企業(yè)零信任安全體系建設(shè)方案

企業(yè)零信任安全體系建設(shè)方案企業(yè)的安全建設(shè)困境信息安全全景圖--安全牛2019.1安全的全景視圖理論體系P2DR模型木桶理論立體防御模型云管端模型自適應(yīng)安全模型安全滑動標(biāo)尺標(biāo)準(zhǔn)體系ISO:27001等級保護(hù)分級保護(hù)網(wǎng)絡(luò)安全法360阿里騰訊百度京東網(wǎng)易……經(jīng)過30年發(fā)展，安全已經(jīng)發(fā)展成了一個集數(shù)十種理論和標(biāo)準(zhǔn)、數(shù)百個廠商，數(shù)千種安全產(chǎn)品的復(fù)雜產(chǎn)業(yè)做為安全的從業(yè)者，總是希望安全能夠回歸本源安全合規(guī)模式單點防御模式管理體系模式自我建設(shè)模式我有病，你有藥嗎你不能說我有病我能證明我沒病你有什么藥，看看我得了什么病為什么該上的產(chǎn)品都上了，還是不安全？為什么我已經(jīng)符合等保要求，還是不安全？為什么我過了ISO27001，還是不安全？我知道我肯定有問題，但是我不知道哪兒有問題企業(yè)的安全建設(shè)困境威脅對抗數(shù)據(jù)安全業(yè)務(wù)訪問資產(chǎn)維度數(shù)據(jù)加解密EDLP/NDLPUEBA業(yè)務(wù)維度身份認(rèn)證零信任環(huán)境維度終端安全網(wǎng)關(guān)安全云安全企業(yè)安全建設(shè)邏輯共筑網(wǎng)絡(luò)安全世界ISC2013互聯(lián)世界,安全第一ISC2014數(shù)據(jù)驅(qū)動安全I(xiàn)SC2015協(xié)同聯(lián)動:共建安全+命運共同體ISC2016萬物皆變，人是安全的尺度ISC2017安全從0開始ISC2018從ISC/BCS7年看國內(nèi)安全思想變化聚合應(yīng)變,內(nèi)生安全BSC2019內(nèi)生安全,從安全框架開始BSC2020內(nèi)生安全，從安全框架開始終端應(yīng)用單點對抗（數(shù)據(jù)驅(qū)動）協(xié)同對抗（協(xié)同聯(lián)動）人機(jī)對抗（人是安全的尺度）威脅安全訪問（安全從0開始）內(nèi)生安全內(nèi)生安全安全思想的演化邏輯零信任網(wǎng)絡(luò)解決的是什么問題？環(huán)境感知解決的是什么問題？谷歌為什么要搞零信任網(wǎng)絡(luò)？零信任網(wǎng)絡(luò)離我們有多遠(yuǎn)？開篇的幾個問題GOOGLE的零信任實踐Google極光行動的反思SSL2009年12月，Google遭遇了著名的APT攻擊-極光行動（OperationAurora）進(jìn)一步獲得郵件服務(wù)器用戶名、密碼等信息利用該員工的憑證進(jìn)入郵件服務(wù)器利用加密隧道將獲得的數(shù)據(jù)壓縮傳出員工點擊該惡意鏈接后，導(dǎo)致IE瀏覽器溢出繼而執(zhí)行FTP程序，從遠(yuǎn)程下載遠(yuǎn)控木馬遠(yuǎn)控木馬跟黑客電腦建立SSL加密隧道黑客通過社交網(wǎng)絡(luò)獲得員工信息仿冒信任人員給該員工發(fā)送含有0-day漏洞的惡意鏈接企業(yè)內(nèi)部的特權(quán)網(wǎng)絡(luò)的存在，導(dǎo)致一旦網(wǎng)絡(luò)被攻破，則網(wǎng)絡(luò)內(nèi)部沒有安全的控制點設(shè)備不可信，會使威脅直接穿透VPN移動辦公、遠(yuǎn)程訪問、云服務(wù)形式突破了物理網(wǎng)絡(luò)邊界無特權(quán)網(wǎng)絡(luò)受控設(shè)備受控設(shè)備公共網(wǎng)絡(luò)訪問代理單點登錄訪問控制引擎管道證書頒發(fā)信任推斷用戶/組數(shù)據(jù)庫設(shè)備資產(chǎn)數(shù)據(jù)庫設(shè)備證書驗證訪問代理重定向雙因子認(rèn)證（Token）設(shè)備證書+單點登錄令牌確定用戶可信確定設(shè)備可信代碼服務(wù)（）請求轉(zhuǎn)發(fā)一、安全識別設(shè)備（Device）設(shè)備資產(chǎn)數(shù)據(jù)庫設(shè)備標(biāo)識（設(shè)備證書）二、安全識別用戶(User)用戶/組數(shù)據(jù)庫（HR）單點登錄系統(tǒng)（雙因子）三、從網(wǎng)絡(luò)中移除信任(Trust)部署無特權(quán)網(wǎng)絡(luò)（ACL）有線/無線網(wǎng)絡(luò)的802.1x認(rèn)證四、外部應(yīng)用和工作流(Applications)面向互聯(lián)網(wǎng)的訪問代理公共DNS記錄（CNAME）五、實施基于資產(chǎn)的訪問控制對設(shè)備和用戶的信任推斷（信任等級）訪問控制引擎訪問控制引擎的消息管道GoogleBeyondCorp123456零信任網(wǎng)絡(luò)各類高級威脅的危害：竊密機(jī)密、隱私泄露、關(guān)鍵設(shè)施破壞、敲詐勒索……APT攻擊事件：摩訶草事件、蔓靈花行動……僵尸網(wǎng)絡(luò)類、后門、間諜軟件……竊密木馬、勒索病毒……服務(wù)器高級漏洞攻擊類……““APT攻擊會成為新常態(tài)用戶多樣化設(shè)備多樣化業(yè)務(wù)多樣化平臺多樣化數(shù)據(jù)分散在不同的業(yè)務(wù)應(yīng)用中并持續(xù)流動，流動加劇了大數(shù)據(jù)的風(fēng)險，信任成為核心要素邊界消失會成為必然序號廠商國家核心業(yè)務(wù)基本情況1Akamai美國零信任成立時間：1998年

規(guī)模：5,001-10,0005Centrify美國IDaaS，零信任成立時間：04年6CertesNetworks

零信任設(shè)備管理、加密

13Duo美國零信任、多因子、SSO成立時間：2010

規(guī)模：700+員工

地點：AnnArbor,MI;SanMateo,CA;Austin,TXandLondon,UK等

狀態(tài)：2018年被cisco收購14F5美國ADC、負(fù)載均衡、零信任成立時間：1,001-5,000

規(guī)模：199622Luminate美國IAM

24PingIdentity美國零信任成立時間：2002年

地點：Denver

規(guī)模：501-1,00025Okta美國IDaaS，零信任年份：2009年

創(chuàng)始人為云計算先驅(qū)S的兩位早期高管31PaloAltoNetwork美國微隔離成立時間：2005

規(guī)模：5,001-10,00033Remediant美國PAM成立時間：2013

規(guī)模：2-10

SanFrancisco,California42Symantec美國

成立時間：1982

規(guī)模：17,500零信任競爭版圖IDG的2018安全重點調(diào)查顯示，71%專注安全的IT決策者都注意到了零信任模型，已經(jīng)有8%在自己的企業(yè)中積極采用這種模型，10%正在試用。隱藏DNS信息、關(guān)閉端口，掃描無法發(fā)現(xiàn)目標(biāo)系統(tǒng)在訪問鏈接請求之前先認(rèn)證用戶及設(shè)備的身份信息用戶只能訪問對其授權(quán)的業(yè)務(wù)應(yīng)用范圍只提供用戶-業(yè)務(wù)的連接，只允許用戶通過應(yīng)用層（非網(wǎng)絡(luò)層）訪問傳統(tǒng)交互邏輯：先連接，后驗證；業(yè)務(wù)系統(tǒng)暴露連接業(yè)務(wù)系統(tǒng)驗證用戶身份連接業(yè)務(wù)系統(tǒng)驗證用戶和設(shè)備身份零信任邏輯：先驗證，后連接；業(yè)務(wù)系統(tǒng)隱身信息隱藏預(yù)認(rèn)證預(yù)授權(quán)應(yīng)用層準(zhǔn)入零信任核心理念零信任架構(gòu)分析授權(quán)認(rèn)證治理應(yīng)用訪問代理360ID可信應(yīng)用代理360ID可信API代理零信任安全控制平面應(yīng)用訪問主體360ID可信環(huán)境感知360ID智能手機(jī)令牌360ID智能身份平臺360ID可信訪問控制臺以身份為中心全面身份化，完成身份治理用戶-設(shè)備綁定作為主體“身份”設(shè)備/用戶的持續(xù)認(rèn)證基于環(huán)境數(shù)據(jù)的度量評估信任業(yè)務(wù)安全訪問業(yè)務(wù)隱藏，強(qiáng)制訪問控制業(yè)務(wù)訪問數(shù)據(jù)流的加密全量業(yè)務(wù)訪問日志動態(tài)訪問控制細(xì)粒度、最小授權(quán)原則RBAC和ABAC基于風(fēng)險的度量和評估動態(tài)調(diào)整授權(quán)智能身份分析支撐自適應(yīng)訪問控制和身份治理自動化賦能降低管理開銷基于機(jī)器學(xué)習(xí)的高級分析設(shè)備和用戶持續(xù)認(rèn)證動態(tài)訪問控制業(yè)務(wù)安全訪問零信任架構(gòu)的基本要素建設(shè)統(tǒng)一身份源，實現(xiàn)全網(wǎng)用戶、設(shè)備、應(yīng)用、API接口的統(tǒng)一身份化，實現(xiàn)統(tǒng)一權(quán)限梳理。訪問控制進(jìn)行細(xì)粒度授權(quán)，基于風(fēng)險的度量和信任評估，動態(tài)調(diào)整授權(quán)，實現(xiàn)自適應(yīng)訪問控制。采用大數(shù)據(jù)分析和人工智能技術(shù)，對風(fēng)險進(jìn)行分析，支撐風(fēng)險度量化；對策略進(jìn)行分析，支撐管理自動化。采用機(jī)器學(xué)習(xí)算法，基于高級身份分析技術(shù)和工作流引擎，實現(xiàn)身份與訪問管理的自動化。4.分析智能化6.管理自動化1.全面身份化3.授權(quán)動態(tài)化一次性認(rèn)證無法確保用戶身份的持續(xù)合法，需要通過持續(xù)認(rèn)證手段進(jìn)行信任評估。2.認(rèn)證持續(xù)化基于人和設(shè)備的環(huán)境數(shù)據(jù)、訪問行為數(shù)據(jù)，進(jìn)行風(fēng)險建模，度量潛在的安全風(fēng)險和信任等級。5.風(fēng)險度量化零信任安全的“六化”架構(gòu)人、設(shè)備、應(yīng)用身份生命周期管理賬號梳理與監(jiān)控權(quán)限管理與分派身份賬號權(quán)限業(yè)務(wù)訪問主體完整不可分割支撐設(shè)備認(rèn)證和用戶認(rèn)證身份是物理世界的人、設(shè)備、應(yīng)用等實體在數(shù)字世界中的對等物。全面身份化注銷持續(xù)認(rèn)證二次認(rèn)證根據(jù)安全等級或持續(xù)認(rèn)證風(fēng)險評估，強(qiáng)行要求二次認(rèn)證、多因子認(rèn)證初始認(rèn)證初次登錄系統(tǒng)需要認(rèn)證。從易用性考慮，認(rèn)證強(qiáng)度考慮最低安全要求即可。XXYXXZ訪問過程中，持續(xù)進(jìn)行分析評估，確認(rèn)身份有效性認(rèn)證的灰度：

一次性認(rèn)證無法確保用戶身份的持續(xù)合法，需要通過持續(xù)認(rèn)證手段進(jìn)行信任評估，這也是一種灰度哲學(xué)。登錄認(rèn)證持續(xù)化當(dāng)主體信任程度與客體安全等級是平衡狀態(tài)時，數(shù)據(jù)可以雙向流動

人

設(shè)備

應(yīng)用

環(huán)境信任度量因子安全等級度量因子數(shù)據(jù)信道風(fēng)險度量因子

環(huán)境

數(shù)據(jù)

業(yè)務(wù)環(huán)境信任程度主體環(huán)境安全等級客體風(fēng)險度量化動態(tài)授權(quán)權(quán)限管理分析環(huán)境身份動態(tài)權(quán)限

感知采集分析認(rèn)證身份分析身份濫用高風(fēng)險終端爬取數(shù)據(jù)越權(quán)訪問合法用戶合規(guī)終端授權(quán)訪問持續(xù)用戶認(rèn)證用戶行為分析動態(tài)授權(quán)流量異常分析

數(shù)據(jù)非法流出非授權(quán)訪問持續(xù)設(shè)備認(rèn)證環(huán)境風(fēng)險感知應(yīng)用&數(shù)據(jù)授權(quán)動態(tài)化自適應(yīng)訪問控制身份治理身份信息策略信息屬性信息策略調(diào)整風(fēng)險評分訪問日志環(huán)境屬性外部分析結(jié)果輸入動態(tài)風(fēng)險評估對等組分析用戶行為分析訪問策略優(yōu)化自動權(quán)限評估工作流分析智能化策略基線策略執(zhí)行策略分析觸發(fā)工作流自動偏差調(diào)整制定初始策略基線編排工作流少量的變更審批其余全部交給系統(tǒng)…管理員職責(zé)主體客體訪問控制管理自動化認(rèn)證是通過各種信息驗證手段，確認(rèn)人和數(shù)字身份的對應(yīng)關(guān)系認(rèn)證概念多因子認(rèn)證引擎證書認(rèn)證聲紋認(rèn)證人臉認(rèn)證認(rèn)證策略認(rèn)證請求簽發(fā)令牌組合各種認(rèn)證因子完成身份驗證基于你所知道的（Whatyouknow）

知識、口令、密碼基于你所持的（Whatyouhave）

身份證、信用卡、鑰匙、智能卡、令牌等基于你所有的固有特征（Whatyouare）

指紋，筆跡，聲音，手型，臉型，視網(wǎng)膜，虹膜多因子認(rèn)證授權(quán)決定誰（主體）能對哪些資源（客體）進(jìn)行什么樣的操作。授權(quán)決策主體客體權(quán)限策略授權(quán)模型RBACABACMAC授權(quán)概念環(huán)境感知&身份分析應(yīng)用資源策略執(zhí)行點PEP策略執(zhí)行點PEP策略判定點PDP策略管理點PAP受保護(hù)資源身份憑證源憑證服務(wù)環(huán)境感知風(fēng)險分析資源請求者認(rèn)證服務(wù)策略信息點PIP可信應(yīng)用代理TAP

|

可信API代理TIP可信訪問控制臺TAC身份管理權(quán)限管理可信環(huán)境感知授權(quán)的訪問控制架構(gòu)模型環(huán)境屬性：IP、時間、地理位置...終端可信評分用戶行為風(fēng)險分用戶認(rèn)證強(qiáng)度允許拒絕限制需要二次認(rèn)證才能訪問可信環(huán)境感知用戶行為分析策略執(zhí)行點（可信代理）身份認(rèn)證業(yè)務(wù)流量鑒權(quán)請求身份庫策略庫第三方數(shù)據(jù)動態(tài)訪問控制動態(tài)授權(quán)可信應(yīng)用代理TAP可信API代理TIP應(yīng)用服務(wù)接口應(yīng)用前置DNS導(dǎo)流主動連接轉(zhuǎn)發(fā)及令牌傳遞轉(zhuǎn)發(fā)及令牌傳遞流量安全代理轉(zhuǎn)發(fā)訪問控制策略執(zhí)行信息傳遞日志導(dǎo)出可信訪問控制臺集中配置管理集中會話管理集中訪問控制風(fēng)險感知和身份、權(quán)限管理系統(tǒng)聯(lián)動可信代理控制平面應(yīng)用/服務(wù)應(yīng)用/服務(wù)ID_TOKENID_TOKEN身份、權(quán)限、環(huán)境信息說明TAP攔截訪問請求，并到TAC認(rèn)證授權(quán)，獲取ID_TOKEN并傳遞。應(yīng)用/服務(wù)基于ID_TOKEN實現(xiàn)功能級授權(quán)和單點登錄。TIP繼續(xù)傳遞TD_TOKEN，和應(yīng)用級的APP_TOKEN一起，基于雙層令牌實現(xiàn)接口授權(quán)。TAPTIPTIPAPP_TOKENTAC可信代理令牌傳遞技術(shù)零信任方案客戶端應(yīng)用網(wǎng)關(guān)云業(yè)務(wù)企業(yè)內(nèi)部業(yè)務(wù)環(huán)境感知（TESS）企業(yè)瀏覽器TrustSpace設(shè)備接入鑒定DNS解析服務(wù)端口控制訪問范圍控制1.設(shè)備認(rèn)證2.用戶認(rèn)證3.動態(tài)連接3.動態(tài)連接4.轉(zhuǎn)發(fā)4.轉(zhuǎn)發(fā)應(yīng)用網(wǎng)關(guān)用戶管理設(shè)備管理權(quán)限管理策略管理報表管理控制中心零信任訪問示意圖外部生態(tài)系統(tǒng)：生物識別、手機(jī)軟key、PKI/CA、第三方IAMTESSAgent360IDAgentPC端身份安全基礎(chǔ)設(shè)施外部身份基礎(chǔ)設(shè)施適配層生物識別適配層移動端360ID智能手機(jī)令牌360ID智能身份平臺身份管理權(quán)限管理可信訪問控制臺TAC可信應(yīng)用代理TAPTrustSpace代理零信任動態(tài)可信訪問控制可信API代理TIP零信任身份安全產(chǎn)品體系業(yè)務(wù)應(yīng)用TLS安全傳輸通道傳輸加密專業(yè)的TLS傳輸技術(shù)支持國密算法套件防中間人攻擊訪問代理業(yè)務(wù)默認(rèn)隱藏，強(qiáng)制授權(quán)令牌傳遞，實現(xiàn)單點登錄支持HTTP/RDP/SSH/Email/…全量日志訪問日志輸出到身份分析平臺進(jìn)行風(fēng)險評估流量可視化將業(yè)務(wù)隱藏在TAP之后，默認(rèn)不可見可信終端TAP用于用戶/終端和業(yè)務(wù)應(yīng)用之間的安全訪問（AAG是TAP的簡化版）可信應(yīng)用代理TAPTLS安全傳輸通道傳輸加密專業(yè)的TLS傳輸技術(shù)支持國密算法套件防中間人攻擊API代理對所有API調(diào)用進(jìn)行強(qiáng)制授權(quán)雙層令牌，使用用戶級控制支持標(biāo)準(zhǔn)Restful接口全量日志訪問日志輸出到身份分析平臺進(jìn)行風(fēng)險評估流量可視化將API接口隱藏在TIP之后，默認(rèn)不可見TIP用于應(yīng)用（前置）和應(yīng)用之間的安全API調(diào)用業(yè)務(wù)應(yīng)用前置應(yīng)用前置業(yè)務(wù)應(yīng)用前置應(yīng)用后端應(yīng)用API可信API代理TIP可信代理管理集中配置集群管理狀態(tài)監(jiān)控動態(tài)授權(quán)訪問授權(quán)風(fēng)險感知違規(guī)業(yè)務(wù)阻斷認(rèn)證&會話管理動態(tài)多因子認(rèn)證集中會話管理訪問日志導(dǎo)出為TAP、TIP提供動態(tài)訪問控制和集中管理，是零信任的控制平面。可信應(yīng)用代理可信API代理業(yè)務(wù)應(yīng)用前置數(shù)據(jù)功能接口可信訪問控制臺TAC可信訪問控制可信訪問控制可信終端環(huán)境感知可信終端環(huán)境感知身份基礎(chǔ)設(shè)施可信訪問控制臺TAC身份管理統(tǒng)一身份庫身份生命周期管理身份同步與聚合權(quán)限管理授權(quán)策略管理權(quán)限申請與審批策略分析鑒權(quán)接口服務(wù)身份安全基礎(chǔ)設(shè)施，提供身份、權(quán)限管理服務(wù)，為TAC提供支撐?？尚艖?yīng)用代理可信API代理業(yè)務(wù)應(yīng)用前置數(shù)據(jù)功能接口可信訪問控制臺TAC可信訪問控制可信訪問控制可信終端環(huán)境感知可信終端環(huán)境感知360ID智能身份平臺身份管理權(quán)限管理身份信息、權(quán)限信息智能身份平臺安全業(yè)務(wù)跨域訪問安全終端AAG訪問代理SSO可信應(yīng)用代理TAP可信API代理TIP運維代理郵件代理……代理可信訪問控制臺TAC身份及訪問控制IAMServer外部認(rèn)證1、設(shè)備認(rèn)證2、用戶認(rèn)證2、認(rèn)證轉(zhuǎn)發(fā)3、訪問請求(Token)4、權(quán)限判定5、業(yè)務(wù)訪問5、業(yè)務(wù)訪問5、業(yè)務(wù)訪問移動終端可信工作空間APPMTDPC終端可信環(huán)境感知云桌面瀏覽器私有云本地應(yīng)用2、用戶認(rèn)證3、訪問請求5、業(yè)務(wù)訪問NACOIOT終端IOT可環(huán)境感知設(shè)備可信標(biāo)識IOT接入器零信任基本架構(gòu)終端環(huán)境感知業(yè)務(wù)域跨域安全訪問區(qū)用戶域PC終端可信環(huán)境感知終端安全安全狀態(tài)感知客戶端通信360ID插件終端標(biāo)識獲取VMTools插件終端殺毒終端管控可信環(huán)境感知360ID插件安全狀態(tài)感知終端標(biāo)識獲取客戶端通信WebbrowerVMTools插件ITS控制臺云桌面TESS控制臺CRMERPAD/LDAPCARadiusOA終端安全終端殺毒終端管控可信環(huán)境感知的云桌面訪問架構(gòu)?設(shè)備識別?多環(huán)境感知?感知穿透?自我保護(hù)?安全狀態(tài)感知安全業(yè)務(wù)跨域訪問安全終端AAG訪問代理SSO可信應(yīng)用代理TAP可信API代理TIP運維代理郵件代理……代理可信訪問控制臺TAC身份及訪問控制多IDPTESSServer外部認(rèn)證1、設(shè)備認(rèn)證2、認(rèn)證轉(zhuǎn)發(fā)4、權(quán)限判定5、業(yè)務(wù)訪問5、業(yè)務(wù)訪問PC終端可信環(huán)境感知云桌面瀏覽器云端應(yīng)用（混云）本地應(yīng)用2、用戶認(rèn)證3、訪問請求5、業(yè)務(wù)訪問OIDC終端安全防護(hù)狀態(tài)感知移動終端可信工作空間APPMTD零信任基本架構(gòu)可信認(rèn)證環(huán)境感知環(huán)境感知訪問控制身份認(rèn)證病毒查殺漏洞修復(fù)終端管控脆弱性管理安全審計數(shù)據(jù)防泄露軟件管理認(rèn)證不通過進(jìn)入修復(fù)模塊執(zhí)行修復(fù)動態(tài)策略調(diào)度認(rèn)證通過進(jìn)入安全域可信環(huán)境感知工作原理環(huán)境感知序號可信分類可信項描述自定義(1-100)1安全防護(hù)可信網(wǎng)頁安全防護(hù)阻止訪問掛馬釣魚網(wǎng)站嚴(yán)重危險2看片安全防護(hù)阻止網(wǎng)絡(luò)視頻中的惡意代碼嚴(yán)重危險3瀏覽器設(shè)置防護(hù)防止病毒木馬入侵瀏覽器嚴(yán)重危險4搜索安全防護(hù)防止通過搜索進(jìn)入惡意網(wǎng)站一般故障5郵件安全防護(hù)防止通過郵件中的鏈接進(jìn)入惡意網(wǎng)站嚴(yán)重危險6文件系統(tǒng)防護(hù)攔截對文件系統(tǒng)的攻擊嚴(yán)重危險7驅(qū)動防護(hù)攔截木馬從系統(tǒng)底層的攻擊嚴(yán)重危險8進(jìn)程防護(hù)攔截系統(tǒng)進(jìn)程的危險行為嚴(yán)重危險9注冊表防護(hù)攔截木馬對核心設(shè)置造成破壞嚴(yán)重危險10網(wǎng)絡(luò)安全防護(hù)攔截木馬下載器和惡意程序嚴(yán)重危險11鍵盤記錄防護(hù)攔截木馬截獲輸入信息的行為一般故障12自我保護(hù)防止木馬和病毒破壞防護(hù)程序一般故障13輸入法防護(hù)防止通過輸入法執(zhí)行惡意代碼一般故障14聊天安全防護(hù)攔截聊天工具傳送的木馬一般故障15下載安全防護(hù)攔截下載文件中存在的木馬一般故障16U盤安全防護(hù)攔截U盤中的木馬嚴(yán)重危險17黑客入侵防護(hù)攔截黑客入侵嚴(yán)重危險18瀏覽器主頁鎖定防止被惡意程序篡改潛在風(fēng)險19安全檢測主動防御服務(wù)主動檢測和阻止病毒木馬行為嚴(yán)重危險20反釣魚安全保護(hù)防止釣魚網(wǎng)站導(dǎo)致的用戶損失嚴(yán)重危險21系統(tǒng)關(guān)鍵位置木馬檢測關(guān)鍵位置的惡意木馬嚴(yán)重危險22系統(tǒng)關(guān)鍵位置文件檢測關(guān)鍵位置的惡意文件嚴(yán)重危險23本地DNS安全檢測檢測DNS的解析信息是否被惡意劫持一般故障24高危漏洞檢測終端的高危漏洞嚴(yán)重危險25軟件更新漏洞檢測終端的更新漏洞嚴(yán)重危險26可選高危漏洞檢測終端的可選高危漏洞嚴(yán)重危險27其他及功能性更新漏洞檢測終端的其他及功能性更新漏洞一般故障28垃圾檢測常用軟件垃圾例如辦公軟件產(chǎn)生的垃圾文件潛在風(fēng)險29娛樂軟件垃圾例如視頻類軟件、音樂播放類軟件產(chǎn)生的垃圾文件潛在風(fēng)險30系統(tǒng)垃圾例如系統(tǒng)日志文件、系統(tǒng)補(bǔ)丁、系統(tǒng)緩存、臨時文件等信息潛在風(fēng)險31安裝文件垃圾包含已經(jīng)支持的常見軟件產(chǎn)生的垃圾清理潛在風(fēng)險32使用痕跡信息例如一些軟件在系統(tǒng)是運行過的信息，以及訪問過的文檔潛在風(fēng)險33注冊表痕跡信息包含無效的注冊表項，注冊信息，以及錯誤的注冊信息潛在風(fēng)險34cookies信息包含各類瀏覽器的cookies信息潛在風(fēng)險35速度優(yōu)化恢復(fù)區(qū)占用的硬盤空間通過清理磁盤空間，進(jìn)行優(yōu)化加速潛在風(fēng)險36開機(jī)啟動項通過清理操作系統(tǒng)啟動項，進(jìn)行優(yōu)化加速潛在風(fēng)險37電腦中需要更新的軟件檢查電腦中軟件的軟件更新，獲得最好軟件體驗潛在風(fēng)險38插件檢測需清理的插件或圖標(biāo)清理有未知風(fēng)險，以及惡意的插件。一般故障39需清理的輸入法插件清理輸入法插件。潛在風(fēng)險40ActiveX控件清理有未知風(fēng)險，以及惡意的插件。一般故障41Chrome插件清理有未知風(fēng)險，以及惡意的插件。一般故障42故障檢測IE主頁相關(guān)項目可能導(dǎo)致網(wǎng)頁顯示不正常潛在風(fēng)險43IE菜單項可能會影響IE的使用潛在風(fēng)險44IE核心配置可能導(dǎo)致主頁被篡改現(xiàn)象潛在風(fēng)險45IE外觀配置可能導(dǎo)致無法使用IE快捷功能潛在風(fēng)險46IE常規(guī)設(shè)置可能導(dǎo)致IE的基本功能無法使用潛在風(fēng)險47IE瀏覽器圖標(biāo)配置可能導(dǎo)致圖標(biāo)顯示異?；驘o法刪除潛在風(fēng)險48Internet選項可能導(dǎo)致IE的個性化功能無法使用潛在風(fēng)險49用戶樣式表可能會拖慢IE的運行速度潛在風(fēng)險50重置web設(shè)置可能導(dǎo)致重置Web設(shè)置不徹底潛在風(fēng)險51About協(xié)議可能導(dǎo)致IE的提示頁面顯示不正常潛在風(fēng)險52常用文件關(guān)聯(lián)項可能導(dǎo)致一些文件存在異常潛在風(fēng)險53磁盤及文件夾配置可能導(dǎo)致磁盤或文件夾無法打開潛在風(fēng)險54系統(tǒng)常用組件可能導(dǎo)致一些系統(tǒng)功能無法使用潛在風(fēng)險55系統(tǒng)啟動配置可能在開機(jī)時存在風(fēng)險潛在風(fēng)險56系統(tǒng)圖標(biāo)配置可能導(dǎo)致圖標(biāo)顯示異?；驘o法刪除潛在風(fēng)險57任務(wù)欄及開始菜單可能會影響對系統(tǒng)的操作潛在風(fēng)險58系統(tǒng)重要服務(wù)組件可能影響系統(tǒng)功能的使用潛在風(fēng)險59組策略可能會限制部分系統(tǒng)功能潛在風(fēng)險60顯示屬性可能導(dǎo)致無法調(diào)整系統(tǒng)外觀潛在風(fēng)險61Web桌面可能導(dǎo)致安全隱患潛在風(fēng)險62網(wǎng)絡(luò)驅(qū)動器可能導(dǎo)致網(wǎng)絡(luò)驅(qū)動器無法正常使用潛在風(fēng)險63打印機(jī)設(shè)置可能導(dǎo)致打印機(jī)無法正常使用潛在風(fēng)險64域名解析文件Hosts可能導(dǎo)致網(wǎng)頁顯示異常潛在風(fēng)險65收藏夾快捷方式可能存在惡意的收藏夾快捷方式潛在風(fēng)險66桌面圖標(biāo)快捷方式可能存在惡意的桌面圖標(biāo)快捷方式潛在風(fēng)險67開始菜單快捷方式可能存在惡意的開始菜單快捷方式潛在風(fēng)險68桌面及資源管理器可能影響對系統(tǒng)的操作潛在風(fēng)險69快速啟動欄快捷方式可能存在惡意的快速啟動欄快捷方式潛在風(fēng)險風(fēng)險感知指標(biāo)移動可信工作空間可信移動終端系統(tǒng)環(huán)境：通過移動威脅防御（MTD）持續(xù)動態(tài)檢查移動終端系統(tǒng)、網(wǎng)絡(luò)以及APP安全狀態(tài)，讓終端系統(tǒng)環(huán)境變得可信?？尚乓苿討?yīng)用身份邊界：通過新一代沙箱與身份認(rèn)證深度技術(shù)整合，重新定義企業(yè)移動應(yīng)用邊界，讓企業(yè)應(yīng)用邊界更可信?？尚牌髽I(yè)移動應(yīng)用/數(shù)據(jù)：以密鑰沙箱為基礎(chǔ)，通過構(gòu)建數(shù)據(jù)全生命周期（存儲、傳輸、使用、共享）保護(hù)方案讓企業(yè)應(yīng)用/數(shù)據(jù)變得可信。可信終端系統(tǒng)環(huán)境可信應(yīng)用身份邊界可信企業(yè)應(yīng)用/數(shù)據(jù)TrustSpace的零信任體系通過MTD檢查感知手機(jī)系統(tǒng)風(fēng)險，APP風(fēng)險以及網(wǎng)絡(luò)連接風(fēng)險，確保TrustSpace移動工作空間在一個安全可信的移動終端環(huán)境中運行。MTDagentTrustSpace網(wǎng)絡(luò)級風(fēng)險防御能力應(yīng)用級風(fēng)險檢測能力惡意應(yīng)用程序檢測應(yīng)用異常行為檢測惡意Wi-Fi檢測中間人攻擊檢測系統(tǒng)級風(fēng)險檢測能力Root/越獄檢測系統(tǒng)脆弱性檢測移動威脅檢測（MTD）-手機(jī)運行環(huán)境可信身份是企業(yè)應(yīng)用邊界的入口。TrustSpace是企業(yè)/個人應(yīng)用的基本邊界。以應(yīng)用的敏感度區(qū)分認(rèn)證強(qiáng)度和應(yīng)用邊界*通過新一代沙箱與身份認(rèn)證深度技術(shù)整合，重新定義企業(yè)移動應(yīng)用邊界，讓企業(yè)應(yīng)用邊界更可信。授權(quán)用戶非授權(quán)用戶授權(quán)用戶X基本認(rèn)證增強(qiáng)認(rèn)證TrustSpace說明*：代表即將推出的功能特性新一代沙箱和智能身份認(rèn)證-