XX科技终端一体化办公项目

只看该作者 · 发表于 2024-12-30 16:44

本帖最后由刺猬要穿新裤子。于 2025-1-15 11:14 编辑

XX科技终端一体化办公项目

1. 项目介绍

1.1. 客户背景

本次项目主体为XX企业最大的上市子公司XX科技，该子公司在A、B、C、D等多地有生产研发的子公司，整体员工2万人，涉及办公的员工5000人。子公司的办公业务系统集中在XX总部，实行统一管理。A、B、C、D等地的生产研中心本地具有小规模的生产业务系统，总部与各个分支通过专线互联。公司整体网络严格按照红、黄、蓝三区建设。其中红区为研发区，已经实行了严格的物理隔离。蓝区为普通办公区，具备互联网访问权限。黄区无互联网访问权限，但可与蓝区通过文件系统通信。在蓝区，公司在内控部分已经完成文件落地加密、ECM系统的建设，各个分支有自行采购的终端安全产品，部分子公司通过深信服的上网行为管理进行准入控制。

1.2. 项目背景和建设目标

建设XX科技的终端安全一体化平台，实现对终端安全环境的防护和统一监控，全面掌握XX科技的终端安全处境；具体建设目标包括以下三个方面：

① 文件/图片外发全面审计（XDLP-本地化），对所有外发行为进行全面审计记录，定位可疑风险人员，对泄密事件快速追溯、快速取证，同时对于外发泄密行为形成恫吓效果，防范未然。员工自觉减少利用办公电脑从事与工作无关的事情，提高办公效率。

② 终端安全能力提升（aES），能够准确发现终端安全事件，增强公司对终端监控和分析能力。确保能够及时发现并响应各类网络攻击、防勒索、防病毒、防攻击，包括已知和未知的威胁。

③ PC桌面统一管理（OEM盈高桌管），实现公司PC安全漏洞补丁管理、软件管理，为用户提供及时远程协助，提升软件的使用合规性和桌面管理安全基线。

其中XDLP的泄密审计追溯是最核心的内容，客户保密办会每天对泄密事件做研判处置，及时发现泄密用户。IT人员配合保密办定期优化更新敏感数据和泄密规则。

1.3. 交付过程概述

① 项目中标后做好售前评审，明确目前暂无法满足的风险项，做好相关风险应对计划，通过内部启动会进行对齐，输出会议纪要。同步拉通总部资源配合对风险和需求做快速的处置和规划。

② 客户环境信息确认（客户IP地址规划、客户敏感系统信息收集、客户敏感关键字收集等），输出项目执行WBS、实施方案、分公司硬件设备到货时间表、分公司上线标准化手册（涉及跨区交付）等相关材料，并通过客户启动会对齐，输出会议纪要。

③ 由XX科技的总部优先开始交付，同步更新问题记录表，有助于发现一些未知风险并在后续的分支交付中避免。因为XDLP本地版大数据中心发布周期较长，优先完成aES（AD域身份上线）、桌管（AD域身份上线）、SASE-XDLP（AD域身份上线）的交付部署。客户原本终端无桌管类软件、大部分终端是加域的。通过域策略推送aES、桌管和SASE-XDLP，同时人工配合扫楼，确认100%覆盖安装完成。项目进度日报及周报同步对齐。

④ 完成XX科技的总部交付后，完善分支上线标准化手册，开始跨区协调人员交付。完成超融合、aES、桌管的交付部署，通过域策略推送aES、桌管和SASE-XDLP，同时人工配合扫楼，确认100%覆盖安装完成。项目进度日报及周报同步对齐。分支交付人员按要求输出验收材料。

⑤ 本地XDLP发布上线后，在XX科技的总部完成本地POP节点及分析中心的部署，将原先的SASE-XDLP大数据中心切换至本地，同时解决和AC的igress插件冲突问题，通过之前部署的桌管开始小范围推送试点，无问题后大范围推送XDLP终端。

⑥ 针对客户总部及各分支IT运维人员做好aES、桌管的使用培训，针对客户保密办做好XDLP使用培训。并移交相关验收材料。

⑦ 配合市场开展项目价值汇报，此项目中XDLP做为客户最为关心的核心内容，客户保密办人员每日会把泄密事件都处理完，定期更新敏感数据和泄密规则，通过XDLP平台已经发现泄密用户。

⑧ 对于客户需求性功能持续追踪，同产线一起配合，让产品在客户侧逐渐匹配客户业务场景的使用。同时与客户多次深入交流也让产品更加完善。交付后客户整体非常认可，后续计划会进行扩容至1万点。

2. 需求分析

2.1. 客户痛点梳理

① 数据安全风险日益突出。尤其在蓝区，因为业务需求允许进行文件外发，单一通过加密无法解决蓝区安全问题。

② 公司内部管控体系复杂、混乱，内控建设基本处于头疼医头，脚疼医脚的模式，公司缺乏统一的终端管理手段。

③ 合规挑战。作为上市公司，公司经常收到相关正版软件厂家的公函，要求实现全面正版化，业务部门压力达。

2.2. 客户需求分析

建设XX科技终端安全一体化平台，实现对终端安全环境的防护和统一监控，全面掌握XX科技的终端安全处境；准确发现终端安全事件线索；以增强对潜在威胁的实时监控和分析能力，确保能够及时发现并响应各类网络攻击，包括已知和未知的威胁。通过实施数据防泄漏措施，确保企业的关键数据资产得到有效保护，防止因数据泄露造成的商业损失和法律责任。

通过识别和修复安全漏洞，减少内部和外部的安全威胁，降低数据泄露和网络攻击的风险。整合EDR和数据防泄漏技术，与其他安全措施如防火墙、入侵检测、态势感知平台等协同工作，构建多层次、全方位的安全防护体系。以适应不断变化的威胁环境和业务需求，确保安全措施的有效性和前瞻性。同时依托终端安全一体化平台搭完成形成终端安全事件的闭环处置，稳步提升整体安全建设水平。详细建设需求如下：

3. 方案规划

3.1. 设备清单

设备	数量	备注
aES	服务平台9（级联）；PC客户端5000、服务器端*1000
桌管	服务平台1（独立）；PC客户端5000
XDLP	服务平台1（独立）；PC客户端5000
HCI	融合一体机16；光模块32、光纤线*16	用于部署本地化大数据中心

3.2. 实施拓扑

① 在XX总部的虚拟化平台部署aES（一级平台）、桌管、XDLP（本地化-分析中心+POP节点）。

② 在各分支先部署2台超融合一体机（管理口和业务口需接入网络），在超融合平台上部署aES（二级平台）、XDLP存储（miniio）。

③ 在各终端优先安装桌管和aES，并卸载客户原先杀毒。后续XDLP插件通过桌管推送安装。

3.3. XDLP方案实施

策略配置准备：

① 身份源配置

② 配置客户端审计策略

③ 外发通路识别管控策略配置（客户侧制度）

④ 敏感数据来源定义

⑤ 敏感数据关键词定义

⑥ 敏感数据分析

⑦ 泄密规则分析

3.3.1. 身份源配置

XDLP配置IDaaS认证源；

说明：

本次项目中是对接客户的AD域，在IDaaS配置部署连接器获取客户AD域相关信息，使用免密安装包识别AD域账号名称，推送安装时用户无感知，认证上线时用户也无感知。

3.3.2. 终端泄密审计

本项目采用全审计策略（建议也是首次部署开启所有审计能力包含截屏等）。

3.3.3. 外发通路识别管控（制度）

外发通路是无法全部被内置规则库包含，最好是和客户沟通，客户侧能有制度去限制外发通路，可以降低管控风险和难度。

对于未包含的应用可自定义，自定义可参考：https://sasebbs.atrust.sangfor.com/t/topic/42

本次项目交付客户未做管控：客户认为管控给了主动泄密人员试错的机会，找到绕过审计管控的方法。

3.3.4. 敏感数据及文件来源采集和梳理

提供用户敏感数据梳理表格去同业务部门进行收集统计，目前B/S类型的应用可以直接配置使用，C/S类型的需要收集产线做适配（仅文件来源跟踪场景，其余审计管控可通过自定义应用方式解决）。

3.3.5. 敏感数据定义

需要拉通客户业务部门或保密部门给出，基于上述步骤4收集到的信息，将信息配置到平台做前置的定义。

由于涉及敏感信息，故不进行完全展示。

部门	敏感内容	敏感等级
XX部门敏感数据1	碳化W（内容做脱敏）	L4
XX部门敏感数据2	碳化G（内容做脱敏）	L4
XX部门敏感数据3	石M管（内容做脱敏）	L4
XX部门敏感数据4	CH剂衰减（内容做脱敏）	L4

3.3.6. 泄密分析规则

规则名称	规则内容	风险评分
XX部门敏感数据外发	1、外发时间：全天 2、敏感内容：XX部门敏感数据1、XX部门敏感数据2、XX部门敏感数据3等（这里XX就是我步骤5展示的敏感内容，为减少误报率，采用多个敏感关键字组合出现后判定是存在敏感数据泄露） 3、外发通路：排除企业微信 4、接收对象：排除XX部门内部系统 5、适用对象：所有	（1-9分，分数越高越危险） 9
即时通讯自传文件	1、外发时间：全天 2、敏感内容：XX部门敏感数据1、XX部门敏感数据2、XX部门敏感数据3等（这里XX就是我步骤5展示的敏感内容，为减少误报率，采用多个敏感关键字组合出现后判定是存在敏感数据泄露） 3、外发通路：IM，排除企业微信 4、接收对象：IM自传适用对象：所有	（1-9分，分数越高越危险） 9

3.3.7. 分析中心

基于用户维度对财务部门和研发部门打标签，标记为特别关注部门，更聚焦分析对象。

3.4. 效果验证

防泄密效果展示：数据安全大屏及报表

可综合展示公司数据安全现状，定位高风险部门、高风险用户、高危异常行为等，协助风控部门及时发现风险，及时处置。

可根据不同部门导出数据安全报表，在不影响办公效率的前提下，辅助各部门识别部门数据安全风险。

防泄密效果展示：风险用户实时排名

实时展示各部门、个人员的风险排名。通过对于TOP20的风险人员行为重点排查。若为真实风险，则可形成恫吓效果。若为误报，则可对告警策略进行优化调整。

示例：用户泄密行为

公司员工从XX管理中心BI平台下载了一份报表文件，通过以下处理：

重命名、修改文件格式、压缩、加密

然后通过微信发给了其他人，进行数据泄密。

示例：管理员追溯

审计人员登录后台，经过人员检索，可以清晰看到用户的所有操作行为。

示例：管理员追溯

审计人员可通过流转图和时序图两种方式完整还原用户的泄密全过程。

防勒索效果展示：勒索风险全公司定位

可统一展示各个分公司的勒索风险情况，勒索风险红色表示，并可下钻分析。

确保能够及时发现并响应各类网络攻击，包括已知和未知的威胁。针对勒索风险可以做的事前排查加固，大幅降低遭受勒索的风险。

桌面管理效果展示：外设管控&软件管控

实现了U盘的统一管控，只有公司派发的U盘、硬盘才可以使用。个人U盘无法在公司的电脑进行读取操作。

实现了软件超市的管理，员工可在超市内直接下载常用的软件，避免恶意软件等风险。

合规管理效果展示：软件正版化治理

软件正版化：对办公电脑中使用的软件进行清点，及时发现盗版侵权的软件使用；通过软件安装使用的实时监控，一经发现及时告知员工卸载，避免法律风险。

后台监控发现违规安装使用人数10人，经通知后员工已自行卸载，目前只剩工研院和中能3位员工仍需使用。

4. 项目总结

4.1. 项目收益总结

① 客户通过XDLP的告警能分析追踪到真正的泄密风险用户，并做相关处置。

② 通过aES和桌管可以实现对终端资产的梳理、管控、安全防护等需求。

4.2. 项目经验总结

① 对于防泄密项目交付而言，不单单是对产品的部署、使用交付，需要我们去了解行业的标准方案及解决办法，才能在防泄密场景给客户给出专业性的建议。

② 需要客户的业务部门配合去梳理敏感关键字，同时逐步优化，尽可能减少误报率和误报场景。才能把平台有效的使用起来。

只看该作者 · 发表于 2025-1-10 08:15

内容描述很详细全面，感谢分享~

只看该作者 · 发表于 2025-1-10 08:46

内容描述很详细全面，感谢分享~

只看该作者 · 发表于 2025-1-10 09:47