一、解决方案简介

九锁终端安全管理系统集终端安全管理、网络准入管理与一体，建立起三端联动（云端、客户端、手机端）的数据安全立体服务体系，按用户、位置、作息、屏幕、网络、U盘、软件、文件、硬盘九个维度进行全方位的数据安全管控。

九锁终端安全管理系统基于自主可控技术的国产化改造总体分为两步，*****步进行服务端国产化迁移、对系统所使用的主机、操作系统、数据库、中间件等相关软硬件进行国产化改造。本系统选择银河麒麟国产操作系统、南大通用GBase数据库，历经一月时间完成了国产化适配与压测，完全满足了系统国产化迁移条件。保证了原系统正在使用的两万多终端无感知过渡，同时为第二步终端国产化打下基础。

第二步主要工作为国产终端的适配，由于用户终端均为Windows系统，全部替换成国产终端需要几年的更换周期，在优先保证windows终端稳定运行下进行国产化终端软件适配，并终保证两类终端同时进行管理为终目标。如何解决在新采购的国产操作系统终端进行终端管控、网络准入等是需要攻克的第二个难题，经过多方专家的讨论，为了彻底解决所有遇到的难题，终端管理软件决定进行重构，选择通过广泛适配x86、ARM和MIPS架构，实现与主流国产终端机操作系统（银河麒麟桌面版、统信UOS等）的全面兼容。

二、应用场景痛点简介

银行是实体经济发展的命脉，金融科技是银行发展的基石，网络安全是金融科技安全运行的必要保障，自主可控则是网络安全的底牌。

详细痛点如下：

1、终端补丁更新不及时：在当前复杂多变的信息安全形势下，无论是外部黑客入侵、内部恶意使用，还是大多数情况下内部用户无意造成的信息泄露，安全管理手段都正在变得越来越不够用。另外针对银行终端的统一补丁管理，若没有搭建补丁管理服务器，由于内、外网是不通的，因此也需要考虑内网终端的统一补丁管理。

2、终端接入没有有效控制：传统的安全解决方案往往比较强调网关安全，很多银行也购买了防火墙、入侵检测与防御（IDS/IPS）等产品。但当前更多的安全隐患来自防御薄弱的终端，通过终端能够轻易地接入银行核心内网。

3、终端数据容易泄露：近年来，国内的银行数据泄露事件屡见不鲜，影响银行的声誉、监管上的违规和经济利益上的重大损失，甚至造成公众舆情。如何防止银行数据泄露是银行安全管理的重要课题。

4、合规性：根据银监会《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》要求，为积极推动系统跨平台国产化改造进程，需对终端安全管理系统进行国产化改造。

基于以上痛点，有如下解决方案：

1、终端软件管理：对软件进行全方位管控，涵盖软件安装信息收集、软件分发、补丁安装、软件访问控制等，对终端软件版本统一标准；对终端的病毒软件和系统补丁进行定期检查，强制病毒软件和系统补丁的安装更新。不符合终端基线检查的智能终端无法入网。

2、终端准入管理：通过网络准入手段管理外来终端接入网络的问题，通过IP黑白名单进行内部终端上网管控，提升银行网络使用安全。

3、终端数据安全管理：通过U盘管控技术，外来U盘未经许可，不能接入；通过硬盘管控技术，对终端硬盘进行管理和控制，只有通过身份验证才能解密并读写硬盘中的数据资产；通过文件透明加解密技术对数据文件提供加密保护，有效防止了加密数据通过拷贝、拆卸硬盘等方式造成泄密；通过屏幕水印技术，在拍照、系统截屏等方式造成数据泄露时可追溯。

4、终端安全管理系统国产化改造：对所需的主机设备及操作系统、终端设备及操作系统、应用软件等均使用国产化体系进行替换迁移，并逐步完成全行服务器、设备终端、数据库、操作系统、应用软件的国产化替换改造。通过对应用系统设备硬件的替换、软件等各个环节的重构，建立自主可控的IT产业标准和生态，逐步实现各环节的国产化，从而响应加强国产化、实现自主可控的国家政策号召，实现金融科技核心技术安全自主可控。

三、解决方案亮点介绍

终端安全管理系统适配国产软硬件清单：

1、终端-基于Linux内核的拦截框架

本系统的国产化客户端采用自主研发拦截框架+SELinux强制访问控制手段实现终端访问控制功能。

自主拦截框架可对文件、进程、网络、外设等常用操作进行稳定拦截。强制访问控制采用SELinux技术实现，SELinux 是 2.6以及更新版本的 Linux 内核中提供的强制访问控制系统。SELinux 在类型强制系统中合并了多级安全性或一种可选的多类策略，并采用了基于角色的访问控制概念，同时所有的国产操作系统均支持SELinux系统，例如银河麒麟的KACF强制访问控制框架等。

2、终端-国产化设备的网络准入

本系统的网络准入模块采用原生的RAW socket实现了基于802.1x的网络准入认证，该准入模块完全自主开发，认证密码的加密部分采用MD5加密算法，对于认证出错的情况，可以准确的拿到交换机返回的错误信息，在编译时无需安装libpcap、python等任何支持库，代码编译完后的可执行程序只有35K左右的大小，客户端完全支持国产化CPU，例如飞腾2000/4处理器，同时，客户端的部署也非常方便，无须安装任何第三方依赖包便可直接工作。

3、终端-客户端UI国产化

原系统客户端界面采用DIULIB引擎实现，国产化客户端采用QT进行客户端开发，保证程序具有优良的跨平台性，同时QT开发的程序在其他使用linux内核的系统中具有较好的表现，例如CPU、内存占用率、流畅性等。

在客户端的UI部分，由于不同的系统内核设计和系统GUI风格设计，在国产化中的客户端和windows端的界面完全一致，在界面设计上，QT采用QML设计界面，windows端采用XML设计，整体的界面布局可完全一致。

4、终端-人机绑定模块国产化

用户安装客户端后，需要进行身份绑定后才可正常使用，建立设备与人的关联信息，为后期跟踪和管理做数据基础。（下图为在统信UOS系统中的真机界面，需用需要账号密码或手机扫码进行人员和设备的绑定交互）

5、终端-身份验证模块国产化

未进行身份认证的用户，进入系统后会弹出全屏模态置顶窗口，拦截所有热键操作，无法绕过窗口进行正常操作，需要进行身份认证后方可正常使用计算机。

用户身份验证：对用户进行二次身份认证才能正常操作计算机，支持多用户轮班使用，对终端计算机进行用户使用审计。

管理员应急解锁身份认证：应急解锁采用零知识认证技术，由于采用了标准的C++跨平台开发方式，所以零知识认证的公式可以直接迁移到国产操作系统中使用，直接将随机生成的公式代入算法得到终的解锁pin码即可。

6、终端-软件白名单国产化

用户层通过系统上层网络接口上报进程信息，定期同步白名单策略，底层通过拦截框架实现进程可控性。在国产系统中实现的自主可控的软件白名单功能。

7、终端-网络白名单国产化

底层通过标准的网络拦截框架实现对网络访问的拦截。在国产系统中实现的自主可控的网络白名单功能。

8、终端-非法外联与阻断模块国产化

非法外联监测需要提供公网监测锚点，客户端周期性对公网锚点进行探测请求，如果客户端能够正常完成请求则代表进行外网连接，客户端强制断开网络、弹出置顶警告窗口，管理员会接受到预警短信提示和微信推送，可显示设备信息与该设备绑定的人员信息，方便管理员进行管理。

9、终端-U盘白名单模块国产化

U盘管理模块包功能在 Linux 2.6内核以上版本操作系统上可正常工作。以拦截框架为基础，可动态监控usb内核事件，能*****时间监控USB插入和拔出事件，触发事件后通过作比对设备信息，判断是否为授权设备，后通过挂载点操作,管理USB挂载点。从而实现U盘白名单国产化改造。

10、服务端-高效可靠的服务

本项目在经过3个多月的升级改造，在不牺牲性能和稳定性的前提下对银河麒麟操作系统、南大通用GBase数据库进行了适应性改造迁移，确保了从服务器、操作系统到应用软件、数据库的全面完全自主可控，银河麒麟作为国内自主研发的操作系统为应用提供了多层级、细粒度、全方位的安全保护，同时本项目依照CMMI5标准研发，深度结合银河麒麟国产操作系统，可对关键业务及数据构建高可靠、易管理的系统体系，同时具有完善的文件系统支持、网络服务支持和系统服务支持。

南大通用GBase数据库作为国产高性能关系型数据库在高并发业务情况下具有良好的查询效率和稳定性，本项目对原有关系型数据库进行平滑迁移，保证数据零损失，同时项目针对南大通用GBase数据库进行了深入的查询改造，保证查询效率零损耗的同时大幅提升了查询效率。在针对业务高并发的情况下，本项目做了针对深信服应用交付AD的适应性改造。深信服应用交付AD对传统网络负载均衡产品进行了升级和扩展，其通过结合链路负载均衡、服务器负载均衡、全局负载均衡、服务器性能优化、单边加速、商业智能分析等多种技术，提供了全面、可靠的负载能力，有效的避免了系统宕机或网络故障等突发因素对应用服务的影响，切实保证业务服务的全天候稳定运行，同时其具备基于硬件运行状况的检查、基于应用类型的检查及自定义的健康检查机制，全面的检测管理能力保证了业务应用的高可用能力，实现透明化用户引导。本项目在完成深信服应用交付AD的改造升级后，实现了于使用F5的同等性能迁移，即保证了服务的高效稳定，同时真正实现了从应用到客户端的全面技术完全自主可控。

四、客户评价

智能手机普及时代，手机内置加密芯片和多种生物识别技术，采用手机作为身份Ukey，替代传统携带式Ukey，云端通过设备（绑定的终端）+手机（绑定手机）+人（手机生物识别）确定用户***身份并下发安全策略，增加了安全的同时，用户又有可视化的界面，使用方便。

采用RBAC（Role-Based Access Control）角色的访问控制权限模型为基础，采用多对多关系设计，满足所有使用场景，如轮班制度的呼叫中心、内部使用的会议教室等。

采用无密码登录技术，修改系统登录界面，在系统登录时进行身份校验，用户无需记住复杂的登录密码也可实现登录终端，无需加入域即可操作，既方便了用户操作，也加强了终端安全。