自主可控终端检测与高级防御系统项目建议书（预可研）
思瀚产业研究院 蓝盾股份    2023-02-23

1、项目概况

项目将在已有产品蓝盾内网安全管理及审计系统的基础上进行技术升级，对终端主机安全防护、安全审计、安全运维等进行功能整合与扩展。在平台兼容性方面，增加对国产化自主可控操作系统和国产化自主可控 CPU 等硬件平台的支持；在终端防护方面，增加对未知威胁的自动防护；在安全管控方面，增加WINDOWS 和国产化自主可控等不同终端主机的统一管控和统一威胁分析与处理；在安全联动方面，将内网中不同类型的终端主机接入控制与防火墙等边界安全防护系统进行联动，实现核心业务系统的准入控制和终端行为审计，与 APT统一威胁分析系统进行联动，实现对终端主机在 WINDOWS 平台和国产化自主可控平台下可执行、电子文档等类型文件的未知威胁分析。

项目建设一套以自动化安全防御为主和自动化安全审计及安全运维为辅的自主可控终端检测与高级防御系统，将采用操作系统内核层钩子及应用层钩子技术、机器学习技术、大数据分析技术、安全联动技术，统一安全策略技术实现细粒度的自主可控终端安全防护、安全审计和安全运维，实现不同类型终端主机的统一安全管理、安全审计和安全运维。

2、项目投资计划

本项目估算新增总投资24,365.00万元，其中新增设备购置费7,000.00万元、新增软件购置费 2,000.00 万元、开发技术人员人工费 5,960.00 万元，铺底流动资金 5,650.00 万元，分别占总体新增投资额的 28.73%、8.21%、24.46%和 23.19%。本项目拟使用募集资金 12,000.00 万元。

3、项目的实施背景

随着 IT 技术的迅速发展和信息化建设的不断深入，各企事业单位的 IT 环境变得日趋复杂，各种 IT 基础设施的数量和类型在不断增多，各企业单位常用的业务系统由于作业需要也在不断扩充，同时更多的安全风险也进一步显露出来，安全威胁发生了很大变化，随着互联网的发展，网络安全和信息安全越来越多受到政府单位、企业的重视，为防止重要的信息被黑客通过互联网进行窃取而泄密，许多政府单位和企业通常通过在网络边界部署防火墙和入侵检测等边界安全防护系统进行网络边界防护。但是，这些主要针对外网的安全防护在面对内网安全威胁时，往往形同虚设，因为“内忧”胜于“外患”，政符及企事业单位不仅需要坚固的边界安全，更需要稳定的内网安全。

据美国联邦调查局（FBI）和计算机安全协会（CSI）对 484 家公司进行的网络安全专项调查显示：超过 85%的安全威胁来自于内部，有 16%来自于内部未授权的存取。内网泄密导致的损失，是黑客造成损失的 16 倍，是病毒造成损失的 12 倍。充分说明了内部人员泄密的严重危害，同时也提醒政府单位和企业单位进行网络外部安全建设的同时应尽快加强网络内部安全的建设，特别是终端安全建设。

随着自主可控国家战略的实施，自主可控办公设备的更换已上升到国家战略。随着国家对军工、政符和企业事业单位安全的重视，越来越多的传统终端将更换成自主可控终端，预计近几年，国产操作系统将从国家战略核心部门进一步扩大到 8+2 行业。目前包括金融、石油、电力、电信、交通、航空航天、医院、教育为代表的八大重要行业将启动国产化替代项目并稳步推进，而根据估算党政和重要行业未来2~3年终端替换规模达到500万台，对应国产系统建设总经费超1,000亿元。

若未来国产化替代向重点行业全面拓展，根据公开数据，目前全国党政机关公务员超过 700 余万人，事业单位编制人员 3,100 余万人、中央企业员工 1,200余万人，总数合计约 5,000 万人，简单测算 5,000 万台终端计算机及系统替换，对应的基础软硬件、应用和安全市场总规模超过 1 万亿元。

在国产化计算机的安全软件方面，须从接入控制、主机安全、数据安全、通信安全和病毒木马查杀等方面，通过网络接入控制、主机安全监控审计、安全补丁、终端身份鉴别、应用安全管理、数据安全管理、安全即时通信和网络防病毒等技术手段，来确保国产化计算机的安全、可控、可运维。这为国产化计算机安全软件的设计与开发指明了方向，提供了具体的技术要求依据，也为终端主机安全市场带来了新的业务增长点。

4、项目实施的必要性

（1）兼容新的国产化自主可控终端主机

近年来，军工、政符及关系到国计民生的重要部门将逐渐把传统终端主机更换成国产化自主可控主机，会催生新的主机安全防护与审计需求，需要一套部署在国产化自主可控终端主机上的主机型安全防护与审计系统，对国产化自主可控终端主机进行安全防护、安全审计及安全运维。

当前，军工、政府和关系到国计民生的企事业单位急需支持自主可控终端主机安全产品。

（2）补齐传统主机安全检测与安全防护的短板问题

伴随着虚拟货币的炒作，勒索病毒和挖矿木马渐渐成为了近几年终端安全的热点话题，各种新的未知病毒的木马应运而生，各种新的攻击方法层出不穷。面对未知的终端安全威胁，基于传统的固定式的安全策略防护已经无能为力，必须采用全新基于机器学习和关联分析的 AI 分析和防护技术才能有效对未知的威胁进行检测与防护。

当前基于传统的固定式安全策略防护主机安全产品已经无法适应新的主机安全形势，基于 AI 技术的自动化检测和防护是未来发展方向，也是客户所迫切需求的安全产品。

（3）支持跨平台的统一安全管理及大数据日志分析需求

政府及企事业单位对自主可控的需求不只针对办公设备，对安全产品本身也要求软硬件基础平台采用自主可控服务器主机，所以系统管控中心也要全面适配自主可控操作系统和国产 CPU 等硬件平台，需要采用能适应自主可控软硬件基础和平台的 WEB 前端管理系统、大数据后台分析和调度系统。同时自主可控部署有个过渡期，系统安全管控中心必须能同时兼容传统 WINDOWS 终端主机和新的自主可控终端主机两种机型的客户端管理，必须满足两种不同类型主机的安全策略管理和主机分类管理。

（4）需要与其它安全防护系统进行安全联动

终端安全管理系统实现对终端主机安全防护和审计，对于未知病毒木马的检测和防护需要通过联动技术借助新一代 APT 安全检测产品的平台可执行文件安全仿真功能进行检测。

终端安全管理系统需要与边界防火墙一起通过联动技术实现终端主机的准入控制，只有终端安全防护产品才能实现精准识别终端主机的真正身份和实现细粒度的行为审计，真正实现内网安全准入控制。

安全产品的“单兵作战”方式已经无法适应新的安全形势，需要不同类型的安全产品进行“联合协同作战”方能适应新的安全威胁。

因此市场迫切需要一款能兼容国产化的支持大数据分析的统一终端安全管理平台。

5、项目建设方案

（1）总体设计

蓝盾自主可控终端检测与高级防御系统由管控中心（服务器端）、主机监控与审计系统（客户端）两部分组成，其整体架构图如下：

（2）具体建设内容

自主可控终端检测与高级防御系统包含九个子系统，分别是主机监控与审计子系统、日志采集子系统、主机管理子系统、安全可视化管理子系统、数据存储子系统、日志分析子系统、大数据日志分析子系统、病毒木马检测子系统、安全联动子系统，九个子系统关系如下：

1）主机监控与审计子系统

主机监控与审计子系统以代理软件形式部署在国产化终端主机上，采用国产化操作系统内核层钩子技术和应用层钩子技术双层钩子技术，实现主机进程、文件、网络、外设等多个层面的实时安全监控和主动防御，实现对受控主机的安全防护、安全审计、安全运维等监控功能。该子系统接收管控端的安全策略，把监控和审计结果上报给管控端。

2）日志采集子系统

以 TCP Socket 的通信方式接收来自主机监控与审计子系统上报主机审计日志和主机告警日志，把日志数据进行规范处理后存储到数据存储子系统。

3）主机管理子系统

主机管理子系统以 TCP Socket 的通信方式与主机监控与审计子系统进行数据交互，下发管控端配置的安全策略，同时支持受控主机进行远程控制，包括关机、重启、远程桌面管理、卸载监控软件等操作，主机管理子系统把主机端通信状态数据和资产配置数据存储到数据存储子系统。

4）数据存储子系统

数据存储子系统存储来自主机上报的日志和文件数据，同时存储管控端分析结果数据和配置管理策略，由国产化关系型数据库、非关系数据库、文件系统、全文检索系统组成。其中关系型数据库用于存储少量结构化数据，包括配置信息、主机资产信息、统计结果信息、分析结果等信息和规模较小的审计和告警日志数据；非关系数据库用于存储规模较大的结构化数据和半结构化数据，包括主机审计日志、主机告警日志等；文件系统用于存储待检测文件；全文检索系统用于存储审计日志和告警日志元数据、文件索引数据等。

5）日志分析子系统

日志分析子系统负责数据规模较少的审计日志和告警日志的关联分析、统计分析和 AI 智能分析，该子系统从数据存储子系统中读取日志数据，把统计和分析结果存储到存储子系统中供安全可视化系统调用查询和展示。

6）大数据日志分析子系统

大数据日志分析子系统负责数据规模较大的审计日志和告警日志的关联分析、统计分析和 AI 智能分析，该子系统从存储子系统中的大数据平台中读取日志数据，把统计和分析结果存储到存储子系统中供安全可视化系统调用查询和展示。当本系统部署到客户市级、省级、或集团总部级别作为总控中心时，日志规模将会很大，传统单机日志分析系统无法支撑海量数据分析处理，将采用分布式服务器集群进行大数据分析处理。

7）病毒木马检查子系统

通过采用多个病毒木马检检测引擎（可扩展）对主机上传的待检文件进行病毒木马检测，如果检测结果发现中标，则把检测结果下发给受控主机；如果不中标则把文件通过安全联动子系统把文件转发给沙箱行为检测系统行恶意行为检测，当沙箱行为检测系统发给结果时，把结果反馈给受控主机。

8）安全联动子系统

安全联动子系统负责与其它安全实产品进行安全联动处理，与其它安全产品一起“联合协同作战”，完成单个安全产品较难或无法完成的安全检测和安全防护，提升整体防护能力。安全联动把受控主机的在管控中心本地无法检测的文件转发给沙箱恶意行为检测系统，把检测结果发送给相应受控主机；通过与边界防火墙系统进行安全联动可实现主机安全业务准入、主机精确身份识别和精化的行为审计。

9）安全可视化管理子系统

安全可视化管理子系统依托国产化中间件，实现 WEB管理界面与用户交互，包括主机管理、日志管理、策略管理、告警管理、关联分析管理、安全联动管理、统计报表等可视化管理功能。

6、项目的实施主体

本项目由蓝盾股份的子公司蓝盾技术自行建设，建设地点设在广州天河软件园。

7、项目效益情况

经测算，项目主要财务分析指标如下：

年销售收入9,884.44万元，年均净利润 2,198.46万元，财务内部收益率 27.56%，投资回收期 3.00年。

8、项目批准情况

本项目已取得广东省广州市天河区发展和改革局出具的《广东省企业投资项目备案证》，项目代码 2020-440106-65-03-007240。

此报告为完整版摘取部分，需定制化编制政府立项、银行贷款、投资决策等用途可行性研究报告咨询思瀚产业研究院。