市技装中心加强计算机终端安全建设 -888集团官网

为坚决落实市教育局关于进一步加强网络安全管理的要求，2023年4月，市技装中心组织开展了市教育事业发展中心园区计算机终端安全能力提升建设，通过统一部署企业级终端检测与响应系统，整体提升了园区终端的网络安全防范能力。

本次部署的终端检测与响应系统采用ppdr（预测/predict-防护/prevent -检测/detect -响应/response）自适应闭环安全防御机制，主动发现和识别终端上存在的安全隐患和风险，对终端可能遭受的网络攻击进行预测；能够在终端遭受网络攻击时，及时发现和阻断攻击行为，对终端进行实时防护；能够实时检测终端存在的风险点和不符合规定项并提供修复和整改措施，通过持续的检测和修复不断提高终端安全水平；能够在安全事件发生后及时响应，清除攻击代码、修复漏洞或关闭服务，防止再次被攻击。

图1 ppdr自适应闭环安全模型

一、部署终端检测与响应系统前，园区计算机终端安全管理采取自行管理模式，由职工选择并部署防病毒等终端安全软件。安全监测发现：由于不同程度缺少网络安全知识与技能，存在无意识“裸奔”，未定期查杀病毒，长期未进行漏洞扫描并及时修复等情况，导致终端极易遭受病毒等恶意程序和网络攻击侵害。部分失陷终端甚至沦为虚拟货币“挖矿”等黑产工具，不仅存在信息数据泄露风险，更是违反了国家关于禁止虚拟货币“挖矿”活动的政策要求。而网络安全管理部门通过网络流量实时监测、日志审计分析等手段对终端通信流量进行监测、审计，问题发现存在一定程度的滞后性，无法在终端遭受侵害时实施阻断措施降低终端失陷几率，并在终端失陷后第一时间定位资产位置、责任人并实施隔离措施防止风险内部横向扩散，最终造成“一点突破，全盘皆失”的局面。

二、部署终端检测与响应系统后，网络安全管理部门可通过系统的终端资产管理功能，清晰掌握每台终端设备的名称、ip地址、mac地址、所属部门、责任人等信息，可快速定位风险终端。当发现攻击行为时，管理员可一键下发安全策略，及时阻断相应的攻击行为。对于已经失陷的终端，管理员可下发一键扫描策略，快速查杀恶意程序，并利用一键终端隔离功能，快速封堵横向攻击行为，防止风险内部扩散。同时，管理员可配置安全策略，定期对全网终端开展安全基线合规检测、病毒扫描、漏洞检测（图2）等，汇总全网终端安全态势信息，针对性处置高危风险，第一时间解决突出问题。

图2 漏洞检测模型

通过部署终端检测与响应系统，不仅增强了园区计算机终端防御病毒、木马、入侵攻击等威胁的能力，同时也提升了园区终端网络安全管理效能。下一步，技装中心将进一步贯彻落实《成都市教育系统网络安全管理办法（2021版）》有关要求，持续强化终端监测，确保网络使用安全。

    审核：罗虹

    校稿：付强

    攥稿：张春荣