360天擎终端安全管理系统产品白皮书.pdf
《360天擎终端安全管理系统产品白皮书.pdf》由会员分享,可在线阅读,更多相关《360天擎终端安全管理系统产品白皮书.pdf(25页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、360360 天擎终端安全管理系统天擎终端安全管理系统产品白皮书产品白皮书北京奇虎科技有限公司目录目录一.引言.1二.天擎终端安全管理系统介绍.3产品概述.3设计理念.3产品架构.4产品优势.4完善的终端安全防御体系.5强大的终端安全管理能力.5良好的用户体验与易用性.6顶尖的产品维护服务团队.6主要功能.6(安全趋势监控.6安全运维管理.7恶意软件防护.7终端软件管理.8外设与移动存储管理.9 XP 防护.9硬件资产管理.14企业软件统一管理.14;终端流量管理.15终端准入管理.15远程技术支持.15日志报表查询.16边界联动防御.16典型部署.16小型企业解决方案.16中型企业解决方
2、案(可联接互联网环境).17中型企业解决方案(隔离网环境).18大型企业解决方案.19三.产品价值.21自主知识产权,杜绝后门隐患.21解决安全问题,安全不只合规.21强大管理能力,提高运维效率.21灵活扩展能力,持续安全升级.21四.服务支持.22.五.总结.22一一.引言引言随着 IT 技术的飞速发展以及互联网的广泛普及,各级政府机构、组织、企事业单位都分别建立了网络信息系统。与此同时各种木马、病毒、0day 漏洞,以及类似 APT 攻击这种新型的攻击手段也日渐增多,传统的病毒防御技术以及安全管理手段已经无法满足现阶段网络安全的需要,主要突出表现在如下几个方面:1.11.1、终端木马、病毒
3、问题严重终端木马、病毒问题严重目前很多企事业单位缺乏必要的企业级安全软件,导致终端木马、病毒泛滥,而且由于终端处于企业局域网内,造成交叉感染现象严重,很难彻底清除某些感染性较强的病毒。这类病毒、木马会导致终端运行效率降低,对文件进行破坏,或者会把一些敏感信息泄露出去。同时,很多企业网络安全缺乏统一的安全管理,企业内部终端用户安装的安全软件各不相同,参差不齐,导致安全管理员很难做到统一的安全策略下发及执行。1.21.2、无法有效应对无法有效应对 APTAPT 攻击的威胁攻击的威胁APT(Advanced Persistent Threat)攻击是一类特定的攻击,为了获取某个组织甚至是国家的重要信
4、息,有针对性的进行的一系列攻击行为的整个过程。APT 攻击利用了多种攻击手段,包括各种最先进的黑客技术和社会工程学方法,一步一步的获取进入组织内部的权限。APT 往往利用组织内部的人员作为攻击跳板。有时候,攻击者会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。此外,APT 攻击具有持续性,有的甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段,以及在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报。更加危险的是,这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行,包括能源、电力、金融、国防等关系到国计民生,或者是国家核心利益的网络基础设施。同时,很多攻
5、击行为都会利用0day 漏洞进行网络渗透和攻击。此时由于没有现成的样本,所以传统的基于特征检测的入侵防御系统,以及很多企业的安全控管措施和理念已经很难有效应对 0day 漏洞以及 APT 攻击的威胁了。1.31.3、违规终端接入问题严重违规终端接入问题严重企业的内网往往承载着企业重要信息的传递,存储着大量的企业财务、客户、人力资源等信息,这些都是企业需要重点保护的核心资产。但由于很多企业对于终端准入并没有做限制,私人 PC 或外来终端设备可以轻易的接入企业内网获取企业内部信息。尤其在当今网络无边界的趋势之下,通过私设无线路由,手机、Pad 等移动终端也可以轻松的接入企业内网。同时,由于缺乏统一
6、的管控和审计,如果发生企业信息泄露,很难做到追踪溯源。这对于企业数据安全是极大的危害。1.41.4、企业终端违规软件难以管控企业终端违规软件难以管控企业员工在企业终端上私自安装的盗版软件、来源不明的下载软件很可能被黑客植入病毒或木马,用以窃取企业内部信息或导致企业IT 系统崩溃。另外,很多企业规定员工不得安装某些违规软件,例如聊天软件、P2P 软件等,但却无法进行管控,私装现象严重。并且企业没有量身定制的自定义软件商店,无法保证软件的下载来源可靠。1.51.5、终端漏洞不能及时修复终端漏洞不能及时修复黑客攻击和大部分病毒都会利用到操作系统和一些常用软件的漏洞。而计算机操作人员对操作系统漏洞的补
7、丁修复意识淡薄,很多人根本不知道自己的系统存在漏洞并应及时安装补丁,这为病毒的广泛生存提供了温床,就使网络内的设备安全受到很大的威胁。如果企业使用单机版的安全软件修复漏洞,就只能靠管理员逐台电脑打补丁,不仅耗费管理员的时间,还大量占用企业网络的带宽和设备资源,企业信息网络的正常运行受到极大的影响。要确保及时的修复漏洞,不被木马和病毒利用,同时又要确保合理有效的使用带宽资源,就需要安全软件能够帮助管理员进行统一的漏洞管理和集中修复。1.61.6、终端安全状况需要统一管控终端安全状况需要统一管控如果一个企业缺乏统一的终端安全管理,就无法全面了解和监控企业内网安全状况,一旦终端被感染病毒威胁或遭受恶
8、意入侵,网络管理员很难及时发现并解决问题;某个终端不安全的配置和策略会导致企业网络中出现漏洞,从而成为整个网络安全中的短板。假如有企业内部员工使用从外部网络中下载的文件,而这些文件又被植入了病毒或木马,黑客就极有可能通过该主机进入企业内部网络,进而通过嗅探、破解密码等方式对内部的关键信息或敏感数据进行收集,或以该主机为“跳板”对内部网络的其他主机进行攻击,影响企业的正常运行,甚至导致企业核心数据外泄。监控终端面临病毒黑客攻击的状况,及时发现隐患并报警,统一正确配置安全策略,可以极大的提高整个企业网络安全的水平,避免短板出现。针对以上问题,北京奇虎科技有限公司推出了“360 天擎终端安全管理系统
9、”(以下简称天擎),来为用户解决终端安全和统一管理等一系列安全需求。二二.天擎终端安全管理系统介绍天擎终端安全管理系统介绍2.12.1产品概述产品概述天擎是奇虎 360 面向政府、军队、金融、制造业、医疗、教育等大型企事业单位推出的以安全防御为核心、以运维管控为重点、以可视化管理为支撑、以可靠服务为保障的全方位终端安全解决方案。为用户构建能够有效抵御已知病毒、0day 漏洞、未知恶意代码和APT 攻击的新一代终端安全防御体系,并提供企业安全统一管控、终端硬件准入、软件准入、上网行为管理等诸多管理类功能。并且承诺在2014 年 4 月微软停止免费主流支持服务之后依然向天擎产品用户提供 windo
10、ws XP 补丁和安全更新。2.1.12.1.1设计理念设计理念信息收集信息收集天擎终端可以收集终端上的各种安全状态信息,包括:漏洞修复情况、病毒木马情况、危险项情况、以及各种软硬件情况等。这些安全状态信息会汇集到服务器端的控制中心,使管理员全面了解网内所有终端的安全情况、硬件状态以及软件安装情况等。立体防护立体防护天擎具有漏洞修复、病毒木马查杀、黑白名单、硬件准入、软件准入、上网行为管理等多样化的防护手段,从准入、防黑加固、病毒查杀、软件和上网行为控制等多个层次,为企业构建立体防护网,确保企业终端安全。集中管控集中管控天擎控制中心为管理员提供了统一修复漏洞、统一杀毒、统一升级、上网管理、软件
11、统一分发卸载等多种管理功能,管理员可以通过控制台直接对网内所有终端进行统一管控。2.22.2产品架构产品架构天擎终端安全管理系统包括安全控制中心和客户端两层。第一层:安全控制中心安全控制中心,是天擎的核心,部署在服务器端,有两大功能:一方面提供了管理台,采用B/S 架构,管理员可以随时随地的通过浏览器打开访问,对天擎进行管理和控制。主要有设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等。另一方面,提供了系统运维的基础服务,如:云查杀服务、终端升级服务、数据服务、通讯服务等。第二层:客户端客户端部署在需要被保护的服
12、务器或者终端,执行最终的木马病毒查杀、漏洞修复等安全操作。并与安全控制中心通信,提供控制中心管理所需的相关数据信息。2.32.3产品优势产品优势360 天擎终端安全与管理系统的核心价值在于对终端安全的防护与管理。奇虎 360 公司经过多年的投入与积累,沉淀下了多项针对终端安全防御的技术,这些技术在整个安全行业领域内都具有独创性与先进性,多项技术已经达到国际一流水平,并领先其他欧美企业的同类产品。目前360 杀毒软件是国内唯一包揽AV-C、AV-TEST、VB100、CheckMark、ICSA、OPSWAT等各大国际评测“全满贯”的杀毒软件。同时,360 公司的安全技术能力也得到了国内广大用户
13、的认可,目前在个人安全领域360 安全产品正在为超过亿 PC 端用户、亿移动端用户提供安全防护。在企业安全领域,天擎已累计为国内50 万家企业、近 800 万终端提供了安全防护及终端管理。2.3.12.3.1完善的终端安全防御体系完善的终端安全防御体系立体布防,层层防御(空间维度)立体布防,层层防御(空间维度)天擎本身具有终端安全防御,云端公有/私有云查杀的功能特性,如果与360 的另一款产品天眼威胁感知系统(部署在网络边界)相结合,便可以构成“云+端+边界”的整体防御体系。通过在网络边界、终端系统部署查杀设备与查杀软件,同时结合云端查杀的多点立体布防,可实现对已知病毒及恶意代码、未知病毒及恶
14、意代码、利用已知漏洞和 0day 漏洞(未知漏洞)发起的攻击渗透、乃至利用上述技术手段发起的APT 攻击行为进行深度检测与精确阻断。从空间维度上做到立体布防,层层防御。动静结合、全程查杀(时间维度)动静结合、全程查杀(时间维度)360 天擎终端安全管理系统采用动静结合的多层次、全生命周期的病毒防御体系。结合了传统本地查杀引擎、360 公有云查杀引擎、QVM-II 机器学习查杀引擎、主动防御技术、沙箱技术、非白即黑的白名单策略等高级病毒查杀与防御技术,对病毒及恶意代码从进入网络、终端落地、运行时等生命周期的不同阶段进行多层过滤、动静结合、全程查杀。2.3.22.3.2强大的终端安全管理能力强大的
15、终端安全管理能力360 天擎终端安全管理系统集成了强大的终端安全管理功能,可以方便用户通过 360 天擎终端安全管理系统对内网终端进行高效管理。通过360 在桌面管理方面的多年积累与沉淀,360 天擎可以提供补丁分发、终端流量管理、终端系统优化、终端系统加速、终端垃圾清理、终端蓝屏修复、终端硬件资产与状态监控、终端体检、终端升级、终端系统修复、终端软件管理、企业级软件商店等几十个安全管理功能,使系统具备国际一流的终端安全管理水平。上述功能每天被国内超过4 亿用户使用,通过了稳定性、性能方面的全面考验,并在持续不断的进行创新与改进。2.3.32.3.3良好的用户体验与易用性良好的用户体验与易用性
16、得益于互联网行业的企业基因,360 的所有产品在产品易用性与用户体验方面得到了国内个人用户以及企业用户的一致认可,360 天擎终端安全管理系统在产品易用性方面要求极其苛刻,绝大多数功能设计都要求一键完成,包括:一键加速、一键清理、一键修复、一键升级、一键体检等等,具备灵活的分组管理,批量策略下发、分时扫描、终端强制控制、软件静默安装、一对一远程协助等易用功能,从产品设计到开发过程中全面贴合企业及管理员的安全管理需求,最大程度降低用户安全管理运维成本,提高用户的工作效率。2.3.42.3.4顶尖的产品维护服务团队顶尖的产品维护服务团队为了给客户提供有保障的可靠服务,为用户切实解决安全问题,360
17、 打造了一支顶尖的产品与安全服务团队,整个产品与安全服务团队采用金字塔形架构,共分三层:第一层:产品远程支持、现场问题排查团队,这个团队人数众多,其中一对一服务就多达 400 人,724 小时待命,采取电话支持,登门服务等方式,为用户解决产品使用、配置方面的一般性问题。第二层:技术工程师支持团队,这个团队人数将近50 人,均为 360 天擎开发的各模块负责人、开发人员组成,这支团队主要对用户现场出现的各种由于产品Bug 导致的产品问题进行现场代码级排查、定位与解决。第三层:安全专家服务团队,这个团队人数大约 20 人,均由国内知名的安全研究人员、安全咨询专家组成,可以对用户现场发生的各种攻击行
18、为进行现场应急处理、恢复与加固,并能对用户的安全建设提出合理化建议。2.42.4主要功能主要功能2.4.12.4.1安全趋势监控安全趋势监控支持全网一键体检,帮助管理员发现全网内漏洞、木马、插件、系统危险项、安全配置项、未知文件等的威胁数量和危险终端数量。支持终端状况展现,帮助管理员对全网不健康终端、亚健康终端、健康终端进行统计。支持安全动态跟踪,帮助管理员了解全网内漏洞补丁的修复状况。支持威胁趋势分析,帮助管理员全面了解企业内终端危险项、木马、病毒、漏洞、新增文件等的发展趋势。2.4.22.4.2安全运维管理安全运维管理支持对终端升级、漏洞修复、木马查杀、插件清理、系统危险项等的全局管理以及
19、分组管理,支持安全策略分组下发,帮助管理员管理复杂的多层次网络以及多部门组织架构。支持一对一远程协助功能,终端用户可以直接向360 客服求助,帮助管理员分担支持压力。支持网络准入管理,禁止没有按要求安装天擎终端安全管理系统、存在安全问题的终端、或者外来非法终端接入企业网络,帮助管理员保证入网终端合规,防止非法终端入侵网络,给企业业务系统造成破坏。同时,随着病毒的大量出现(360 公司的病毒库已达 60 亿),传统的本地病毒库已经过于庞大,甚至无法在本地加载绝大多数的病毒特征库,这严重地影响了终端性能和病毒检出率。天擎支持公有/私有云查杀技术,帮助管理员解决本地查杀的性能瓶颈,提高病毒检出率,减
20、少误报率和漏报率。2.4.32.4.3恶意软件防护恶意软件防护360 天擎支持对蠕虫病毒、恶意软件、广告软件、勒索软件、引导区病毒、BIOS 病毒的查杀,这依赖于 QVM 人工智能引擎、云查杀引擎、AVE(针对可执行文件的引擎)、QEX(针对非可执行文件的引擎)等多引擎的协同工作。360杀毒采用了五大领先防杀引擎,包括360自主研发的360云查杀引擎、系统修复引擎、QVM 二代人工智能引擎和国际知名的小红伞引擎、BitDefender 引擎。QVM 二代人工智能引擎通过人工智能分析算法,学习和认识新形式恶意软件,通过在海量病毒样本数据中归纳出一套智能算法来发现和学习病毒变化规律。它无需频繁更新
21、特征库、无需分析病毒静态特征、无需分析病毒行为,但是病毒检出率却远远超过了传统查杀引擎的总和,而且查杀速度比传统引擎至少快一倍。360 云查杀建立在云端庞大的黑白名单数据库基础上,病毒检出率高,系统资源占用低。通过使用云端的黑白名单验证的方法,可以最大限度的保护数据安全。截至目前,360 杀毒具备二十亿以上的黑名单库和四亿的黑名单库,每天黑白名单库都在以百万级的数量在增长。360 天擎的主动防御功能可以防御未知病毒、未知威胁和0-Day 攻击。360 主动防御是基于程序行为自主分析判断的实时防护技术,不以病毒的特征码作为判断病毒的依据,而是从最原始的病毒定义出发,直接将程序的行为作为判断病毒的
22、依据。360 主动防御解决了传统安全软件无法防御未知恶意软件的弊端,从技术上实现了对木马和病毒的主动防御。在实现机制上可以对文件访问、进程创建、注册表读写、网络 IP 请求、设备加载完成主动防御拦截。在隔离网环境下,360 的云查杀优势无法很好的体现,病毒查杀率将降低,因此360 为隔离网企业用户准备了企业私有云的解决方案。通过在隔离网部署企业私有云,病毒查杀效果与客户端联网时没有差别。企业私有云属于360 天擎终端安全管理系统的可选组件。2.4.42.4.4终端软件管理终端软件管理当今恶意软件从传统的“感染”和“恶作剧”演变成具有政治意义和经济利益的催化剂,如何更加有效的检测和识别是最具挑战
23、性的问题之一,应用程序控制机制应运而生。通过采用应用程序文件白名单机制,对不处于白名单中的应用程序和文件判定为“黑名单”或者“灰名单”,有效控制恶意软件的渗透和快速传播。360 天擎提供了自动、半自动和手动的应用程序控制机制。自动化应用控制机制基于云端信誉库,客户端在运行应用程序时事先向云端验证该文件是否为可信。半自动应用程序控制基于客户端对应用程序的识别并向控制中心上报必要的系统、应用程序的动态链接库文件、可执行文件,管理员基于文件签名、文件路径判断该文件是否可信。手动应用程序控制采用文件加白机制,对应用程序文件提前抽取和判断并加白,补充到控制中心文件信誉库中,对企业全网其他客户端均生效。2
24、.4.52.4.5外设与移动存储管理外设与移动存储管理由于外设是 PC 使用者获得第三方数据的主要入口,那么通过对其获得渠道的约束,使那些具有危险性的文件,不会由于拷贝到PC 上,而感染一个乃至网络范围内的PC,从安全性上有了基本保证。PC 外设常见的有 U 盘、移动硬盘、光驱、软驱、打印机、扫描仪,以及数码设备等,这些设备为我们日常的工作带来了极大的方便,但对于PC 数量众多的企事业用户而言,众多外设的使用,在带来工作便利的同时,也带来管理上的难度。因此,一套完整严密的外设管理措施,对于企事业IT 运维显得尤为重要。360 天擎采用策略化的外设管理模式。管理员统一定义出针对不同类别外设的多个
25、策略,一个策略可以包括多种类型设备的控制,使管理策略更有针对性。支持硬件准入管理,可帮助管理员对终端的 USB 存储设备进行可读写、只读和禁用权限设置,以及对光驱、1394、蓝牙、串口、并口、PCMCIA 卡、手机与平板、VPN 等其他外接设备进行禁用管理。2.4.62.4.6XPXP 防护防护为了彻底解决微软停止 Windows XP 系统服务带来的安全威胁,根除Windows XP 漏洞因无法修复带来的危害,同时又全面满足各大企业、金融、能源、军队中已经部署的大量应用和对应用运行稳定型、持续性的要求,360 在设计技术方案的时候,始终坚持、贯彻如下的设计原则:第一,以修复操作系统自身设计机
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 360 终端 安全管理 系统 产品 白皮书
限制150内