终端作为数据交互的“神经末梢”,其安全管理水平直接关系到企业战略落地与生态发展。对于业务遍布全球、终端设备超5万台的某家电巨头而言,面对分散管理、合规压力、运维低效等多重挑战,该集团以终端安全一体化管理为突破口,构建覆盖“技术-管理-运营”的全维度防护体系,为行业树立了大型企业数字化转型的安全建设标杆。
该家电集团成立40多年以来,凭借持续的技术创新与全球化布局,其连续6年蝉联“凯度BrandZ最具价值全球品牌100强”,连续21年入选“世界品牌实验室世界品牌500强”,同时也是实体经济数字化转型的典范。
随着业务规模的不断扩张和下属领域单位的多元化发展,该集团在网络安全领域面临着愈来愈严峻的挑战。为了破解这些难题,该集团与奇安信合作启动终端安全管理项目,通过部署天擎+准入为主的终端主机安全All in one(一体化)项目,实现了终端安全一体化、病毒防御多维化、管控智能化及合规化,在经济层面、社会层面以及生态层面实现了多重价值。
01 规模快速扩张 安全挑战集中爆发
近年来,家电业遭受网络攻击的事件频繁发生。2022年,国内某知名家电巨头遭遇勒索攻击,被勒索1000万美元,严重影响正常业务。2024年,日本富士通遭受重大网络攻击,客户敏感信息及机密文件遭窃取。越是大型企业,越容易成为攻击者的目标。对于该家电集团而言,在规模快速扩张中,安全风险集中表现在三大维度:
首先是管理分散,导致安全能力“参差不齐”。
集团下属二级单位长期采用“各自为战”的安全管理模式,安全能力存在着显著差异,导致终端管控策略模糊、安全运营机制缺失。而且这种分散化格局带来三大问题:一是集团层面难以统筹安全资源,无法实现协同联动;二是统一安全策略的制定与执行受阻,出现“上有政策、下有对策”的落地难题;三是安全漏洞集中在薄弱单位,形成“木桶效应”,整体风险敞口持续扩大。
其次是终端管控缺失,导致运维成本与风险居高不下
作为员工日常办公的核心载体,5万余台终端设备是集团数据流转的“第一现场”,但长期缺乏统一管控平台,导致管理陷入“无序状态”,集中表现三个层面:一是资产管控缺失,终端设备台账不完整、资产变更不透明,部分设备“无主化”,发生安全事件时无法快速定位,溯源效率低下;二是管理标准缺位,包括补丁更新、病毒防护、权限管理等关键环节缺乏统一标准,部分终端存在高危漏洞未修复、敏感数据防护薄弱等问题,数据泄露风险激增;三是运维效率瓶颈,终端分布地域广、故障频发,但运维人员数量有限,跨单位协同困难,简单故障处理往往耗时数天,严重影响办公效率,年度运维成本居高不下。
最后是合规建设与法律法规要求存在差距。
随着《网络安全法》《数据安全法》《网络安全等级保护条例》等法律法规的落地,企业网络安全责任被提升至“法定层面”。但该集团终端安全现状与法律要求存在明显差距:例如,未实现终端全生命周期的安全审计,敏感数据外发缺乏有效管控,部分终端甚至存在非法外联行为,一旦发生安全事件,可能面临行政处罚与品牌声誉损失。
02 项目建设实施:构建“三维一体”的终端安全体系
针对上述挑战,该集团以“统一规划、分步实施”为原则,基于“等保2.0”标准,通过和奇安信紧密合作,部署天擎终端安全管理系统(EDR)、网络安全准入系统(NAC)等产品,形成终端主机安全All in one(一体化)方案,从而打造了覆盖技术、管理、运营的终端安全保障框架,通过创新机制与体系化建设,实现5万台终端的全场景覆盖与精细化管控。具体包括以下几个部分:
首先,围绕从“被动防御”到“积极防御”的设计思路,告别后知后觉的亡羊补牢模式。
项目团队以国家网络安全等级保护2.0标准为基线,结合集团业务特性,确立了“风险导向、合规先行、主动防御”的设计思路:
风险与合规双轮驱动:通过全面的终端安全风险评估,识别出资产暴露、漏洞未修复、数据外发等12类高风险点;同时对照等保2.0与关键信息基础设施保护要求,梳理出38项合规差距,形成“风险清单+合规清单”,确保建设内容既解决实际问题,又符合法律要求。
构建“技术-管理-运营”三维框架:技术层面部署统一终端管控平台,实现病毒防护、漏洞管理等十大功能;管理层面制定《终端安全管理规范》《数据防泄漏细则》等15项制度;运营层面建立7×24小时安全监控机制,形成“技术落地、制度约束、运营闭环”的全链条保障。
引入“滑动标尺”进化模型:突破传统“特征码防护”的局限,构建“基础防护-动态监控-威胁情报-主动处置”的进阶体系。例如,通过多引擎技术实现勒索病毒的实时感知与自动查杀,将防御从“事后补救”升级为“事前预警”。
其次,确立整体、统一、一致、可扩展四大原则,兼顾集团和下属单位,通过分类施策、分步落地,破解“规模性难题”。
为了兼顾集团管控需求与下属单位个性化场景,项目遵循整体性原则、统一性原则、一致性原则和可扩展性原则等,并采用“摸清现状-分类施策-协同推进”的路径,确保高效覆盖,具体包括:
摸清终端现状:因各领域单位终端配置、性能差异大,无法统一安装,方案明确多种配置以适配不同终端,实现全覆盖。
全面了解网络情况:各单位存在内外网,且与总部网络访问形式不同。实施中单独部署互联网控制中心统一管理互联网终端,同时通过分组让各单位管理员独立管控,实现内网终端分别管理。
系统梳理人员情况:部分集团及二级单位人员有借调或异地办公情况,无法安装本单位管控终端,通过实施“就地安装,原生管控”机制,即人员安装办公地终端,由原单位管控,既实现有效管理,又减少管控冲突。
平衡统一管理与分别管控:项目涉及总部及各大领域单位,方案采用级联管控,以“一总控多二控”的部署形式,既满足总部统一管控要求,又实现各单位个性化管理需求。
最后,依托组织保障,凝聚“全员合力”,确保项目效果。
项目的顺利推进,离不开体系化的组织支撑。该集团通过三方面的保障措施。其中包括构建多层级责任体系,成立由集团高管牵头的项目领导小组、跨部门的管理办公室、一线实施组,明确“领导抓总、部门协同、厂商支撑”的责任链条,确保决策高效落地。以及落实全员参与机制,通过“线上培训+现场宣讲”覆盖所有员工,深度理解终端安全的重要性。构筑闭环运营流程,通过自动化运维平台,实现补丁推送、病毒查杀等操作的批量执行,减少人工投入等等。
03 项目成效:从“安全保障”到“能力跃升”
终端安全一体化管理的落地,为集团带来管理、经济、社会、生态的多维价值,实现了安全能力向核心竞争力的转化。
首先在安全管理水平方面,实现了“四化”的跃升。
在终端安全一体化方面,通过整合病毒防护、终端管控、资产管理等多重功能,一次部署即可实现多效防护,减轻IT运维压力;通过统一控制中心大幅提升安全管理效率。
在病毒防御多维化方面,依托多引擎技术与智能自主学习能力,构建立体化防护体系,覆盖20余种主流病毒类型,尤其对勒索、钓鱼、挖矿等高危病毒具备精准查杀能力,及时感知并处置威胁。
在安全管控智能化方面,通过终端安全软件自动识别资产信息,实现从无序到有序的精细化管理;借助安全与审计策略,精准管控外联行为、危险进程及数据外发,提升终端安全等级,减少事后补救成本。
在终端安全合规化方面,结合软件功能制定集团终端安全制度,全面覆盖等级保护合规要求中的恶意代码防范、访问控制等关键控制点,显著提升管理员在网络、终端及数据安全领域的识别、管控与处置能力。
其次,在经济效益方面,实现了降本与止损两者兼得。
该项目可以实现直接成本大幅节约,资产管理环节通过自动化盘点,大幅节约人力成本;运维效率提升使故障处理时间从平均24小时缩短至4小时,年度运维成本降低数百万元。同时通过补丁自动推送,累计安装超4000个、病毒实时查杀超140万个,避免了因漏洞被利用或数据泄露导致的隐形损失。
第三,在社会效益方面,树立了行业标杆。
通过终端安全管理的普及,集团员工网络安全认知度获得大幅提升,形成“人人懂安全、人人守安全”的文化氛围。同时还打造了“协同治理”样板,其创新的“级联管控”和“异地原生管理”等模式,解决了大型企业终端安全“分散化、碎片化”的行业难题,被纳入省级网络安全优秀案例,为同规模企业提供可复制的“标杆模式”。
第四,在生态效益方面,实现了绿色与安全协同。
依托奇安信天擎提供的“All in one”平台的整合能力,终端无需安装各类安全软件,减少终端资源占用。同时通过软件的能耗管理,可以对终端开启节能管理,减少不必要的开机,降低能耗,从而达到生态效益的提升。
从5万台终端的“分散式管理”到“一体化管控”,该家电巨头的终端安全转型之路,不仅是技术架构的升级,更是管理理念的革新。它证明:在数字化时代,终端安全不是“成本负担”,而是“价值引擎”——通过体系化建设与机制创新,既能筑牢安全防线,又能提升运营效率、降低成本、树立标杆,最终实现从“安全合规”到“能力跃升”的质变,为企业全球化战略与生态化发展提供坚实保障。
立即拨打
京公网安备11000002002064号