北信源:面向国产化计算机的终端安全管理平台可行性分析报告2018-12-04
北京北信源软件股份有限公司
面向国产化计算机的终端安全管理平台
可行性分析报告
二〇一八年十一月
1
� 面向国产化计算机的终端安全管理平台可行性分析报告
目录
1.项目概况 ................................................................................................................. 3
2.项目背景 ............................................................................................................... 12
3.项目必要性分析 ................................................................................................... 15
4.项目可行性分析 ................................................................................................... 16
5.项目实施内容 ....................................................................................................... 18
6.项目效益分析 ....................................................................................................... 20
7. 项目实施的风险 .................................................................................................... 20
8. 投资项目结论 ........................................................................................................ 20
2
� 面向国产化计算机的终端安全管理平台可行性分析报告
1.项目概况
本项目将服务于国家信息安全自主可控战略,贯彻落实《网络安全法》、《国
家网络空间安全战略》以及系列政策法规决策文件的指导精神,面向国产化计算
机,基于防护监管一体化的安全管理策略,根据国家信息安全等级保护和信息系
统分级保护相关国家标准,从网络接入控制、行为安全管理、应用安全管理、数
据安全管理和恶意代码防御等方面,打造终端行为与数据安全一体化的管理体系
和整体解决方案,研发终端安全管理平台产品,从而系统性地解决国产化计算机
的安全管理问题。面向国产化计算机的终端安全管理平台,由网络接入控制及安
全可信网关、主机监控审计与补丁分发系统、终端身份鉴别系统、专用服务器
审计系统、电子文档安全管理系统、数据防泄漏系统、终端保密安全检测评估
系统、移动存储介质安全管理系统、打印刻录监控与审计系统、安全即时通信
系统和网络防病毒系统等 11 款产品组成,分布在动态自适应网络接入控制、一
体化终端行为与数据安全管理和未知恶意代码防御三个技术方向。
1.1 动态自适应网络接入控制
网络接入接入控制及安全可信网关以国产化计算机终端的安全可信作为网
络接入的唯一依据,来实现动态自适应的网络接入控制。它以终端用户与设备的
验证以及终端安全为基础,通过身份认证以及安全域控制等手段,在计算机终端
和接入交换机上进行控制,从根本上保证接入网络的终端可信、可靠和安全,并
可进一步控制终端的访问权限,为企业的终端入网安全管理提供强有力的保障,
规避不安全、不可信终端入网时带来的安全风险。系统的工作原理如图 1 所示。
入网注册、 是 安全 是
新终端 通过? 合格? 入网
审核、认证 评估
否 隔离区 否
安全修复
图 1 动态自适应网络接入控制
(1)定性与定量相结合的主机安全评估
该技术用于国产化计算机终端的安全评估,为网络接入控制提供依据,不安
全的终端将不允许入网。它从杀毒软件检查、共享资源检查、系统漏洞检查、IE
3
� 面向国产化计算机的终端安全管理平台可行性分析报告
主页检查、Guest 来宾账户检查、远程桌面检查、启动项检查、弱口令检查、启
动服务检查等方面,通过设定不同的技术要求(评分项)与对应的分值,对终端
主机进行定性与定量相结合的安全评估,计算得到终端的安全可信值,并与设定
的安全可信阈值(基线安全值)进行比较,如果终端的安全可信值低于设定的阈
值,就会被认定为是非安全可信的终端,从而被拒绝入网或移至隔离区,需进行
安全修复,经重新评估达到安全要求后才被允许入网。
安全评估项包括但不限于:①杀毒软件检查,针对终端安装杀毒软件的情况
进行检测评估,支持“要求安装”和“不要求安装”两种模式;②共享资源检查,
针对终端是否存在共享资源进行检查,支持“允许”和“禁止”两种模式;③系
统漏洞检查,针对终端系统的漏洞情况进行检查,支持“允许”和“不允许”两
种模式;④IE 主页检查,针对 IE 的主页设置配置进行检查,支持“允许修改”
主页和“不允许修改”主页两种模式;⑤Guest 来宾账户检查,针对终端系统对
Guest 来宾账户的启用情况下进行检查,支持“允许”和“禁止”两种模式;⑥
远程桌面检查,针对远程桌面启用情况进行检查,支持“允许”和“禁止”两种
模式;⑦启动项检查,针对系统的进程启动情况进行检查,支持禁止启动项,可
自行设定启动项的进程列表;⑧弱口令检查,针对系统中存在的弱口令用户进行
扫描,支持“允许”和“禁止”两种模式;⑨启动服务检查,针对系统的启动服
务情况进行检查,支持必须启动项设定,可自行设定启动服务的列表。
(2)接入控制
针对不同的应用场景或终端主机不同的接入方式,支持采用不同的接入控制
技术,这包括:①重定向技术,对 HTTP 业务进行深度识别,除 80 端口的 HTTP
业务可以进行有效重定向之外,针对非 80 端口的 HTTP 业务也能进行有效的识别
和重定向;而且,可针对终端入网注册、认证、安检、修复的整个流程进行重定
向优化。②策略路由接入控制技术,利用交换机的策略路由功能,通过将上行业
务请求经策略路由定向到网络接入接入控制及安全可信网关,再经由网络接入控
制及安全可信网关接入针对终端的安全可信程度进行认证和判定后,采用丢弃或
者正常转发到原路由下一跳的方式,对终端主机的入网进行接入控制。③旁路干
扰接入控制技术,利用交换机的流量镜像功能或 TAP 分流方式,以流量复制模式
对上行业务流量进行筛选,在筛选过后再采用旁路干扰的方式中断现行业务流,
4
� 面向国产化计算机的终端安全管理平台可行性分析报告
来实现对终端主机的网络接入控制,不需要对现行业务流的走向进行任何改动。
④透明网桥接入控制技术,工作于交换模式,在不改变现有网络拓扑的情况下将
网络接入控制及安全可信网关接入串接到网络中,采用 ACL 方式对流量 IP 进行
过滤,对不可信不安全的终端进行隔离修复。⑤虚拟网关接入控制技术,基于
VLAN 和 SNMP 两种技术进行网络接入控制,在 VLAN 环境中,把终端接入的 VLAN
分为可信 VLAN 和不可信 VLAN,判断对应终端是否通过认证或安全可信评估:如
未通过,则通过 SNMP Write,将对应设备所连接的交换机端口所处 VLAN 切为不
可信 VLAN;直至终端认证通过或被评估为安全可信,其所处 VLAN,才能切换为可
信 VLAN。⑥基于 Agent 的接入控制技术,在终端上安装 Agent,并将终端进行入
网注册,只有安装 Agent 并注册的终端才允许入网。
1.2 一体化终端行为与数据安全管理
一体化终端行为与数据安全管理,由主机监控审计与补丁分发系统、专用服
务器审计系统、终端身份鉴别系统、电子文档安全管理系统、数据防泄漏系统、
终端保密安全检测评估系统、移动存储介质安全管理系统、安全即时通信系统和
打印刻录监控与审计系统等 9 款产品实现。它们在主机行为和网络行为协同监控
的基础上,面向终端行为以及数据的全流程和全生命周期安全管理,建立了主机
行为和网络行为协同安全监控的规范化接口,有效管理调度系统资源,提高平台
效率、安全性和可靠性,构建集一体化的终端行为与数据安全管理体系。它基于
国产操作系统的消息机制,通过 HOOK 来拦截或改变消息的传递路径,插入新的
消息处理程序,实现对终端的系统行为和网络行为的监测与控制,从而达到对终
端的行为与数据进行统一安全管理的目的。一体化的终端行为与数据安全管理体
系结构,如图 2 所示。
在第一层次,明确了安全管理的对象为国产化计算机终端,与 Windows 操作
系统拥有成熟完善的消息处理机制和 API 接口不同,国产操作系统的 API 接口还
处于不断发展的状态中,它们对操作系统行为与数据访问行为监测与控制支持的
范围和粒度还存在着较大的差距,因而 API 接口的种类和数量区别较大,有的甚
至还不够完善,这在一定程度上制约了终端安全管理能力的提升。
在第二层次,提出了终端行为与数据安全管理的共性技术支撑,即通过 HOOK
5
� 面向国产化计算机的终端安全管理平台可行性分析报告
来拦截或改变操作系统行为或网络连接行为的消息,并在必要时插入新的消息处
理程序,来实现对终端的系统行为和网络行为的监测与控制,同时形成相关面向
操作系统行为、应用程序行为、数据安全防护与数据安全监控的规范化接口,诸
如进程启动、读写网卡、文件访问、数据泄漏和打印刻录等行为产生的消息,都
将会被 HOOK,以此为各类操作系统行为、应用程序行为与数据安全应用提供基
础支撑。该接口是基于主机行为和网络行为协同监控的规范化接口,一方面为上
层应用提供统一的行为监控调用接口,另一方面为各种上层应用的调用提供统一
的资源管理,防止对操作系统底层调用的资源冲突,提高安全管理产品的效率、
安全性和可靠性。
在第三层次,提供终端行为、应用与数据安全管理的具体技术手段。针对终
端行为与应用的安全管理,支持通过操作系统行为控制和网络访问控制来实现,
提供主机监控审计与补丁分发和专用服务器审计手段。针对终端数据处理的全流
程,从数据输入终端、数据在终端上被分析处理,到数据输出终端,提供全方位
的数据安全管理技术:为终端数据的输入输出,提供移动存储介质安全管理和打
印刻录安全监控与审计手段;为终端上的数据安全,提供电子文档安全管理和终
端安全登录手段;为终端数据安全监控,提供数据防泄漏手段,支持基于内容的
安全监控。为终端安全通信,提供安全即时通信手段,支持用户和终端应用的高
效便捷通信。针对整个终端的系统性安全,提供终端安全保密检测评估手段。
6
� 面向国产化计算机的终端安全管理平台可行性分析报告
系统安全 终端安全保密检测评估
数据安 通信
数据防泄漏 安全即时通信
全监控 安全
终端
行为
移动存储介质安全管理 电子文档安全管理
应用
与
打印刻录安全监控与审计 终端身份鉴别 数据
安全
数据输入输出安全 终端数据安全
专用服务器审计 主机监控审计与补丁分发
行为与应用安全管理
基于主机行为和网络行为
统一管理接口
协同监控的规范化接口
操作系统API 国产自主可控计算机
图 2 终端行为与数据安全管理体系结构
该平台重新定义了主机行为和网络行为协同安全监控的规范化接口,屏蔽国
产操作系统底层细节,统一管理调度对操作系统底层 API 调用的 HOOK 行为,有
效消除资源冲突,提升效率、安全性和可靠性,同时创新发展了文件透明加解密、
数据防泄漏、光盘刻录和安全保密检测等关键技术,打造了面向国产化计算机的
一体化终端行为与数据安全管理系列产品,包括如下 9 款产品:
面向国产化计算机的主机监控审计与补丁分发系统;
面向国产化计算机的专用服务器审计系统
面向国产化计算机的移动存储介质安全管理系统;
面向国产化计算机的打印刻录安全监控与审计系统;
面向国产化计算机的电子文档安全管理系统;
面向国产化计算机的终端身份鉴别系统;
面向国产化计算机的安全即时通信系统;
7
� 面向国产化计算机的终端安全管理平台可行性分析报告
面向国产化计算机的数据防泄漏系统;
面向国产化计算机的终端安全保密检测评估系统。
(1)驱动层透明加密技术
该技术用于电子文档安全管理。透明加密主要分为两大类,即应用层透明加
密技术和驱动层透明加密技术。应用层透明加密技术是国产操作系统提供了一种
叫 HOOK 的消息机制,允许应用程序将自己安装第一个程序到其它的程序中,用
来监视某个消息。当消息到达后,先处理安装的子程序,然后在处理源程序。这
就是钩子的最大作用。对于应用层透明加密,就是当保存文件时,将内存的明文
加密后再写入到文件中。解密过程是在打开文件时,将文件密文转换后再让程序
读入到内存中。而驱动层透明加密技术是基于国产操作系统的文件系统驱动技术,
工作在操作系统的内核层。驱动加密技术与应用程序无关,当应用程序对指定文
件进行操作时,系统会自动加密。由于加密过程工作在操作系统保护的内核层,
运行速度更快,加解密操作更加稳定,保证了产品的自身安全。
(2)可信行为智能识别技术
该技术用于电子文档安全管理,以沙箱技术、文件过滤驱动技术和 HOOK 技
术为基础,创新性的研发除了可信行为智能识别技术。通过这项技术可以对系统
中的可信行为进行识别和控制,包括可信进程的启动监控和可信进程操作的智能
识别。可信进程的启动监控,即当通过双击打开的方式打开可信程序时,系统会
自动识别该进程为可信进程,并且将可信进程对文档的操作采用沙箱技术重定向
到安全目录中。可信进程操作的智能识别,即当同一个应用程序启动多个进程,
系统自动将打开加密文件的进程标记为可信进程,将打开非加密文件的进程标记
为非可信进程,对于两个进程隔离起来,分别进行控制。通过可信进程只能识别
的技术,可以准确高效的保护文档的安全。
(3)基于电子标签的光盘安全管理技术
该技术用于光盘安全管理,其具体的添加光盘电子标签的步骤包括:(A)接
收用户通过标签设置界面输入的标签信息,标签信息包括:日期、作者、标题、
编号、条码、密级、用户自定义内容中的一种或多种;而且,可根据标签信息与
光盘刻录内容生成 CRC 校验和或 SHA1 值, 以将标签信息与所述光盘刻录内容进
行关联;将所述 CRC 校验和或 SHA1 值存储到所述标签配置信息中。(B)将标签
8
� 面向国产化计算机的终端安全管理平台可行性分析报告
信息格式化为标签配置信息,并根据所述标签配置信息生成该标签的 ISO 镜像文
件;这里,可采用高级加密标准 AES、数据加密标准 DES 或公钥加密算法 RSA 对
所述标签配置信息进行加密并保存;(C)采用多区段不封口刻录方式将所述标签
的 ISO 镜像文件刻录到光盘上,生成电子标签。在刻录有所述标签的 ISO 镜像文
件的区段内部空隙中设置光盘坏点,将所述电子标签上传至服务器。
读取光盘时,当接收到光盘插入光驱的信号时,光驱会检测该光盘的电子标
签所在的区段;当检测到该光盘的电子标签时,会以预设的格式展示该电子标签
的内容;将电子标签信息与用户信息进行信息对比,并判断信息对比成功后是否
需要自动解密;若需要自动解密,则根据预设的密码进行解密,以获取光盘刻录
的内容。在信息比对过程中,可根据电子标签的密级、扩散范围等内容,还可根
据对比用户的权限、终端 PC 的权限等,然后确定用户是否能够访问光盘刻录容。
这样,在安装有标签系统的电脑上,可直接检测识别并展示标签内容。进一步地,
展示标签内容后,根据设置的标签输入必要的交互信息(使用人权限等),以读
取光盘刻录内容。而在没有标签系统的电脑上,光盘刻录内容(光盘数据)需要输
入正确的密码才能够读取。
(4)基于二进制流的镜像追加技术
该技术用于光盘刻录,分为如下步骤:(A)可在第二原始镜像中设置第二标
记信息,并根据第二标记信息和 ISO9660 协议,将待写入的文件和/或文件夹以
二进制流的方式写入第二原始镜像,进而将第二原始镜像刻录至光盘。(B)使用
光盘刻录开发接口(Image Mastering Applications Programming Interface,
简称 IMAPI)或小型计算机系统接口(Small Computer System Interface,简
称 SCSI)引擎读取光盘文件信息,并在第一原始镜像中设置第一标记信息。(C)
获取待追加的文件和/或文件夹,以及光盘管理信息,并根据所述第一标记信息
和 ISO9660 协议以二进制流的方式将待追加的文件和/或文件夹写入所述第一原
始镜像;这里,还可将待追加的文件进行加密后写入所述第一原始镜像。该技术
能高效地追加文件和文件夹,尤其是在一个大的镜像文件中去追加一个小文件,
从而能够节省刻录时间,大幅提高光盘刻录效率。
(5)基于语义特征提取的数据防泄漏检测
基于语义特征提取的数据防泄漏技术,首先对文档进行预处理,转化为词序
9
� 面向国产化计算机的终端安全管理平台可行性分析报告
列,确定每个词的词向量,并计算每篇文档的文档向量;然后对文档向量进行聚
类,将原始文档集划分出多个文档子集;最后根据划分后的文档子集,提取语义
特征,并作为规则项,对目标文档进行审查。该技术能够从未经人工标注的原始
文档中提取出高质量的语义特征,作为数据泄露防护的规则项,防止数据泄漏,
提高终端数据安全性能。
(6)基于用户行为和文档内容的数据防泄漏检测
该技术通过分别获取用户预定长时间段和预定短时间段的外发邮件行为相
关数据,经过数据平均、归一化处理,分别得到该用户的长期行为数据向量和短
期行为数据向量;根据所述用户长期行为数据向量和短期行为数据向量间的向量
间距离与预定向量距离阈值的比较结果,确定用户外发邮件行为是否存在异常;
对于存在异常行为的用户外发邮件,提取邮件内容文档,并判定文档的主题类别;
根据文档主题类别选定与该类别关联的文本精确匹配策略规则,确定文档中是否
存在敏感数据。该技术可以明显提高敏感数据外泄事件判断的准确程度,有效降
低仅通过内容匹配进行判断的误报率。
(7)协同数据防泄漏检测
该技术通过采集主机产生的网络流量数据,结合数据防泄漏策略,建立并训
练敏感数据模型;终端捕获主机产生的网络流量数据并将其重定向发送至最优接
入节点;接入节点根据该网络流量数据决定是否与目标地址建立加密通信链路;
接入节点根据当前检测节点运行状态与其他参考数据选择合适的检测节点并下
发检测任务;检测节点结合检测策略与所述敏感数据模型实时识别敏感数据并反
馈至接入节点;接入节点结合反馈结果与管控策略决定是否对该网络流量数据进
行管控。通过该技术,能够识别并及时管控敏感外传数据,提高数据防泄漏系统
对数据的安全防护能力。
(8)面向数据库的数据防泄漏检测
该技术针对数据库的访问进行检测,当有数据通过网络或文件进行传输时,
截获传输数据,对传输数据进行分段解析,得到分段后的传输数据;根据传输数
据总数据量和预先设定的允许误差率,通过基于用户指定的数据库预先建立得到
的过滤器计算得到需要生成的数据指纹个数;根据需要生成的数据指纹个数,对
分段后的传输数据进行哈希计算,得到数据指纹;通过过滤器进行数据指纹匹配,
10
� 面向国产化计算机的终端安全管理平台可行性分析报告
实现数据防泄漏。通过本技术生成的指纹信息,只占常规哈希算法指纹数据的四
分之一,从而极大的解决了海量数据库的指纹存储。同时由于利用了过滤器的位
操作的特性,极大的提高了查询速度。
(9)基于用户行为的数据防泄漏检测
该技术将用户认证信息与用户生物特征图像进行绑定;用户行为数据整合,
将用户行为识别结果、操作主体识别结果与主体行为识别结果进行整合,转换为
用户行为特征数据;用户行为计算,使用用户行为特征数据作为输入,基于机器
学习技术,以所述用户行为模型为参考,计算获得用户行为异常指数;用户行为
预警,将所述用户行为异常指数与设定的预警阈值进行比较,如果大于预警阈值,
向管理员产生预警信息。通过该技术,可以在用户无感知的情况下对终端用户行
为进行实时审计,识别潜在可疑用户行为并及时预警。
(10)基于虚拟打印技术的打印安全监控与审计
为了解决现有的打印管理方式中面临的打印行为、内容难以监控,无法防止
非授权打印、越级打印等问题,研发了基于虚拟打印技术的打印安全监控与审计
技术。通过操作系统虚拟打印技术、OCR(Optical Character Recognition,光
学字符识别)技术以及设备智能控制等技术实现文档在打印申请、审批、输出、
回收、销毁等全生命周期的监控和管理,以及形成完备的打印日志以供审计。
(11)基于操作系统底层驱动的打印安全监控
基于操作系统底层驱动的打印安全监控技术,主要用于监控、管理和审核各
种文件的打印。通过建立打印应用服务器和打印数据库服务器,所有网络打印机
以网络或 USB 数据线方式连接打印应用服务器并以共享方式对外服务,用户客户
端通过客户端访问控制器连接到共享打印机,提交打印任务到服务器的打印服务
程序,打印服务程序将该任务交给封装在操作系统底层驱动(即打印处理器)中
的打印任务监控程序进行处理,并与打印数据库服务器进行信息交互,最后推送
给打印机打印。
1.3 未知恶意代码防御
未知恶意代码防御由网络防病毒系统一款产品实现。该系统由中控平台和客
户端组成,是依托大数据平台,面向国产化计算机,结合人工智能深度学习算法,
11
� 面向国产化计算机的终端安全管理平台可行性分析报告
基于人工智能启发式引擎 Matrix 和基于 MAD 多步行为判断创新技术的主动病毒
防御系统,由云到端,支持私有云和公有云部署,SaaS 交付,为用户提供全面、
安全、可靠的恶意代码防御能力。中控平台主要由管控平台、升级服务器、私有
云三个实体功能模块组成,是病毒查杀体系中负责威胁管理和病毒防护的控制核
心。客户端包括病毒查杀、主动防御、实时监控以及泛安全防护模块,安装在国
产化计算机上。
(1)Matrix 人工智能启发式引擎
人工智能启发式引擎 Matrix 技术通过深度学习 CNN 算法以及大数据安全分
析,实现自主学习模拟人脑的对未知事物的处理方式,通过学习训练大量的病毒
样本搭建病毒分析模型,在未知病毒没有符合特征值比对时,根据反编译后程序
代码所调用的操作系统 API 函数情况(特征组合、出现频率等)判断程序的具
体目的是否为病毒、恶意软件,达到防御未知病毒、恶意软件的目的,使计算机
具备像人类一样的学习能力和推理能力,以准确判断未知病毒,有效应对网络层
出不穷的新风险。第三方测试数据显示,Matrix 在不依赖其他引擎辅助的情况
下,误报率低于万分之二。同时,Matrix 还拥有较为持久的查杀效果,基于人
工智能自主学习的特性,即便一段时间不升级病毒库,Matrix 仍然能够识别各
种未知病毒,检出率也不会下降,检出能力半衰期长达半年之久。
(2)MAD 多步主防技术
基于 MAD(Multi-step active defense)多步行为判断的主动防御技术,
通过结合安全沙箱和病毒样本行为自动捕获,能够深度学习病毒样本的一系列行
为特征,并进行分析聚类生成 MAD 规则库以此来进行综合的风险判定,其监控和
判断能力是由云端集群服务器支持的。相比传统的简单的单步行为规则来做病毒
监控的主动防御技术,该技术捕获病毒恶意行为的能力更强,能够有效拦截未知
病毒,缓解本地引擎带来的性能压力。
2.项目背景
2.1 自主可控已成国家战略
随着《国家网络空间安全战略》和《网络安全法》等一批政策法律法规的发
布实施,自主可控已经上升到国家战略高度,保卫网络安全就是保障国家主权,
12
� 面向国产化计算机的终端安全管理平台可行性分析报告
而自主可控就是保障网络安全、信息安全的基本前提。自主可控是中国信息化产
业发展的必经之路,也是我国产业迈向全球价值链中高端的必然之选。随着国际
范围内网络安全局势升级和信息技术产业竞争加剧,自主可控作为落实网络强国
和军民融合战略、提升国家网络信息安全能力的关键举措,重要性日益凸显。国
产信息技术保障国家信息安全,自主可控助推民族 IT 产业腾飞。强力推进国产
自主化建设应用,是国家信息化发展战略的大势所趋。
党的十八大以来,以习近平同志为核心的党中央对信息化和网络安全重大问
题做出一系列重大决策、提出一系列重大举措,推动我国网信事业取得了历史性
成就。习总书记多次在重要场合强调自主可控的重要性,建设网络强国要以自主
创新为基石,关键核心技术是国之重器,要下定决心、保持恒心、找准重心,加
速推动信息领域核心技术突破。要建设网络强国,必须掌握核心技术,强调安全
可控,必须做到对网络空间安全的可管、可防、可控,必须紧紧牵住核心技术自
主创新这个“牛鼻子”,构建安全可控的信息技术体系,这对推动我国经济高质
量发展、保障国家安全都具有十分重要的意义。
进一步地,国外软、硬件的预装“后门”也会带来网络信息安全隐患,只有
把关键核心技术掌握在自己手中,才能从根本上保障国家经济安全、国防安全和
其他安全。在这样的背景下,国家政策强力推动相关行业的国产化替代,领域也
由此前的党政军市场进一步扩大到国计民生行业,包括金融、石油、电力、电信、
交通、航空航天、医疗、教育等涉及国计民生的重大行业。国产化替代的加速推
进将为自主可控领域的成长提供强劲动力。
2.2 保障国产化计算机安全
随着自主可控国家战略的实施,国产国产化计算机的发展取得了长足的进步,
其国产软硬件的技术发展水平已能够满足用户的基本需求,在政府、教育、军队
和军工领域得到了较为广泛的部署和应用。通常,国产化计算机是指基于国产自
主可控关键软硬件,采用龙芯、飞腾、申威或兆芯等国产CPU,采用中标麒麟操
作系统、银河麒麟操作系统、中科方德操作系统和深度操作系统等国产操作系统,
采用国产中间件和数据库,并且由国内整机厂商进行生产,拥有全部的自主知识
产权。
13
� 面向国产化计算机的终端安全管理平台可行性分析报告
但与此同时,国产化计算机大多在信息安全方面还处于“裸奔”状态,虽然
它杜绝了国外IT产品人为设置后门的安全风险,但自身安全问题还没有得到全面
的解决,现有的终端主机安全软件绝大多数都还运行在Windows操作系统上,无
法运行在国产化计算机上。虽然陆续出现了一些面向国产化计算机的安全产品,
先后解决了部分安全问题,但还没有形成系统化的整体安全解决方案,这仍会给
我国关键信息基础设施和重要信息系统带来很大的安全风险。
在国家相关部委的指导下,目前国产化计算机的安全设计已经完成,从BIOS、
CPU、操作系统、中间件、数据库、安全应用软件到安全软件,进行了专门的安
全防护设计,为国产化计算机打造了完整的网络安全解决方案,以支持信息的安
全存储、处理和传输。其中,主要采用龙芯、飞腾和兆芯三大CPU芯片平台,采
用中标麒麟操作系统、银河麒麟操作系统、中科方德操作系统和深度操作系统等
国产操作系统,采用达梦数据库、金仓数据库和南大通用数据库等国产数据库,
以及采用东方通中间件、金蝶中间件和中创中间件,由符合国家要求的入围整机
厂商生产。
在国产化计算机的安全软件方面,从接入控制、主机安全、数据安全、数据
安全、安全通信和杀毒等方面,通过网络接入控制、主机安全监控审计与补丁分
发、终端身份鉴别、应用安全管理、数据安全管理、安全即时通信和网络防病毒
等技术手段,来确保国产化计算机的安全、可控、可管。这为国产化计算机安全
软件的设计与开发指明了方向,提供了具体的技术要求依据,也为网络安全市场
带来了一个新的业务增长点。
2.3 针对我国关键信息基础设施的网络攻击活动越来越多
根据国家互联网应急中心(CNCERT/CC)发布的2017年年度报告和2018年9
月月报,2017年,我国境内感染计算机恶意程序的主机数量约为1256万个,位于
境外的约3.2万个计算机恶意程序控制服务器控制了我国境内约1101万台主机,
被篡改网页和植入后门的政府网站分别达到618个和1339个。而仅在2018年9月,
境内感染网络病毒的终端数就达到68万余个,被篡改网页和植入后门的政府网站
分别达到62个和71个,国家信息安全漏洞共享平台共协调处置了1402起涉及我国
政府部门以及银行、民航等重要信息系统部门以及电信、传媒、公共卫生、教育
14
� 面向国产化计算机的终端安全管理平台可行性分析报告
等相关行业的漏洞事件。这说明我国政府等敏感行业的关键信息基础设施,由于
涉及到国家安全和社会稳定,已成为境外黑客组织、间谍情报机构和敌对势力的
重要攻击目标。
近年来,有组织的、有国家地区背景支持的高等级的网络攻击行为越来越多,
并直接指向一个国家的关键信息基础设施。2017年3月,维基解密声称美国中情
局(CIA)用于网络攻击的大量病毒木马、远程控制、0day漏洞以及相关文档泄
露;4月,“影子经纪人”在互联网公布了“方程式”使用的包含针对微软操作系
统以及其他办公、邮件软件的多个高危漏洞攻击工具包;这些网络武器库的披露
都为APT攻击推波助澜。2017年5月,WannaCry蠕虫病毒事件爆发,就是利用了“影
子经纪人”公开的“永恒之蓝”漏洞进行快速传播,对我国教育、能源行业的信
息系统造成较为严重的破坏,也给全球网络空间安全造成严重影响。WannaCry
蠕虫病毒事件是“方程式”网络武器库遭泄露而引发的重大网络安全事件典型代
表。
在国产化替代的进程中,特别是党政军的国产化替代进程,涉及国家信息基
础设施和重要信息系统,必然会成为各种网络攻击的重点目标。因此,信息安全
建设必须紧贴整个替代过程,确保平滑过渡,不出现大的安全漏洞,能够有效抵
御针对国产国产化计算机的网络攻击。
3.项目必要性分析
3.1 国产化领域网络安全市场空间巨大
近年来,随着《网络安全法》的颁布实施,国家相关部委也纷纷发文,强力
推进自主可控进程。2016年12月,《“十三五”国家信息化规划》中,提出全面增
强信息领域核心技术设备自主创新能力,打造自主先进的技术体系,构建先进、
安全、可控的核心技术与产品体系。《国家网络空间安全战略》中,指出网络安
全是国家安全的核心,核心技术装备应安全可控,建立实施网络安全审查制度,
提高产品和服务的安全性和可控性。由此可见,自主可控和国家信息安全紧密相
关,是中国信息化产业发展的必经之路,也是国家安全战略的要求。
按照计划,“十三五”期间将完成国家计划推进领域的国产化替代,之后将
在国计民生行业推进,而且,这一进程因今年的贸易摩擦升级有望进一步加速。
15
� 面向国产化计算机的终端安全管理平台可行性分析报告
当前我国芯片、操作系统、数据库等核心元件国产占有率相对较低,未来“党政
军+国计民生”八大行业的国产化替代将为国产软硬件及网络安全行业带来巨大
发展空间。
3.2 符合公司战略发展的迫切需求
北信源是专业从事信息安全的国家级高新技术企业,主营业务为信息安全软
件产品的研发、生产、销售及技术服务,为政府机关、军工、金融和能源等国家
重点行业及企事业单位提供信息安全产品和整体解决方案。作为主要为政府、军
工等行业用户提供终端安全解决方案的厂商,国产化已成为公司的重点战略发展
方向,近年来持续加大了在国产化领域的投资,不但与中标麒麟、银河麒麟等操
作系统厂商建立战略合作关系,还不断将原有领先的终端安全技术向国产化平台
迁移,主动适配不同型号的国产化计算机,开发了主机监控审计、网络接入控制、
终端安全登录和电子文档安全管理等满足国产化平台安全需求的终端安全管理
技术和产品。本次投入到国产化计算机安全领域,研发突破新技术进一步提升安
全管理能力,有效整合、升级换代现有的国产化平台产品,为国产化计算机打造
一体化的终端行为与数据安全管理体系和平台,巩固北信源在国内终端安全管理
/数据安全管理领域的龙头地位。
4.项目可行性分析
4.1 项目与国家相关战略和政策高度一致
本项目与国家自主可控战略高度一致,是落实国家信息安全自主可控战略的
具体举措,也与国家《网络空间安全战略》、《网络安全法》、信息安全等级保护
制度和信息系统分级保护制度中的具体技术要求相吻合。项目紧贴国产化替代进
程,为国产国产化计算机的安全保驾护航。确保国产化平台的安全可信,定将会
得到政府的大力支持与扶持。近年来,国家在研发投入、知识产权保护、政府补
助等方面对企业提供了大力支持,自主可控进程得到稳步推进。
4.2 公司拥有国内领先的信息安全技术
公司长期专注于信息安全行业,通过对前瞻性技术的关注和投入,公司掌握
了终端安全管理领域和数据安全管理领域的众多核心技术,拥有 82 项计算机软
16
� 面向国产化计算机的终端安全管理平台可行性分析报告
件著作权和 52 项授权专利,300 余项专利在申请中,具有计算机信息系统安全
专用产品销售许可证、涉密信息系统产品检测证书、军用信息安全产品认证证书、
装备承制单位注册证书、商用密码产品销售许可证及生产定点单位证书、信息安
全服务资质、涉密信息系统集成甲级资质证书、装备承制单位注册证书等权威机
构颁发的产品等各种专业资质。公司终端安全管理产品和数据安全管理产品功能
全面、技术先进、兼容性和扩展性强、部署成本低,国内市场占有率连续 12 年
排名第一,曾获 2 项国家科学技术进步二等奖、3 项省部级科学技术进步一等奖
和多项业内荣誉,在公安部、国家电网、国家税务总局等多个大型网络的使用中
得到了用户的广泛好评。
近年来,公司持续大力推进互联网战略、大数据战略和信息安全战略。创新
提出了互联互通的安全即时通信体系架构,开发了基于安全即时通信的开放协作
聚合平台 Linkdood,保护企业秘密和个人隐私,可面向移动办公、智慧城市和
智能家居等不同应用领域,实现应用的快速开发和聚合,灵活构建应用生态。将
大数据技术和平台融入到终端安全管理产品中,开发了大数据驱动的泛终端安全
管理平台,实现基于大数据的网络安全管理、安全态势感知、业务应用性能分析
和威胁情报获取。面向国产化计算机,结合国产操作系统的技术特点,将先进的
终端安全管理技术向国产化平台迁移,而且根据政府、军工和金融等行业部门的
应用需求,围绕国产化平台打造整体安全解决方案。
4.3 公司在国产化计算机安全领域拥有深厚的技术积淀
公司自 2012 年起开始参与国家“核高基”项目,即开展一系列信息安全产
品国产化适配研发。立足于终端安全,以内网安全、数据安全、边界安全为切入
点,先后研发了基于国产化平台的主机监控与审计系统、终端安全登录系统、电
子文档安全管理系统、打印刻录监控与审计系统、终端网络安全接入等多款国产
化安全产品。目前,公司与中标麒麟、银河麒麟等国产操作系统厂商均建立了战
略合作关系,协助厂商完善底层 API 和安全管理接口,了解这些 API 接口的技术
细节,为终端安全管理产品的能力持续提升打下了坚实的基础。
今年以来,国家相关部委高度重视自主可控推进进程,印发了专门的国产化
信息设备名录,公司所研发完成的多款国产化平台产品,包括主机监控与审计系
17
� 面向国产化计算机的终端安全管理平台可行性分析报告
统、专用服务器审计系统、终端身份鉴别系统、打印刻录安全监控与审计系统和
网络防病毒系统均进入该目录。这充分体现了公司在国产化计算机安全领域的深
厚技术积淀。
4.4 公司拥有优质的客户资源
公司凭借较为完整的终端安全管理产品线、紧贴国内用户需求的产品功能及
业界较高的产品性能,赢得了众多用户的信赖,产品被广泛应用于政府、军队、
军工、能源和金融等重要行业领域,终端安全管理产品客户端数量已超过数千万
点,管理的企业网络达数万个,涉及各行业上千家用户。这些行业部门都是北信
源的优质客户,其信息系统绝大多数属于国家关键信息基础设施,同时也是需要
完成国产化替代的信息系统。随着国产化替代进程的推进,这将给本项目系列产
品的推广、部署和应用,带来非常积极的效果,使得 Windows 平台的终端安全管
理产品无缝过渡到国产操作系统平台的终端安全管理产品,确保行业信息系统的
安全。
公司将会以现有客户群体为基础,推广面向国产化计算机的终端安全管理平
台系列产品,在原有安全产品、服务的基础上进一步为客户提供国产化平台上的
安全防护技术、产品和服务,持续提升客户价值。
4.5 公司拥有覆盖广泛的营销服务体系
公司目前在北京设有总部技术支持中心。总部技术支持中心采取“一站式”
服务结构体系,统一服务窗口,并且在广东、上海、江苏、陕西等多个省市建立
了营销服务网点,可方便进行本地化的现场技术服务。公司凭借这一广覆盖、快
响应的营销服务体系,能够帮助客户快速了解产品的功能和使用方法,降低新产
品推广的难度。同时,公司依托多年积累的成熟经销商体系,可以快速实现新产
品在中小企业客户中的推广,提高市场推广和技术支持能力。
5.项目实施内容
5.1 项目实施内容
本项目资金将全部用于面向国产化计算机的终端安全管理平台系列产品的
研发和市场推广,具体包括:(1)终端安全管理平台系列产品研发,面向不同种
18
� 面向国产化计算机的终端安全管理平台可行性分析报告
类的国产化计算机,研发网络接入控制及安全可信网关、主机监控审计与补丁分
发系统、终端身份鉴别系统、专用服务器审计系统、电子文档安全管理系统、数
据防泄漏系统、移动存储介质安全管理系统、打印刻录安全监控与审计系统、安
全即时通信系统、终端保密安全检测评估系统和网络防病毒系统等 11 款产品,
拟申请 10 项发明专利,涉及设备购置费、研发费用等投资;(2)终端安全管理
平台系列产品的市场营销,包括展会、市场推广及运维等方面投资。
5.2 项目投资概算
面向国产化计算机的终端安全管理平台项目总投资10,000万元,资金的投入
主要包括设备购置费、研发费用、市场营销费及其他等,项目建设期1年,预计
2019年12月31日前完成,投资估算情况如下:
序号 项目 投资金额(万元) 投资占比
1 研发费用 6,500.00 65.00%
1.1 研发及测试人员薪酬 5,200.00
1.2 委外研发费 1,000.00
1.3 研发场地租赁费 300.00
2 市场营销费 2,200.00 22.00%
2.1 销售及技术人员薪酬 1,400.00
2.2 市场推广及运维费 800.00
3 设备购置费 300.00 3.00%
4 其他费用 1,000.00 10.00%
合计 10,000.00 100.00%
1.研发费用:
本项目研发费用投资共 6,500 万元,用于国产化平台研发及测试人员薪酬、
委外研发费以及研发团队场地租赁费等。
2.市场营销费:
本项目市场营销投资共 2,200 万元,用于销售及技术人员薪酬、市场推广活
动以及运营维护费用等。
3.设备购置费:
本项目设备购置投资共 300 万元,用于购置国产化计算机、服务器、网络设
19
� 面向国产化计算机的终端安全管理平台可行性分析报告
备、测试和样机设备、办公设备以及应用软件等;构建产品研发、测试和实验的
基础设施环境等。
4.其他费用:
本项目其他费用投资共 1,000 万元,用于软件测试费、知识产权费、差旅费、
会议费、其他租赁费等。
6.项目效益分析
通过本项目的实施,公司提供的产品和服务能够紧贴国产化替代进程,为国
产化计算机的推广应用保驾护航。一方面,有助于公司提高现有客户的粘性,帮
助他们从“Windows+Intel”平台平滑过渡到国产化平台;另一方面,能够基于
领先的技术和产品大幅拓展新增客户,扩大公司用户群体,形成长期稳定的营业
收入和营业利润,有效提升公司的核心竞争力和行业影响力,促进公司快速增长
和良好发展。
7. 项目实施的风险
本项目会紧跟国产化替代进程的步伐,但国产化替代进程仍可能因政策、技
术和应用因素而放缓,国产 CPU、操作系统或应用软件等国产平台的整个生态系
统的所有因素出现的问题,都可能会影响到产品的市场推广和表现,达不到预期
的目标。为此,公司将会与各国产化厂商进一步加强战略合作,在人才、技术和
市场等方面增进合作,打造“底层平台+安全+应用”的国产化平台生态体系,共
同拓展客户资源和市场,来加快国产化替代进程。
8. 投资项目结论
本项目实施符合国家自主可控发展战略与相关产业政策,符合公司战略布局,
有利于提升公司的研发能力和行业地位,增强公司综合实力,形成公司盈利新的
增长极,本项目具有良好的发展前景,具备了实施项目所需的各项基本条件,未
来发展空间广阔,具备较好的可行性。
北京北信源软件股份有限公司
2018 年 12 月 3 日
20
�
