数会通终端威胁感知与防护系统

产品参数

数会通终端威胁感知与防护系统是由赛姆科技自主研发的一款针对组网终端、实施网络层访问控制的隐身保镖系统。本系统由谔猫分布式无IP独立执行单元（软硬一体）及数会通安全管控感知平台（软硬一体）两部分组成。

谔猫分布式无IP独立执行单元（以下简称“谔猫”）一对一串接于被保护的组网终端前，对终端所有网络流量及行为进行管控，谔猫本身集防控与探针功能于一身。数会通安全管控感知平台（以下简称“管控平台”）部署在用户数据中心内，可对全网所有谔猫进行统一管理、策略下发、行为监控，并可根据谔猫上传的终端网络行为日志提供网络安全行为统计分析。

数会通系统拥抱网络空间全新安全范式，防护手段下沉至各类组网终端前，对其实施一对一精准防护，允许终端“带毒运行”以应对内生安全威胁，系统主要用途为：对组网终端进行网络访问控制，对风险行为进行识别、告警、阻拦，有效过滤非法访问；不仅能防止病毒、木马等恶意程序从个别终端侵入到网络内部其他设备，还可以阻止已经失陷的内部网络设备对组网终端的攻击行为，实现对终端的双向精准防护。

数会通终端威胁感知与防护系统整体分为数据采集、数据处理及可视化三层，数据来源为用户的被保护资产，系统架构图如下所示：

数会通系统通过解析二三层网络协议，建立网络区域间的通信模型，通过设置基于网络五元组的访问控制策略，过滤非法访问，保证只有可信任的流量可以在网络中传输。

(1)访问控制

基于网络五元组的细粒度访问控制，可实现黑白灰三类名单过滤，对风险行为进行识别、告警、阻拦，有效过滤非法访问，实现精准的一对一安全防护。

(2)IP/MAC绑定

用户可根据实际应用需求，建立IP-MAC策略表，将指定IP/MAC进行绑定，通过黑白灰名单策略，放通或阻拦双向网络流量。支持三种绑定模式，实现精细化管理。

(3)ARP防护

主动学习被保护设备网络行为习惯，生成ARP防护策略。自动发现ARP攻击，实现主动防御，能够使被保护设备获得ARP攻击免疫能力。

(4)Flood防护

提供针对SYN/TCP/UDP/ICMP等多种常用协议的Flood攻击防护，有效抵御Dos、DDos等泛洪攻击。可设置泛洪阈值，超过阈值即自动阻断该类协议所有通讯，阻断时长可配置。

(5)大流量预警

可针对被保护设备设置网络流量阈值，超过阈值即自动告警。有效管控设备数据流入流出，及时发现异常流量风险。

(6)文件审计

可识别记录PDF、JPGE、MP4、EXE、ELF等200多种文件类型，可实现终端文件审计功能，协助甄别可疑文件，防御潜伏的威胁攻击。

(1)统一管控+无IP（创新点）

谔猫无IP、网络隐身，部署不改变网络架构；管控平台可实现统一管控、策略下发；二者间加密通信，可靠。

(2)精准隔离+带毒运行（先进性）

物理精准隔离，终端带上“电子防护口罩”；切断感染链，避免病毒扩散、交叉感染；允许终端“带毒运行”、“带病工作”。

(3)独立运行+高可用（健壮性）

部署后关闭管控平台，谔猫仍可独立运行；谔猫断电或故障时，不影响终端网络访问。

(4)协议透明+零干扰（透明性）

谔猫与终端软硬件环境独立，协议透明；不改变用户终端使用习惯。

本产品提供信创及通用系列可选，适用于不同网络带宽与应用场景。具体如下所述：

【数会通安全管控感知平台】

1.信创型服务器：采用CPU为龙芯3A4000，系统为Loongnix，网口为YT851。

2.通用型服务器：采用CPU为X86，系统为 Debian，网口为Intel。

【“谔猫”分布式无IP独立执行单元】

1.龙芯系列：适用于信创场景，采用CPU为龙芯2K1000，系统为Loongnix，网口为Wan/Lan千兆自适应，供电提供DC 12V电源适配器。

2.mips系列：适用于千百兆网络，采用CPU为mips，系统为Linux，网口为Wan/Lan千兆或百兆自适应，支持电源适配器供电。（百兆额外提供MICRO USB 5V/500mA接口，可支持被保护设备USB口直接给电）

3.X86系列：适用于上层协议解析场景，采用intel多核CPU，系统为Linux，网口为Wan/Lan千兆自适应，供电提供DC 12V电源适配器。