随着网络越来越复杂，资产迅速变化，现有流量型产品难以进行统筹管理。如何对分散在网络各处的服务器进行集中监测，以及如何应对安全策略、恶意代码、补丁升级等安全相关事项，实现集中管控成为了亟待解决的事项。

何为"集中管控"

等保2.0在三级以上安全要求中明确提出了集中管控的要求，包括是否使用了加密的方式进行远程管理，是否部署了综合网管系统、综合审计系统、集中防病毒系统、补丁管理系统，集中的安全事件识别、报警和分析系统等等。

那么"集中管控"具体含义是什么呢？"集中"是指通过集合IT资产安全基础信息、系统风险检测等安全信息，进行统一配置，从而达到降低成本、高效管理。"管"代表"可管"，旨在通过构建集中管控、最小权限管理与三权分立的管理平台，为管理员创建一个工作平台，使其可以进行安全策略管理，从而保证信息系统安全可管。控，即"可控"，是指以访问控制技术为核心，实现主体对客体的受控访问，保证所有的访问行为均在可控范围之内进行，在防范内部攻击的同时有效防止了从外部发起的攻击行为。

在此背景下，不少企业机构都在联合各安全厂商按照等保的合规要求进行安全建设，其中一家大型综合类证券公司（后文简称D证券公司）在等保2.0"集中管控"建设方面做出了最佳实践，为业界提供了宝贵的借鉴经验。

最佳实践案例

证券行业存在着主机数量庞大且分布广泛、操作系统种类多、网络拓扑结构复杂等特点。为帮助D证券公司应对复杂的安全挑战，并满足国家及行业的合规要求，青藤云安全为其提供了一个有效的集中管控解决方案。

面临挑战

对一个庞大的IT系统来说，要保持其安全是一项艰巨的任务。D证券公司有数千台服务器同时运作，之前该公司采用的安全策略，虽能一定程度上降低安全风险，但在多台服务器同时遭受攻击时也不免狼狈，无法兼顾。

项目背景

D证券公司是国内首批综合类证券公司，公司总资产、净资产、净资本等多项主要经营指标连续多年位居十大券商行列。该证券公司旗下主机数量多达4000多台，应用类型更是复杂，如何对各类主机资产进行集中管理和监控是该公司数字化转型中亟需解决问题。

实践分析

D证券公司通过部署青藤Agent对所有主机进行管理。整体部署方案采用独立部署的方式，安全管理平台部署在4台服务器集群上，能够支撑5000台Agent。青藤的核心平台架构，主要由Agent，Engine，Console三部分构成，为集中管控提供基础的、灵活的、稳固的核心能力支持。

青藤的核心平台架构，主要由Agent，Engine，Console三部分构成，为集中管控提供基础的、灵活的、稳固的核心能力支持。

项目亮点

1、主机资产集中管控，直观掌握系统风险

青藤集中管控解决方案，通过在主机上安装Agent，可在15s内快速构建资产结构，并支持与CMDB 系统关联，有效补充缺失的数据，提高管理者对整体资产的把控能力。

2、安全自动化管理，大幅提升工作效率

在资产清点基础上，青藤集中管控解决方案提供多种安全运维自动化工具，包括批量安全漏洞检测工具，安全事件应急处置工具，密码泄露范围检测工具等。通过丰富灵活的工具实现自动化管理，还可以接入用户自有工作流系统，根据执行结果自动分发工作任务，大幅提升安全运维工作效率。

3、全面满足等保2.0合规要求

等保2.0新标准发布在即，与之前的等级保护标准相比，等保2.0在等级保护对象、等级保护内容、测评对象、测评依据方面都有所调整。在新标准中，特别提出了对集中管控的要求。青藤集中管控解决方案能满足等保2.0在"安全管理中心"部分提出的集中管控合规要求。