RETURN-信息安全-360网神终端安全管理系统-标准版产品白皮书

终端威胁评估
ETA
技术白皮书
天擎团队
2019年04月
目录
一、引言 (1)
二、产品概述 (2)
三、产品架构 (2)
3.1单机模式 (2)
3.2单机模式+管理中心 (3)
四、产品特性 (5)
4.1产品自身安全性保障 (5)
4.1.1国密芯片 (5)
4.1.2专有安全接口支持 (5)
4.1.3易用兼容 (6)
4.1.4存储隔离 (6)
4.2产品价值 (6)
4.2.1评估病毒木马的问题 (6)
4.2.2评估安全基线达标的问题 (6)
4.2.3评估终端管控合规的问题 (7)
4.2.4评估数据安全性泄露问题 (7)
4.3接入灵活性 (7)
4.3.1授权唯一性 (7)
4.3.2无缝升级 (7)
终端威胁评估产品白皮书
4.3.3多平台多场景多适应性 (7)
五、主要功能 (8)
5.1客户端 (8)
5.1.1病毒检测 (8)
5.1.2高危漏洞扫描 (13)
5.1.3系统安全性检测 (13)
5.1.4数据安全性检测 (14)
5.1.5管控合规性检测 (14)
5.2管理中心 (15)
5.2.1设备及授权管理 (15)
5.2.2终端威胁数据管理 (16)
5.2.3威胁评估模版定制 (17)
5.2.4升级管理 (17)
六、技术优势 (18)
6.1自主知识产权 (18)
6.2便捷无缝应用 (18)
终端威胁评估产品白皮书一、引言
随着IT技术的飞速发展以及互联网的广泛普及，各级政府机构、组织、企事业单位都分别建立了网络信息系统。

虽然防火墙、入侵检测系统等常规的网络安全产品可以解决信息系统一部分安全问题，但计算机终端的信息安全一直是整个网络信息系统安全的一个薄弱环节。

据权威机构调查，超过85%的安全威胁来自企事业单位内部。

在国内，高达80%的计算机终端应用单位未部署有效的终端安全管理系统和完善的管理制度，造成内部网络木马、病毒、恶意软件肆虐，各种0day漏洞、APT攻击层出不穷。

同时系统与应用软件的安全漏洞使得黑客入侵有机可乘；自主知识产权操作系统的缺乏，使得国内广大XP用户在停服后面临前所未有的挑战。

除此之外，企事业单位内部网络与终端安全问题还包括：
终端病毒、木马问题严重，不能高效检测；
全网被动防御病毒、木马的传播与破坏，无法应对未知威胁；
不能及时发现系统漏洞并进行补丁分发与自动修复；
终端出了安全事件后需依靠大量人工现场处理，不能提前预警；
未经认证的U盘、移动硬盘等设备载体的不正当接入；
光驱、网卡、蓝牙、USB接口、无线等设备管理不当成为风险引入的新途径；
终端随意接入网络，入网后未经授权访问核心资源；
非法外联不能及时报警并阻断，导致重要资料数据外传流失；
终端随意私装软件，恶意进程持续消耗有限网络带宽资源；
核心资料文档的操作确实必要的终端审计措施；
……
针对以上问题，奇安信推陈出新，发布了针对终端威胁发现的安全评估软件-终端威胁管理。

二、产品概述
针对终端、服务器建立终端威胁评估手段，通过终端的威胁特征及潜在威胁风险、安全缺陷进行抓取、分析、评估，帮助用户去检测、评估、自查本身终端安全威胁和风险。

三、产品架构
ETA产品具备灵活拆分和组合的产品架构特性，客户端即插即用载体可以单机独立使用，同时对于需要对评估数据和客户端设备集中管理需求的用户，可提供集中管理中心进行统一的管理。

3.1单机模式
单机版ETA为即插即用式小型便携设备，无需安装，直接使用。

单机版为独立应用的客户端，ETA客户端为即插即用小型便携设备，内置国密芯片，并
配备专有安全接口定制，可以保证整个评估过程的安全性和保密性，无论是在隔离的机要终端，还是常规终端，都可以放心安全的使用。

客户端系统架构
安全性保障
设备出厂时会在隐藏分区存储一对公私钥，每个设备中的密钥都不相同。

需要向本地硬盘存放关键临时文件时，UDiskOper.dll中的接口会自动从隐藏分区获取私钥，对内存中的buggfer加密后再写入本地硬盘；需要从本地硬盘拷贝文件时，UDiskOper.dll中的接口会自动从隐藏分区获取公钥，读取文件内容并作解密，解密的内容buffer头符合规范，才允许写入否则拒绝，这样可以保证数据的不可伪造和不泄漏，评估完成后本地的临时文件会被清除。

3.2单机模式+管理中心
管理中心是终端威胁评估的配置和集中管理中心，部署在服务器端，主要包括终端即插即用客户端的授权和管理、威胁评估模版的定义、评估模版的管理、数据报表的管理等几大功能。

管理中心系统架构
管理中心采用B/S架构，管理员可以随时随地的通过浏览器打开访问，对终端威胁评估上报上来的威胁数据进行管理。

通过管理中心，管理员可以了解全网终端的风险信息，通过报表分析，掌握全网威胁状况。

数据流转架构图
四、产品特性
4.1产品自身安全性保障
4.1.1国密芯片
即插即用客户端设备采用国密芯片，是国家密码管理局认证通过的安全芯片，国密芯片集成了高速的安全算法和通讯接口，摒弃了传统的数据加解密处理方式，使数据流加解密速度大幅提升，适用于高速数据流加密。

ETA产品采用此芯片，为产品的安全性保障奠定基石。

4.1.2专有安全接口支持
为提供一个安全的数据流转环境，保障数据的安全性，特定制专有固件接口，可以有效的防止终端恶意代码的侵害，同时，通过本地的评估，可对终端中恶意代码等威胁行为，进行有效的检测，通过特定的接口保存在存储区，物理隔离保证数据安全。

4.1.3易用兼容
无需在客户端中安装任何软件，即插即用，方便使用；
兼容多个业务场景和操作系统，不会与终端中的业务软件或办公环境进行影响。

4.1.4存储隔离
在终端评估后，抓取存储上万级别的恶意样本和信息，并独立存储。

4.2产品价值
4.2.1评估病毒木马的问题
随着黑客攻击手段的不断进化，新兴病毒样本成指数倍增长，传统杀毒引擎已疲于应对。

终端威胁评估系统集成了奇安信强大的病毒检测模块，拥有AVE启发式杀毒引擎、QEX特征识别引擎、BD引擎等能有效的对终端病毒及APT进行检测。

4.2.2评估安全基线达标的问题
在企业中，越来越多的单位的信息泄漏、数据丢失、遭受个人财产的勒索等问题，都是由于终端受到各种病毒的入侵所带来的危害，这些危害均来自终端本身的安全性配置较低导致，终端的安全标准配置过低，不定期的对终端的安全环境进行检测和评估，是导致终端面临风险的最大主因，终端威胁评估系统从系统本身出发，完善系统安全加固体系，通过制定自主可控的安全标准，对终端安全基线标准进行检测，检测后生成可视化的安全基线不达标的问题，帮助管理者和终端进行安全标准的完善来降低终端的安全风险。

4.2.3评估终端管控合规的问题
终端用户环境有很多时候不合规的电脑操作行为，导致终端被入侵或存在安全风险，终端威胁评估能结合合规性管理要求执行终端评估策略，有效对终端进行合规性管理，减低风险。

4.2.4评估数据安全性泄露问题
在企业中，每个终端中都存在各种各样的企业信息，它可能是日常的办公纪要，也可能是涉及到企业机密的关键信息，这些终端中的各种各样的关键信息都关系到涉密数据的外泄，数据安全性评估模块可统计终端中的关键信息，通过关键信息的评估，可以直观的量化终端中存在的敏感数据或涉密信息的数量，有效控制和保障终端数据的安全性。

4.3接入灵活性
4.3.1授权唯一性
每个客户端设备具有唯一性标识，可通过此标识来确认客户端的授权期限及版本情况。

4.3.2无缝升级
基于单机的客户端设备，可以通过连接公网进行无缝升级。

4.3.3多平台多场景多适应性
支持在多平台，不同的应用场景中，方便的使用客户端设备进行即插即用的便携检测。

五、主要功能
5.1客户端
5.1.1病毒检测
病毒检测模块设计目标/产品价值
随着黑客攻击手段的不断进化，新兴病毒样本成指数倍增长，传统杀毒引擎已疲于应对。

终端威胁评估安全管理系统集成了奇安信强大的杀毒模块，拥有AVE启发式杀毒引擎、QEX特征识别引擎、BD引擎等可对各种新兴变种病毒进行有效检测。

终端威胁评估系统防病毒组件通过在终端机器上安装一个终端安全代理软件，有效对终端进行安全加固，提供防护能力，抵御来自外来网络的黑客攻击。

管理员可以通过控制中心对终端进行统一的病毒查杀行为管理，制定定时查杀任务，辅以我们的主动防护引擎，确保内网安全。

也可通过对检测出来的威胁文件进行隔离，保护内网安全。

病毒检测模块原理介绍
通过客户端程序进行文件扫描，根据客户环境可以使用强大检测引擎，进行威胁文件的识别。

在扫描过程中除了上述引擎，同时启用PE启发式引擎AVE引擎、非PE病毒扫描引擎QEX 引擎、BD引擎等几大引擎，全方位扫描文件，不放过一个死角。

病毒检测模块组成与架构
病毒检测模块是由多种本地查杀引擎主导，本地查杀引擎有PE启发式引擎AVE引擎、非PE病毒扫描引擎QEX引擎、第三方引擎BD引擎等。

该引擎适用于纯隔离网环境下终端威胁评估客户端进行样本查询,引擎内置2亿样本MD5
库，可通过升级的方式进行病毒库更新。

病毒检测模块数据流程图
✓AVE引擎
AVE引擎基于传统广谱反病毒查杀特征引擎，采用病毒记录/库的架构模式，由数据驱动（病毒记录）对样本进行匹配查毒。

该引擎对每个待查PE文件（Windows可执行文件）进行多重解析，提供高于传统特征引擎的解析的信息供给记录进行匹配。

广谱反病毒查杀技术是一个基于传统Windows可执行文件反病毒特征码查杀引擎上发展起来的改进型特征码查杀引擎，在传统的特征码查杀引擎的基础上，增强了广谱查杀和病毒修复能力，添加了基于脚本的逻辑控制能力，同时其利用奇安信强大的大数据处理能力的维护流程，具有高灵活性、高查杀、高效率、反应快、无误报的特点。

该引擎由COM组件编写构成，具有很灵活的可扩展性，对于其核心的“方法”可以随时添加。

该引擎的分析处理和执行流程示意如下：
AVE广谱病毒查杀引擎示意图
该引擎的病毒记录不同于传统特征引擎，提供了复杂逻辑控制，每条记录基于自定义的脚本编写，通过解释执行编译成二进制的病毒库来进行遍历匹配查毒。

每条病毒记录由1个或多个方法构成，方法包括定位、匹配、逻辑控制等方法，执行一条记录时依次执行该记录的方法（逻辑控制方法可改变执行顺序），当所有方法执行成功表示执行成功，或者通过逻辑控制方法直接控制返回成功或失败。

该引擎具备如下特点：
（1）增强的广谱病毒查杀能力
传统的特征码查毒引擎，其原理基于定位和匹配，方法较为单一。

而该引擎提供了多种高级复杂的定位、匹配方法，并提供了更加高级抽象的查毒方法，大大提高了查毒的灵活性、与查毒能力。

在定位方面，引擎在传统特征引擎常见的“文件偏移”、“入口偏移”、“节偏移”的基础上，提供了如“输出函数偏移”、“资源偏移”、“导入函数调用偏移”等多种定位方法，使得可以在多个层次对目标文件进行定位。

在匹配方面，该引擎提供了高效率的普通匹配和模糊匹配方法，在不影响效率的情况下，大大提高了匹配能力与速度。

除在传统特征引擎具有的定位和匹配能力上提高外，还提供了许多高级抽象方法用于查毒，如“导入函数匹配”、“指令分析匹配”、“资源匹配”等多种基于样本解析抽象匹配方法。

（2）基于脚本的复杂逻辑控制能力
传统特征码引擎的查杀记录的结构和方式比较固定，无逻辑控制能力，对于复杂病毒，通常需要分析员另为编写专杀程序或模块，编写、测试、更新反应速度较慢。

该引擎提供了较为复杂的逻辑控制能力，提供了“可编程”的查杀能力。

查杀记录基于自定义脚本语言，提供了选择、循环等编程语言具有的逻辑控制能力，可以提供接近于编程实现的灵活控制能力。

同时由于其查杀脚本编译为病毒库中的数据，由引擎模块解释执行，因此在编写、测试、升级等方面大大高于传统引擎应对复杂病毒的速度。

查杀脚本语言为类x86的汇编语言，使精于汇编的病毒分析人员极易上手，同时其编译后解释执行的速度很快。

（3）依托于奇安信大数据处理能力的高效、严格的处理维护流程
传统特征码查杀引擎的最大缺点就是只有获取样本后才能查杀，反应速度较慢。

该引擎依托大数据处理能力，在这方面具有明显提高，有以下特点：
（4）极强的样本修复能力
感染型病毒虽然在种类上在病毒中占比很小，但其破坏性最大，如查到不能修复将极大
的破坏用户计算机。

该引擎针对感染型病毒的修复，提供了多种复杂的修复能力，结合逻辑控制能力，可以支持修复绝大多数感染型病毒，降低了写病毒专杀程序或模块的开销，提高了对感染型病毒处理的反应速度。

（5）高效快速的轻量级引擎
该引擎是一个轻量级的引擎，相比于其它方式的反病毒引擎，具有极高的性价比。

QEX引擎
恶意代码种类繁多，除了可执行程序、动态库、驱动程序等PE文件外，办公中经常会用到的word文档，excel表格，powerpoint幻灯片等office文件，pdf文档，计算机辅助设计的CAD文件，人们上网会接触到的html页面，swf动画，甚至图片、mp3等都有可能是病毒或漏洞利用程序，QEX引擎基于文件格式解析多种非PE文件，使用动静态特征匹配与启发式检测算法，具备虚拟执行脚本功能，能够准确识别脚本、文档等格式的恶意文件并进行清除，全面支持对这些非PE文件恶意程序的查杀。

QEX引擎工作流程
QEX引擎在处理这些文件时不是简单的特征匹配，而是按照不同文件的特定格式深入进行解析。

首先，在文件格式判定上，根据文件头或签名进行判断，其次采用自有专利技术的基于决策树的文件格式智能判定方法，对文件进行格式判定区分。

第二，在格式解析上又区分为二进制格式与文本格式，二进制格式采用内嵌文件提取、解密、解压缩等格式解析方法，文本格式则采用语法制导的语法分析方法，在有可能放置恶意代码或者导致漏洞利用的
地方进行特征码、正则特征、启发式特征多种方法检测；针对js，vbs，bat等可以进行多态变形的脚本类病毒，QEX引擎还采用了虚拟执行技术，通过运行环境的模拟，系统调用跟踪来分析样本运行的行为特征，深入观察分析内存和指令属性的变化，有效规避了高级恶意样本漏洞利用后的逃避行为，在漏洞利用阶段发现高级恶意未知样本的攻击。

✓BD引擎
由于BD引擎为第三方引擎，技术细节暂不阐述。

5.1.2高危漏洞扫描
终端威胁评估系统具备高危漏洞识别能力，可检测常见的Winodows操作系统存在的各种高危漏洞，减少安全隐患。

5.1.3系统安全性检测
评估终端的使用配置和习惯是否存在安全隐患，从身份鉴别、安全设计、访问控制、资源控制和入侵防范5个领域进行系统安全性评估。

评估结果可以代表终端是否存在易被入侵的安全风险。

身份鉴别
对用户的身份安全性进行检测，包括登录失败限制、本地身份防盗用、密码维护要求这三方面的检查项配置，可有效避免攻击者通过暴力破解，字典尝试，hash碰撞,或使用破解工具破解口令等方式，使用户的计算机隔离风险。

安全审计
包括账户管理审核、登录注销审核、其他补充审核这三方面的检查项配置，可有效反应终端所处环境的安全状态，有助于管理员了解终端系统运行的动态情况。

访问控制
包括网络安全访问控制、数据泄漏控制、账户访问控制、账户权限控制这四方面的检查项配置，可有效预防未加固系统容易被攻击者在未授权的情况下访问或破坏系统的情况。

资源控制
包括服务资源控制、功能组件控制、设备资源控制这三方面的检查项配置，通过有效控制系统的资源，防止误配置或策略漏洞的出现，造成设备带漏洞入网和运营，防止攻击者通过这些缺陷进行非授权访问网络资源，从而造成信息泄露的安全威胁。

入侵防范
包括服务资源控制、功能组件控制、设备资源控制这三方面的检查项配置，防止因系统自身的安全脆弱性导致任何人都可以通过终端服务、客户端得到该机管理员权限，防止盗用者随意利用系统管理账号进入相应的系统，通过高权限修改其他账号的权限，增加或删除有关账号，窃取文件等危险操作。

5.1.4数据安全性检测
评估终端的数据资产的价值，通过数据内容检查和数据类型检查，判断终端数据对企业的价值。

评估结果可以表现终端沦陷后，造成企业数据泄漏沦陷的损失风险比重。

5.1.5管控合规性检测
评估终端的使用行为是否符合企业安全管理要求，包括是否安装违规的软件，违规的进程、违规外联，违规外设使用，违规访问行为等等。

评估结果可以表现终端挑战安全管理规范的严重程度。

5.2管理中心
在集中管理的需求场景下，可部署管理中心，对客户端设备和评估后的终端数据进行统一的管理汇总，也可以在管理中心制定终端设备评估的内容，方便制定自有的评估标准供客户端检测。

5.2.1设备及授权管理
如安装了管理中心，通过授权进行设备数量的控制，终端设备需要注册到管理中心，方可同步控制中心的评估模版，及上传评估数据。

注册设备
✓客户端发起注册申请，网络连通时自动注册完成；
✓解绑需由管理中心发起，客户端在连通时，自动获取解绑状态，自动解绑。

5.2.2终端威胁数据管理
通过终端设备评估过，存储在设备中的评估数据，可以通过配置，手动上传至管理中心，进行数据的分析汇总，日志报表的展示，并可以直接导出进行管理。

5.2.3威胁评估模版定制
管理中心提供终端设备对评估内容的定制，由于不同的企业管理办法不同，可通过此功能，进行威胁评估内容的定制，量化的评分定义，使得终端设备在评估时可以按需执行，得到有依据的数据进行管理。

5.2.4升级管理
管理中心支持离线升级
支持通过公网升级
已注册到管理中心的设备，仅能通过管理中心进行升级
六、技术优势
6.1自主知识产权
ETA产品具有完全自主的知识产权，自主研发的国际一流病毒检测引擎和威胁评估引引擎，能够帮助政府部门、涉密单位、以及关系国计民生的大型企业对终端安全性进行威胁评估，杜绝安全后门隐患，响应国家信息安全国产化政策及号召。

6.2便捷无缝应用
便携即插即用设备，可适用于任何场景，不需要安装任何插件，不会对你的计算机带来任何危害，有效的满足对所有终端无缝结合的需求。