(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112003862A(43)申请公布日2020.11.27(21)申请号202010860336.0(22)申请日2020.08.24(71)申请人迈普通信技术股份有限公司地址610041四川省成都市高新区天府三街288号1栋15-24层(72)发明人宗润(74)专利代理机构北京超凡宏宇专利代理事务所(特殊普通合伙)11463代理人蒋姗(51)Int.Cl.H04L29/06(2006.01)H04L29/12(2006.01)H04L12/24(2006.01)权利要求书2页说明书10页附图2页(54)发明名称终端安全防护方法、装置、系统及存储介质(57)摘要本申请提供一种终端安全防护方法、装置、系统及存储介质，涉及网络安全技术领域。所述系统包括控制器和接入设备，所述应用于控制器的方法包括：获取终端的终端信息；基于终端信息向接入设备发送安全扫描任务；通过接入设备基于安全扫描任务对终端进行安全扫描，获得终端的安全扫描结果；基于安全扫描结果生成防护配置信息，并向接入设备发送防护配置信息；基于防护配置信息对接入设备进行防护配置。该方法通过设备及终端的发现配合接入设备进行边缘分布式扫描实现终端风险的发现和监控，实现了风险入口的实时防护，提高了终端安全防护的安全性。CN112003862ACN112003862A权利要求书1/2页1.一种终端安全防护方法，其特征在于，应用于终端安全防护系统中的控制器，所述终端安全防护系统包括控制器和接入设备，所述接入设备分别与所述控制器以及多个终端连接，所述方法包括：获取所述终端的终端信息；基于所述终端信息向所述接入设备发送安全扫描任务；通过所述接入设备基于所述安全扫描任务对所述终端进行安全扫描，获得所述终端的安全扫描结果；基于所述安全扫描结果生成防护配置信息，并向所述接入设备发送所述防护配置信息；基于所述防护配置信息对所述接入设备进行防护配置。2.根据权利要求1所述的方法，其特征在于，所述获取所述终端的终端信息，包括：基于链路层发现协议采集所述终端安全防护系统所在网络中所有设备的设备信息，所述设备信息包括所述所有设备与所述接入设备的连接关系；基于所述设备信息采集所述所有设备的转发数据库表信息和地址解析协议表信息，并基于所述转发数据库表信息和上述地址解析协议表信息获取所述终端信息。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：接收所述终端上报的转发数据库表变化信息和地址解析协议表变化信息；基于所述转发数据库表变化信息和所述地址解析协议表变化信息更新所述终端的终端信息。4.根据权利要求1所述的方法，其特征在于，所述基于所述终端信息向所述接入设备发送安全扫描任务，包括：基于所述终端信息生成所述安全扫描任务，所述安全扫描任务包括所述终端的互联网协议地址、媒体存取控制地址和接入端口信息中的至少一种；通过指定协议将所述安全扫描任务发送至所述接入设备，所述指定协议包括简单网络管理协议和网络配置协议。5.根据权利要求4所述的方法，其特征在于，所述通过所述接入设备基于所述安全扫描任务对所述终端进行安全扫描，包括：控制所述接入设备基于所述安全扫描任务启动指定安全扫描软件；控制所述接入设备通过所述安全扫描软件，基于接入端口信息通过所述终端的接入接口对所述终端进行安全扫描。6.根据权利要求1所述的方法，其特征在于，所述基于所述安全扫描结果生成防护配置信息，并向所述接入设备发送所述防护配置信息，包括：基于安全特征库对所述安全扫描结果进行分析，获得风险列表信息；基于所述风险列表信息和防护策略生成所述防护配置信息；通过指定协议将所述防护配置信息发送至所述接入设备，所述指定协议包括简单网络管理协议和网络配置协议。7.根据权利要求1-6中任一项所述的方法，其特征在于，所述所有设备配置有简单网络管理协议或网络配置协议。8.一种终端安全防护装置，其特征在于，应用于终端安全防护系统中的控制器，所述终2CN112003862A权利要求书2/2页端安全防护系统还包括接入设备，所述接入设备分别与控制器以及多个终端连接，所述控制器包括：终端信息获取模块，用于获取所述终端的终端信息；安全扫描任务发送模块，用于基于所述终端信息向所述接入设备发送安全扫描任务；安全扫描模块，用于通过所述接入设备基于所述安全扫描任务对所述终端进行安全扫描，获得所述终端的安全扫描结果；防护配置发送模块，用于基于所述安全扫描结果生成防护配置信息并向所述接入设备发送所述防护配置信息；配置模块，用于基于所述防护配置信息对所述接入设备进行防护配置。9.一种终端安全防护系统，其特征在于，所述终端安全防护系统包括控制器和接入设备，所述接入设备分别与所述控制器以及多个终端连接；所述控制器用于获取所述