必要性分析

Q1.什么是失陷設備？

失陷設備是指被攻擊者或惡意方成功入侵或取得控制的計算機設備、網絡設備、物聯網設備、工控設備或其他類型的信息技術系統。一旦設備失陷，攻擊者可能執行各種惡意活動，如竊取敏感信息、操縱設備功能、發起網絡攻擊等。

Q2.為什么要對失陷設備定位溯源處置？

失陷設備定位溯源處置作為安全事件運營的“最后一公里”，其關鍵作用不言而喻。在龐大基數的環境下，快速定位和有效溯源失陷設備顯得尤為重要。這不僅關乎到安全事件的應對效果，更直接影響到能否有效挽回損失。

Q3.如何定位溯源，存在什么問題？

失陷設備通常源自“安全系統”產出的告警信息，告警信息一般僅包括時間、事件和IP地址。需通過IP地址找到對應的終端設備、接入位置（物理位置）、責任人信息等信息，若無技術手段持續監控并記錄，將無法追溯到真正失陷設備，找不到準確目標，將無法有效處置及精準防護。

Q4.如何應急處置，存在哪些安全隱患？

這里的應急處置指的是斷開失陷設備聯網能力，隔絕其持續感染或影響網內合法資源，從問題源頭進行有效處置。傳統的隔離一般是防火墻網關形式，僅能做到“南北向”的攔截處置，失陷設備依然可以通過橫向訪問展開跳板攻擊、病毒傳播等危險行為。其次，傳統的隔離依賴客戶端軟件，僅能對已安裝客戶端軟件的失陷設備起到攔截作用，未安裝或無法安裝客戶端軟件的失陷設備無法處置，存在管控范圍缺失風險。

方案設計

畫方失陷設備定位溯源處置系統具備全量聯網設備資產庫、設備屬性動態關聯、溯源定位及鏈路層斷網處置等功能，可以解決上述問題。

（1）可以為客戶建立全量的聯網設備資產庫，全面且實時的聯網設備資產庫是定位溯源處置的前提；

（2）可以為客戶在安全事件告警后，依據時間、IP地址完成聯網設備定位、屬性關聯及歷史溯源，可以定位到真正的失陷設備、責任人、接入位置及歷史節點屬性；

（3）可以為客戶在應急響應階段，實現對失陷設備快速隔離處置，能夠做到網絡鏈路層斷網效果，使其無法橫向攻擊，從問題根源處切斷，提升整體網絡安全；

（4）支持與現有安全系統聯動，提供隔離處置接口，第三方系統可以通過此接口向系統下發指定IP斷網指令，構建發現-定位-處置-修復安全閉環。

部署設計

整體部署采用1+1+N旁路部署模式，總部旁路部署一套畫方失陷設備定位溯源處置系統及集中管理平臺，二級分支機構分別旁路部署一套畫方失陷設備定位溯源處置系統，三級分支機構無需單獨部署系統。在總部及各級分支機構需要管轄的每個網段中找一臺終端安裝軟探針，每個網段僅需一個軟探針即可滿足需求。

1+1+N的部署方式可顯著減少部署和運維的工作量，進一步增強了靈活性和可擴展性。通過合理部署軟探針，提高網絡安全性和穩定性。

方案優勢

典型案例

NO.1 XX某支隊

現狀問題：安全軟件告警勒索病毒，但無法快速鎖定終端，并有效處置

業務需求：要求配合現有安全系統，提供溯源定位能力；要求能夠對指定失陷設備斷網處置

技術：采用混合準入技術：SNMP聯動交換機、SNMP關口處置

應用價值：聯網資產精細化管理；全資產聯動，動態定位；一鍵斷網，將風險隔離在網絡之外

運維成本：運維成本低，交換機默認SNMP聯動，無需修改現有網絡配置與環境，零改動

NO.2 XX局

現狀問題：現有AT資產管理平臺，人工錄入，資產不準確，缺乏有效技術手段溯源、關聯及處置，長久管理存在資產失真問題

業務需求：要求配合現有資產管理系統，提供聯網資產及精準關聯關系；要求能夠對指定資產不準確設備斷網處置

技術：采用混合準入技術：SNIFFER監聽網段技術、SNMP聯動定位技術、旁路干擾阻斷技術

應用價值：聯網資產精細化管理；提供一鍵斷網能力，強制資產屬性準確性，增加管控能力

運維成本：運維成本低，交換機默認SNMP聯動，無需修改現有網絡配置與環境，零改動