360天擎终端安全管理系统产品白皮书.docx

1、360天擎终端安全管理系统产品白皮书360天擎终端安全管理系统产品白皮书(共24页)360天擎终端安全管理系统产品白皮书北京奇虎科技有限公司一. 引言随着IT技术的飞速发展以及互联网的广泛普及，各级政府机构、组织、企事业单位都分别建立了网络信息系统。与此同时各种木马、病毒、0day漏洞，以及类似APT攻击这种新型的攻击手段也日渐增多，传统的病毒防御技术以及安全管理手段已经无法满足现阶段网络安全的需要，主要突出表现在如下几个方面：1.1、终端木马、病毒问题严重目前很多企事业单位缺乏必要的企业级安全软件，导致终端木马、病毒泛滥，而且由于终端处于企业局域网内，造成交叉感染现象严重，很难彻底清除某些感

2、染性较强的病毒。这类病毒、木马会导致终端运行效率降低，对文件进行破坏，或者会把一些敏感信息泄露出去。同时，很多企业网络安全缺乏统一的安全管理，企业内部终端用户安装的安全软件各不相同，参差不齐，导致安全管理员很难做到统一的安全策略下发及执行。1.2、无法有效应对APT攻击的威胁APT（Advanced Persistent Threat）攻击是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段，包括各种最先进的黑客技术和社会工程学方法，一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候，攻击

3、者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。此外，APT攻击具有持续性，有的甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。同时，很多攻击行为都会利用0day漏洞进行网络渗透和攻击。此时由于没有现成的样本，所以传统的基于特征检测的入侵防御系统，以及很多企业的安全控管措施和理念已经很难有效应对0day漏洞以及APT攻击的威胁了。1.3、违规终端接入

4、问题严重企业的内网往往承载着企业重要信息的传递，存储着大量的企业财务、客户、人力资源等信息，这些都是企业需要重点保护的核心资产。但由于很多企业对于终端准入并没有做限制，私人PC或外来终端设备可以轻易的接入企业内网获取企业内部信息。尤其在当今网络无边界的趋势之下，通过私设无线路由，手机、Pad等移动终端也可以轻松的接入企业内网。同时，由于缺乏统一的管控和审计，如果发生企业信息泄露，很难做到追踪溯源。这对于企业数据安全是极大的危害。1.4、企业终端违规软件难以管控企业员工在企业终端上私自安装的盗版软件、来源不明的下载软件很可能被黑客植入病毒或木马，用以窃取企业内部信息或导致企业IT系统崩溃。另外，

5、很多企业规定员工不得安装某些违规软件，例如聊天软件、P2P软件等，但却无法进行管控，私装现象严重。并且企业没有量身定制的自定义软件商店，无法保证软件的下载来源可靠。1.5、终端漏洞不能及时修复黑客攻击和大部分病毒都会利用到操作系统和一些常用软件的漏洞。而计算机操作人员对操作系统漏洞的补丁修复意识淡薄，很多人根本不知道自己的系统存在漏洞并应及时安装补丁，这为病毒的广泛生存提供了温床，就使网络内的设备安全受到很大的威胁。如果企业使用单机版的安全软件修复漏洞，就只能靠管理员逐台电脑打补丁，不仅耗费管理员的时间，还大量占用企业网络的带宽和设备资源，企业信息网络的正常运行受到极大的影响。要确保及时的修复

6、漏洞，不被木马和病毒利用，同时又要确保合理有效的使用带宽资源，就需要安全软件能够帮助管理员进行统一的漏洞管理和集中修复。1.6、终端安全状况需要统一管控如果一个企业缺乏统一的终端安全管理，就无法全面了解和监控企业内网安全状况，一旦终端被感染病毒威胁或遭受恶意入侵，网络管理员很难及时发现并解决问题；某个终端不安全的配置和策略会导致企业网络中出现漏洞，从而成为整个网络安全中的短板。假如有企业内部员工使用从外部网络中下载的文件，而这些文件又被植入了病毒或木马，黑客就极有可能通过该主机进入企业内部网络，进而通过嗅探、破解密码等方式对内部的关键信息或敏感数据进行收集，或以该主机为“跳板”对内部网络的其他

7、主机进行攻击，影响企业的正常运行，甚至导致企业核心数据外泄。监控终端面临病毒黑客攻击的状况，及时发现隐患并报警，统一正确配置安全策略，可以极大的提高整个企业网络安全的水平，避免短板出现。针对以上问题，北京奇虎科技有限公司推出了 “360天擎终端安全管理系统”（以下简称天擎），来为用户解决终端安全和统一管理等一系列安全需求。二. 天擎终端安全管理系统介绍三. 产品概述天擎是奇虎360面向政府、军队、金融、制造业、医疗、教育等大型企事业单位推出的以安全防御为核心、以运维管控为重点、以可视化管理为支撑、以可靠服务为保障的全方位终端安全解决方案。为用户构建能够有效抵御已知病毒、0day漏洞、未知恶意代

8、码和APT攻击的新一代终端安全防御体系，并提供企业安全统一管控、终端硬件准入、软件准入、上网行为管理等诸多管理类功能。并且承诺在2014年4月微软停止免费主流支持服务之后依然向天擎产品用户提供windows XP补丁和安全更新。四. 设计理念信息收集天擎终端可以收集终端上的各种安全状态信息，包括：漏洞修复情况、病毒木马情况、危险项情况、以及各种软硬件情况等。这些安全状态信息会汇集到服务器端的控制中心，使管理员全面了解网内所有终端的安全情况、硬件状态以及软件安装情况等。立体防护天擎具有漏洞修复、病毒木马查杀、黑白名单、硬件准入、软件准入、上网行为管理等多样化的防护手段，从准入、防黑加固、病毒查杀

9、、软件和上网行为控制等多个层次，为企业构建立体防护网，确保企业终端安全。集中管控天擎控制中心为管理员提供了统一修复漏洞、统一杀毒、统一升级、上网管理、软件统一分发卸载等多种管理功能，管理员可以通过控制台直接对网内所有终端进行统一管控。五. 产品架构天擎终端安全管理系统包括安全控制中心和客户端两层。第一层：安全控制中心安全控制中心，是天擎的核心，部署在服务器端，有两大功能：一方面提供了管理台，采用B/S架构，管理员可以随时随地的通过浏览器打开访问，对天擎进行管理和控制。主要有设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表

10、和查询等。另一方面，提供了系统运维的基础服务，如：云查杀服务、终端升级服务、数据服务、通讯服务等。第二层：客户端客户端部署在需要被保护的服务器或者终端，执行最终的木马病毒查杀、漏洞修复等安全操作。并与安全控制中心通信，提供控制中心管理所需的相关数据信息。六. 产品优势360天擎终端安全与管理系统的核心价值在于对终端安全的防护与管理。奇虎360公司经过多年的投入与积累，沉淀下了多项针对终端安全防御的技术，这些技术在整个安全行业领域内都具有独创性与先进性，多项技术已经达到国际一流水平，并领先其他欧美企业的同类产品。目前360杀毒软件是国内唯一包揽AV-C、AV-TEST、VB100、CheckMa

11、rk、ICSA、OPSWAT等各大国际评测“全满贯”的杀毒软件。同时，360公司的安全技术能力也得到了国内广大用户的认可，目前在个人安全领域360安全产品正在为超过亿PC端用户、亿移动端用户提供安全防护。在企业安全领域，天擎已累计为国内50万家企业、近800万终端提供了安全防护及终端管理。七. 完善的终端安全防御体系立体布防，层层防御（空间维度）天擎本身具有终端安全防御，云端公有/私有云查杀的功能特性，如果与360的另一款产品天眼威胁感知系统（部署在网络边界）相结合，便可以构成“云 + 端 + 边界”的整体防御体系。通过在网络边界、终端系统部署查杀设备与查杀软件，同时结合云端查杀的多点立体布防

12、，可实现对已知病毒及恶意代码、未知病毒及恶意代码、利用已知漏洞和0day漏洞（未知漏洞）发起的攻击渗透、乃至利用上述技术手段发起的APT攻击行为进行深度检测与精确阻断。从空间维度上做到立体布防，层层防御。动静结合、全程查杀（时间维度）360天擎终端安全管理系统采用动静结合的多层次、全生命周期的病毒防御体系。结合了传统本地查杀引擎、360公有云查杀引擎、QVM-II机器学习查杀引擎、主动防御技术、沙箱技术、非白即黑的白名单策略等高级病毒查杀与防御技术，对病毒及恶意代码从进入网络、终端落地、运行时等生命周期的不同阶段进行多层过滤、动静结合、全程查杀。八. 强大的终端安全管理能力360天擎终端安全管

13、理系统集成了强大的终端安全管理功能，可以方便用户通过360天擎终端安全管理系统对内网终端进行高效管理。通过360在桌面管理方面的多年积累与沉淀，360天擎可以提供补丁分发、终端流量管理、终端系统优化、终端系统加速、终端垃圾清理、终端蓝屏修复、终端硬件资产与状态监控、终端体检、终端升级、终端系统修复、终端软件管理、企业级软件商店等几十个安全管理功能，使系统具备国际一流的终端安全管理水平。上述功能每天被国内超过4亿用户使用，通过了稳定性、性能方面的全面考验，并在持续不断的进行创新与改进。九. 良好的用户体验与易用性得益于互联网行业的企业基因，360的所有产品在产品易用性与用户体验方面得到了国内个人

14、用户以及企业用户的一致认可，360天擎终端安全管理系统在产品易用性方面要求极其苛刻，绝大多数功能设计都要求一键完成，包括：一键加速、一键清理、一键修复、一键升级、一键体检等等，具备灵活的分组管理，批量策略下发、分时扫描、终端强制控制、软件静默安装、一对一远程协助等易用功能，从产品设计到开发过程中全面贴合企业及管理员的安全管理需求，最大程度降低用户安全管理运维成本，提高用户的工作效率。十. 顶尖的产品维护服务团队为了给客户提供有保障的可靠服务，为用户切实解决安全问题，360打造了一支顶尖的产品与安全服务团队，整个产品与安全服务团队采用金字塔形架构，共分三层：第一层：产品远程支持、现场问题排查团队

15、，这个团队人数众多，其中一对一服务就多达400人，724小时待命，采取电话支持，登门服务等方式，为用户解决产品使用、配置方面的一般性问题。 第二层：技术工程师支持团队，这个团队人数将近50人，均为360天擎开发的各模块负责人、开发人员组成，这支团队主要对用户现场出现的各种由于产品Bug导致的产品问题进行现场代码级排查、定位与解决。第三层：安全专家服务团队，这个团队人数大约20人，均由国内知名的安全研究人员、安全咨询专家组成，可以对用户现场发生的各种攻击行为进行现场应急处理、恢复与加固，并能对用户的安全建设提出合理化建议。十一. 主要功能十二. 安全趋势监控支持全网一键体检，帮助管理员发现全网内

16、漏洞、木马、插件、系统危险项、安全配置项、未知文件等的威胁数量和危险终端数量。支持终端状况展现，帮助管理员对全网不健康终端、亚健康终端、健康终端进行统计。支持安全动态跟踪，帮助管理员了解全网内漏洞补丁的修复状况。支持威胁趋势分析，帮助管理员全面了解企业内终端危险项、木马、病毒、漏洞、新增文件等的发展趋势。十三. 安全运维管理支持对终端升级、漏洞修复、木马查杀、插件清理、系统危险项等的全局管理以及分组管理，支持安全策略分组下发，帮助管理员管理复杂的多层次网络以及多部门组织架构。支持一对一远程协助功能，终端用户可以直接向360客服求助，帮助管理员分担支持压力。支持网络准入管理，禁止没有按要求安装天

17、擎终端安全管理系统、存在安全问题的终端、或者外来非法终端接入企业网络，帮助管理员保证入网终端合规，防止非法终端入侵网络，给企业业务系统造成破坏。同时，随着病毒的大量出现（360公司的病毒库已达60亿），传统的本地病毒库已经过于庞大，甚至无法在本地加载绝大多数的病毒特征库，这严重地影响了终端性能和病毒检出率。天擎支持公有/私有云查杀技术，帮助管理员解决本地查杀的性能瓶颈，提高病毒检出率，减少误报率和漏报率。十四. 恶意软件防护360天擎支持对蠕虫病毒、恶意软件、广告软件、勒索软件、引导区病毒、BIOS病毒的查杀，这依赖于QVM人工智能引擎、云查杀引擎、AVE（针对可执行文件的引擎）、QEX（针对

18、非可执行文件的引擎）等多引擎的协同工作。360杀毒采用了五大领先防杀引擎，包括360自主研发的360云查杀引擎、系统修复引擎、QVM二代人工智能引擎和国际知名的小红伞引擎、BitDefender引擎。QVM二代人工智能引擎通过人工智能分析算法，学习和认识新形式恶意软件，通过在海量病毒样本数据中归纳出一套智能算法来发现和学习病毒变化规律。它无需频繁更新特征库、无需分析病毒静态特征、无需分析病毒行为，但是病毒检出率却远远超过了传统查杀引擎的总和，而且查杀速度比传统引擎至少快一倍。360云查杀建立在云端庞大的黑白名单数据库基础上，病毒检出率高，系统资源占用低。通过使用云端的黑白名单验证的方法，可以最

19、大限度的保护数据安全。截至目前，360杀毒具备二十亿以上的黑名单库和四亿的黑名单库，每天黑白名单库都在以百万级的数量在增长。360天擎的主动防御功能可以防御未知病毒、未知威胁和0-Day攻击。360主动防御是基于程序行为自主分析判断的实时防护技术，不以病毒的特征码作为判断病毒的依据，而是从最原始的病毒定义出发，直接将程序的行为作为判断病毒的依据。360主动防御解决了传统安全软件无法防御未知恶意软件的弊端，从技术上实现了对木马和病毒的主动防御。在实现机制上可以对文件访问、进程创建、注册表读写、网络IP请求、设备加载完成主动防御拦截。在隔离网环境下，360的云查杀优势无法很好的体现，病毒查杀率将降

20、低，因此360为隔离网企业用户准备了企业私有云的解决方案。通过在隔离网部署企业私有云，病毒查杀效果与客户端联网时没有差别。企业私有云属于360天擎终端安全管理系统的可选组件。十五. 终端软件管理当今恶意软件从传统的“感染”和“恶作剧”演变成具有政治意义和经济利益的催化剂，如何更加有效的检测和识别是最具挑战性的问题之一，应用程序控制机制应运而生。通过采用应用程序文件白名单机制，对不处于白名单中的应用程序和文件判定为“黑名单”或者“灰名单”，有效控制恶意软件的渗透和快速传播。360天擎提供了自动、半自动和手动的应用程序控制机制。自动化应用控制机制基于云端信誉库，客户端在运行应用程序时事先向云端验证

21、该文件是否为可信。半自动应用程序控制基于客户端对应用程序的识别并向控制中心上报必要的系统、应用程序的动态链接库文件、可执行文件，管理员基于文件签名、文件路径判断该文件是否可信。手动应用程序控制采用文件加白机制，对应用程序文件提前抽取和判断并加白，补充到控制中心文件信誉库中，对企业全网其他客户端均生效。十六. 外设与移动存储管理由于外设是PC使用者获得第三方数据的主要入口，那么通过对其获得渠道的约束，使那些具有危险性的文件，不会由于拷贝到PC上，而感染一个乃至网络范围内的PC，从安全性上有了基本保证。PC外设常见的有U盘、移动硬盘、光驱、软驱、打印机、扫描仪，以及数码设备等，这些设备为我们日常的

22、工作带来了极大的方便，但对于PC数量众多的企事业用户而言，众多外设的使用，在带来工作便利的同时，也带来管理上的难度。因此，一套完整严密的外设管理措施，对于企事业IT运维显得尤为重要。360天擎采用策略化的外设管理模式。管理员统一定义出针对不同类别外设的多个策略，一个策略可以包括多种类型设备的控制，使管理策略更有针对性。支持硬件准入管理，可帮助管理员对终端的USB存储设备进行可读写、只读和禁用权限设置，以及对光驱、1394、蓝牙、串口、并口、PCMCIA卡、手机与平板、VPN等其他外接设备进行禁用管理。十七. XP防护为了彻底解决微软停止Windows XP系统服务带来的安全威胁，根除Windo

23、ws XP漏洞因无法修复带来的危害，同时又全面满足各大企业、金融、能源、军队中已经部署的大量应用和对应用运行稳定型、持续性的要求，360在设计技术方案的时候，始终坚持、贯彻如下的设计原则：第一，以修复操作系统自身设计机制不足带来的安全缺陷为主（加固），力求从根本上解决操作系统自身设计缺陷导致的安全问题，以从理论上逐类解决安全问题，而不是Case by case地逐个封堵、修补安全漏洞为第一目标。例如：通过采用类似于stackguard的技术思路禁止在操作系统栈上禁止可执行代码来解决缓冲区溢出攻击的shellcode执行，这会解决一大类漏洞利用的问题（包括已知漏洞和未知漏洞），而非只针对某一具体

24、的漏洞利用才有效。第二，以修复操作系统代码逻辑安全漏洞的热补丁为辅（修补），目前不能排除某些漏洞的利用方法超出了我们现有已掌握的攻击手段范围，或者某个操作系统设计机制上新的缺陷被发现并利用，在这种情况下，360通过上面提到的操作系统加固（即修复操作系统设计机制缺陷）的手段就会失效，而对加固系统的升级相对来说周期会比较长，在这段时间内，通过针对具体漏洞进行修复的方式来暂时解决安全问题，待到加固系统升级包稳定之后，再进行加固升级，从根本上解决问题。第三，以隔离安全问题频出应用软件的执行为（隔离）补充，通过360以往长时间的研究发现，大量的安全漏洞主要集中在少数关键的系统应用之上，如：PDF阅读器、

25、Office软件、IE浏览器等，因此，360在设计整体方案的一个重要原则就是，通过技术手段（比如Sandbox）来隔离危险应用（即安全漏洞频发的应用）的执行过程，避免这些危险应用因为遭受到攻击而破坏宿主Windows XP操作系统和对敏感数据的访问。第四，以非白即黑高强度的安全管控策略自动化（制度）为保障，在大多数对安全要求非常高的环境中（如：兵器制造业、航空航天研发机构等），要求做到万无一失，针对这种情况，我们在方案中设计了“非白即黑”的文件白名单管理原则，并且将此项管理的执行自动化，满足高度安全可控的强安全需求。根据设计原则的要求，360采用了多层防护、标本兼治、技术与安全管理策略相结合的

26、整体设计思路，在Windows XP系统之上由内到外采用了四层防护手段，包含了系统加固、热补丁修复、危险应用隔离、“非白即黑”安全策略等多项举措。一、系统加固方案。通过系统加固解决Windows XP系统自身设计机制上的缺陷带来的安全隐患，切断这些缺陷导致的漏洞利用通路。360针对Windows XP系统之上已知的十几种可带来安全隐患的设计机制进行了加固性修复，通过对上述十几种Windows XP系统设计机制上缺陷的安全加固，已经可以有效解决目前已知所有通过系统漏洞、应用漏洞对Windows XP的攻击，从根本上解决各类漏洞带来的安全威胁。系统加固方案是针对微软Windows XP停止服务后带

27、来漏洞无法修复等安全威胁的最根本的解决方案，Windows XP系统的安全问题从本质上来说是操作系统设计的过程中，缺乏对安全充分考虑导致的问题，导致黑客可以通过各种漏洞在Windows XP系统中大行其道，属于操作系统设计机制上的问题，因此只有从根本上解决这些Windows XP系统设计机制上的缺陷，才能彻底解决问题，目前微软已经清楚地认识到了这些问题的存在，并逐渐在高版本操作系统上（如：Windows7、Windows8）开始尝试加固，但不幸的是，由于Windows XP系统已经发布超过10年，因此当时微软还没来得及发现、考虑这些问题，所以这些安全加固的成果并没有体现在Windows XP系

28、统之中，本方案的最大优势就在于在Windows XP系统之上将这些安全机制补齐，使Windows XP系统即使不升级到高版本Windows操作系统的情况下，也能拥有健全的安全防护机制。二、热补丁修复方案。通过修改替换内存中存在安全漏洞的可执行代码，清除存在漏洞的代码，在不修改二进制代码文件的情况下，实现对漏洞的热修复。热补丁方案作为辅助方案，是通过替换掉已经加载到内存中存在安全漏洞逻辑的代码完成对系统漏洞、应用漏洞的修复，其设计逻辑如下示意图：热补丁修复是在系统内存中直接对存在安全漏洞的可执行代码进行精确的“外科手术”，替换过程与系统运行同时进行，涉及到操作同步、代码空间适配等多项复杂工作，因

29、此精确定位存在安全漏洞代码的位置，并进行小心替换是热补丁修复成功的关键，如果替换失败，将直接导致系统崩溃或应用崩溃，因此热补丁修复技术需要有丰富的包括Windows XP在内的微软操作系统底层开发经验积累，同时也需要长时间Windows系统热补丁修复的丰富实践，在提供本方法之前，360已经19次先于微软正式补丁发布向全国超过4亿网民提供了微软漏洞的热补丁，经过长时间的积累与实践，360已经完全有经验、有能力在Windows XP上继续向系统运行稳定性要求极高的各大政府、金融、能源、企业、军队提供可修复微软Windows XP漏洞的热补丁。三、危险应用隔离方案。在假想系统加固与热补丁均已失效的情

30、况下，解决危险应用（如：PDF阅读器、Office软件、IE浏览器等）被漏洞利用攻击时候对Windows XP系统与系统敏感数据造成的威胁。危险应用隔离方案采用虚拟隔离（或称为逻辑隔离）的思想，利用沙箱（Sandbox）技术将危险应用置于沙箱中隔离运行，实现这些危险应用对于系统调用、注册表访问、文件访问、网络IO等涉及到安全问题的敏感操作的虚拟隔离，以此保障在这些危险应用遭受到漏洞利用攻击的情况下，也不会对其所宿主的Windows XP系统及其系统资源、数据资源造成安全威胁。危险应用隔离的防护逻辑如下图所示：四、 “非白即黑”策略方案。在假想系统加固方案、热补丁修复方案、危险应用隔离方案均失效

31、的情况下，可以通过非白即黑的策略保证系统免受各种二进制恶意代码的攻击。“非白即黑”的安全策略采用PE文件白名单的机制，依托于高纯度的PE文件白名单库，仅允许白名单库中的文件在系统中运行（文件确认采用MD5的方式），而所有未在白名单库中的PE文件均被禁止在Windows XP系统上加载、运行，这就能在理论上保证所有通过Windows XP系统漏洞渗透进来的恶意代码均无法在Windows XP系统上实现攻击，其工作过程如下图所示：“非白即黑”的白名单策略是美国军方、高级别政府所采用的安全防护方案，因有效防御了“火焰病毒”而受到美国政府、军队的高度重视并从此广泛部署，正因如此，为美国政府、军方提供“

32、非白即黑”白名单策略的公司Bit9的产品对华禁售，因此该策略是一种已经被美国证明了行之有效的高级安全防护策略，但实施该策略需要非常高的门槛，即要对世界上出现的主要应用程序能够做到快速、全面的获取，如Windows XP各个版本上的所有PE文件，主要应用系统（如：数据库、办公软件等）各个版本的所有文件，这是一项庞大的工程，不但要求有对这些文件的快速、全面获取能力，还需要有高纯度的鉴别能力，在制定本方案之前，我们已经建立了国内最大、最快的PE文件获取平台，并积累了国内最大、最全、纯净度最高的PE文件白名单库，现在，我们的PE文件白名单库的规模已经接近1亿的白名单规模，可以保障本技术的落地。十八. 硬件资产管理 终端是企业现代化运行必不可少的组成部分，存储于企业终端上的数据属于企业的数字资产，数据的损坏、丢失将给企业带来沉重的损失和潜在的后续影响。因此，将企业终端纳入监管是必要的。360天擎可以监控企业终端硬件的变化，评估终端硬件的变化是否会给企业带来负面的影响。举例来说，某终端硬盘发生变