安全五行論

隨著網路技術的演變與安全形勢的複雜化，網路安全被賦予了新的內涵和外延，江民科技秉承“終端是真相之源”的安全理念,堅持在終端安全領域耕耘30年,始終堅信無論駭客採用何種攻擊步驟、攻擊手段和攻擊方式，其最終目標還是在終端上竊取檔案資料、加密勒索使用者、獲取非法許可權、破壞系統執行。

國家《網路安全法》提出“國家採取措施，監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅，保護關鍵資訊基礎設施免受攻擊、侵入、干擾和破壞，依法懲治網路違法犯罪活動，維護網路空間安全和秩序”。網路安全產業作為網路安全技術、產品和服務提供者和實施者，承擔著國家網路安全防禦和保障的歷史使命。

依據網路安全防禦的階段，進行了網路安全防禦的生命週期的劃分，包括：預測階段、基礎防護階段、響應階段、恢復階段。

（1）預測階段——用於在攻擊事件發生之前，對業務系統或網路潛在的風險可能面臨的攻擊威脅進行分析和預判。

（2）基礎防護階段——透過部署一系列安全策略，或採取隔離、隱藏等手段減少被攻擊面來提升攻擊的門檻，從策略上加強系統的安全性。

（3）響應階段——響應階段是安全手段與攻擊者正面交鋒的重要階段，對攻擊事件進行實時的阻斷和防禦。

（4）恢復階段——作用於攻擊事件發生之後，透過對留存的日誌等痕跡進行取證和分析，進行攻擊事件的追溯，以及對受攻擊系統的修復等。

圍繞網路安全防禦生命週期的技術特點，江民科技依託30年的技術積累和研發經驗，構建以“探”、“防”、“殺”、“控”、還”為核心思想的技術開發架構，並形成對應的安全產品。

1．探

探五行歸木，在東方，屬青龍。

在攻擊事件發生之前，要識別出業務系統或網路潛在的風險和可能面臨的攻擊威脅。

資產管理——所謂“知己知彼，百戰不殆”。安全的第一個要務就是對自身的瞭解，一是要了解內部環境，二是要了解單個終端的詳細資訊。透過網路流量或者安裝客戶端軟體來主動發現全網終端的軟、硬體資源，掌握所有終端的執行狀況，確保網路中沒有安全盲點。透過對CPU、記憶體、程式、登錄檔、外設、網路流量進行採集和監控，建立終端和流量的行為模型，當網路威脅發生時必然會觸發異常行為。

陷阱誘捕——“凡坑陷井穴，皆有標”。攻擊者在攻擊時必然有一個目標，或者篡改檔案，或者獲得系統許可權，或者加入某個程式或者服務。因此，透過在終端上使用對攻擊方進行欺騙的技術，佈置一些誘餌檔案、程式、服務甚至主機，誘使其實施攻擊，從而對攻擊行為進行捕獲和分析，瞭解攻擊方所使用的工具與方法，推測攻擊意圖和動機，全面瞭解面對的安全威脅。

2．防

防五行歸水，在北方，屬玄武。

系統加固——“築長城而守藩籬”。系統漏洞層出不窮，需要定期執行漏洞掃描、補丁修復、安全策略設定和更新軟體等，透過軟體白名單限制未經授權的軟體執行，透過主機防火牆限制未經授權的服務埠開放，並定期檢查和清理內部人員的賬號和授權資訊。

3．殺

殺五行歸金，在西方，屬白虎。

全面防毒——“樹德務滋，除惡務本”。“殺”是終端安全最核心的能力，如果沒有防毒能力，就不要叫終端安全。對於惡意程式碼來說，“查”可以藉助雲端計算、威脅情報等外力，但是“殺”就必須是“防毒引擎”的內功。因防毒引擎就是要阻止惡意程式碼，註定要與惡意程式碼爭搶系統及驅動的控制權，才能從系統底層徹底清除惡意程式碼。如何清除頑固型惡意程式碼就成為防毒引擎技術的高門檻，也註定了防毒引擎需要相當的技術積累和底蘊。而對採用國外防毒引擎的防毒軟體來說，即使所有指標都是全球第一，但從根本上來說也是不安全的。

沙箱分析——“汝雖打草，吾已驚蛇”。某些可疑程式碼需要特定的觸發條件和規則才能執行攻擊程式，從而判定為惡意程式碼，這就需要沙箱來解決問題。針對可疑程式碼進行動態定位分析的關鍵技術，透過模擬各類虛擬資源，建立嚴格受控的高度隔離的程式執行環境，執行並提取可疑程式碼執行過程中的行為資訊，實現對未知惡意程式碼的快速識別。
4．控

控五行歸火，在南方，屬朱雀。

隔離修復——基於“任何系統必然被攻破”的理論，終端必然存在未知的漏洞被攻擊者發現並利用，那麼當系統被攻破時，應能快速發現並隔離終端，對終端執行修復策略，確保終端安全後再接入網路。

免疫控制——“防微杜漸”，透過對被攻破的系統進行檢測，可以發現惡意程式碼和定位系統漏洞，此時快速制定補救方案，透過聯動處置機制及時對其他終端進行加固，使其他終端能夠免疫此攻擊，把威脅控制在最小範圍內。

5．還

還五行歸土，在中央，屬麒麟。

應急恢復——“返本還源，方得始終” 。鎖定終端及破壞核心業務資料是攻擊者的首要目標，在特定時刻此類攻擊造成終端失控、業務中斷和關鍵資料丟失等重大安全事件可以影響到整個網系。而常見的備份和恢復系統通常成本極高、需要獨立的冗餘硬體資源，且只能部署在關鍵的伺服器上，不具有普適性，無法面對大規模的破壞。而應急恢復的核心是使用較少的資源實現快速恢復的能力且成本可控，具備解決所有終端的快速還原和業務恢復的功能。

在全球網路資訊化程度高速發展的大背景下，具備隱蔽性、滲透性和針對性的高階持續性威脅對各類高等級資訊保安系統造成的威脅日益嚴重。終端仍然是網路犯罪分子和網路間諜人員眼裡最有吸引力、最易受攻擊的目標，是APT攻擊進入各類關鍵資訊基礎設施的跳板和橋頭堡。江民科技依託於終端安全技術的優勢，適應資訊保安的需求，面向網路安全全生命週期技術，推出：網路版防毒軟體、專網安全防護系統、終端威脅檢測與響應系統、端點全息系統等多款安全產品，採用主動防禦技術、蜜罐技術、沙箱技術、機器學習技術、大資料關聯分析等技術，主動發現來自外部或內部的安全威脅，自動化完成發現、隔離、修復、補救、取證等一系列工作，從而有效對端點進行全生命週期的安全防護，形成威脅安全閉環處置。

江民科技一直以解決終端安全威脅為己任，堅持“技術鑄就品牌，安全回報社會”的價值觀，力爭成為全球領先的資訊保安工具提供商，成為一家負責任的資訊保安公司，為廣大使用者提供完善的安全解決方案。