360終端安全管理系統(tǒng)

1、- PAGE 45 -2015 360企業(yè)安全集團(tuán) 密級：完全公開PAGE 360終端安全管理系統(tǒng)標(biāo)準(zhǔn)解決方案 DATE yyyy * MERGEFORMAT 2018 360企業(yè)安全集團(tuán) 版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明外，所有版權(quán)均屬360企業(yè)安全集團(tuán)所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)360企業(yè)安全集團(tuán)的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。目 錄 | Contents TOC o 1-3 h z u HYPERLINK l _Toc445817559 一. 現(xiàn)狀及需求分析 PAGEREF _Toc44

2、5817559 h 3 HYPERLINK l _Toc445817560 1.1 應(yīng)對防不勝防的計(jì)算機(jī)病毒 PAGEREF _Toc445817560 h 3 HYPERLINK l _Toc445817561 1.2 如何落地終端安全管理制度 PAGEREF _Toc445817561 h 3 HYPERLINK l _Toc445817562 1.3 微軟停止XP補(bǔ)丁升級服務(wù)問題 PAGEREF _Toc445817562 h 4 HYPERLINK l _Toc445817563 1.4 如何減輕終端運(yùn)維工作量 PAGEREF _Toc445817563 h 4 HYPERLINK l

3、 _Toc445817564 1.5 滿足等級保護(hù)要求 PAGEREF _Toc445817564 h 5 HYPERLINK l _Toc445817565 二. 建設(shè)思路 PAGEREF _Toc445817565 h 6 HYPERLINK l _Toc445817566 2.1 建設(shè)終端病毒防御體系 PAGEREF _Toc445817566 h 6 HYPERLINK l _Toc445817567 2.2 部署終端安全管理技術(shù)措施 PAGEREF _Toc445817567 h 7 HYPERLINK l _Toc445817568 2.3 部署XP防護(hù)技術(shù)措施 PAGEREF _

4、Toc445817568 h 7 HYPERLINK l _Toc445817569 2.4 啟用統(tǒng)一運(yùn)維功能 PAGEREF _Toc445817569 h 7 HYPERLINK l _Toc445817570 2.5 滿足合規(guī)性要求 PAGEREF _Toc445817570 h 8 HYPERLINK l _Toc445817571 三. 建設(shè)方案 PAGEREF _Toc445817571 h 8 HYPERLINK l _Toc445817572 3.1 終端病毒與惡意代碼防范 PAGEREF _Toc445817572 h 8 HYPERLINK l _Toc445817573

5、3.1.1 雙病毒特征庫與雙病毒檢測引擎 PAGEREF _Toc445817573 h 9 HYPERLINK l _Toc445817574 3.1.2 360云查殺檢測引擎 PAGEREF _Toc445817574 h 9 HYPERLINK l _Toc445817575 3.1.3 惡意URL檢測引擎 PAGEREF _Toc445817575 h 11 HYPERLINK l _Toc445817576 3.1.4 QVM人工智能檢測引擎 PAGEREF _Toc445817576 h 12 HYPERLINK l _Toc445817577 3.1.5 私有云平臺（在隔離網(wǎng)使用

6、） PAGEREF _Toc445817577 h 13 HYPERLINK l _Toc445817578 3.2 落實(shí)終端安全管理技術(shù)措施 PAGEREF _Toc445817578 h 13 HYPERLINK l _Toc445817579 3.2.1 流量管理 PAGEREF _Toc445817579 h 14 HYPERLINK l _Toc445817580 3.2.2 非法外聯(lián) PAGEREF _Toc445817580 h 14 HYPERLINK l _Toc445817581 3.2.3 應(yīng)用程序安全 PAGEREF _Toc445817581 h 14 HYPERLI

7、NK l _Toc445817582 3.2.4 網(wǎng)絡(luò)安全 PAGEREF _Toc445817582 h 14 HYPERLINK l _Toc445817583 3.2.5 外設(shè)管理 PAGEREF _Toc445817583 h 14 HYPERLINK l _Toc445817584 3.2.6 移動(dòng)存儲介質(zhì)管理 PAGEREF _Toc445817584 h 15 HYPERLINK l _Toc445817585 3.2.7 硬件資產(chǎn)管理 PAGEREF _Toc445817585 h 16 HYPERLINK l _Toc445817586 3.2.8 桌面安全加固 PAGERE

8、F _Toc445817586 h 16 HYPERLINK l _Toc445817587 3.2.9 終端Agent強(qiáng)制安裝與運(yùn)行 PAGEREF _Toc445817587 h 17 HYPERLINK l _Toc445817588 3.3 XP安全加固 PAGEREF _Toc445817588 h 17 HYPERLINK l _Toc445817589 3.3.1 系統(tǒng)加固 PAGEREF _Toc445817589 h 18 HYPERLINK l _Toc445817590 3.3.2 熱補(bǔ)丁修復(fù) PAGEREF _Toc445817590 h 18 HYPERLINK l

9、_Toc445817591 3.3.3 危險(xiǎn)應(yīng)用隔離 PAGEREF _Toc445817591 h 19 HYPERLINK l _Toc445817592 3.3.4 “非白即黑”策略 PAGEREF _Toc445817592 h 19 HYPERLINK l _Toc445817593 3.4 統(tǒng)一安全運(yùn)維 PAGEREF _Toc445817593 h 20 HYPERLINK l _Toc445817594 3.4.1 補(bǔ)丁管理 PAGEREF _Toc445817594 h 20 HYPERLINK l _Toc445817595 3.4.2 系統(tǒng)自動(dòng)升級 PAGEREF _To

10、c445817595 h 20 HYPERLINK l _Toc445817596 3.4.3 軟件分發(fā) PAGEREF _Toc445817596 h 22 HYPERLINK l _Toc445817597 3.4.4 文件管理 PAGEREF _Toc445817597 h 22 HYPERLINK l _Toc445817598 3.4.5 遠(yuǎn)程協(xié)助功能 PAGEREF _Toc445817598 h 23 HYPERLINK l _Toc445817599 3.5 終端審計(jì)管理 PAGEREF _Toc445817599 h 23 HYPERLINK l _Toc445817600

11、3.5.1 安全策略審計(jì) PAGEREF _Toc445817600 h 23 HYPERLINK l _Toc445817601 3.5.2 文件操作審計(jì) PAGEREF _Toc445817601 h 23 HYPERLINK l _Toc445817602 3.5.3 打印審計(jì)與控制 PAGEREF _Toc445817602 h 24 HYPERLINK l _Toc445817603 3.5.4 郵件記錄審計(jì) PAGEREF _Toc445817603 h 24 HYPERLINK l _Toc445817604 3.6 終端綜合評估 PAGEREF _Toc445817604 h

12、24 HYPERLINK l _Toc445817605 3.6.1 配置脆弱評估 PAGEREF _Toc445817605 h 24 HYPERLINK l _Toc445817606 3.6.2 數(shù)據(jù)價(jià)值評估 PAGEREF _Toc445817606 h 24 HYPERLINK l _Toc445817607 3.6.3 淪陷跡象評估 PAGEREF _Toc445817607 h 25 HYPERLINK l _Toc445817608 3.7 符合等級保護(hù)要求 PAGEREF _Toc445817608 h 25 HYPERLINK l _Toc445817609 3.7.1 策

13、略下發(fā) PAGEREF _Toc445817609 h 25 HYPERLINK l _Toc445817610 3.7.2 終端版本統(tǒng)一監(jiān)控 PAGEREF _Toc445817610 h 26 HYPERLINK l _Toc445817611 3.8 方案優(yōu)勢 PAGEREF _Toc445817611 h 27 HYPERLINK l _Toc445817612 3.8.1 完善的終端安全防御體系 PAGEREF _Toc445817612 h 27 HYPERLINK l _Toc445817613 3.8.2 強(qiáng)大的終端安全管理能力 PAGEREF _Toc445817613 h

14、28 HYPERLINK l _Toc445817614 3.8.3 良好的用戶體驗(yàn)與易用性 PAGEREF _Toc445817614 h 28 HYPERLINK l _Toc445817615 四. 非功能性設(shè)計(jì) PAGEREF _Toc445817615 h 29 HYPERLINK l _Toc445817616 4.1 系統(tǒng)兼容性 PAGEREF _Toc445817616 h 29 HYPERLINK l _Toc445817617 4.2 硬件平臺要求 PAGEREF _Toc445817617 h 29 HYPERLINK l _Toc445817618 4.3 系統(tǒng)容災(zāi) P

15、AGEREF _Toc445817618 h 30 HYPERLINK l _Toc445817619 五. 部署實(shí)施 PAGEREF _Toc445817619 h 31 HYPERLINK l _Toc445817620 六. 售后維護(hù)服務(wù) PAGEREF _Toc445817620 h 33 HYPERLINK l _Toc445817621 6.1 售后服務(wù)組織機(jī)構(gòu)-客戶服務(wù)中心 PAGEREF _Toc445817621 h 33 HYPERLINK l _Toc445817622 6.2 售后服務(wù)內(nèi)容 PAGEREF _Toc445817622 h 35 HYPERLINK l _

16、Toc445817623 6.3 售后服務(wù)手段 PAGEREF _Toc445817623 h 35 HYPERLINK l _Toc445817624 6.4 售后服務(wù)流程 PAGEREF _Toc445817624 h 36 HYPERLINK l _Toc445817625 6.5 顧客檔案管理-服務(wù)管理系統(tǒng) PAGEREF _Toc445817625 h 38 HYPERLINK l _Toc445817626 6.6 服務(wù)響應(yīng)時(shí)間 PAGEREF _Toc445817626 h 39 HYPERLINK l _Toc445817627 七. 效益分析 PAGEREF _Toc4458

17、17627 h 41 HYPERLINK l _Toc445817628 7.1 安全源自實(shí)踐，安全不只合規(guī) PAGEREF _Toc445817628 h 41 HYPERLINK l _Toc445817629 7.2 持續(xù)安全升級，力助系統(tǒng)過渡 PAGEREF _Toc445817629 h 41 HYPERLINK l _Toc445817630 7.3 強(qiáng)大管理能力，提高運(yùn)維效率 PAGEREF _Toc445817630 h 41 HYPERLINK l _Toc445817631 7.4 自主知識產(chǎn)權(quán)，杜絕后門隱患 PAGEREF _Toc445817631 h 41現(xiàn)狀及需求分

18、析隨著計(jì)算機(jī)網(wǎng)絡(luò)及信息化系統(tǒng)的建設(shè)，XXX建設(shè)了全面覆蓋的網(wǎng)絡(luò)信息化系統(tǒng)，成為信息系統(tǒng)辦公、管理的數(shù)字中樞，促進(jìn)了業(yè)務(wù)系統(tǒng)的現(xiàn)代化辦公管理、提高了工作效率。XXX全網(wǎng)共有各類PC終端XX多臺，具有客戶端點(diǎn)數(shù)目多、分布距離遠(yuǎn)、內(nèi)部安全性要求高等特點(diǎn)。應(yīng)對防不勝防的計(jì)算機(jī)病毒隨著信息技術(shù)的不斷發(fā)展，XXX業(yè)務(wù)的運(yùn)作越來越依賴于計(jì)算機(jī)，而目前防不勝防的計(jì)算機(jī)病毒給XXX計(jì)算機(jī)終端的正常運(yùn)行造成了較大的威脅。隨著病毒的大量出現(xiàn)，僅360公司一家安全企業(yè)，到目前為止就已經(jīng)積累了25億+的病毒樣本，如果算上未經(jīng)去重的病毒樣本，已發(fā)現(xiàn)的病毒樣本已經(jīng)遠(yuǎn)遠(yuǎn)超過了25億的規(guī)模，而目前大多數(shù)的終端殺毒軟件，受本地存

19、儲資源的限制，本地病毒特征庫的規(guī)模大約在1000萬 1500萬左右，這個(gè)數(shù)字只占不到25億+已發(fā)現(xiàn)病毒樣本的1%，依靠1%的病毒庫去檢測網(wǎng)絡(luò)中肆虐的病毒，這說明傳統(tǒng)的本地病毒庫的查殺方式已經(jīng)無法滿足對已知病毒的查殺要求。為了應(yīng)對層出不窮的計(jì)算機(jī)病毒，XXX需要引入一套終端安全管理軟件，包含技術(shù)先進(jìn)的網(wǎng)絡(luò)版防病毒功能，可通過云端的海量計(jì)算資源與海量存儲資源滿足對數(shù)十億病毒進(jìn)行100%查殺的防病毒需求。如何落地終端安全管理制度為了更好的管理好終端，XXX制定了相應(yīng)的終端安全管理制度，但目前終端安全管理制度的控制點(diǎn)缺乏有效的技術(shù)執(zhí)行措施，僅僅依靠終端使用者的自覺性是很難落實(shí)相應(yīng)的管理制度的，主要存在

20、的問題有：USB無線路由屢禁不止：在辦公電腦上使用USB無線路由，使終端暴露在不可控的無線網(wǎng)絡(luò)空間，不受控的智能終端或其他無線設(shè)備可以任意接入XXX辦公網(wǎng)，造成極大的安全隱患。USB移動(dòng)存儲及各種外設(shè)濫用：在辦公電腦上任意接入U(xiǎn)SB移動(dòng)存儲，給XXX內(nèi)網(wǎng)帶來很大的惡意代碼感染風(fēng)險(xiǎn)，藍(lán)牙、紅外等外設(shè)接口的濫用，也帶來非法外聯(lián)的風(fēng)險(xiǎn)。隨意安裝和運(yùn)行各種軟件：通常終端使用者都具有操作系統(tǒng)本地管理員權(quán)限，可以任意安裝運(yùn)行各種娛樂、盜版軟件，給XXX帶來了聲譽(yù)風(fēng)險(xiǎn)及版權(quán)風(fēng)險(xiǎn)。任意使用帶寬資源導(dǎo)致網(wǎng)絡(luò)擁塞：雖然XXX在網(wǎng)絡(luò)邊界部署了流量控制設(shè)備，制定了帶寬限制策略，但無法實(shí)現(xiàn)基于應(yīng)用的流量限制，內(nèi)網(wǎng)依然存

21、在P2P軟件占用帶寬，影響正常辦公的情況。隨意更改主機(jī)信息：終端使用者可隨意更改主機(jī)名、IP地址、MAC地址等信息，對資產(chǎn)管理、網(wǎng)絡(luò)審計(jì)等方面造成不便。為了貫徹XXX終端安全管理規(guī)范，本次引入的終端安全管理軟件還應(yīng)具備桌面管理功能，可從技術(shù)措施上落實(shí)終端安全控制點(diǎn)，有效減少終端安全風(fēng)險(xiǎn)。微軟停止XP補(bǔ)丁升級服務(wù)問題在微軟公司于2014年4月1日以后停止其Windows XP操作系統(tǒng)補(bǔ)丁升級服務(wù)，而XXX仍有部分計(jì)算機(jī)終端運(yùn)行著XP系統(tǒng)。受此影響，在XXX Windows XP 系統(tǒng)遷移至更高版本的系統(tǒng)之前，這些系統(tǒng)都將暴漏在各種網(wǎng)絡(luò)威脅之中，機(jī)密信息、業(yè)務(wù)的正常運(yùn)行都將受到嚴(yán)重威脅，一旦這些威

22、脅發(fā)生，將產(chǎn)生難以估量的災(zāi)難性后果。本次引入的終端安全軟件應(yīng)提供有效的XP防護(hù)措施，來解決XXX這部分終端的安全隱患問題。如何減輕終端運(yùn)維工作量XXX內(nèi)網(wǎng)計(jì)算機(jī)終端數(shù)目多、分布距離遠(yuǎn)，日常終端運(yùn)維管理的工作壓力十分巨大，主要表現(xiàn)在：終端數(shù)量巨大、地理分散，導(dǎo)致終端運(yùn)維支持困難。統(tǒng)一補(bǔ)丁修復(fù)和軟件分發(fā)問題：如果計(jì)算機(jī)終端存在的操作系統(tǒng)安全漏洞不能及時(shí)修復(fù)，將帶來極大的安全風(fēng)險(xiǎn)，計(jì)算機(jī)終端需要統(tǒng)一的管理手段快速統(tǒng)一分發(fā)操作系統(tǒng)補(bǔ)丁，但架設(shè)的WSUS服務(wù)器配置較麻煩、維護(hù)工作量大，而且也不具備普通軟件分發(fā)功能。無法高效進(jìn)行硬件資產(chǎn)管理：無法精確統(tǒng)計(jì)IT資產(chǎn)，確定每臺電腦的硬件配置情況，無法跟蹤硬件資

23、產(chǎn)的歷史使用紀(jì)錄，也不能及時(shí)掌握資產(chǎn)變動(dòng)情況。每次資產(chǎn)統(tǒng)計(jì)都消耗大量時(shí)間。傳統(tǒng)防病毒軟件誤殺帶來的問題：傳統(tǒng)防病毒軟件為了提高病毒查殺率，奉行從嚴(yán)的查殺策略，導(dǎo)致單位內(nèi)部應(yīng)用程序或重要文檔文件被誤殺，因而產(chǎn)生了大量不必要的維護(hù)工作?，F(xiàn)場維護(hù)工作量：計(jì)算機(jī)終端用戶報(bào)告使用故障時(shí)，需要IT維護(hù)人員親自趕赴現(xiàn)場處理，但通常大部分上報(bào)的故障都是入門級的，完全可以通過遠(yuǎn)程協(xié)助解決。為了有效減輕終端運(yùn)維工作量，本次引入的終端安全管理軟件還應(yīng)支持統(tǒng)一安全運(yùn)維，提供包括：補(bǔ)丁管理、資產(chǎn)管理、遠(yuǎn)程運(yùn)維等功能，方便IT維護(hù)人員快速完成工作。滿足等級保護(hù)要求等級保護(hù)要求二級及二級以上的系統(tǒng)，應(yīng)部署具有統(tǒng)一特征庫升級

24、、統(tǒng)一策略管理的網(wǎng)絡(luò)版防病毒系統(tǒng)，并可定時(shí)進(jìn)行特征碼升級。因此，引入的終端安全管理系統(tǒng)應(yīng)滿足以上要求并具有公安部銷售許可證。建設(shè)思路根據(jù)上文的現(xiàn)狀及需求分析，采用360天擎終端安全管理系統(tǒng)（以下簡稱“天擎”）來進(jìn)行XXX終端安全與管理項(xiàng)目的建設(shè)，天擎是360公司自主研發(fā)的以安全防御為核心、以運(yùn)維管控為重點(diǎn)、以可視化管理為支撐、以可靠服務(wù)為保障的全方位終端安全解決方案。為用戶構(gòu)建能夠有效抵御已知病毒、0day漏洞、未知惡意代碼和APT攻擊的新一代終端安全防御體系，并提供企業(yè)安全統(tǒng)一管控、終端準(zhǔn)入管理、系統(tǒng)安全加固、終端安全審計(jì)等諸多管理類功能。并且承諾在2014年4月微軟停止免費(fèi)主流支持服務(wù)之后

25、依然向天擎產(chǎn)品用戶提供windows XP防護(hù)和安全更新。威脅發(fā)現(xiàn)天擎終端可以收集終端上的各種安全狀態(tài)信息，包括：漏洞修復(fù)情況、病毒木馬情況、危險(xiǎn)項(xiàng)情況、安全配置以及終端各種軟硬件信息等。這些安全狀態(tài)信息會匯集到服務(wù)器端的控制中心，使管理員全面了解網(wǎng)內(nèi)所有終端的安全情況、硬件狀態(tài)以及軟件安裝情況等。立體防護(hù)天擎具有漏洞修復(fù)、病毒木馬查殺、黑白名單、硬件準(zhǔn)入、軟件準(zhǔn)入、上網(wǎng)行為管理等多樣化的防護(hù)手段，從準(zhǔn)入、防黑加固、病毒查殺、軟件和上網(wǎng)行為控制等多個(gè)層次，為XXX構(gòu)建立體防護(hù)網(wǎng)，確保XXX終端安全。安全管控天擎控制中心為管理員提供了統(tǒng)一修復(fù)漏洞、統(tǒng)一殺毒、統(tǒng)一升級、流量管理、軟件統(tǒng)一分發(fā)卸載等

26、多種管理功能，管理員可以通過控制臺直接對網(wǎng)內(nèi)所有終端進(jìn)行統(tǒng)一管控。主要的建設(shè)思路如下：建設(shè)終端病毒防御體系全網(wǎng)部署天擎客戶端代理，提供網(wǎng)絡(luò)版防病毒功能。依托360公司全球最大得云安全系統(tǒng)，國際領(lǐng)先的多引擎技術(shù)，QVM人工智能引擎技術(shù)，隔離沙箱虛擬化技術(shù)，主動(dòng)防御技術(shù)相結(jié)合，滿足對數(shù)十億病毒進(jìn)行100%查殺的需求。全網(wǎng)部署天擎客戶端代理，提供網(wǎng)絡(luò)版防病毒功能。采用360私有云查殺引擎(硬件)，解決傳統(tǒng)防病毒軟件本地特征庫加載量不足的問題，結(jié)合QVM人工智能引擎技術(shù)，隔離沙箱虛擬化技術(shù)及主動(dòng)防御技術(shù)等，實(shí)現(xiàn)對已知和未知病毒的有效查殺。隔離網(wǎng)環(huán)境描述部署終端安全管理技術(shù)措施在天擎控制中心制定策略，全

27、網(wǎng)禁用USB無線路由，并對移動(dòng)存儲及各種外設(shè)接口進(jìn)行管控；設(shè)定辦公網(wǎng)電腦軟件運(yùn)行黑白名單，禁止娛樂軟件、盜版軟件的安裝及運(yùn)行；根據(jù)部門、用戶設(shè)定終端帶寬管理策略，有效杜絕P2P軟件帶來的網(wǎng)絡(luò)擁塞問題。對全網(wǎng)終端進(jìn)行IP、Mac地址綁定，有效防止私自修改行為。部署XP防護(hù)技術(shù)措施采用天擎自帶的XP加固功能，對XXX所有XP終端進(jìn)行自動(dòng)加固。12月19日，由競評演練工作組主辦的第二屆“XP靶場挑戰(zhàn)賽”落下帷幕。此次共有5家企業(yè)的產(chǎn)品成為靶標(biāo)，經(jīng)過12小時(shí)的激烈比賽，360安全衛(wèi)士XP盾甲成功防御了所有挑戰(zhàn)者攻擊。這是360XP盾甲在國內(nèi)外各項(xiàng)權(quán)威評測和比賽中連續(xù)第八次奪冠，也是迄今唯一100%守擂

28、成功的XP安全產(chǎn)品，成為實(shí)至名歸的“八冠王”，彰顯了360公司在安全領(lǐng)域特別是XP防護(hù)領(lǐng)域的絕對實(shí)力。啟用統(tǒng)一運(yùn)維功能采用天擎提供的統(tǒng)一運(yùn)維功能，實(shí)現(xiàn)XXX全網(wǎng)終端的補(bǔ)丁統(tǒng)一升級、普通軟件分發(fā)、硬件資產(chǎn)管理、一鍵加速、一鍵修復(fù)及遠(yuǎn)程協(xié)助功能，協(xié)助IT維護(hù)人員高效的完成終端運(yùn)維工作。采用天擎的文件管理功能，建立XXX內(nèi)部白名單，將業(yè)務(wù)應(yīng)用、系統(tǒng)添加到白名單列表，杜絕誤殺現(xiàn)象。滿足合規(guī)性要求采用天擎控制中心進(jìn)行所有終端的特征碼升級、特征碼版本監(jiān)控、統(tǒng)一防護(hù)策略管理，滿足等級保護(hù)要求。天擎具有公安部銷售許可證，還獲得了涉密信息系統(tǒng)產(chǎn)品檢測證書。建設(shè)方案終端病毒與惡意代碼防范本次采用的天擎終端安全管理

29、系統(tǒng)，包含技術(shù)先進(jìn)的網(wǎng)絡(luò)版防病毒功能，支持對蠕蟲病毒、惡意軟件、廣告軟件、勒索軟件、引導(dǎo)區(qū)病毒、BIOS病毒的查殺，這依賴于QVM人工智能引擎、云查殺引擎、AVE（針對可執(zhí)行文件的引擎）、QEX（針對非可執(zhí)行文件的引擎）等多引擎的協(xié)同工作。360云查殺建立在云端龐大的黑白名單數(shù)據(jù)庫基礎(chǔ)上，病毒檢出率高，系統(tǒng)資源占用低。通過使用云端的黑白名單驗(yàn)證的方法，可以最大限度的保護(hù)數(shù)據(jù)安全。360殺毒具備100億黑白名單庫，而且每天黑白名單庫都在以百萬級的數(shù)量在增長。圖 SEQ 圖 * ARABIC 1查殺流程天擎的主動(dòng)防御功能可以防御未知病毒、未知威脅和0-Day攻擊。360主動(dòng)防御是基于程序行為自主分

30、析判斷的實(shí)時(shí)防護(hù)技術(shù)，不以病毒的特征碼作為判斷病毒的依據(jù)，而是從最原始的病毒定義出發(fā)，直接將程序的行為作為判斷病毒的依據(jù)。360主動(dòng)防御解決了傳統(tǒng)安全軟件無法防御未知惡意軟件的弊端，從技術(shù)上實(shí)現(xiàn)了對木馬和病毒的主動(dòng)防御。在實(shí)現(xiàn)機(jī)制上可以對文件訪問、進(jìn)程創(chuàng)建、注冊表讀寫、網(wǎng)絡(luò)IP請求、設(shè)備加載完成主動(dòng)防御攔截。在隔離網(wǎng)環(huán)境下，360的云查殺優(yōu)勢無法很好的體現(xiàn)，病毒查殺率將降低，因此360為隔離網(wǎng)企業(yè)用戶準(zhǔn)備了企業(yè)私有云平臺的解決方案。通過在隔離網(wǎng)部署企業(yè)私有云平臺（硬件），病毒查殺效果與客戶端聯(lián)網(wǎng)時(shí)沒有差別。企業(yè)私有云平臺屬于天擎的可選組件。雙病毒特征庫與雙病毒檢測引擎與其他病毒檢測產(chǎn)品不同，本

31、方案采用了雙引擎的查殺技術(shù)，具體來說就是采用實(shí)現(xiàn)技術(shù)完全不同的兩套獨(dú)立的病毒庫、病毒檢測引擎對已知病毒進(jìn)行檢測。因?yàn)橐阎《緳z測的關(guān)鍵是病毒庫的覆蓋度和檢測引擎的預(yù)處理能力，因此如果其中一套病毒檢測引擎出現(xiàn)錯(cuò)誤（誤報(bào)、漏報(bào)）的可能性為P（P 1），另一套病毒檢測引擎出現(xiàn)錯(cuò)誤（誤報(bào)、漏報(bào)）的可能性為Q（Q 1），那么兩套完全獨(dú)立的病毒檢測引擎同時(shí)出現(xiàn)錯(cuò)誤（誤報(bào)、漏報(bào)）的可能性就是PQ（PQ min(P, Q)），舉例來說，如果第一套引擎出錯(cuò)的可能性是P = 2%，第二套引擎出錯(cuò)的可能性是Q = 3%，那么兩套引擎同時(shí)出錯(cuò)的可能性就是：(0.02)(0.03) = 0.0006可以看到，雙病毒特征

32、庫，雙病毒檢測引擎的方案，與單病毒庫、單病毒檢測引擎相比，在檢測的準(zhǔn)確率上有大幅提升，由于雙病毒特征庫，雙病毒檢測引擎與單病毒庫、單病毒檢測引擎相比，性能開銷（CPU消耗、內(nèi)存消耗）會更大，因此本方案中對是否啟用雙病毒庫、雙病毒檢測引擎采用了配置開關(guān)，可以根據(jù)終端硬件的配置情況靈活啟用或者關(guān)閉該功能。360云查殺檢測引擎云查殺技術(shù)需要大量的樣本資源、計(jì)算資源、檢測技術(shù)資源，如果沒有這些資源作支撐，則無法構(gòu)建高質(zhì)量的云查殺系統(tǒng)，本質(zhì)上來說，云查殺系統(tǒng)是一個(gè)海量資源系統(tǒng)，這個(gè)資源系統(tǒng)中，既包括客戶資源，又包括硬件資源與軟件算法資源：樣本資源構(gòu)建云查殺系統(tǒng)，需要海量的病毒、木馬、僵尸網(wǎng)絡(luò)等惡意代碼樣

33、本作為資源支撐，否則，所構(gòu)建的云查殺系統(tǒng)將因?yàn)槿狈ψ銐虻牟《緲颖痉e累而難以保證對于已知病毒和惡意代碼的檢測率。本方案中，我們才用的360云查殺平臺，擁有涵蓋了近20年的所有已知的病毒、木馬、蠕蟲等惡意代碼的樣本文件，其所積累的去重之后病毒樣本數(shù)量已經(jīng)超過25億。樣本資源的基礎(chǔ)是客戶資源，沒有足夠的客戶資源作支撐，無法收集足夠的病毒樣本文件，只有廣泛部署了終端系統(tǒng)的情況下，才能在短期內(nèi)收集足夠數(shù)量的惡意代碼樣本文件，360公司在全國擁有超過4億的終端用戶，覆蓋了全國終端用戶的95%以上，其中絕大多數(shù)已經(jīng)選擇加入了360公司的“云安全計(jì)劃”，這些遍布全國的海量用戶為360提供了豐富、及時(shí)的病毒樣本

34、資源，保證了360云查殺系統(tǒng)病毒樣本收集的及時(shí)、有效。目前平均來說，一個(gè)病毒從首次在國內(nèi)互聯(lián)網(wǎng)上出現(xiàn)，到被360云查殺系統(tǒng)捕獲之間，只有不到10個(gè)小時(shí)的時(shí)間。計(jì)算資源為了構(gòu)造有效的云查殺系統(tǒng)，需要大量的計(jì)算資源進(jìn)行支撐，以便對搜集到的樣本資源進(jìn)行深入分析，一般來說，一臺標(biāo)準(zhǔn)的服務(wù)器（如DELL R720，配置為：雙路16核CPU（Xeon E5-2690，單路8核，主頻2.9GHz）、Intel C600主板芯片組、內(nèi)存16GB（ECC DDR3）、硬盤900GB（SAS接口），每天（24小時(shí)）可處理的樣本數(shù)量大約在3000萬個(gè)左右，因此，對于標(biāo)準(zhǔn)1000終端的用戶來說，若按照每天每臺終端提交

35、10個(gè)樣本進(jìn)行深度檢測，則大約需要4臺DELL R720這樣配置的服務(wù)器組成的云查殺系統(tǒng)才能滿足查殺需要。在本項(xiàng)目中，360公司所提供的云查殺系統(tǒng)的規(guī)模已經(jīng)超過了20000臺服務(wù)器，由這些云服務(wù)器所構(gòu)成的查殺環(huán)境，完全可以滿足本項(xiàng)目的云端深度查殺需求。算法資源構(gòu)建有效了云查殺環(huán)境，除了穩(wěn)定、及時(shí)的樣本收集資源與足夠數(shù)量的硬件計(jì)算環(huán)境之外，還需要先進(jìn)的未知病毒及惡意代碼的檢測算法，這樣才能夠在收集到病毒與惡意代碼樣本之后，進(jìn)行有效的分析與處理。因此，對未知病毒與惡意代碼的快速檢測能力，就成了構(gòu)建有效的云查殺環(huán)境的關(guān)鍵。在本方案中，360公司所提供的云查殺環(huán)境集成了大量先進(jìn)的真對未知病毒與惡意代碼

36、的查殺算法，這些算法中，有基于病毒與惡意代碼靜態(tài)樣本共性特征的QVM-算法（該算法采用人工智能與機(jī)器學(xué)習(xí)的方法，對360公司目前已經(jīng)積累的25多億病毒樣本進(jìn)行多次切片學(xué)習(xí)，抽取出病毒與惡意代碼的共性特征，建立惡意代碼的不同族系模型，該算法在北美、歐洲的多項(xiàng)惡意代碼檢測能力測評之中名列第一），也有目前主流的動(dòng)態(tài)沙箱深度分析技術(shù)，同時(shí)還集成了利用未知漏洞進(jìn)行病毒與惡意代碼傳播的基于內(nèi)存分析的動(dòng)態(tài)漏洞利用攻擊分析技術(shù)，最后，對于非常復(fù)雜、難于分析的可疑文件，還會采用具有多年病毒分析與對抗經(jīng)驗(yàn)的專家分析團(tuán)隊(duì)進(jìn)行徹底分析。以上這些先機(jī)的自動(dòng)化分析技術(shù)與方病毒專家團(tuán)隊(duì)人工分析的有效結(jié)合，多種手段、人機(jī)結(jié)合

37、，保證了對病毒與惡意代碼分析的萬無一失。惡意URL檢測引擎Web應(yīng)用是目前互聯(lián)網(wǎng)的最主要應(yīng)用，Web安全問題因此也成了互聯(lián)網(wǎng)安全問題中最重要的問題，占據(jù)了互聯(lián)網(wǎng)問題中的絕大部分，網(wǎng)銀詐騙、網(wǎng)購詐騙、釣魚網(wǎng)站、網(wǎng)馬等通過惡意網(wǎng)址進(jìn)行釣魚、詐騙、侵財(cái)?shù)墓羰录l發(fā)，已經(jīng)成了Web應(yīng)用的主要威脅，同時(shí)也發(fā)現(xiàn)，部分APT（高級持續(xù)性威脅）攻擊行為也是通過惡意網(wǎng)站（一般是釣魚網(wǎng)站）對XXX低權(quán)限終端進(jìn)行入侵，進(jìn)而以此低權(quán)限終端做跳板不斷滲透高權(quán)限終端與服務(wù)器，最后完成APT攻擊過程，因此對于訪問Web過程中的安全防護(hù)，已經(jīng)成了當(dāng)前終端安全防護(hù)的重要組成部分。從技術(shù)上來看，對于終端訪問惡意網(wǎng)址的防護(hù)主要有

38、三種技術(shù)手段：實(shí)時(shí)分析、動(dòng)態(tài)檢測事先分析、靜態(tài)匹配實(shí)時(shí)分析結(jié)合事先分析，動(dòng)態(tài)檢測結(jié)合靜態(tài)檢測第一種技術(shù)手段完全依靠在用戶訪問Web過程中對頁面及其附屬資源的動(dòng)態(tài)分析和主動(dòng)防御技術(shù)（如：IE控件監(jiān)控、內(nèi)存監(jiān)控、注冊表監(jiān)控）等方法對用戶訪問惡意網(wǎng)站、惡意鏈接的行為進(jìn)行發(fā)現(xiàn)和阻斷。這種方式的優(yōu)點(diǎn)是可以對惡意訪問行為進(jìn)行實(shí)時(shí)發(fā)現(xiàn)，但其缺點(diǎn)也比較明顯，即：如果對用戶訪問的Web訪問進(jìn)行深度分析，會消耗大量的用戶本地資源，如果分析結(jié)論的得出也可能需要完整的分析過程之后才能完成，此時(shí)可能攻擊行為已經(jīng)部分發(fā)生，同時(shí)，完全依靠本地的動(dòng)態(tài)分析，也存在一定的漏報(bào)可能，這些都是單純依靠實(shí)時(shí)分析、動(dòng)態(tài)檢測可能會出現(xiàn)的一

39、些問題。第二種技術(shù)手段本質(zhì)是通過云計(jì)算的方式來完成的，即：事先對互聯(lián)網(wǎng)中存在的鏈接進(jìn)行采集，采用動(dòng)態(tài)分析結(jié)合沙箱的方式進(jìn)行事先檢測，將存在惡意行為的鏈接形成靜態(tài)惡意鏈接庫，終端在訪問一個(gè)鏈接之前，終端系統(tǒng)安全代理會將此鏈接與惡意鏈接庫進(jìn)行比對，如果發(fā)現(xiàn)此鏈接在惡意鏈接庫中出現(xiàn)，則認(rèn)為該鏈接屬于惡意鏈接，進(jìn)而對其訪問行為進(jìn)行禁止，與單純蠶蛹實(shí)時(shí)分析、動(dòng)態(tài)檢測的技術(shù)相比，采用這種方法可以大幅度降低終端的資源消耗，可以在第一時(shí)間發(fā)現(xiàn)惡意鏈接（而不是等整個(gè)頁面及其資源文件都下載到本地并進(jìn)行了分析之后），同時(shí)由于依靠云端的事前抓取分析、云端用戶的檢測結(jié)果，漏報(bào)的可能性非常小。但這種技術(shù)也存在一定的局限性

40、：對于新出現(xiàn)的惡意鏈接，因?yàn)檫€沒來得及被云端抓取分析，因此在一定時(shí)間內(nèi)（比如：30分鐘）對這類新出現(xiàn)的惡意網(wǎng)址無法提供檢測能力，即會出現(xiàn)漏報(bào)；另一方面，對于被掛馬的受害網(wǎng)址，如果木馬被清除，那么短期內(nèi)（在下一輪抓取完成之前），該網(wǎng)址仍將被列入在惡意網(wǎng)址庫之中，即在這段時(shí)間內(nèi)會有誤報(bào)出現(xiàn)。第三種技術(shù)是結(jié)合上述兩種方法，這種方法優(yōu)勢非常明顯，即：對于大多數(shù)白名單中的網(wǎng)址直接放行，對于黑名單中的網(wǎng)址直接攔截，對于灰名單（即沒在白名單、也沒在黑名單）中的網(wǎng)址則采用動(dòng)態(tài)分析、主動(dòng)防御技術(shù)進(jìn)行實(shí)時(shí)分析。這種方式的優(yōu)點(diǎn)非常明顯：既利用了云端與其他終端的檢測結(jié)果過濾了大量的白鏈接、攔截黑鏈接，大幅降低了客戶端

41、的資源開銷，同時(shí)對極少量稀有鏈接又利用動(dòng)態(tài)分析、主動(dòng)防御技術(shù)進(jìn)行深入的動(dòng)態(tài)分析，起到了查缺補(bǔ)漏的效果。在本方案中對于惡意URL的檢測，采用的是第三種方法，即：動(dòng)態(tài)分析結(jié)合靜態(tài)匹配的技術(shù)方案，通過上述的技術(shù)分析可以看到，可以清晰地看到，本方案可以滿足對惡意鏈接的精確檢測要求。QVM人工智能檢測引擎對于病毒和惡意代碼的檢測，一直存在著兩個(gè)技術(shù)方向，一個(gè)是依靠病毒特征匹配的靜態(tài)檢測技術(shù)，這種技術(shù)的特點(diǎn)是必須依靠已知的病毒特征，一般靜態(tài)特征匹配的技術(shù)適合對已知病毒、惡意代碼的檢測。另外一種是依靠對病毒行為的動(dòng)態(tài)分析技術(shù)，這種技術(shù)更適合對未知病毒、惡意代碼的檢測。這兩種技術(shù)是目前對病毒進(jìn)行檢測的關(guān)鍵技術(shù)

42、，分別實(shí)現(xiàn)對已知、未知的病毒及惡意代碼檢測。其中采用特征對病毒進(jìn)行檢測的技術(shù)又分為兩個(gè)方向，一個(gè)是窮舉式病毒特征提取，即針對每個(gè)已發(fā)現(xiàn)的病毒、惡意代碼樣本提取各自的病毒特征，這種方式的優(yōu)點(diǎn)是能夠準(zhǔn)確識別出已提取特征的病毒與惡意代碼，誤報(bào)率和漏報(bào)率都很低。另一種是針對不同族類的病毒及惡意代碼提取出共性的族群特征，并以此作為檢測依據(jù)對惡意代碼進(jìn)行檢測。這種方式的優(yōu)點(diǎn)是不依賴某一個(gè)病毒或惡意代碼的具體特征，而是提取某一族群的惡意代碼共性特征，因此，這種檢測方法對于某一病毒與惡意代碼族群內(nèi)的新生病毒具有非常強(qiáng)的檢測能力，同時(shí)還能對檢測出來的病毒與惡意代碼進(jìn)行族系歸類。QVM人工智能檢測引擎采用人工智能

43、與機(jī)器學(xué)習(xí)的方法，對360目前已經(jīng)積累的25+億病毒樣本進(jìn)行多次切片學(xué)習(xí)，抽取出病毒與惡意代碼的共性特征，建立惡意代碼的不同族系模型，該算法在北美、歐洲的多項(xiàng)惡意代碼檢測能力測評之中名列第一。該技術(shù)的主要組成框架如下：圖 SEQ 圖 * ARABIC 2 QVM技術(shù)框架私有云平臺（在隔離網(wǎng)使用）天擎私有云模塊把文件特征庫置于內(nèi)網(wǎng)標(biāo)準(zhǔn)可上架設(shè)備，無需連外網(wǎng)，終端可以通過云查殺引擎直接調(diào)用內(nèi)網(wǎng)服務(wù)器端特征庫執(zhí)行查殺，其運(yùn)算速度和數(shù)據(jù)量都遠(yuǎn)遠(yuǎn)超過傳統(tǒng)殺軟的本地查殺引擎，實(shí)現(xiàn)全網(wǎng)協(xié)同作戰(zhàn)、集體防御的效果。落實(shí)終端安全管理技術(shù)措施為了貫徹XXX終端安全管理規(guī)范，天擎具備桌面安全管理功能，可從技術(shù)措施上落

44、實(shí)終端安全控制點(diǎn)，有效減少終端安全風(fēng)險(xiǎn)。流量管理通過使用天擎終端安全管理系統(tǒng)流量管理模塊管理員可以了解各終端的網(wǎng)絡(luò)流量情況，包括終端的實(shí)時(shí)網(wǎng)絡(luò)速度、一段時(shí)間內(nèi)的下載上傳流量等，同時(shí)支持對終端的上傳及下載流量限制進(jìn)行統(tǒng)一管控，幫助管理員管理網(wǎng)絡(luò)流量，避免非法應(yīng)用占用大量帶寬，保證XXX正常業(yè)務(wù)的平穩(wěn)運(yùn)行。非法外聯(lián)非法外聯(lián)管理模塊可以針對XXX中經(jīng)常遇到的通過3G網(wǎng)卡、隨身Wifi等方式使內(nèi)網(wǎng)電腦可以通過非法途徑連接外網(wǎng)導(dǎo)致企業(yè)核心數(shù)據(jù)泄漏等問題的出現(xiàn)，天擎非法外聯(lián)管理模塊無論終端使用何種方式連接外網(wǎng)都可以在第一時(shí)間對管理員發(fā)送告警并隔離非法終端，在最大程度上保障XXX核心數(shù)據(jù)安全。應(yīng)用程序安全應(yīng)

45、用程序安全支持三種策略：針對終端在線作用，針對終端離線作用和針對在線和離線終端作用。應(yīng)用程序安全支持進(jìn)程黑白名單，添加進(jìn)白名單的進(jìn)程為信任進(jìn)程，而黑名單中的進(jìn)程為惡意進(jìn)程，系統(tǒng)將直接阻斷該類進(jìn)程。另外，還有進(jìn)程紅名單，添加進(jìn)進(jìn)程紅名單的進(jìn)程為必須運(yùn)行進(jìn)程，可以防止惡意程序?qū)υ摫貍漕愋瓦M(jìn)行破壞。網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全防護(hù)支持同上三種類型策略，也是通過黑白名單準(zhǔn)測來確保網(wǎng)絡(luò)安全。管理員可以添加某些網(wǎng)絡(luò)連接的協(xié)議類型，IP地址和端口號或者添加URL地址來使它成為黑名單或者白名單，從而保證用戶網(wǎng)絡(luò)安全。外設(shè)管理外設(shè)是PC使用者傳輸數(shù)據(jù)的通道，為我們?nèi)粘５墓ぷ鲙砹藰O大的方便，但是，對于終端的安全運(yùn)維管理同時(shí)

46、帶來了難題。一方面用戶會通過外設(shè)將數(shù)據(jù)傳出到企以外，另一面用戶會通過外設(shè)通道將病毒感染至企業(yè)內(nèi)部各個(gè)終端。天擎采用策略化的外設(shè)管理模式。管理員統(tǒng)一定義出針對不同類別外設(shè)的多個(gè)策略，一個(gè)策略可以包括多種類型設(shè)備的控制，使管理策略更有針對性，并支持分配到不同的分組上面。支持硬件準(zhǔn)入管理，可幫助管理員對終端的USB口、1394、串口、并口、PCMCIA卡等接口進(jìn)行啟用和禁用控制，支持的設(shè)備有USB移動(dòng)存儲、非USB移動(dòng)存儲、存儲卡、冗余硬盤、軟驅(qū)、打印機(jī)、掃描儀、磁帶機(jī)、鍵盤、鼠標(biāo)、紅外、藍(lán)牙、攝像頭、手機(jī)/平板等常用設(shè)備進(jìn)行禁用管理，也支持光盤的讀寫控制功能。管理員可通過天擎終端安全管理系統(tǒng)對PC

47、終端外設(shè)進(jìn)行強(qiáng)有力的全面管控，杜絕數(shù)據(jù)外泄和感染病毒的風(fēng)險(xiǎn)。移動(dòng)存儲介質(zhì)管理天擎終端安全管理系統(tǒng)，能夠?qū)崿F(xiàn)對移動(dòng)存儲設(shè)備的靈活管控，保證終端與移動(dòng)存儲介質(zhì)進(jìn)行數(shù)據(jù)交換和共享過程中的信息安全要求。移動(dòng)存儲管理包括移動(dòng)存儲介質(zhì)的身份注冊、網(wǎng)內(nèi)終端授權(quán)管理、移動(dòng)介質(zhì)掛失管理、外出管理和終端設(shè)備例外等功能。移動(dòng)存儲管理解決了用戶在安全管控要求下使用移動(dòng)存儲介質(zhì)，實(shí)現(xiàn)數(shù)據(jù)共享和數(shù)據(jù)交換的迫切需求。移動(dòng)存儲管理支持分組管理，給予不同的移動(dòng)存儲介質(zhì)相應(yīng)的授權(quán)范圍和密級，同時(shí)支持設(shè)備狀態(tài)的追蹤與管理。移動(dòng)存儲介質(zhì)注冊在管理控制中心啟用天擎移動(dòng)存儲管理中的設(shè)備注冊模塊，將要注冊的移動(dòng)存儲介質(zhì)（例如U盤、移動(dòng)硬盤

48、等）通過USB接口接入電腦，點(diǎn)擊注冊，天擎將彈出認(rèn)證提示框，并自動(dòng)識別出該移動(dòng)存儲設(shè)備，管理員按照要求填寫移動(dòng)存儲介質(zhì)相關(guān)歸屬信息并設(shè)定該移動(dòng)存儲介質(zhì)的相應(yīng)密級后，經(jīng)管理員對該移動(dòng)存儲介質(zhì)確認(rèn)和授權(quán)后，該移動(dòng)存儲設(shè)備才可在已授權(quán)終端上使用。管理員可以將該移動(dòng)存儲介質(zhì)賦予“低”、“中”、“高”三個(gè)密級，不同密級對應(yīng)不同權(quán)利；同時(shí)可賦予某些網(wǎng)內(nèi)終端讀、寫該移動(dòng)存儲介質(zhì)的權(quán)限，以保證認(rèn)證后的移動(dòng)存儲介質(zhì)只被它的授權(quán)用戶使用，并且消除不明來歷的移動(dòng)存儲可能帶來的病毒傳播等隱患。設(shè)備授權(quán)注冊過的移動(dòng)存儲介質(zhì)在相應(yīng)授權(quán)計(jì)算機(jī)上可以進(jìn)行相應(yīng)讀寫操作，移動(dòng)存儲設(shè)備授權(quán)支持“組授權(quán)”以及“計(jì)算機(jī)例外授權(quán)”，且支

49、持只讀、讀寫的分級授權(quán)，更靈活的滿足了用戶對于移動(dòng)存儲設(shè)備授權(quán)要求；同時(shí)可直觀地查看指定組或計(jì)算機(jī)的可用設(shè)備數(shù)量，便于用戶進(jìn)行日常的統(tǒng)計(jì)與維護(hù)工作。掛失管理注冊過的移動(dòng)存儲介質(zhì)意外丟失后，可以通過掛失管理，禁用該移動(dòng)存儲介質(zhì) 繼續(xù)在內(nèi)網(wǎng)使用；當(dāng)移動(dòng)存儲介質(zhì)找回時(shí)，可在相應(yīng)模塊設(shè)置，即可重新恢復(fù)使用。外出管理天擎提供移動(dòng)介質(zhì)外出管理。對于密級處于中級和低級的移動(dòng)存儲設(shè)備，不需要外出管理模塊登記。中等密級的移動(dòng)存儲介質(zhì)，需要進(jìn)行密碼驗(yàn)證；低密級移動(dòng)存儲設(shè)備默認(rèn)可以在外使用。高密級的移動(dòng)存儲設(shè)備，未經(jīng)外出登記，在非授權(quán)PC上無法訪問。設(shè)備例外可對部分包含存儲功能的外設(shè)進(jìn)行例外處理，例外后的設(shè)備將可在

50、終端上進(jìn)行使用?？梢詫庠O(shè)備進(jìn)行自定義管理。硬件資產(chǎn)管理支持跟蹤硬件資產(chǎn)變更情況，可幫助管理員及時(shí)獲取硬件資產(chǎn)的變更記錄，硬件新增、丟失情況，對硬件變更準(zhǔn)確監(jiān)控，及時(shí)預(yù)警，方便財(cái)務(wù)審計(jì)，輕松構(gòu)建專業(yè)的企業(yè)硬件資產(chǎn)監(jiān)控與審計(jì)平臺。桌面安全加固IT管理員管理的PC數(shù)量不斷增加，PC統(tǒng)一配置逐漸成為管理中的突出問題。如果沒有集中管控手段，逐臺操作工作量非常大，且PC用戶也會擅自變更配置，造成網(wǎng)內(nèi)PC的基本配置無法統(tǒng)一管理，經(jīng)常出現(xiàn)諸如賬戶密碼太簡單被病毒感染，私自代理上網(wǎng)等等一系列問題。桌面安全加固能幫助IT管理員對終端桌面系統(tǒng)的賬號密碼、本地安全策略、控制面板、屏保與壁紙、瀏覽器安全、殺毒軟件檢

51、查等功能進(jìn)行細(xì)粒度的統(tǒng)一強(qiáng)管控，并支持不同的分組設(shè)置不同的策略功能。協(xié)助IT管理員做到全網(wǎng)終端統(tǒng)一配置的管控目標(biāo)，提高IT管理員的運(yùn)維水平。終端Agent強(qiáng)制安裝與運(yùn)行終端Agent一旦安裝之后，便強(qiáng)制運(yùn)行，不允許終止Agent進(jìn)程的運(yùn)行，并且默認(rèn)情況下不允許卸載，即不能手工卸載Agent程序，也不允許第三方工具對Agent程序進(jìn)行刪除，如必須卸載Agent軟件，必須提供卸載密碼。防卸載：天擎終端Agent通過在卸載程序uninstaller.exe加入了密碼驗(yàn)證的邏輯，要求在卸載過程中必須提供管理員密碼，如果密碼不正確，則卸載程序uninstaller.exe將拒絕執(zhí)行卸載操作。防終止：天擎

52、終端Agent通過截獲窗體的Windows消息，獲得用戶發(fā)出的終止Agent進(jìn)程的消息，通過改寫OnExit()函數(shù)，在其中加入驗(yàn)證邏輯，改變進(jìn)程退出的標(biāo)準(zhǔn)路徑，以此防止Agent被非法終止。XP安全加固本次引入的360終端安全管理系統(tǒng)提供XP有效防護(hù)功能，可解決XXXXP終端的安全隱患問題。360公司采用了多層防護(hù)、標(biāo)本兼治、技術(shù)與安全管理策略相結(jié)合的整體設(shè)計(jì)思路，在Windows XP系統(tǒng)之上由內(nèi)到外采用了四層防護(hù)手段，包含了加固、修復(fù)、隔離、安全策略自動(dòng)化等多項(xiàng)舉措：系統(tǒng)加固（核心手段）熱補(bǔ)丁修復(fù)危險(xiǎn)應(yīng)用隔離“非白即黑”安全策略圖 SEQ 圖 * ARABIC 3 XP整體防護(hù)示意圖系統(tǒng)

53、加固XP系統(tǒng)的安全問題從本質(zhì)上來說是操作系統(tǒng)設(shè)計(jì)的缺陷，只有從根本上解決XP系統(tǒng)設(shè)計(jì)機(jī)制上的缺陷，才能徹底解決問題。目前微軟已經(jīng)清楚地認(rèn)識到了問題的存在，并逐步在高版本操作系統(tǒng)上（如Windows7、Windows8）開始嘗試加固，但由于XP系統(tǒng)已經(jīng)發(fā)布超過10年，最新的安全加固成果未能體現(xiàn)在XP系統(tǒng)之中?！?60XP加固版”的最大優(yōu)勢即在于將XP系統(tǒng)中的安全機(jī)制補(bǔ)齊，使XP系統(tǒng)在不升級到高版本操作系統(tǒng)的情況下，也擁有同樣健全的安全防護(hù)機(jī)制。熱補(bǔ)丁修復(fù)熱補(bǔ)丁技術(shù)通過替換內(nèi)存中存在漏洞的可執(zhí)行代碼，在系統(tǒng)底層對XP漏洞實(shí)施精確的“外科手術(shù)”，徹底根除漏洞病灶。熱補(bǔ)丁修復(fù)技術(shù)無需重啟系統(tǒng)，可以在系

54、統(tǒng)持續(xù)運(yùn)行的狀態(tài)下實(shí)施“手術(shù)”，正因如此，這種修復(fù)方式需要有對XP系統(tǒng)底層架構(gòu)和代碼有非常深刻的了解，同時(shí)也需要有多次成功實(shí)施“手術(shù)”的“臨床經(jīng)驗(yàn)”，否則極易造成系統(tǒng)的崩潰而影響業(yè)務(wù)正常運(yùn)行。圖 SEQ 圖 * ARABIC 4熱補(bǔ)丁修復(fù)邏輯示意圖360公司20次先于微軟制作、發(fā)布熱補(bǔ)丁，并在超過4億終端上穩(wěn)定運(yùn)行，數(shù)據(jù)在國內(nèi)安全廠商中遙遙領(lǐng)先；僅2013年，360公司已獨(dú)立挖掘15個(gè)微軟高危漏洞，并受到微軟官網(wǎng)致謝，數(shù)量超過其它安全廠商總和；360漏洞分析實(shí)驗(yàn)室研發(fā)了自動(dòng)化漏洞挖掘技術(shù)，僅2014年1月即已挖掘出近60個(gè)微軟漏洞。危險(xiǎn)應(yīng)用隔離通過長期跟蹤發(fā)現(xiàn)，漏洞級安全威脅主要集中在少數(shù)應(yīng)用

55、之上（如IE、Office等），因此對這些危險(xiǎn)應(yīng)用的監(jiān)控是解決漏洞安全問題的重要一環(huán)，360公司采用安全沙箱（Sandbox）的技術(shù)手段對這些危險(xiǎn)應(yīng)用的使用進(jìn)行隔離，保證在這些應(yīng)用遭受到攻擊的情況下不會對宿主的XP系統(tǒng)產(chǎn)生安全威脅。IE沙箱隔離：允許訪問網(wǎng)絡(luò)，限制訪問本地資源；Office沙箱隔離：允許訪問本資源，限制訪問網(wǎng)絡(luò)?！胺前准春凇辈呗?“非白即黑”的安全策略采用PE文件白名單機(jī)制，依托于高純度的PE文件白名單庫，僅允許白名單庫中的文件在系統(tǒng)中運(yùn)行，而所有未在白名單庫中的PE文件均被禁止在XP系統(tǒng)上加載、運(yùn)行，這就能在理論上保證所有通過XP系統(tǒng)漏洞滲透進(jìn)來的惡意代碼均無法在XP系統(tǒng)上實(shí)

56、現(xiàn)攻擊。統(tǒng)一安全運(yùn)維為了有效減輕終端運(yùn)維工作量，天擎具有統(tǒng)一運(yùn)維的功能，并提供日常電腦維護(hù)小工具，方便IT維護(hù)人員快速完成工作。補(bǔ)丁管理在XXX的數(shù)據(jù)中心和辦公網(wǎng)絡(luò)中存在各種不同類型的操作系統(tǒng)及不同版本的操作系統(tǒng)都需要管理員進(jìn)行全面的補(bǔ)丁管理，管理員往往需要甄別不同的操作系統(tǒng)并根據(jù)各個(gè)系統(tǒng)的不同情況有選擇性的下發(fā)系統(tǒng)補(bǔ)丁，服務(wù)器系統(tǒng)尤為復(fù)雜，需要管理員將補(bǔ)丁與服務(wù)器應(yīng)用進(jìn)行兼容性測試后才能對相應(yīng)的服務(wù)器進(jìn)行補(bǔ)丁升級操作。天擎終端安全管理系統(tǒng)可以對全網(wǎng)計(jì)算機(jī)進(jìn)行漏洞掃描把計(jì)算機(jī)與漏洞進(jìn)行多維關(guān)聯(lián)，可以根據(jù)終端或漏洞進(jìn)行分組管理，并且能夠根據(jù)不同的計(jì)算機(jī)分組與操作系統(tǒng)類型將補(bǔ)丁錯(cuò)峰下發(fā)，在保障網(wǎng)絡(luò)

57、帶寬的前提下可以有效提升企業(yè)整體漏洞防護(hù)等級。系統(tǒng)自動(dòng)升級在無須運(yùn)維管理人員參與的情況下，對天擎客戶端軟件、天擎管理控制臺軟件、天擎客戶端病毒特征庫、系統(tǒng)/應(yīng)用的漏洞補(bǔ)丁進(jìn)行自動(dòng)下載、升級與安裝。為了避免升級過程中導(dǎo)致網(wǎng)絡(luò)擁塞，終端的升級將從內(nèi)網(wǎng)的升級服務(wù)器統(tǒng)一拉取升級文件，即終端不會從位于Internet的360升級服務(wù)器下載升級文件。當(dāng)天擎管理控制臺處于隔離網(wǎng)與非隔離網(wǎng)兩種環(huán)境之下，其升級方案也有比較大的區(qū)別，天擎支持對于隔離網(wǎng)環(huán)境下的物理隔離升級與非隔離網(wǎng)環(huán)境下的內(nèi)網(wǎng)推送式升級。內(nèi)網(wǎng)推送式升級一共分兩個(gè)階段：第一階段：升級服務(wù)器（一般來說就是管理控制臺）從位于Internet上的360升

58、級服務(wù)器下載全部升級文件至本地。第二階段：天擎客戶端根據(jù)自己的實(shí)際需要從升級服務(wù)器上下載升級所需要的文件并執(zhí)行升級操作。圖 SEQ 圖 * ARABIC 5 升級流程對于隔離網(wǎng)環(huán)境來說，由于內(nèi)網(wǎng)升級服務(wù)器無法連接至360升級服務(wù)器，因此無法直接完成升級文件的下載，在這種情況下，我們提供了“隔離升級代理”工具完成升級文件的下在工作，具體升級過程如下：第一步：將“隔離升級代理”工具放置在內(nèi)網(wǎng)升級服務(wù)器上，運(yùn)行該工具，即可完成升級所需信息的收集工作，即搜集到內(nèi)網(wǎng)服務(wù)器中當(dāng)前升級文件的版本信息，建立升級基線。第二步：將“隔離升級代理”和所搜集到的升級服務(wù)器的升級基線拷貝到一臺可以連接至互聯(lián)網(wǎng)360升級

59、服務(wù)器的機(jī)器上，并再次運(yùn)行該升級工具，此時(shí)，“隔離升級代理”工具將根據(jù)當(dāng)前最新的升級文件與第一步中采集到的升級基線進(jìn)行對比，下載新增、修改的文件，并將下載到的文件保存在“隔離升級代理”工具所在的文件夾中。第三步：再次將“隔離升級代理”文件夾整體拷貝到內(nèi)網(wǎng)升級服務(wù)器之上，再次運(yùn)行該工具，即可將最新的升級文件成功存放在內(nèi)網(wǎng)升級服務(wù)器上的制定存儲位置。圖 SEQ 圖 * ARABIC 6 隔離網(wǎng)升級升級過程中的帶寬利用為了最大限度降低升級過程中的帶寬消耗，保障業(yè)務(wù)運(yùn)行帶寬不受升級過程影響，天擎采用如下的技術(shù)保證升級過程中的網(wǎng)絡(luò)穩(wěn)定性與業(yè)務(wù)穩(wěn)定性：帶寬壓縮技術(shù)在客戶端下載升級文件的過程中，將對升級文件

60、進(jìn)行壓縮處理，盡力降低升級文件傳輸過程中對帶寬的消耗。帶寬限制技術(shù)內(nèi)網(wǎng)升級服務(wù)器支持對升級文件傳輸?shù)膸捒偭髁窟M(jìn)行限制設(shè)置，可以對升級過程中消耗的總帶寬進(jìn)行上限設(shè)置。智能分發(fā)技術(shù)內(nèi)網(wǎng)客戶端將根據(jù)自身的實(shí)際需要從內(nèi)網(wǎng)升級服務(wù)器下載不同的特征庫升級文件、補(bǔ)丁文件、軟件升級包等，而不會將所有的升級文件都從內(nèi)網(wǎng)升級服務(wù)器上下載。軟件分發(fā)管理控制臺可以對指定終端（或終端群組）強(qiáng)制推送軟件，被推送的終端無法選擇是否接收被推送的軟件，同時(shí)，被推送的軟件到達(dá)終端之后，可以選擇是否立即安裝?？刂贫丝梢赃x擇推動(dòng)的終端（通過UserID、IP、網(wǎng)段、IP區(qū)間）。推動(dòng)可以選擇定時(shí)進(jìn)行。推送過程中壓縮傳輸?？梢灾付ㄍ扑?/p>