優勢：愛加密擁有超過 3300 萬個國內移動應用樣本，覆蓋 Android、iOS、嵌入式系統、微信小程序等多種應用類型，提供了強大的數據儲備支撐。監管合規支持：與網信辦、公安部、工信部等監管機構合作，可根據不同監管機構的關注點進行差異化分析和檢測，可以確保檢測結果的準確性和有效性。威脅感知和監

203、控能力：通過爬蟲技術監控應用在各個應用市場的分發情況，采集應用運行非敏感信息，分析安全風險態勢，配置相應的響應策略。并為監管部門提供數據分析和監測服務，幫助及時發現和處理違規應用。新一代終端安全廠商推薦新一代終端安全技術應用指南83推薦廠商-安恒信息 簡介杭州安恒信息技術股份有限公司（以下簡稱“安恒信息”）成立于 2007 年，秉承“構建安全可信的數字世界”的企業使命，以“數字經濟的安全基石”為企業定位，以“誠信正直、成就客戶、責任至上、開放創新、以人為本、共同成長”為企業核心價值觀，致力于成為全球領先的數字安全企業。目前安恒終端安全團隊規模 100+人，取得專利近 20 項，主要服務于政府、

204、企業、金融、電信、能源等行業領域。終端安全能力 典型產品介紹 安恒終端安全管理系統（UES）：UES 是一個集成了多種安全技術的終端安全平臺，提供從檢測預防到事件追溯的全生命周期安全解決方案，幫助客戶確保終端資產的安全和合規使用。明御終端安全及防病毒系統（EDR）：EDR 是基于 ATT&CK 理論自主研發的入侵檢測引擎，結合安全攻防經驗，提供強大的威脅檢測和響應能力，精準識別和捕捉威脅。安恒網站衛士網頁防篡改系統（WPT）：WPT 是新一代專利級網頁防篡改產品，采用事前阻止和事后恢復技術，有效保護網站免受篡改、掛馬等風險侵害。新一代終端安全廠商推薦新一代終端安全技術應用指南84 零信任（Ai

205、Trust）：AiTrust 是安恒信息推出的零信任解決方案，以身份與訪問管理為核心，由多個組件構成，可與第三方平臺對接，實現向零信任體系的平滑遷移。推薦理由：網絡攻防技術：安恒在網絡攻防對抗有較大的優勢，EDR 產品經過實戰檢驗，能夠應對更復雜的攻擊場景。專注于服務器和辦公網安全：安恒 EDR 主打服務器安全，特別是數據網（機房服務器）的安全防護，在辦公網安全方面強調根據用戶業務特性制定安全策略，強調人+設備+網絡+數據的管理，這種深度結合業務場景的安全管理模式更加貼合用戶需求。勒索軟件防護：通過自主研發的專利級文件誘餌引擎，提供針對勒索防御場景的勒索專防專殺能力和服務，并推出了硬件勒索防護

206、一體機，不僅能夠進行勒索軟件的實時檢測和防御，還提供了備份和恢復能力。零信任安全解決方案：安恒的零信任安全解決方案能夠提供多種身份識別方式（包括釘釘、微信掃碼等）和應用級別的隧道能力?？梢蕴娲?VPN，滿足移動辦公需求，還能隱藏后端服務器，減少暴露面。積極利用 AI 技術：安恒信息構建了垂直大模型產品“恒腦”，并利用 AI 技術實現 AI 智能數據分類分級和 AI 智能文件流轉分析。新一代終端安全廠商推薦新一代終端安全技術應用指南85推薦廠商-安天 簡介安天科技集團股份有限公司（以下簡稱“安天”）于 2000 年成立，致力于全面提升客戶的網絡安全防御能力，有效應對安全威脅。安天終端安全團隊 1

207、00+人，基于 AVLSDK 威脅檢測引擎和安天防御框架，采用“一體化架構+組件化組合”的方式，打造了面向辦公 PC、服務器、虛擬機、國產化終端、移動智能終端、工控上位機等系統環境的智甲安全產品家族，主要服務于黨政、司法、能源、交通、金融等行業。終端安全能力 典型產品介紹 安天智甲終端防御系統：一款企業級終端安全防護產品，其核心目標是為用戶終端提供有效防護。智甲以安天自主研發的威脅檢測引擎和風險識別分析引擎為核心，覆蓋包括傳統桌面、工作站、服務器、虛擬化、移動智能設備等多種場景的安全需求。支持集中或級聯架構方式，跨平臺統一管理、靈活的權限管控和終端安全策略配置，提供標準化數據上報和任務指令接口

208、，與第三方系統聯動。安天智甲終端檢測與響應系統(EDR)：提供對終端行為的持續監測和分析，及時發現和響應高級威脅，并提供攻擊溯源和取證分析等功能。安天可擴展威脅檢測響應平臺(XDR)：整合多種安全產品和技術，提供跨平臺、跨環境的威脅檢測與響應能力。新一代終端安全廠商推薦新一代終端安全技術應用指南86 推薦理由：自主研發的威脅檢測引擎：安天擁有自主研發的 AVLSDK 威脅檢測引擎，擁有超過 20 年的歷史，曾多次在國際權威評測中獲得優異成績?；趫绦畜w治理的精細控制：旨在通過對終端執行體的行為進行精細控制，對執行體的行為進行最小力度控制，以避免影響用戶業務。自主可控：安天智甲安全產品家族全面兼

209、容麒麟、統信等國產操作系統，為信創環境提供安全保障，并針對軍工等特殊定制版本的操作系統進行了適配。勒索軟件防護：構建了“五層防御，兩重閉環”的防護解決方案，通過“系統加固+邊界防御+掃描過濾+主動防御+文檔安全”防御體系，通過收集終端行為，判斷勒索加密行為，并對文件進行自動備份和行為攔截，有效保護用戶數據安全。威脅情報服務能力：安天擁有較強的網絡安全威脅團隊，持續跟蹤分析全球網絡安全威脅和高級 APT 事件，積累了豐富的威脅情報數據。新一代終端安全廠商推薦新一代終端安全技術應用指南87推薦廠商-江民科技 簡介北京江民新科技術有限公司（以下簡稱“江民科技”）成立于 1996 年，是中國最早涉足計

210、算機反病毒軟件的高新科技企業之一。目前終端安全團隊 52 人。2010 年發布赤豹終端安全管理系統，集病毒查殺、終端管理、漏洞修復、資產管理、外設管控、桌面管理等一體化終端安全解決方案。主要服務于能源、軍工、政府、交通、金融等各行業用戶。終端安全能力 典型產品介紹 赤豹終端安全管理系統是融合了“端、管、云”架構的綜合性終端安全解決方案，支持即插即用，可根據需求靈活自選模塊，涵蓋了終端安全的各個維度，使方案具有一定靈活性，能夠依據自身安全需求，自由選取并組合多樣化的功能模塊。新一代終端安全廠商推薦新一代終端安全技術應用指南88 推薦理由：較高的品牌信譽度：江民科技是中國第一批涉足計算機反病毒軟件

211、的企業，積累了豐富的反病毒經驗和技術實力，擁有較高的品牌信譽度。較強殺毒引擎技術：江民科技注重殺毒引擎的研發和病毒庫的更新，具備病毒深度分析和處理的能力，可以實現在病毒感染的情況下也可能對用戶數據進行恢復。并提供多種勒索防護技術，包括蜜罐誘餌、可信訪問、傀儡文件、進程白名單、異常行為檢測等。強大的生態合作體系：與國內多家安全硬件廠商合作，為其提供殺毒引擎和特征庫，涵蓋了市場上大多數的安全硬件廠商。自主可控和國產化適配：自主研發，確保了產品的安全性和可控性，并支持主流的國產化 CPU 芯片硬件和國產操作系統，并可以根據用戶需求進行適配。輕量化代理：支持定制裁剪，提供輕量級版本，通過監控系統資源的

212、使用情況，并在資源占用過高時自動降低掃描頻率和防護等級，防止影響用戶業務系統或日常辦公。新一代終端安全廠商推薦新一代終端安全技術應用指南89推薦廠商-聯軟科技 簡介深圳市聯軟科技股份有限公司（以下簡稱“聯軟科技”）成立于 2004 年，專注于企業級網絡安全市場，為政府和企業客戶提供圍繞端點安全、網絡安全和云安全的網絡安全產品及服務。終端安全團隊約 300 人。典型應用場景包括終端檢測與響應、統一終端管理，主要服務于金融、制造、醫療等行業，并積極開拓海外市場，與華為在亞洲、非洲和中東地區合作推廣安全解決方案。終端安全能力新一代終端安全廠商推薦新一代終端安全技術應用指南90 典型產品介紹 聯軟科技

213、的 UniAccess 終端安全管理系統，提供了資產管理、補丁管理、企業軟件管理、用戶操作權限管控、安全狀態評估、主機監控審計、上網行為管控、移動存儲介質管理、桌面運維管理等功能。企業級安全保護平臺 ESPP，該平臺基于 TDNA 可信數字網絡架構，通過搜集網絡環境中多維度安全信息與數據，進行攻擊畫像、威脅建模、情報匹配等智能化分析，形成完整威脅鏈可視化溯源，提升整體安全防護效果。UniEMM 企業移動安全平臺：采用 APN 網關，強調服務的不可見性和應用層安全隧道。NID 網絡智能防御產品：模擬網絡和主機，欺騙攻擊者，通過蜜罐技術檢測攻擊行為。推薦理由：拓展海外市場：快速拓展海外市場，與華為

214、的網絡安全產品結合，形成了一套完整的解決方案，提升海外市場產品的競爭力和知名度。零信任安全:提出“可信數字網絡架構（TDNA）”的思路，采用零信任安全解決方案降低風險，包括身份與訪問管理（IAM）和微隔離與動態訪問控制，通過 TDNA 網絡安全架構實現安全與業務的融合，改善攻防不平衡的現狀。Windows 系統防護能力突出：聯軟科技在終端安全領域擁有豐富的經驗和技術積累，特別是在 Windows 系統安全防護較強。提供定制化開發服務：聯軟科技重視與客戶的合作，根據客戶的實際需求進行產品開發和功能完善，能夠更好地滿足客戶的個性化需求，增強客戶粘性。勒索防護，通過底線風險管控和五位一體的立體式保護

215、提供防勒索方案。新一代終端安全廠商推薦新一代終端安全技術應用指南91推薦廠商-綠盟科技 簡介綠盟科技集團股份有限公司（以下簡稱“綠盟科技”）成立于 2000 年，是國內網絡安全解決方案提供商，致力于提供全方位的網絡安全產品和服務。綠盟聚焦終端攻防領域，陸續發布一體化終端安全管理 UES、終端殺毒產品 ESS、終端威脅檢測與響應 EDR、網頁防篡改 HDS、零信任安全工作空間 SDE 等產品，滿足辦公終端、服務器等安全需求，典型場景包括資產管理場景、等保合規場景、攻防演練場景、XDR 場景，主要服務于運營商、政府、科教文衛、能源、交通、企業、金融等行業。終端安全能力 典型產品介紹 綠盟一體化終端

216、安全管理系統 UES：集成多種安全功能，包括終端風險評估、暴露面收斂、下一代殺毒、威脅檢測響應防護、攻擊可視化、監控與審計等。依托綠盟科技自主研發的終端異常行為分析引擎及高效精準的威脅情報數據，有效檢測 APT 攻擊、勒索挖礦、僵木蠕、0Day 漏洞等已知和未知威脅場景，同時提供快速響應措施阻斷威脅蔓延，從而全面保障企業客戶的終端安全。新一代終端安全廠商推薦新一代終端安全技術應用指南92 推薦理由：威脅檢測與響應：依托綠盟自主研發的終端異常行為分析引擎及高效精準的威脅情報數據，綠盟 UES 可有效檢測 APT 攻擊、勒索挖礦、僵木蠕、0Day 漏洞等已知和未知威脅場景，同時提供快速響應措施阻斷

217、威脅蔓延，以應對不斷變化的網絡攻擊手段。威脅情報能力:漏洞和勒索檢測能力：利用綠盟積累的 30 萬+漏洞庫，提供更全面的漏洞檢測能力，以及威脅情報團隊和平臺，能夠為用戶提供及時、準確的威脅情報，幫助用戶提前預警和防御安全威脅。一體化安全解決方案：綠盟科技擁有覆蓋網絡安全各個領域的豐富產品線，更容易與綠盟其他安全產品，通過統一平臺進行風險管理、評估驗證、協同聯動。SaaS 化的終端安全服務和信創支持，用戶無需購買和維護硬件設備，即可使用終端安全服務，支持信創環境，可以在國產 CPU 和操作系統上運行。立體化防護體系：構建邊界、內網、終端的立體化安全防護技術體系，應對勒索組織高度專業化的攻擊手法和

218、模式，并利用威脅情報針對勒索提供檢測、應急等服務。新一代終端安全廠商推薦新一代終端安全技術應用指南93推薦廠商-奇安信 簡介奇安信科技集團股份有限公司（以下簡稱“奇安信”）成立于 2014 年，專注于網絡空間安全市場，向政府、企業用戶提供新一代企業級網絡安全產品和服務。奇安信提出“終端安全一體化”理念，通過“體系化防御、數字化運營”方法，幫助政企客戶構建持續有效的終端安全能力，確保各類終端都能可信、安全、合規的訪問業務和數據。目前終端團隊人員500+人，近 500 件發明專利、與軟件著作權等知識產權創新成果。業務涵蓋從傳統 PC、移動設備到服務器主機、IoT 智能硬件、信創等終端，覆蓋黨政、央

219、企、金融、能源、醫療等多個行業。終端安全能力 典型產品介紹 終端安全運營平臺 ESOP:以終端安全數據和威脅情報數據為基礎，充分運用數據采集、實時關聯分析、持續監測、可視化等技術，基于終端安全指標化運營的理念，結合標準操作流程，為客戶的終端安全運營和決策提供數據支撐。天擎終端安全管理系統:提供終端資產管理、安全準入、漏洞管理、病毒防護、威脅檢測與響應、安全策略管理等功能，幫助政企客戶準確識別、保護和監管終端，確保各類終端在任何時候都能可信、安全、合規地訪問數據和業務?？尚艦g覽器:提供安全瀏覽、網頁防篡改、插件擴展管理、操作行為管控等功能，提供針對業務系統的兼容能力，針對瀏覽器客戶端的統一配置管

220、理、統一行為管理和統一安全管理能力，為政企用戶提供專業的業務承載平臺。天狗漏洞攻擊防護系統：采用內存指令流檢測技術，并深度融合人工智能、機器學習技術，從更底層監測漏洞攻擊代碼的執行，不依賴于已知漏洞和攻擊特征即可防御新型漏洞攻擊（包含 0day），已被大規模應用于高并發、新一代終端安全廠商推薦新一代終端安全技術應用指南94業務連續性要求高的政企單位中。推薦理由：產品線豐富:提供覆蓋終端安全、網絡安全、數據安全、云安全、應用安全、零信任安全等全領域的安全產品及解決方案。市場占有率高：奇安信終端安全產品在覆蓋較多的中央政府部門、中央企業和大型銀行等行業和領域，市場占有率較高。終端運營態勢感知：通過

221、 ESOP 提供終端安全態勢的全面視圖，幫助用戶了解終端安全狀況，并進行有效的風險管理。高級威脅應對能力：擁有超過 100+項數據采集點，能更全面地捕捉數據可輔助提升威脅檢測能力。擁有 1000+條經過篩選的較高置信度的 IOA 行為類告警規則庫，提高告警的準確性和有效性，提升安全運營效率。場景化安全：奇安信致力于將終端安全與用戶業務深度融合，通過安全運營平臺和場景化編排，實現更精細化和自動化安全管理。新一代終端安全廠商推薦新一代終端安全技術應用指南95推薦廠商-瑞星 簡介北京瑞星網安技術股份有限公司（以下簡稱“瑞星”）成立于 1991 年，專注于信息安全領域，堅持自主研發，擁有完整的自主知識

222、產權，市場定位主要是為企業和政府提供全面的網絡安全解決方案，尤其在企業級安全市場，目前終端團隊人員 xxx 人，研發人員 xxx 人，覆蓋政府、能源電力、軍工等多個行業 終端安全能力 典型產品介紹 瑞星終端威脅檢測與響應系統（EDR）：瑞星 EDR 是一款針對高級威脅進行挖掘、檢測、追蹤溯源、事件調查的安全產品。該產品集惡意代碼防護、勒索防御、漏洞修復等多功能于一體，幫助企業用戶大幅度提升終端安全防御能力。新一代終端安全廠商推薦新一代終端安全技術應用指南96 瑞星防病毒系統（ESM）：瑞星ESM防病毒終端安全防護系統是一款企業級終端安全管理系統軟件，集主機防病毒、防火墻、漏洞掃描、資產管理、行

223、為審計功能于一體，能夠為用戶提供一整套完整的終端安全解決方案，幫助企業有效管理和保護其終端設備。推薦理由：悠久的歷史和技術積累：作為中國最早的殺毒軟件公司之一，在反病毒領域擁有超過 30 年的技術積累和豐富的經驗。自主研發的殺毒引擎：擁有完全自主研發的反病毒引擎，并通過樣本交換、國際合作等多種方式持續更新其病毒庫和特征庫，以應對不斷變化的病毒和威脅。積極布局信創市場：瑞星很早就布局信創市場，支持所有主流的國產 CPU 和操作系統，并針對一些特殊版本的系統進行專門適配，并推出瑞星 ESM 防病毒系統（信創版）圍繞國產化生態，完成了 40+廠商互認證和 100）認證證書。事件溯源和取證功能：瑞星的

224、終端安全產品 EDR 可以對安全事件和病毒來源進行追蹤溯源，并進行取證分析，幫助用戶快速定位問題根源和攻擊路徑。本地化機器學習模型：瑞星支持本地部署機器學習模型，在離線環境下也能正常工作，可以對終端行為進行實時分析和判斷，提高威脅檢測的效率和準確性。新一代終端安全廠商推薦新一代終端安全技術應用指南97推薦廠商-亞信安全 簡介亞信安全科技股份有限公司（以下簡稱“亞信安全”），多年來持續深耕于網絡安全軟件領域，以護航產業互聯為使命，以安全數字世界為愿景，為各大行業用戶提供覆蓋云網邊端的網絡安全產品及服務，幫助用戶應對復雜的安全態勢，筑牢網絡安全屏障。亞信安全基于30年深厚的終端安全經驗積累，引入了

225、先進的攻擊面管理和創新的服務編排自動化能力，并融合了防病毒、虛擬補丁、EDR、桌面管理、SDP、VP 和網絡準入等多項技術，且同時覆蓋信創和非信創系統。2023 年，亞信安全正式發布了新一代終端安全產品 TrustOne，旨在構建“極致、簡約、新形態”的終端防御體系，解決傳統終端安全的“臃腫、復雜、無效”的問題。同時，基于終端的 SaaS 產品也于 2022 年發布。產品應用的典型行業包括金融、運營商、制造業、政府和電力。終端安全能力 典型產品介紹 亞信安全 TrustOne 作為新一代終端安全產品，集成了防病毒、虛擬補丁、EDR、桌面管理、SDP、網絡準入控制等關鍵技術，具有獨特的數字化風險

226、治理和攻擊面管理能力，能從攻擊者視角精定位風險，極大提升了運維的效率。實時監測各類資產，自動修復漏洞、強化安全策略，快速減少資產風險暴露面，降低遭受攻擊的可能性。有效預防和快速響應已知及未知威脅，同時覆蓋信創與非信創系統，提供全面的終端安全管理和響應能力，能幫助企業提升安全防護效果和效率。新一代終端安全廠商推薦新一代終端安全技術應用指南98 推薦理由：深厚的技術積累和行業經驗：亞信安全在安全領域擁有多年經驗，并積累了豐富的技術和知識。較高的市場占有率：在中國市場占有率較高，擁有較大的部署規模，并在金融、政府、醫療、電力等多個行業擁有廣泛的客戶群體和成功案例。威脅情報。亞信安全與國際國內多個機構

227、進行威脅情報合作(趨勢科技、IBMX-Force、VirusTotal、ETPro 和Brica 等)，并利用 AI 技術對海量原始情報進行特征挖掘和分析，應用于提供事前事中事后的預警、攻擊溯源和處置響應。一體化管理和立體化防御，實現多端融合消除卡慢，提高運維效率，通過立體化防御，減少暴露面，全面提升防御效果。亞信安全強調“以人為本”的安全理念，關注不同角色用戶的安全需求，將復雜的網絡安全技術以用戶友好的方式呈現，提升用戶體驗。新一代終端安全廠商推薦新一代終端安全技術應用指南99推薦廠商-指掌易 簡介北京指掌易科技有限公司（以下簡稱“指掌易”）成立于 2013 年，并于 2019 年開始拓展終

228、端安全業務。指掌易專注于移動安全領域，逐步擴展到泛終端安全領域，市場定位是以移動化為核心，將端點安全、數據安全、業務安全整合在一起，形成全棧型的泛終端安全解決方案。目前研發人員 130+人，專利 9 個，基于自主研發的 VSA 技術，推出了 SAME（Secured Architecture for Mobile Enterprise）安全架構及 EDTA（Enterp Data Trustable Access）安全解決方案，提供全方位的移動終端安全保障。典型場景包括移動終端的專機專用、智能終端的跨網辦公，覆蓋金融、政府、能源、交通運輸等多個行業。終端安全能力 典型產品介紹 移動安全管理平臺

229、：實現多場景、多類型智能終端的一體化安全防護，滿足終端設備安全、移動辦公安全、應用安全、接入安全等多維度管理，為企業提供端、管、云一體化終端安全防護平臺。推薦理由：安全空間理念：可以為用戶構建一個輕量級的安全辦公空間，對辦公應用進行安全防護，并不會侵犯用戶個人隱私。輕量級的移動安全沙箱技術：具有良好的兼容性，隔離辦公應用和個人應用，防止數據泄露，而不破壞安卓或iOS 系統的完整性，并不會影響應用性能和系統穩定性。新一代終端安全廠商推薦新一代終端安全技術應用指南100 零信任安全架構：可以作為 VPN 的升級替代，可為多類型智能終端跨網訪問企業服務和數據資源提供端管云一體化安全保障。統一的策略管

230、理：提供強身份認證服務、最小授權管理、持續信任評估，以及全局統一策略管理和安全運營管理，滿足行業客戶對使用場景的核心安全風險管控訴求。合規性保障：解決方案能夠在“等級保護2.0”、密碼應用安全性評估、個人信息保護等多個國家監管標準合規方面，以及行業客戶的移動應用安全和個人信息保護規范合規方面，提供有效技術支撐手段。未來展望新一代終端安全技術應用指南101第八章 未來展望在過去的幾年里，終端安全經歷了巨大的變革。從傳統的單機殺毒軟件到 EDR、XDR 等高級解決方案，終端安全技術不斷演進，以應對日益復雜和高級的網絡攻擊。隨著人工智能、云計算、物聯網等新技術的興起，終端安全領域也迎來了新的機遇和挑

231、戰。展望未來，終端安全技術將朝著更加智能化、一體化、自動化和場景化的方向發展。（1）一體化擴展功能將成為未來終端安全發展的重要趨勢 驅動：企業數字化轉型。隨著企業數字化轉型的加速推進，IT 環境變得更加復雜和多樣化，終端設備種類繁多，安全需求也更加多樣化。高級威脅的增加。高級持續性威脅（APT）、勒索軟件攻擊等高級威脅層出不窮，傳統的終端安全產品難以應對這些威脅。安全管理的復雜性。企業需要管理大量的終端設備和安全產品，安全管理的復雜性不斷增加。未來發展方向：多功能融合。將更多的安全功能整合到一體化平臺中，例如 EDR、XDR、零信任、數據安全等?？缙脚_支持。支持多種操作系統和設備類型，例如 W

232、indows、macOS、Linux、Android、iOS 等，以及物聯網設備、工控設備等。云原生支持。支持云原生架構，可以更好地保護云上終端的安全。AI 賦能。利用 AI 技術提升一體化平臺的智能化水平，例如自動化安全運營、智能威脅檢測等。（2）AI 技術應用將更加深入和廣泛地應用于終端安全領域 驅動：海量安全數據。終端安全產品每天都會產生大量的安全數據，人工分析這些數據效率低下且容易出錯。高級威脅的復雜性。高級威脅的攻擊手段和行為模式復雜多變，傳統的安全規則難以有效識別。安全人員短缺。專業的安全人員短缺，企業難以依靠人工進行全天候的安全監控和分析。未來展望新一代終端安全技術應用指南102

233、 未來發展方向：AI 模型的優化。不斷優化 AI 模型的性能和準確性，例如提高模型的泛化能力、降低誤報率等。AI 應用場景的拓展。將 AI 技術應用到更多的終端安全場景中，例如風險評估、安全預測、安全審計等。AI 安全。關注 AI 模型自身的安全問題，例如模型攻擊、模型竊取等。（3）移動安全將成為終端安全防護的重點。驅動：移動設備的普及。移動設備已經成為人們工作和生活中不可或缺的一部分，同時也成為了網絡攻擊的目標。移動辦公和 BYOD。越來越多的企業允許員工自帶設備辦公，使得企業面臨更多的移動安全風險。移動威脅的增加。針對移動設備的惡意軟件、網絡攻擊等安全威脅層出不窮。未來發展方向：移動威脅防

234、御(MTD)。提供更強大的移動威脅檢測和響應能力，例如惡意軟件防護、漏洞利用防御、攻擊阻斷等。移動應用安全。加強對移動應用的安全防護，例如應用加固、應用安全測試等。移動設備管理(MDM)。提供更精細化的移動設備管理功能，例如設備注冊、策略配置、應用分發等。零信任安全。將零信任安全理念應用于移動安全領域，例如對移動設備進行身份驗證和訪問控制。（4）信創環境下的終端安全防護將成為新的挑戰和機遇。驅動：國家政策支持。國家大力推進信創產業發展，越來越多的企業開始使用國產化終端設備。安全自主可控。信創環境下的終端安全防護需要實現自主可控，以保障國家信息安全。技術兼容性。信創終端設備的軟硬件環境與傳統終端

235、設備存在差異，需要適配和兼容。未來發展方向：國產化適配。加強對國產 CPU、國產操作系統、國產應用軟件的適配和支持。未來展望新一代終端安全技術應用指南103 安全功能完善。提供針對信創環境的終端安全防護功能，例如惡意軟件防護、漏洞利用防御、攻擊阻斷等。安全標準制定。參與制定信創終端安全相關的標準和規范。（5）數據安全技術將進一步向智能化和自動化方向發展 驅動：數據安全的重要性。數據已經成為企業的重要資產，數據安全問題日益突出。數據安全法規的完善。例如個人信息保護法等法律法規對數據安全提出了更高的要求。數據安全威脅的增加。數據泄露、數據篡改、數據勒索等安全事件頻發。未來發展方向：智能化數據識別和

236、分類。利用 AI 技術自動識別和分類敏感數據，例如個人信息、商業機密等。自動化數據安全防護。利用自動化工具和技術，實現數據安全策略的自動部署和執行。云原生數據安全。支持云原生架構，可以更好地保護云上數據安全。數據恢復和回滾。提供更強大的數據恢復和回滾能力，例如勒索軟件攻擊后的數據恢復。（6）XDR 優化跨領域整合能力將優化其跨領域數據整合能力 驅動：安全威脅的復雜性?，F代網絡攻擊通常涉及多個攻擊階段和多個攻擊目標，例如終端、網絡、云等。安全孤島。傳統的安全產品通常是孤立的，難以形成協同防御能力。安全運營效率。安全人員需要在多個安全平臺之間切換，安全運營效率低下。未來發展方向：跨領域數據整合。整

237、合來自更多安全領域的數據，例如終端、網絡、云、身份、郵件等。AI 和自動化。集成 AI 和自動化檢測機制，提升威脅檢測和響應的效率。開放平臺。與第三方安全工具進行集成，例如 SIEM、SOAR、威脅情報平臺等。未來展望新一代終端安全技術應用指南104（7）物聯網終端安全將成為終端安全防護的新興領域。驅動：物聯網設備的快速增長。物聯網設備數量龐大、種類繁多，并且通常部署在網絡邊界之外，容易成為網絡攻擊的目標。物聯網安全的薄弱性。物聯網設備通常具有較弱的安全防護措施，例如默認密碼、固件漏洞等。物聯網攻擊的危害性。物聯網設備的攻擊可能會導致數據泄露、業務中斷、甚至物理損害。未來發展方向：設備管理。提供針對物聯網設備的設備管理功能，例如設備注冊、身份驗證、安全策略配置等。安全防護。提供針對物聯網設備的安全防護功能，例如惡意軟件防護、漏洞利用防御、攻擊阻斷等。漏洞修復。提供針對物聯網設備的漏洞修復功能，例如補丁管理、固件升級等。安全監控。提供針對物聯網設備的安全監控功能，例如異常行為檢測、安全事件告警等。