终端安全检测和防御技术

2.终端可视可控技术

3.网关杀毒技术

3.1 病毒工作原理

3.2 网关杀毒

3.3 AF网关杀毒优势

3.4 SAVE引擎优势

3.5 配置思路

4.僵尸网络防护技术

4.1 异常流量检测

4.2  误判排除

5.勒索病毒防护

5.1 事前加固

5.2 事中防御

5.3 事后快速响应与处置

1.终端安全风险

对于一个企业来说，90% 以上的员工需要每天使用PC终端办公，而终端是和互联网“数据交换”的重要节点，且员工的水平参差不齐，因此企业网络中80% 的安全事件来自于终端。终端已经成为黑客的战略攻击点。

黑客攻击的目的是获取有价值的“数据”。他们控制终端以后，可以直接种植勒索病毒勒索客户，更严重的是，黑客的目标往往是那些存储着重要“数据”的服务器。受控的终端将成为黑客的跳板，黑客将通过失陷主机横向扫描内部网络，发现组织网络内部重要的服务器，然后对这些重要服务器发起内部攻击。

互联网出口实现了组织内部网络与互联网的逻辑隔离。对于内部网络接入用户来说，僵尸网络是最为严重的安全问题，黑客利用病毒木马蠕虫等等多种入侵手段控制终端，形成僵尸网络，进一步实现终端存储的信息被窃取、终端被引导访问钓鱼网站、终端被利用作为攻击跳板危害其他的各类资源等问题。

黑客可以利用僵尸网络展开更多的危害行为，如APT攻击最常采用的跳板就是僵尸网络。黑客利用僵尸网络来实现渗透、监视、窃取敏感数据等目的，危害非常大。僵尸网络的主要危害有：

1.看不见的风险

互联网应用复杂，各种病毒变种和恶意代码往往隐藏在大量的互联网应用流量当中。传统的边界防御基于静态特征检测技术，不仅存在特征库不全，更新不及时的问题，而且对于应用层的内容，缺乏有效识别技术。因此，传统的防御导致客户看不到网络中应用和应用内容，无法分别内容的好坏；也无法感知威胁，不知道PC是否中毒；即使发现中毒后，也不知道感染的影响面。整个网络对于管理员来说是不可视的，看不见风险，感知不到威胁和威胁影响面。

2.高级持续威胁

我们知道APT