360天擎终端安全管理系统技术白皮书

360天擎

终端安全管理系统

技术白皮书

北京奇虎科技有限公司

2013年8月

目录

一、背景概述错误!未定义书签。

1、背景错误!未定义书签。

1.1、终端木马、病毒问题严重错误!未定义书签。

1.2、0day漏洞和特马导致的APT问题严重错误!未定义书签。

1.3、终端接入问题严重错误!未定义书签。

1.4、终端违规软件安装问题严重错误!未定义书签。

1.5、终端漏洞问题严重错误!未定义书签。

1.6、终端安全状况需要统一管控错误!未定义书签。

2、产品定位错误!未定义书签。

二、产品方案功能介绍错误!未定义书签。

1、设计理念错误!未定义书签。

1.1、收集了解错误!未定义书签。

1.2、立体防护错误!未定义书签。

1.3、集中管控错误!未定义书签。

2、系统拓扑图错误!未定义书签。

3、系统构架描述错误!未定义书签。

3.1.天擎控制中心错误!未定义书签。

3.2.天擎终端错误!未定义书签。

4、系统主要功能介绍错误!未定义书签。

4.1.服务端功能错误!未定义书签。

4.2.终端功能错误!未定义书签。

三、产品方案技术介绍错误!未定义书签。

1、相关技术错误!未定义书签。

2、技术指标错误!未定义书签。

四、实施运维方式说明错误!未定义书签。

1、实施原则错误!未定义书签。

2、实施流程错误!未定义书签。

2.1.安装控制中心错误!未定义书签。

2.2.小范围部署终端错误!未定义书签。

2.3.扩大终端范围错误!未定义书签。

2.4.全企业推广错误!未定义书签。

一、背景概述

1、背景

随着最近几年各企事业单位网络应用的快速发展和具有黑客攻击特征的新类型病毒的大量出现，原有的防毒措施已经不能很好的满足网络系统安全的需要，突出表现在如下几个方面：

1.1、终端木马、病毒问题严重

目前很多企事业单位缺乏必要的企业级安全软件，导致终端木马、病毒泛滥，而且由于终端处于企业局域网内，造成交叉感染现象严重，很难彻底清除某些感染性较强的病毒。

这类病毒、木马会导致终端运行效率降低，对文件进行破坏，或者会把一些敏感信息泄露出去。

1.2、0day漏洞和特马导致的APT问题严重

APT（Advanced Persistent Threat）攻击是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。

此外，APT攻击具有持续性，甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。

更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益

的网络基础设施。

对于这些单位而言，尽管已经部署了相对完备的纵深安全防御体系，可能既包括针对某个安全威胁的安全设备，也包括了将各种单一安全设备串联起来的管理平台，而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是，这样的防御体系仍然难以有效防止来自互联网的入侵和攻击，以及信息窃取，尤其是新型攻击（例如APT攻击，以及各类利用0day漏洞的攻击）。

1.3、终端接入问题严重

企业级局域网内存储着事关企事业单位的机密信息，对安全级别要求很高，但在很多单位，对于准入并没有做限制。

任何PC终端、手机、pad等设备，都可以通过网线或者wifi接入企业局域网，这对于企业数据安全是极大的危害。这些设备有可能已经被攻破，带有病毒或者是木马，一旦入侵企业局域网，会对局域网的服务器发起攻击。

1.4、终端违规软件安装问题严重

在企业网络中，往往就是内部人员的电脑随意安装软件带来了很大的安全隐患：内部人员在计算机上安装使用盗版软件，不但引入了潜在的安全漏洞，降低了计算机系统的安全系数，还有可能惹来版权诉讼的麻烦；而一些内部人员出于好奇心或者恶意破坏的目的，在计算机上安装使用一些黑客软件，从内部发起攻击；还有一些内部人员安全意识淡薄，不安装指定的防毒软件等等。这些行为都对内网构成了重大的安全威胁。

谁随意安装软件？谁安装了禁止使用的软件？企业的安全管理员难以掌握企业网内软件的安装情况和使用情况。

1.5、终端漏洞问题严重

黑客攻击和大部分病毒都会利用到操作系统和一些常用软件的漏洞。而计算机操作人员对操作系统漏洞的补丁修复意识淡薄，很多人根本不知道自己的系统存在漏洞并应及时安装补丁，这为病毒的广泛生存提供了温床，就使网络内的设

备安全受到很大的威胁。

如果企业使用单机版的安全软件修复漏洞，就只能靠管理员逐台电脑打补丁，不仅耗费管理员的时间，还大量占用企业网络的带宽和设备资源，企业信息网络的正常运行受到极大的影响。

要确保及时的修复漏洞，不被木马和病毒利用，同时又要确保合理有效的使用带宽资源，就需要使用企业级的安全软件集中修复漏洞。

1.6、终端安全状况需要统一管控

如果一个企业缺乏统一的终端安全管理，就无法全面了解和监控企业内网安全状况，一旦终端被感染病毒威胁或遭受恶意入侵，网络管理员很难及时发现并解决问题；某个终端不安全的配置和策略会导致企业网络中出现漏洞，从而成为整个网络安全中的短板。

假如有企业内部员工使用从外部网络中下载的文件，而这些文件又被植入了病毒或木马，黑客就极有可能通过该主机进入企业内部网络，进而通过嗅探、破解密码等方式对内部的关键信息或敏感数据进行收集，或以该主机为“跳板”对内部网络的其他主机进行攻击，影响企业的正常运行，甚至导致企业核心数据外泄。

监控终端面临病毒黑客攻击的状况，及时发现隐患并报警，统一正确配置安全策略，可以极大的提高整个企业网络安全的水平，避免短板出现。

2、产品定位

针对以上问题，北京奇虎科技有限公司推出了《360天擎终端安全管理系统》（以下简称天擎）。

天擎是奇虎360面向政府、军队、金融、制造业、医疗、教育等大型企事业单位推出的以安全防御为核心、以运维管控为重点、以可视化管理为支撑、以可靠服务为保障的全方位终端安全解决方案。为用户构建能够有效抵御已知病毒、0day漏洞、未知恶意代码和APT攻击的新一代终端安全防御体系，并提供企业安全统一管控、终端硬件准入、软件准入、上网行为管理等诸多管理类功能。