360天擎终端安全管理系统白皮书

360天擎终端系统 产品白皮 目录 一. 引言 1 二. 天擎终端安全管理系统介绍 3 2.1产品概述 3 2.1.1设计理念 3 2.2产品架构 4 2.3产品优势 5 2.3.1完善的终端安全防御体系 5 2.3.2强大的终端安全管理能力 6 2.3.3良好的用户体验与易用性 6 2.3.4顶尖的产品维护服务团队 6 2.4主要功能 7 2.4.1安全趋势监控 7 2.4.2安全运维管理 7 2.4.3终端流量管理 8 2.4.4终端软件管理 8 2.4.5硬件资产管理 8 2.4.6日志报查询 9 2.4.7边界联动防御 9 2.5典型部署 9 2.5.1小型企业解决 9 2.5.2中型企业解决方案（可联接互联网环境） 10 2.5.3中型企业解决方案（隔离网环境） 11 2.5.4大型企业解决方案 12 三. 产品价值 14 3.1自主知识产权，杜绝后门隐患 14 3.2解决安全问题，安全不只合规 14 3.3强大管理能力，提高运维效率 15 3.4灵活扩展能力，持续安全升级 15 四. 服务支持 15 五. 总结 15   一. 引言 随着IT技术的飞速发展以及互联网的广泛普及，各级政府机构、组织、企事业单位都分别建立了网络信息系统。与此同时各种木马、病毒、0day漏洞，以及类似APT攻击这种新型的攻击手段也日渐增多，传统的病毒防御技术以及安全管理手段已经无法满足现阶段网络安全的需要，主要突出表现在如下几个方面： 1.1、 终端木马、病毒问题严重 目前很多企事业单位缺乏必要的企业级安全软件，导致终端木马、病毒泛滥，而且由于终端处于企业局域网内，造成交叉感染现象严重，很难彻底清除某些感染性较强的病毒。这类病毒、木马会导致终端运行效率降低，对文件进行破坏，或者会把一些敏感信息泄露出去。 同时，很多企业网络安全缺乏统一的安全管理，企业内部终端用户安装的安全软件各不相同，参差不齐，导致安全管理员很难做到统一的安全策略下发及执行。 1.2、 无法有效应对APT攻击的威胁 APT（Advanced Persistent Threat）攻击是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段，包括各种最先进的黑客技术和社会学方法，一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。 此外，APT攻击具有持续性，有的甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。 更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。 同时，很多攻击行为都会利用0day漏洞进行网络渗透和攻击。此时由于没有现成的样本，所以传统的基于特征检测的入侵防御系统，以及很多企业的安全控管措施和理念已经很难有效应对0day漏洞以及APT攻击的威胁了。 1.3、 违规终端接入问题严重 企业的内网往往承载着企业重要信息的传递，存储着大量的企业财务、客户、人力资源等信息，这些都是企业需要重点保护的核心资产。但由于很多企业对于终端准入并没有做限制，私人PC或外来终端设备可以轻易的接入企业内网获取企业内部信息。尤其在当今网络无边界的趋势之下，通过私设无线路由，手机、Pad等移动终端也可以轻松的接入企业内网。同时，由于缺乏统一的管控和审计，如果发生企业信息泄露，很难做到追踪溯源。这对于企业数据安全是极大的危害。 1.4、 企业终端违规软件难以管控 企业员工在企业终端上私自安装的盗版软件、来源不明的下载软件很可能被黑客植入病毒或木马，用以窃取企业内部信息或导致企业IT系统崩溃。另外，很多企业规定员工不得安装某些违规软件，例如聊天软件、P2P软件等，但却无法进行管控，私装现象严重。并且企业没有量身定制的自定义软件商店，无法保证软件的下载来源可靠。 1.5、 终端漏洞不能及时修复 黑客攻击和大部分病毒都会利用到操作系统和一些常用软件的漏洞。而计算机操作人员对操作系统漏洞的补丁修复意识淡薄，很多人根本不知道自己的系统存在漏洞并应及时安装补丁，这为病毒的广泛生存提供了温床，就使网络内的设备安全受到很大的威胁。 如果企业使用单机版的安全软件修复漏洞，就只能靠管理员逐台电脑打补丁，不仅耗费管理员的时间，还大量占用企业网络的带宽和设备资源，企业信息网络的正常运行受到极大的影响。 要确保及时的修复漏洞，不被木马和病毒利用，同时又要确保合理有效的使用带宽资源，就需要安全软件能够帮助管理员进行统一的漏洞管理和集中修复。 1.6、 终端安全状况需要统一管控 如果一个企业缺乏统一的终端安全管理，就无法全面了解和监控企业内网安全状况，一旦终端被感染病毒威胁或遭受恶意入侵，网络管理员很难及时发现并解决问题；某个终端不安全的配置和策略会导致企业网络中出现漏洞，从而成为整个网络安全中的短板。 假如有企业内部员工使用从外部网络中下载的文件，而这些文件又被植入了病毒或木马，黑客就极有可能通过该主机进入企业内部网络，进而通过嗅探、破解密码等方式对内部的关键信息或敏感数据进行收集，或以该主机为“跳板”对内部网络的其他主机进行攻击，影响企业的正常运行，甚至导致企业核心数据外泄。 监控终端面临病毒黑客攻击的状况，及时发现隐患并报警，统一正确配置安全策略，可以极大的提高整个企业网络安全的水平，避免短板出现。 针对以上问题，北京奇虎科技有限公司推出了“360天擎终端安全管理系统”（以下简称天擎），来为用户解决终端安全和统一管理等一系列安全需求。 二. 天擎终端安全管理系统介绍 三. 产品概述 天擎是奇虎360面向政府、军队、金融、制造业、医疗、教育等大型企事业单位推出的以安全防御为核心、以运维管控为重点、以可视化管理为支撑、以可靠服务为保障的全方位终端安全解决方案。为用户构建能够有效抵御已知病毒、0day漏洞、未知恶意代码和APT攻击的新一代终端安全防御体系，并提供企业安全统一管控、终端硬件准入、软件准入、上网行为管理等诸多管理类功能。并且承诺在2014年4月微软停止免费主流支持服务之后依然向天擎产品用户提供windows XP补丁和安全更新。 四. 设计理念  ? 信息收集 天擎终端可以收集终端上的各种安全状态信息，包括：漏洞修复情况、病毒木马情况、危险项情况、以及各种软硬件情况等。 这些安全状态信息会汇集到服务器端的控制中心，使管理员全面了解网内所有终端的安全情况、硬件状态以及软件安装情况等。 ? 立体防护 天擎具有漏洞修复、病毒木马查杀、黑白名单、硬件准入、软件准入、上网行为管理等多样化的防护手段，从准入、防黑加固、病毒查杀、软件和上网行为控制等多个层次，为企业构建立体防护网，确保企业终端安全。 ? 集中管控 天擎控制中心为管理员提供了统一修复漏洞、统一杀毒、统一升级、上网管理、软件统一分发卸载等多种管理功能，管理员可以通过控制台直接对网内所有终端进行统一管控。 五. 产品架构 天擎终端安全管理系统包括安全控制中心和客户端两层。 第一层：安全控制中心 安全控制中心，是天擎的核心，部署在服务器端，有两大功能： 一方面提供了管理台，采用B/S架构，管理员可以随时随地的通过浏览器打开访问，对天擎进行管理和控制。主要有设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等。 另一方面，提供了系统运维的基础服务，如：云查杀服务、终端升级服务、数据服务、通讯服务等。 第二层：客户端 客户端部署在需要被保护的服务器或者终端，执行最终的木马病毒查杀、漏洞修复等安全操作。并与安全控制中心通信，提供控制中心管理所需的相关数据信息。 六. 产品优势 360天擎终端安全与管理系统的核心价值在于对终端安全的防护与管理。奇虎360公司经过多年的投入与积累，沉淀下了多项针对终端安全防御的技术，这些技术在整个安全行业领域内都具有独创性与先进性，多项技术已经达到国际一流水平，并领先其他欧美企业的同类产品。目前360杀毒软件是国内唯一包揽AV-C、AV-TEST、VB100、CheckMark、ICSA、OPSWAT等各大国际评测“全满贯”的杀毒软件。同时，360公司的安全技术能力也得到了国内广大用户的认可，目前在个人安全领域360安全产品正在为超过4.65亿PC端用户、4.08亿移动端用户提供安全防护。在企业安全领域，天擎已累计为国内50万家企业、近800万终端提供了安全防护及终端管理。 七. 完善的终端安全防御体系 ? 立体布防，层层防御（空间维度） 天擎本身具有终端安全防御，云端公有/私有云查杀的功能特性，如果与360的另一款产品天眼威胁感知系统（部署在网络边界）相结合，便可以构成“云 +端 +边界”的整体防御体系。通过在网络边界、终端系统部署查杀设备与查杀软件，同时结合云端查杀的多点立体布防，可实现对已知病毒及恶意代码、未知病毒及恶意代码、利用已知漏洞和0day漏洞（未知漏洞）发起的攻击渗透、乃至利用上述技术手段发起的APT攻击行为进行深度检测与精确阻断。从空间维度上做到立体布防，层层防御。 ? 动静结合、全程查杀（时间维度） 360天擎终端安全管理系统采用动静结合的多层次、全生命周期的病毒防御体系。结合了传统本地查杀引擎、360公有云查杀引擎、QVM-II机器学习查杀引擎、主动防御技术、沙箱技术、非白即黑的白名单策略等高级病毒查杀与防御技术，对病毒及恶意代码从进入网络、终端落地、运行时等生命周期的不同阶段进行多层过滤、动静结合、全程查杀。