项目背景及目标

据普华永道2018年全球信息安全状况调查分析报告，有75%的安全事件来自企业网络内部（如用户数据泄露、内网病毒传播等）。辽宁农信现存在3万余台计算机和1万余台PAD终端，终端数量大、种类多、U盘等移动存储介质的内外网混用、终端软件/APP安装各式各样没有统一标准，内网终端之间可以互相访问等。

综上所诉,本课题旨在借助终端安全管控技术解决辽宁农信如下六个方面的内网终端安全问题：

（1）终端资源访问权限控制缺失的问题。

（2）保密数据缺乏有效防护手段的问题。

（3）终端主机登录口令不设置或密码简单的问题。

（4）移动外携办公设备存在难以管控的问题。

（5）操作系统补丁升级与漏洞修复的问题。

（6）外来终端接入网络的问题。

根据上述分析，辽宁农信迫切需要开展针对桌面/移动终端安全管理的相关技术研究，建设一套科学完善的解决方案，从网络准入控制、终端安全管理两个方面着手，提高辽宁农信终端管控力度，防范终端管控风险。因此，拟申请基于RBAC的终端安全管理平台的研究课题。

项目方案
（1）安全认证服务云端：主要提供系统身份验证、PIN码生成以及密钥管理三方面服务，除了为系统中的用户身份验证提供支持外，还为屏幕锁模块以及文件锁模块提供需要的密码支持服务。

（2）终端资产策略管理云端：围绕九大维度形成终端安全管控体系，包含用户、位置、作息、网络、屏幕、U盘、软件、文件、硬盘等，通过企业统一定制化策略对终端进行管控。同时设置了公共数据库对公共信息进行统一管控，配合软件分发、系统补丁防护、病毒库检测等方式，形成对终端设备全面的安全防护。

（3）移动端：以小程序为运行介质，实现轻量级的即时消息、设备管理、发现管理、系统管理以及个人信息管理等一系列资产和安全策略服务；

（4）客户端：运行于客户主机中的软件程序，通过UI界面完成与终端用户的功能交互。分别提供了安装绑定管理、屏幕解锁管理、软件仓库，补丁分发、安全服务管理以及包括位置服务、AI控制、信息采集等在内的系统服务。通过实时同步终端安全策略，完成对PC终端的安全管理。

创新点
（1）手机身份认证：采用手机作为身份Ukey，替代传统携带式Ukey，增加了安全的同时，又有可视化的操作界面，可兼容手机端生物识别身份认证，属于系统设计级别创新。

（2）终端开机登录界面集成身份认证：同类安全产品没有类似的功能，本产品直接将身份认证放置在系统登录界面进行校验，通过扫码代替用户输入账号密码进行登录系统，除了支持扫码登录、还支持PIN码登录。该功能属于技术创新，同时还有用户体验上的创新。

（3）终端无网络环境下使用：手机端采用零知识证明(Zero—Knowledge Proof)计算解锁PIN码的创新方式，使用户在无网络环境下也可进行身份验证，并解锁终端进行操作。

（4）权限分级管理：对网络、软件、U盘等使用资源可进行配置安全级别，实现分级管理。

（5）支持多法人架构：针对辽宁农信多法人组织架构的特点，形成多机构树的架构体系，安全策略可根据不同部门定制不同规则。 

（6）软件与补丁分发：采用软件仓库形式进行软件与补丁分发，用户可自行选择需要安装的软件，同时为软件正版化管理做铺垫。

（7）非法外联阻断：阻止终端外设端口的连接（红外、蓝牙、usb、随身wifi、手机热点等），保证内网终端与互联网、测试网的有效隔离，降低内网终端信息泄漏和外部攻击的风险。

（8）外来终端管理：对来自服务商、客户的终端进行管理。方便外来终端使用的同时，采用技术手段进行网络隔离、数据隔离，减少信息泄露的几率。

（9）桌面远程协助：通过远程协助功能（屏幕共享、同步操作、传输文件、文字对话），可以一步连接到问题终端，帮助处理。

（10）移动资产管理：计算机终端实现在线即盘点等创新功能，同时对长期不在线的终端，和硬件发生变化的终端进行预警。资产管理员在手机端可实时生成精确统计报表。

（11）PAD双桌面：基于Google2014年发布的企业工作账户（Android for Work）实现企业安全空间。来支持在同一台设备上同时支持工作应用和个人应用。

（12）APP安装运行控制：在服务端配置PAD使用的APP规则，终会以配置文件的形式下发到各终端，终端会根据此配置文件内的规则阻止或者放行某个APP的运行。

技术实现特点
（1）云端系统采用springboot服务模式，所有服务独立运行又共同处理业务，各个服务单独部署，不与其他服务具有强关联，达到低耦合，高易用的目标。

（2）手机移动端采用微信小程序实现，方便行社推广与安装，实现扫码即用，同时消息集成微信企业号推送通知，能让用户*****时间做出响应，工作中的小程序采用websocket方式连接云端，消息响应速度快，效率高。

（3）终端客户端采用服务+控制界面的架构。界面采用Win32标准接口实现，底层采用WinDDK7.1为基础实现。客户端采用原生Socket进行通信，采用国密四标准进行加密。每个控制模块做为独立的DLL动态库，挂载到客户端中。

（4）PAD端通过统一的负载均衡，通过代理服务，对PAD管理系统服务器进行访问。PAD程序通过PAD通讯服务进行通讯连接，通过缓存向PAD管理系统服务器进行信息推送和监听。移动端和WEB端程序通过WEB通讯服务进行通讯连接，通过缓存向PAD管理系统服务器进行信息推送和监听。所有连接PAD管理系统服务器的请求均使用HTTPS方式，需要证书加密。

项目过程管理
2019年 6月  系统基础环境准备与搭建，微信开发者与服务号申请，网络准入环境调研；

2019年 7月 客户端UI修改、科技部内部预部署；

2019年 8月 轮班机制开发、补丁更新系统、软件仓库开发、PAD终端*****阶段功能开发；

2019年 9月 网络准入功能开发、服务器容灾环境部署、PAD终端部署环境搭建、PAD终端第二阶段功能开发；

2019年10月 平台上线试运行，同时开展*****批培训推广、PAD终端部署实施。

运营情况
（1）系统为保证全省业务使用需要，共部署4个应用节点，并统一对外提供服务，每个节点可保证5万Socket长连接，从功能及性能上满足全省终端业务应用。

（2）于2019年9月进行全省分级推广，先后进行了二次系统功能讲解，参训的系统安全管理员达50余人。

（3）截至9月末，已有40家法人机构进行试点推广，已安装终端的用户达到8727人。

项目成效
（1）严格把控终端资源的访问权限
平台通过U盘管控技术、硬盘管控技术、网络管控技术、软件管控技术对终端的U盘、硬盘、网络、软件等使用权限做出管控限制，并且对于资源的访问都有详细的记录和统计日志，有效的杜绝了内网资源在未经授权的情况下随意访问的问题。

（2）针对保密文档数据的加密防护
平台通过透明加解密技术对数据文件提供加密保护和水印防护功能，可有效防止保密数据通过拷贝、打印、截屏甚至拆卸硬盘等方式造成泄密，此外还提供了文件外发功能，方便加密文件在单位内部终端间安全流转。

（3）更安全更简便的终端登录方式
平台采用终端屏幕管控技术替代传统的用户手工输入账号密码的登录方式，通过移动端生物识别配合进行终端验证登录，可有效解决内网终端主机中普遍存在着登录口令强度弱以及长期使用相同口令的问题。

（4）有效监管外出移动办公设备
平台通过时间和地理位置控制技术，使得受控终端只能在指定的时间范围和地理位置范围内才可以使用，避免了移动办公设备违规外携和非办公时间使用的问题。

（5）实时修补终端系统漏洞
平台通过供终端操作系统离线扫描和补丁自动安装技术，解决了企业内网终端无法联机自动安装补丁的问题。

（6）减少网内软件版本使用混乱现象
降低多版本造成的多漏洞现象，减少网内软件漏洞数量，便于管理、修补和防范利用漏洞出现的威胁。

（7）为科技人员提供远程支持
大部分网点工作人员无计算机修护、管理经验，当计算机出现问题时，常需要科技人员前往，路途远等原因造成大量人力浪费。通过远程协助功能降低了科技人员往返网点的人力成本，缩短故障解决时间。

（8）加强了网络监控手段
通过终端发现功能，管理员*****时间可以发现入网终端，并进行网络隔离、减少信息泄露、和病毒传播的几率，加强对来自服务商、客户的终端进行管理。

经验总结
（1）传统安全软件安装部署是个难题，本系统采用手机扫码直接绑定用户和设备，节省了部署时间，加快了部署速度，符合大批量推广的方式。

（2）在对堡垒机管理网段进行部署时遇到无法使用手机通讯的场景，经过多番技术调研与架构调整，终端现在同时支持采用输入账号密码的方式进行终端绑定，实现了该系统在特殊环境下的部署与使用。

（3）终端登录遇到多人使用一台电脑的情况，经过对产品的架构调整与开发，本系统增加了轮班机制，支持多对多共享使用电脑的场景，做到后台可配置可管理，符合任何使用场景。

（4）将终端资产管理集成到系统中，可查看资产使用情况，增加手机发起设备报修、终端在线即盘点等创新功能，同时对长期不在线的终端，和硬件发生变化的终端进行预警。拓展了产品的使用路线，同时解决资产管理员数据不统一的难题。

（5）帮助全省法人机构树立了安全理念，提升安全意识。先后多次开展上机操作培训工作，为法人机构培养安全管理员和资产管理员。部分机构已经涌现出一批优秀的安全管理员与安全分析师，能够解决业务实际问题。