终端系统安全栈底层的终端具有哪些能力
终端系统安全栈底层的终端具有以下能力:
终端纳管能力:通过终端纳管能力的实施,实现包括用户注册与服务管理、终端资产发现与管理、应用软件及授权管理、终端外设与移动介质管理在内的终端全生命周期管理工作,降低终端运维服务成本。
数据支撑能力:通过终端数据支撑能力的实施,实现包括终端环境感知、终端安全状态评估、终端日志采集等工作,提高终端数据利用能力。通过部署终端日志、安全状态及环境信息的感知、采集和共享措施,使终端安全数据共享至网络安全、云安全、身份与访问控制等多个安全领域,并最终实现体系之间的安全能力协同。
架构安全能力:通过架构安全能力的实施,实现终端固件扫描及管理、终端应用程序控制、配置/漏洞修复与补丁管理、安全配置/漏洞/补丁发现等工作。对终端的重要应用构建应用程序控制手段,通过白名单控制进程的启动、跨越进程的调用和应用数据的访问,实现提升终端自身强壮性和未知攻击抵御的能力。
被动防御能力:通过被动防御安全能力的实施,实现终端防火墙与入侵防护、终端恶意代码防护等工作,提高终端威胁对抗能力,解决终端的基础威胁问题。
积极防御能力:通过积极防御安全能力的实施,实现终端检测与响应(EDR)等工作,提高终端自身对未知威胁的深度分析能力。通过对终端本地进程活动、文件信息、资源调用行为的收集,实现对高级威胁的有效研判分析与追踪溯源。
身份安全能力:通过身份安全能力的实施,实现终端用户强认证工作,使终端身份具有高可靠性、不可篡改性。
接入管控能力:通过接入管控能力的实施,实现终端合规接入管理,与网络接入管理设备进行协同,使非合规终端无法接入网络。
隔离设施能力:通过隔离设施能力的实施,实现终端工作区隔离,在PC终端构建出独立的安全隔离工作区,用于专网互联,实现工作区内应用程序、数据存储、网络通信与承载系统的相互隔离。
行为管控能力:通过行为管控能力的实施,实现终端行为审计与控制,做到终端可管、可控。其中包含违规操作发现、异常行为控制等措施,并在打通内部威胁防控平台的基础上扩展用户行为分析的广度和深度。
数据安全能力:通过数据安全能力的实施,实现敏感数据发现与泄露控制、文档加密与屏幕水印等工作,实现终端侧数据泄露防护(DLP),并在打通数据安全管控平台后实现数据安全治理与保护策略的统一。