隨著金融行業智能化業務發展，越來越多的設備類型接入網絡，傳統依賴客戶端模式的安全防護手段無法有效適應啞終端環境，存在一定的安全隱患。北京融匯畫方科技有限公司與各大銀行深入溝通交流，提煉需求總結方案，針對性研制了一套“畫方網絡資產可視化管理系統”，構建資產動態采集、類型智能分類、精準仿冒鑒別、智能弱口令/空口令/高危端口探測等綜合能力，為金融行業內部各類設備組成的物聯網環境提供安全解決方案。

問題分析

解決方案

   基于“設備感知-智能識別-多維度核查-報告輸出”的方案思路解決上述問題，具體內容如下：

NO.1啞終端資產識別與歸類

    聯網終端的采集與識別歸類，將區分已管控的計算機和未防護的啞終端設備，找出脫離當前管控的計算機。

NO.2啞終端仿冒鑒別

    仿冒的行為由淺入深：仿冒IP、仿冒IP/MAC、仿冒IP/MAC/PORT，甚至仿冒對外服務和端口等相對比較深的仿冒行為。系統的鑒別策略，同樣具備對應等級的仿冒鑒別策略，由簡單的IP/MAC綁定、MAC/PORT綁定以及TCP端口綁定等多元素綁定策略，同時也具備深度指紋詢問回應檢測機制，具備普適性，適用于各種啞終端設備，很好的解決了啞終端被仿冒的識別鑒別管理。

NO.3啞終端弱口令及漏洞探測

    系統內嵌多種協議探測獲取，與上傳的弱口令庫進行碰撞，從而檢索出弱口令信息。具備漏洞掃描服務，對啞終端進行高危漏洞、威脅情況、POC掃描等感知漏洞。同時可以與現有漏掃系統聯動，基于現網中已有漏洞掃描結果進行安全狀態呈現與處置控制。

NO.4啞終端線上申請自動流程

    畫方在某行采用聯動轉發方案，無需用戶在交換機側重復配置命令，僅需利用現有radius轉發認證請求，實現啞終端線上流程化管理。

NO.5啞終端違規外聯探測

    系統基于“內發外收”方式，使用多種主動探測技術，在用戶內部網絡向啞終端發送探測數據包。若啞終端存在違規外聯行為，則會轉發該數據包，由公網取證平臺接收來自內網的數據包，產生告警并通過郵件、短信等方式通知管理員處置。

NO.6歷史溯源審計

    系統可以實時記錄終端資產接入信息、IP/MAC/端口變更信息等，并按時間順序生成一份資產入網日志，該終端何時開機、何時更換了IP地址或接入位置，何時下線都會有詳細記錄，從而幫助管理員快速分析，定位問題資產的歷史痕跡。

部署方案

方案優勢

    總之，在數字化轉型不斷推進、金融科技快速發展的背景下，金融行業面臨著越來越復雜且嚴峻的安全挑戰。解決啞終端安全問題刻不容緩，需要各方共同努力，為此，畫方科技加強技術研發和創新，利用“畫方網絡資產可視化管理系統”為金融行業的啞終端安全提供了有力的保障。