办公智盾
来源:
办公智盾.xmind办公智盾产品白皮书-01.docx办公智盾招标参数_191307.docx大模型时代下办公安全解决方案-徐富豪-20250414_102342.docx- 网络安全整体结构理解图
0. 产品介绍思路
前面讲 EDR 的时候,重点是主机被攻击以后怎么发现和处置;但客户的终端安全不只有攻防问题,日常办公里还有远程接入、账号身份、设备准入、U 盘、打印、IM 外发、文件加密和水印溯源这些管理问题,所以这里就引出办公智盾。办公智盾可以理解成一个安全办公的综合管控平台,用一个平台和一个客户端,把零信任、准入、防病毒、漏洞基线、DLP、文件加密、水印、桌面管理和主机审计合起来。在等保 2.0 里,它主要对应身份鉴别、访问控制、非授权接入限制、恶意代码防范、安全审计、数据保密性和个人信息保护。功能上可以按远程接入、威胁入侵防护、商业秘密保护、桌面管理和基础平台能力来记。部署位置是管理平台放在安全管理区,客户端装在办公终端,准入盒子或一体机旁路接到交换机;部署方式有软件部署、硬件一体机、准入旁路、高可用/集群和多终端覆盖。讲完办公智盾,可以顺到最后一个数据流转问题:终端上的文件外发能管住,但业务系统之间大量数据是通过 API 流转的,这部分就需要 API 审计来看。
1. 一句话总览
办公智盾是面向办公终端的一体化安全平台:在一个平台、一个客户端里融合零信任、网络准入、防病毒、漏洞基线、主机防火墙、数据防泄漏、文件加密、水印溯源、桌面管理和主机审计,重点解决安全办公、远程接入、商密保护和终端合规问题。
通俗记忆:
办公智盾 = 管人 + 管设备 + 管访问 + 管数据 + 管桌面它不是单点 EDR。EDR 更偏攻击检测与响应,办公智盾更偏 办公终端综合管控和数据防泄漏。
2. 产品是干什么用的
办公智盾主要解决四类办公安全问题:
| 客户问题 | 产品做法 | 输出结果 |
|---|---|---|
| 远程办公和第三方访问不可信 | 身份认证、终端准入、零信任接入、动态权限回收、网络隐身 | 合法用户和合规终端才能访问业务 |
| 终端被病毒、勒索、挖矿攻击 | 防病毒、勒索防御、漏洞管理、基线检查、主机防火墙 | 终端威胁拦截、风险发现和修复 |
| 商业秘密容易外泄 | DLP、AI 文档分类、文件加密、水印追溯、网络/数据隔离 | 敏感数据可识别、可管控、可追溯 |
| 桌面资产和外设管理混乱 | 终端管理、资产登记、外设管控、主机审计、软件管家、违规外联监控 | 终端合规、桌面可管、操作留痕 |
核心价值是:把办公场景中的人、终端、应用和数据统一纳入安全管控。
3. 在等保 2.0 里哪里体现
办公智盾在等保 2.0 中主要体现于 身份鉴别、访问控制、终端接入控制、恶意代码防范、安全审计、漏洞修补、数据保密性和个人信息保护。
| 等保相关方向 | 办公智盾对应能力 | 怎么理解 |
|---|---|---|
| 身份鉴别与访问控制 | 身份与认证管理、权限管理、零信任动态鉴权 | 确认是谁在访问、是否允许访问、访问后能做什么 |
| 非授权接入限制 | 网络准入、终端环境检查、风险终端下线 | 防止私接设备、不合规终端进入内网 |
| 恶意代码防范 | 防病毒、勒索防御、漏洞管理、主机防火墙 | 阻断病毒、勒索、挖矿和常见终端威胁 |
| 安全审计 | 主机审计、应用访问日志、准入日志、管理员操作日志 | 留存终端、用户、访问和数据操作证据 |
| 数据安全与个人信息保护 | DLP、分类分级、文件加密、水印追溯、外发审批 | 保护敏感数据、商密文件和个人信息外发 |
注意边界:
Important
办公智盾偏办公终端、远程接入和数据防泄漏场景。服务器深度入侵响应可结合 EDR,网络边界防护可结合防火墙/WAF,集中日志和运营分析可结合 AiLPHA 或日志平台。
可交付材料包括:
- 终端资产清单
- 准入和访问日志
- 终端合规检查记录
- 文件外发审批和审计记录
- DLP 告警记录
- 水印溯源记录
- 漏洞修复和基线检查报告
4. 产品功能有几个大的功能模块
按 XMind 和白皮书,可以记成 5 个大功能域:
| 功能域 | 主要能力 | 作用 |
|---|---|---|
| 远程接入 | 身份认证、网络准入、权限管理、网络隐身、应用发布 | 解决谁能接入、用什么设备接入、能访问哪些应用 |
| 威胁入侵防护 | 防病毒、勒索防御、漏洞管理、基线检查、主机防火墙 | 解决办公终端被攻击、被勒索、被挖矿的问题 |
| 商业秘密保护 | DLP、集中存储扫描、AI 文档分类、文件加密、水印追溯、网络/数据隔离 | 解决敏感数据识别、外发控制和泄露后追责 |
| 桌面管理 | 主机审计、外设管控、USB 权限、上网行为管理、弹窗防护、软件管家、统一壁纸屏保 | 解决桌面资产、外设、软件和办公环境管理问题 |
| 基础平台能力 | 终端管理、权限管理、策略任务、日志告警、统计报表、高可用和集群 | 解决统一纳管、策略下发、审计报表和规模化运维 |
售前表达可以压缩成四个关键场景:
远程接入安全 + 威胁入侵防护 + 商业秘密保护 + 桌面统一管理5. 产品部署在哪里
办公智盾通常分为平台、客户端和准入设备三个部分:
- 管理平台:部署在安全运维管理区、数据中心管理区或客户提供的服务器资源上。
- 客户端:安装在办公 PC、笔记本、信创桌面、部分 Linux/macOS 终端和移动零信任终端上。
- 准入设备 / 一体机:旁路接入交换机,配合准入控制,不串接业务链路。
结合整体结构图,办公智盾主要覆盖:
- 账号 / 用户 / 角色:身份、认证、授权和审计。
- 员工远程办公:远程访问、MFA、终端状态检查。
- 企业内网接入层:办公终端、无线终端、BYOD、访客和哑终端准入。
- 终端与主机安全:办公电脑、开发测试终端、移动办公设备。
- 文件服务器 / NAS:配合 DLP、加密、水印和审计,保护非结构化敏感数据。
记忆图:
安全运维管理区
└─ 办公智盾管理平台
├─ 办公终端客户端:防病毒、DLP、加密、水印、桌管
├─ 移动/远程用户:零信任接入、身份认证、动态授权
├─ 接入交换机旁路设备:准入控制、终端识别
└─ 文件/办公数据:分类分级、外发管控、泄露溯源6. 产品部署方式有哪些
| 部署方式 | 适用场景 | 记忆点 |
|---|---|---|
| 软件部署 | 客户已有服务器、虚拟化或信创资源 | 管理控制中心部署在 Linux 环境,客户端安装在终端 |
| 硬件一体机部署 | 希望简化服务器、数据库、中间件和运维环境 | 一体机旁路接入交换机,不串接现网 |
| 准入硬件旁路部署 | 需要网络准入控制 | 准入能力需要单独硬件盒子,旁路接入交换机 |
| 高可用 / 集群部署 | 终端规模大、业务连续性要求高 | 故障时尽量保证用户访问无感 |
| 多终端覆盖 | Windows、Linux、macOS、UOS、麒麟、移动端 | 统一策略和统一客户端体验 |
平台环境要点:
- 软件部署需要用户提供服务器计算环境。
- 管理控制中心支持 Linux 环境,覆盖 X86、ARM、MIPS 等架构。
- 客户端覆盖 Windows 7/8/10/11、Linux、macOS、Kylin、UOS 等主流系统。
- 移动端零信任支持 iOS、Android、鸿蒙等场景。
7. 和 EDR 的区别
| 对比点 | 办公智盾 | EDR |
|---|---|---|
| 核心定位 | 安全办公和终端综合管控 | 终端检测与响应 |
| 重点对象 | 人、终端、应用、数据、外设、桌面 | 主机、进程、文件、漏洞、攻击行为 |
| 强项 | 零信任、准入、DLP、加密、水印、桌管 | 防病毒、勒索防御、ATT&CK 检测、隔离处置 |
| 售前切入 | 远程办公、商密保护、终端合规、数据防泄漏 | 重保/HW、勒索防御、服务器防护、主机入侵响应 |
一句话区分:
办公智盾管安全办公,EDR管主机攻防响应。8. 新人速记
办公智盾
├─ 是什么:一体化办公终端安全平台
├─ 干什么:准入、零信任、防病毒、DLP、加密、水印、桌管、审计
├─ 等保作用:身份认证、访问控制、非授权接入限制、恶意代码防范、安全审计、数据保护
├─ 功能模块:远程接入、威胁防护、商密保护、桌面管理、基础平台
├─ 部署位置:管理平台在安全管理区,客户端在办公终端,准入盒子旁路接交换机
├─ 部署方式:软件、一体机、准入旁路、高可用/集群、多终端覆盖
└─ 产品边界:更偏办公和数据外发管控,深度主机响应可配合EDR9. 一句话复述
办公智盾是安恒面向现代办公场景的一体化终端安全平台,通过统一平台和统一客户端,把身份认证、零信任接入、终端准入、防病毒、漏洞基线、DLP、文件加密、水印溯源、外设管控和桌面管理合在一起,帮助客户管住人、设备、应用和数据,适合支撑远程办公、商密保护、终端合规、数据防泄漏和等保整改场景。