360天擎终端安全管理解决方案.docx

1、360天擎终端安全管理解决方案?360天擎终端安全管理解决方案北京奇虎科技有限公司2014年9月背景随着企业信息化进程的不断加快，企业网络规模与终端数量在不断变大，企业业务对信息化系统的依赖程度越来越高，信息化系统的建设与升级，一方面推动着企业的办公自动化、业务自动化进程不断加快，提高企业的运营效率，降低企业的运营成本。另一方面，也为企业带来了新的问题，对企业的运营与管理提出了新的挑战。 管理问题信息化系统的引入、网络的建设与升级为企业带来了诸多管理问题，其中主要包括如下几个方面： 如何有效管理网络设备与应用系统，使得网络能够稳定运行，保障企业自动化办公与依托于网络的业务能够平稳有效进行，这需

2、要大量额外的网络管理系统进行运维支撑。 如何有效管理终端设备与应用软件，使得终端能够稳定、合规运行，保障企业的自动化办公与终端业务操作能够平稳有效进行。 如何有效管理业务系统的设备与软件，使得业务系统整体平稳运行，保障企业业务系统对外提供稳定的服务。 安全问题信息化系统与网络的引入，为进入企业内部获得企业数据资料、操控企业业务运行提供了一种看不到的新途径，这就为企业的数据、资料乃至业务运行带来了新的安全问题，主要包括： 企业信息化系统与网络访问控制问题：这其中包括如何控制哪些终端在满足什么样的条件之下可以进入到企业信息化系统与网络；如何为进入到信息化系统与网络的终端用户分配访问操作权限并保障这

3、些终端用户不能越权非法操作。 信息化系统及其支撑设备的安全运行问题：这其中包括如何保障信息化系统及其软硬件系统不会受到攻击，或者在受到攻击的情况下可以有效避免损失、缓解攻击带来的影响、保障信息化系统与网络仍能够安全、可靠、平稳地对外提供服务。 企业数据及资料的安全问题：这其中包括如何保障企业的数据及资料能够安全存储、安全访问，对于这些企业数据与资料要做到：非授权人员拿不到、非授权人员拿到后带不走、非授权人员拿走后打不开等三个层次的安全防护。 评估问题近些年，随着我国信息化系统的大范围建设与普及，信息化系统的建设已经进入到快速发展期，大多数企业的信息化系统与网络已经从初期的从无到有发展到了现在的

4、颇具规模，相应地，在信息化系统的建设上，企业也开始从最初的基础设施建设逐步进入到了信息化系统稳定运行的收获期。更进一步，很多企业也已经开始理性思考在信息化系统上的大量投资带来的具体企业效益，换句话讲，企业的信息化系统已经进从基础设施建设发展到了建设效果评估阶段，科学评估信息化系统建设的成果，向信息化系统建设要效益是这个阶段的主要目标。方案目标本方案的目标是从企业信息化系统终端安全与管理的角度出发，以终端安全为核心，以终端桌面管理为重点，提供以终端为基础的桌面安全与管理整体解决方案，具体内容包括终端安全、桌面管理、统一运维三个方面：终端安全提供针对终端安全的防护措施，为终端提供安全的上网办公环境

5、，具体包括如下几方面内容： 终端病毒与恶意代码防范 防黑加固 主机防火墙 终端安全性检查桌面管理 终端流量管理 系统自动升级 终端远程协助 终端硬件性能监控 终端进程与服务管理 终端Agent强制安装与运行 终端外设管理 终端小工具 终端信息搜集 文件审计管控统一运维 软件分发 策略下发 在线用户统计 安装包定制与Web安装 系统可扩展能力 系统容灾方案设计终端安全终端病毒与恶意代码防范在这一部分中，将就与终端安全相关的检测与防御方法进行方案级描述，将主要涉及两方面与终端密切相关的内容： 终端病毒防御 终端数据的安全防御终端病毒防御该功能的目标是对互联网中的病毒、木马、蠕虫、网马、僵尸网络、流

6、氓软件、间谍软件等恶意代码进行有效的识别、查杀与隔离功能框架本方案对病毒、木马、蠕虫、网马、僵尸网络、流氓软件、间谍软件等恶意代码的识别和查杀采用了多套高性能检测引擎的技术方案，这些技术方案中，既包括传统基于静态病毒特征的多模式匹配的检测技术、也包括无特征的人工智能检测技术和基于云端的云查杀检测技术，多种检测技术的综合运用，最大限度地保障检测的有效性，具体来说，本方案中采用了如下几种关键的检测技术：1双病毒检测引擎2360云查杀检测引擎3恶意URL检测引擎4QVM-II人工智能检测引擎已知病毒查杀功能框架如下图所示：方案说明双病毒特征库与双病毒检测引擎与其他病毒检测产品不同，本方案采用了双引擎

7、的查杀技术，具体来说就是采用实现技术完全不同的两套独立的病毒库、病毒检测引擎对已知病毒进行检测。因为已知病毒检测的关键是病毒库的覆盖度和检测引擎的预处理能力，因此如果其中一套病毒检测引擎出现错误（误报、漏报）的可能性为P（P 1），另一套病毒检测引擎出现错误（误报、漏报）的可能性为Q（Q 1），那么两套完全独立的病毒检测引擎同时出现错误（误报、漏报）的可能性就是PQ（PQ min(P, Q)），举例来说，如果第一套引擎出错的可能性是P = 2%，第二套引擎出错的可能性是Q = 3%，那么两套引擎同时出错的可能性就是： = 可以看到，双病毒特征库，双病毒检测引擎的方案，与单病毒库、单病毒检测引擎

8、相比，在检测的准确率上有大幅提升，由于双病毒特征库，双病毒检测引擎与单病毒库、单病毒检测引擎相比，性能开销（CPU消耗、内存消耗）会更大，因此本方案中对是否启用双病毒库、双病毒检测引擎采用了配置开关，可以根据终端硬件的配置情况灵活启用或者关闭该功能。360云查杀检测引擎 云查杀技术的必要性随着病毒的大量出现，传统的本地病毒库的查杀方式已经无法在本地加载绝大多数病毒样本特征，仅奇虎360一家安全企业，到目前为止就已经积累了多达20亿的病毒样本，如果算上未经去重的病毒样本，目前已发现的病毒样本已经远远超过20亿的规模，而目前大多数的终端杀毒软件，受本地存储资源的限制，本地病毒特征库的规模大约在10

9、00万 2000万左右，这个数字只占不到20+ 亿已发现病毒样本的1%，依靠1%的病毒库去检测互联网中肆虐的病毒，这说明传统的本地病毒库的查杀方式已经无法满足对已知病毒的查杀要求，需要通过云端的海量计算资源与海量存储资源满足对数十亿病毒进行100%查杀的安全需求。 360云查杀资源与技术云查杀技术需要大量的样本资源、计算资源、检测技术资源，如果没有这些资源作支撑，则无法构建高质量的云查杀系统，本质上来说，云查杀系统是一个海量资源系统，这个资源系统中，既包括客户资源，又包括硬件资源与软件算法资源： 样本资源构建云查杀系统，需要海量的病毒、木马、僵尸网络等恶意代码样本作为资源支撑，否则，所构建的云

10、查杀系统将因为缺乏足够的病毒样本积累而难以保证对于已知病毒和恶意代码的检测率。本方案中，我们才用的360云查杀平台，拥有涵盖了近20年的所有已知的病毒、木马、蠕虫等恶意代码的样本文件，其所积累的去重之后病毒样本数量已经超过20亿。样本资源的基础是客户资源，没有足够的客户资源作支撑，无法收集足够的病毒样本文件，只有广泛部署了终端系统的情况下，才能在短期内收集足够数量的恶意代码样本文件，奇虎360在全国拥有超过4亿的终端用户，覆盖了全国终端用户的95%以上，其中绝大多数已经选择加入了奇虎360公司的“云安全计划”，这些遍布全国的海量用户为360提供了丰富、及时的病毒样本资源，保证了360云查杀系统

11、病毒样本收集的及时、有效。目前平均来说，一个病毒从首次在国内互联网上出现，到被360云查杀系统捕获之间，只有不到10个小时的时间。 计算资源为了构造有效的云查杀系统，需要大量的计算资源进行支撑，以便对搜集到的样本资源进行深入分析，一般来说，一台标准的服务器（如DELL R720，配置为：双路16核CPU（Xeon E5-2690，单路8核，主频）、Intel C600主板芯片组、内存16GB（ECC DDR3）、硬盘900GB（SAS接口），每天（24小时）可处理的样本数量大约在3000万个左右，因此，对于标准1000终端的用户来说，若按照每天每台终端提交10个样本进行深度检测，则大约需要4台

12、DELL R720这样配置的服务器组成的云查杀系统才能满足查杀需要。在本项目中，360所提供的云查杀系统的规模已经超过了10000台服务器，由这些云服务器所构成的查杀环境，完全可以满足本项目的云端深度查杀需求。 算法资源构建有效了云查杀环境，除了稳定、及时的样本收集资源与足够数量的硬件计算环境之外，还需要先进的未知病毒及恶意代码的检测算法，这样才能够在收集到病毒与恶意代码样本之后，进行有效的分析与处理。因此，对未知病毒与恶意代码的快速检测能力，就成了构建有效的云查杀环境的关键。在本方案中，360所提供的云查杀环境集成了大量先进的真对未知病毒与恶意代码的查杀算法，这些算法中，有基于病毒与恶意代码

13、静态样本共性特征的QVM-II算法（该算法采用人工智能与机器学习的方法，对360目前已经积累的20多亿病毒样本进行多次切片学习，抽取出病毒与恶意代码的共性特征，建立恶意代码的不同族系模型，该算法在北美、欧洲的多项恶意代码检测能力测评之中名列第一），也有目前主流的动态沙箱深度分析技术，同时还集成了利用未知漏洞进行病毒与恶意代码传播的基于内存分析的动态漏洞利用攻击分析技术，最后，对于非常复杂、难于分析的可疑文件，还会采用具有多年病毒分析与对抗经验的专家分析团队进行彻底分析。以上这些先机的自动化分析技术与方病毒专家团队人工分析的有效结合，多种手段、人机结合，保证了对病毒与恶意代码分析的万无一失。 3

14、60云查杀隐私问题说明由于本方案中采用了云查杀技术，云查杀技术需要在终端与云端之间交互必要的样本数据以保证对样本进行有效检测，因此需要对云查杀过程中终端与云端之间所交换的数据进行详细的说明，以此排除隐私泄露的可能。360公司承诺并保证：在使用360云查杀系统的过程中，除了必要的检测之外，不会以任何形式非法采集、利用用户的任何隐私数据，下面进行逐一说明：1、云查杀系统的使用完全由终端用户自行决定，可以由管理员统一配置，如果终端用户或管理员选择关闭云查杀功能，则终端将不会向云端传送任何检测所需要的数据进行病毒与恶意代码的检查2、对于云端深度检查，终端和云端之间也只会传送可执行文件（PE格式），而不

15、会传送敏感的数据文件（如：word、pdf、图纸、图片等），因为只传送了可执行文件，可执行文件只是程序的执行体，有可执行代码组成，并不包含用户的敏感数据，更不包含用户的隐私信息，因此不存在隐私泄露或泄密的可能3、对于云端非深度检查，终端和云端之间连可执行文件都未进行传输，而只是抽取了可执行文件（PE格式）的部分属性信息（而非可执行文件体）传送至云端进行检查，这些文件的属性信息与文件内容完全无关（就如同一个人的姓名、居住地、职业信息与这个人的血型毫不相关是同一个道理），因此在非深度的一般性云查杀中，理论上就不存在隐私泄露的可能性。在非深度云查杀的过程中，终端与云端交互的文件属性信息包含且仅包含如

16、下内容： 该文件在终端的存放路径 该文件的哈希指纹（MD5、SHA-1） 该文件的大小 该文件所在终端的操作系统类型 该文件所在终端的操作系统版本号 该文件所在终端的IE版本号4、所有云端与终端之间的交互的信息，除了需要深入分析的不含用户任何数据信息、隐私信息的可执行文件可能会涉及到专家人工分析之外，其余的所有信息将完全由机器进行自动处理，除了检测之外，没有任何渠道可以获得这些信息，所有的过程都是有机器完成，即便是不包含用户隐私的文件属性数据，除了机器之外，也不会有其他的途径可对之进行提取和阅读。以上就是在本项目中所采用的360云查杀系统的隐私问题的说明，可以看到，采用360云查杀系统完全不存

17、在任何用户隐私的泄漏问题。恶意URL检测引擎Web应用是目前互联网的最主要应用，Web安全问题因此也成了互联网安全问题中最重要的问题，占据了互联网问题中的绝大部分，网银诈骗、网购诈骗、钓鱼网站、网马等通过恶意网址进行钓鱼、诈骗、侵财的攻击事件频发，已经成了Web应用的主要威胁，同时也发现，部分APT（高级持续性威胁）攻击行为也是通过恶意网站（一般是钓鱼网站）对企业低权限终端进行入侵，进而以此低权限终端做跳板不断渗透高权限终端与服务器，最后完成APT攻击过程，因此对于访问Web过程中的安全防护，已经成了当前终端安全防护的重要组成部分。从技术上来看，对于终端访问恶意网址的防护主要有三种技术手段：1

18、、实时分析、动态检测2、事先分析、静态匹配3、实时分析结合事先分析，动态检测结合静态检测第一种技术手段完全依靠在用户访问Web过程中对页面及其附属资源的动态分析和主动防御技术（如：IE控件监控、内存监控、注册表监控）等方法对用户访问恶意网站、恶意链接的行为进行发现和阻断。这种方式的优点是可以对恶意访问行为进行实时发现，但其缺点也比较明显，即：如果对用户访问的Web访问进行深度分析，会消耗大量的用户本地资源，如果分析结论的得出也可能需要完整的分析过程之后才能完成，此时可能攻击行为已经部分发生，同时，完全依靠本地的动态分析，也存在一定的漏报可能，这些都是单纯依靠实时分析、动态检测可能会出现的一些问

19、题。第二种技术手段本质是通过云计算的方式来完成的，即：事先对互联网中存在的链接进行采集，采用动态分析结合沙箱的方式进行事先检测，将存在恶意行为的链接形成静态恶意链接库，终端在访问一个链接之前，终端系统安全代理会将此链接与恶意链接库进行比对，如果发现此链接在恶意链接库中出现，则认为该链接属于恶意链接，进而对其访问行为进行禁止，与单纯蚕蛹实时分析、动态检测的技术相比，采用这种方法可以大幅度降低终端的资源消耗，可以在第一时间发现恶意链接（而不是等整个页面及其资源文件都下载到本地并进行了分析之后），同时由于依靠云端的事前抓取分析、云端用户的检测结果，漏报的可能性非常小。但这种技术也存在一定的局限性：对

20、于新出现的恶意链接，因为还没来得及被云端抓取分析，因此在一定时间内（比如：30分钟）对这类新出现的恶意网址无法提供检测能力，即会出现漏报；另一方面，对于被挂马的受害网址，如果木马被清除，那么短期内（在下一轮抓取完成之前），该网址仍将被列入在恶意网址库之中，即在这段时间内会有误报出现。第三种技术是结合上述两种方法，这种方法优势非常明显，即：对于大多数白名单中的网址直接放行，对于黑名单中的网址直接拦截，对于灰名单（即没在白名单、也没在黑名单）中的网址则采用动态分析、主动防御技术进行实时分析。这种方式的优点非常明显：既利用了云端与其他终端的检测结果过滤了大量的白链接、拦截黑链接，大幅降低了客户端的资

21、源开销，同时对极少量稀有链接又利用动态分析、主动防御技术进行深入的动态分析，起到了查缺补漏的效果。在本方案中对于恶意URL的检测，采用的是第三种方法，即：动态分析结合静态匹配的技术方案，通过上述的技术分析可以看到，可以清晰地看到，本方案可以满足对恶意链接的精确检测要求。QVM-II人工智能检测引擎对于病毒和恶意代码的检测，一直存在着两个技术方向，一个是依靠病毒特征匹配的静态检测技术，这种技术的特点是必须依靠已知的病毒特征，一般静态特征匹配的技术适合对已知病毒、恶意代码的检测。另外一种是依靠对病毒行为的动态分析技术，这种技术更适合对未知病毒、恶意代码的检测。这两种技术是目前对病毒进行检测的关键技

22、术，分别实现对已知、未知的病毒及恶意代码检测。其中采用特征对病毒进行检测的技术又分为两个方向，一个是穷举式病毒特征提取，即针对每个已发现的病毒、恶意代码样本提取各自的病毒特征，这种方式的优点是能够准确识别出已提取特征的病毒与恶意代码，误报率和漏报率都很低。另一种是针对不同族类的病毒及恶意代码提取出共性的族群特征，并以此作为检测依据对恶意代码进行检测。这种方式的优点是不依赖某一个病毒或恶意代码的具体特征，而是提取某一族群的恶意代码共性特征，因此，这种检测方法对于某一病毒与恶意代码族群内的新生病毒具有非常强的检测能力，同时还能对检测出来的病毒与恶意代码进行族系归类。QVM-II人工智能检测引擎采用

23、人工智能与机器学习的方法，对360目前已经积累的20多亿病毒样本进行多次切片学习，抽取出病毒与恶意代码的共性特征，建立恶意代码的不同族系模型，该算法在北美、欧洲的多项恶意代码检测能力测评之中名列第一。该技术的主要组成框架如下：终端安全性检查 目标描述根据终端的安全状况，决定其是否能接入到网络之中，亦即将终端的安全状况作为网络准入的前判断件之一。此功能的最终目的是强制终端落实规定的安全防范措施，进行安全加固工作，隔离可能成为安全短板的终端。 设计描述本功能由4项子功能组成： 子功能1：终端安全状况信息收集（包括：当前终端的登录账号、当前终端的杀毒软件安装与运行情况、当前终端杀毒软件病毒库的版本信

24、息、当前终端操作系统的安装情况）。 子功能2：病毒特征库、系统漏洞补丁文件自动下载、自动修复。 子功能3：根据策略阻断终端连入网络。 子功能4：通过管理控制中心配置终端安全状况准入策略，支持按照IP地址、网段、IP地址区间下发到不同的终端。终端安全状态的几个关键指标是： 登录账号是否合法。 是否安装并运行了规定的防病毒软件。 病毒库是否升级至最新。 操作系统补丁是否升级至规定标准。 硬件是否变更。 是否存在非法外联的现象。说明：对于子功能1中的杀毒软件的病毒库的安装情况以及杀毒软件的病毒库版本情况的检查，将锁定在有限的几家杀毒软件（如：瑞星、金山、卡巴斯基、诺顿、MAcfee、趋势科技等），如

25、果需要检查其他厂家的杀毒软件，则通过额外定制开发完成。终端防黑加固 目标描述对客户端进行防黑加固功能，提供有针对性监控功能，包括系统账号变更、重点端口监控，共享目录管控等。 设计描述1对终端密码复杂度、生存期和密码历史进行检查，如客户机不满足将提示终端用户修改；2对重点端口进行监控，并支持自定义端口监控与上报；3可以显示终端开启的共享目录并对共享目录进行管理（关闭共享）4可监控用户账号权限发生变化；用户组权限发生变化；用户账号增加、减少；用户组增加、减少；用户账号状态发生改变（启用、禁用），同时上报日志协议防火墙 目标描述在内网终端间建立访问控制机制，杜绝非业务需求下的终端互访现象，遏制网内主

26、机发起的攻击。 设计描述1基于IP、端口双向配置基于主机的访问控制策略。实现同个子网或不同子网内终端之间的访问控制，在不需要对原有网络设备做任何调整的前提下，实现细粒度的安全域访问控制管理。2可禁止终端PING出、PING入，有效遏制内网嗅探行为。访问控制策略在控制中心集中定义，可根据不同分组按需下发，分布式执行，简洁、高效。桌面管理终端流量管理 目标描述对客户端访问外部子网的流量进行统计与限制，实时统计全网内各客户端访问流量的排名。 设计描述流量访问策略配置3 在控制端提供TAB页面，对终端/终端组（可通过IP地址、IP区间、子网对应）访问目标网络或目标服务器（可通过IP地址、IP区间、子网

27、对应）的网络流量（速率）上限进行配置（最小单位：KBps）。 此配置作为策略下发至各个终端。终端访问流量计数4 终端在网络层统计各自访问的流量，包括： 该终端的总体访问流量速率。 对特定目标主机的访问流量速率。 对特定子网的访问流量速率。 终端将各自的流量统计数据上报至管理控制中心。终端访问流量控制 根据管理控制台为该终端下发的流量控制策略与终端统计出的当前的访问流量，对该终端的流量速率进行整形限制，注意，此处需要根据流量访问策略区分如下三种情况进行流量限制： 对该终端的总体访问流量速率进行整形限制。 对该终端与特定目标主机的之间的通信流量速率进行整形限制。 对该终端与特定子网的通信流量速率进

28、行整形限制。全网流量统计排名 管理控制中心对所有终端上报的流量速率数据进行实时排名刷新，采取do-by-need的方式，在用户请求排名的时候，实时计算最新的流量速率的排名列表。系统自动升级 目标描述在无须运维管理人员参与的情况下，对360天擎客户端软件、360管理控制台软件、360天擎客户端病毒特征库、系统/应用的漏洞补丁进行自动下载、升级与安装。 设计描述为了避免升级过程中导致网络拥塞，终端的升级将从内网的升级服务器统一拉取升级文件，即终端不会从位于Internet的360升级服务器下载升级文件。当360天擎管理控制台处于隔离网与非隔离网两种环境之下，其升级方案也有比较大的区别，天擎360支

29、持对于隔离网环境下的物理隔离升级与非隔离网环境下的内网推送式升级。升级过程一共分两个阶段： 第一阶段：升级服务器（一般来说就是管理控制台）从位于Internet上的360升级服务器下载全部升级文件至本地。 第二阶段：360天擎客户端根据自己的实际需要从升级服务器上下载升级所需要的文件并执行升级操作。对于隔离网环境来说，由于内网升级服务器无法连接至360升级服务器，因此无法直接完成升级文件的下载，在这种情况下，我们提供了“隔离升级代理”工具完成升级文件的下在工作，具体升级过程如下：第一步：将“隔离升级代理”工具放置在内网升级服务器上，运行该工具，即可完成升级所需信息的收集工作，即搜集到内网服务器

30、中当前升级文件的版本信息，建立升级基线。第二步：将“隔离升级代理”和所搜集到的升级服务器的升级基线拷贝到一台可以连接至互联网360升级服务器的机器上，并再次运行该升级工具，此时，“隔离升级代理”工具将根据当前最新的升级文件与第一步中采集到的升级基线进行对比，下载新增、修改的文件，并将下载到的文件保存在“隔离升级代理”工具所在的文件夹中。第三步：再次将“隔离升级代理”文件夹整体拷贝到内网升级服务器之上，再次运行该工具，即可将最新的升级文件成功存放在内网升级服务器上的制定存储位置。升级过程中的带宽利用为了最大限度降低升级过程中的带宽消耗，保障业务运行带宽不受升级过程影响，360天擎采用如下的技术保

31、证升级过程中的网络稳定性与业务稳定性： 带宽压缩技术在客户端下载升级文件的过程中，将对升级文件进行压缩处理，尽力降低升级文件传输过程中对带宽的消耗。 带宽限制技术内网升级服务器支持对升级文件传输的带宽总流量进行限制设置，可以对升级过程中消耗的总带宽进行上限设置。 智能分发技术内网客户端将根据自身的实际需要从内网升级服务器下载不同的特征库升级文件、补丁文件、软件升级包等，而不会将所有的升级文件都从内网升级服务器上下载。终端硬件性能监控 目标描述监控所有终端（包括VIP终端）的硬件性能状况，包括：CPU利用率、内存利用率、硬盘容量与使用情况、网络延迟等。 设计描述采样与设值采样周期存储期限预警阈值CPU默认60秒，可设置保存最近3个月可设置内存默认60秒，可设置保存最近3个月可设置硬盘默认1天，可设置保存最近3个月可设置网络延时默认60秒，可设置保存最近3个月可设置查询与预警 支持通过IP、UserID、采样参数、样本值（大于、小于）结合时间段进行查询，绘制出完整的性能曲线。 在采样周期到时的时候，如果性能参数满足报警阈值设置，则立即产生报警，报警数据可以通过邮件进行发送。终端软件进程与服务管理 目标描述监控所有终端的所有进程、服务