360天擎终端安全管理系统技术白皮书.docx
《360天擎终端安全管理系统技术白皮书.docx》由会员分享,可在线阅读,更多相关《360天擎终端安全管理系统技术白皮书.docx(10页珍藏版)》请在冰豆网上搜索。
360天擎终端安全管理系统技术白皮书
360天擎
终端安全管理系统
技术白皮书
北京奇虎科技有限公司
2013年8月
一、背景概述
1、背景
随着最近几年各企事业单位网络应用的快速发展和具有黑客攻击特征的新类型病毒的大量出现,原有的防毒措施已经不能很好的满足网络系统安全的需要,突出表现在如下几个方面:
1.1、终端木马、病毒问题严重
目前很多企事业单位缺乏必要的企业级安全软件,导致终端木马、病毒泛滥,而且由于终端处于企业局域网内,造成交叉感染现象严重,很难彻底清除某些感染性较强的病毒。
这类病毒、木马会导致终端运行效率降低,对文件进行破坏,或者会把一些敏感信息泄露出去。
1.2、0day漏洞和特马导致的APT问题严重
APT(AdvancedPersistentThreat)攻击是一类特定的攻击,为了获取某个组织甚至是国家的重要信息,有针对性的进行的一系列攻击行为的整个过程。
APT攻击利用了多种攻击手段,包括各种最先进的手段和社会工程学方法,一步一步的获取进入组织内部的权限。
APT往往利用组织内部的人员作为攻击跳板。
有时候,攻击者会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。
此外,APT攻击具有持续性,甚至长达数年。
这种持续体现在攻击者不断尝试各种攻击手段,以及在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报。
更加危险的是,这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行,包括能源、电力、金融、国防等关系到国计民生,或者是国家核心利益的网络基础设施。
对于这些单位而言,尽管已经部署了相对完备的纵深安全防御体系,可能既包括针对某个安全威胁的安全设备,也包括了将各种单一安全设备串联起来的管理平台,而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。
但是,这样的防御体系仍然难以有效防止来自互联网的入侵和攻击,以及信息窃取,尤其是新型攻击(例如APT攻击,以及各类利用0day漏洞的攻击)。
1.3、终端接入问题严重
企业级局域网内存储着事关企事业单位的机密信息,对安全级别要求很高,但在很多单位,对于准入并没有做限制。
任何PC终端、手机、pad等设备,都可以通过网线或者wifi接入企业局域网,这对于企业数据安全是极大的危害。
这些设备有可能已经被攻破,带有病毒或者是木马,一旦入侵企业局域网,会对局域网的服务器发起攻击。
1.4、终端违规软件安装问题严重
在企业网络中,往往就是内部人员的电脑随意安装软件带来了很大的安全隐患:
内部人员在计算机上安装使用盗版软件,不但引入了潜在的安全漏洞,降低了计算机系统的安全系数,还有可能惹来版权诉讼的麻烦;而一些内部人员出于好奇心或者恶意破坏的目的,在计算机上安装使用一些黑客软件,从内部发起攻击;还有一些内部人员安全意识淡薄,不安装指定的防毒软件等等。
这些行为都对内网构成了重大的安全威胁。
谁随意安装软件?
谁安装了禁止使用的软件?
企业的安全管理员难以掌握企业网内软件的安装情况和使用情况。
1.5、终端漏洞问题严重
黑客攻击和大部分病毒都会利用到操作系统和一些常用软件的漏洞。
而计算机操作人员对操作系统漏洞的补丁修复意识淡薄,很多人根本不知道自己的系统存在漏洞并应及时安装补丁,这为病毒的广泛生存提供了温床,就使网络内的设备安全受到很大的威胁。
如果企业使用单机版的安全软件修复漏洞,就只能靠管理员逐台电脑打补丁,不仅耗费管理员的时间,还大量占用企业网络的带宽和设备资源,企业信息网络的正常运行受到极大的影响。
要确保及时的修复漏洞,不被木马和病毒利用,同时又要确保合理有效的使用带宽资源,就需要使用企业级的安全软件集中修复漏洞。
1.6、终端安全状况需要统一管控
如果一个企业缺乏统一的终端安全管理,就无法全面了解和监控企业内网安全状况,一旦终端被感染病毒威胁或遭受恶意入侵,网络管理员很难及时发现并解决问题;某个终端不安全的配置和策略会导致企业网络中出现漏洞,从而成为整个网络安全中的短板。
假如有企业内部员工使用从外部网络中下载的文件,而这些文件又被植入了病毒或木马,黑客就极有可能通过该主机进入企业内部网络,进而通过嗅探、破解密码等方式对内部的关键信息或敏感数据进行收集,或以该主机为“跳板”对内部网络的其他主机进行攻击,影响企业的正常运行,甚至导致企业核心数据外泄。
监控终端面临病毒黑客攻击的状况,及时发现隐患并报警,统一正确配置安全策略,可以极大的提高整个企业网络安全的水平,避免短板出现。
2、产品定位
针对以上问题,北京奇虎科技有限公司推出了《360天擎终端安全管理系统》(以下简称天擎)。
天擎是奇虎360面向政府、军队、金融、制造业、医疗、教育等大型企事业单位推出的以安全防御为核心、以运维管控为重点、以可视化管理为支撑、以可靠服务为保障的全方位终端安全解决方案。
为用户构建能够有效抵御已知病毒、0day漏洞、未知恶意代码和APT攻击的新一代终端安全防御体系,并提供企业安全统一管控、终端硬件准入、软件准入、上网行为管理等诸多管理类功能。
二、产品方案功能介绍
1、设计理念
1.1、收集了解
天擎终端可以收集终端机器上的安全状况,包括:
漏洞修复情况、病毒木马情况、危险项情况、以及各种软硬件情况等。
这些情况会汇集到控制中心,管理员可以通过相应功能,了解网内所有终端的安全情况、硬件情况以及软件安装情况等。
1.2、立体防护
天擎具有漏洞修复、病毒木马查杀、黑白名单、硬件准入、软件准入、上网行为管理等多样化的防护手段,从准入、防黑加固、病毒查杀、软件和上网行为控制等多个层次,为企业构建立体防护网,确保企业终端安全。
1.3、集中管控
天擎控制中心为管理员提供了统一修复漏洞、统一杀毒、统一升级、上网管理、软件统一分发卸载等很多管理功能,管理员可以通过控制台直接对网内所有终端进行统一管控。
2、系统拓扑图
天擎包括控制中心和客户端两层。
第一层:
安全控制中心
安全控制中心,是天擎的核心,部署在服务器端。
有两大功能,一方面提供了管理台,采用B/S架构,管理员可以随时随地的通过浏览器打开访问,对天擎进行管理和控制。
主要有设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复以及各种报表和查询等。
另一方面,提供了很多的基础服务,如:
云查杀服务、终端升级服务、数据服务、通讯服务等。
第二层:
客户端
客户端,部署在需要被保护的服务器或者终端,执行最终的杀毒扫描、漏洞修复等安全操作。
并向安全控制中心发送相应的安全数据。
3、系统构架描述
天擎由天擎控制中心和天擎终端组成。
3.1.天擎控制中心
天擎控制中心,部署在服务器端,是天擎系统的核心组成部分。
包括了控制台、云查杀服务、数据服务、升级服务和通讯服务。
1.控制台
控制台,采用B/S架构,管理员通过该控制台对天擎进行管理和控制,对终端下发策略等。
控制台包含了核心安全、软件管理、硬件管理、上网行为管理以及很多实用的企业管理小工具,如:
软件分发、发布公告等。
2.云查杀服务
为天擎终端提供云查杀服务,终端可以采用云查杀模式,不依赖于本地病毒库,具有查杀效率高、占用资源少、病毒库更新及时、文件安全性可定制等诸多优点。
3.数据服务
数据服务为控制台提供数据库服务,并为外部其他系统,如:
报表系统提供数据服务,其他系统可以通过服务获取天擎的安全相关数据,并进行处理。
4.升级服务
天擎终端可以连接到控制中心的升级服务进行病毒库、木马库更新,终端软件版本更新,以及修复漏洞等。
5.通讯服务
天擎终端上报安全数据,控制中心向终端推送安全策略等,都是通过通讯服务完成的。
3.2.天擎终端
天擎终端,部署在终端用户的机器上,执行最终的安全操作,如:
杀毒、修复漏洞、非白即黑控制等。
主要包括了:
杀毒、漏洞修复、软件管理、硬件管理、上网行为管理、其他安全模块以及通讯终端等。
1.杀毒
终端的杀毒能力是一个安全软件的重中之重。
天擎终端具有多引擎、强查杀的特点。
终端集成了QVM、QEX、BD等多种引擎,可以对终端从多个角度形成立体防护,确保终端远离病毒。
2.漏洞修复
天擎终端带有360安全卫士的漏洞修复模块,该模块在国内拥有近5亿的用户,具有漏洞修复及时,占用资源低,防蓝屏死机等特点。
3.软件管理
天擎终端为终端用户提供了企业级软件仓库功能,通过在服务器端部署软件仓库服务,终端可以获取为本企业定制的软件列表。
天擎终端还可以接收管理员从控制中心下发的软件,并自动安装部署,便于整个企业的软件统一安装。
天擎终端还会把终端安装的软件情况,汇总到控制中心,供管理员统一管理。
管理员可以在控制中心下发指令,直接写在终端的某些软件。
4.硬件管理
天擎终端会收集终端硬件信息,并汇总到控制中心,管理员在控制中心就可以很方便的浏览整个企业的硬件情况。
天擎终端还具有硬件识别、驱动自动安装等功能。
5.上网行为管理
天擎终端,可以接收管理员从控制中心下发的各种上网策略,并以此限制终端的各种上网行为,如:
网速带宽限制、网站访问权限等。
6.其他安全模块、
天擎终端还有很多安全模块,如体检、安全项检测和修复、开机加速、插件清理等等。
7.通讯终端
负责与控制中心的通讯服务通讯,上报终端安全数据、接收服务端指令策略等。
4、系统主要功能介绍
本章节对天擎的功能做个简要的介绍,如果想对功能有进一步的了解,可以安装天擎试用版或者参考《使用手册》。
4.1.服务端功能
服务端主要是安全管理员使用,统一管理企业所有终端的安全。
4.1.1.安全管理
该模块是天擎的核心模块之一,通过该模块,管理员可以了解所有终端的安全情况,为终端修复漏洞、进行病毒库木马库升级、清理插件等,并可以通过该模块进行U盘等外设存储的管理和控制。
4.1.2.私有云平台
该模块是天擎的另外一个核心模块,负责为终端提供云查杀服务,从文件级别,确保终端安全,可以设置终端的强非白即黑机制。
4.1.3.流量管理
通过该模块,管理员可以了解各终端的网络流量情况,包括终端的实时网络速度、一段时间的下载上传流量等,也可以对网速进行限制。
4.1.4.软件管理
通过该模块,管理员可以查看所有终端的软件安装情况,并可以强制终端卸载软件。
而且,该模块还为管理员提供了软件下发功能,管理员通过该模块,可以向指定终端推送并强制安装某些软件。
4.1.5.资产管理
通过该模块,管理员可以了解所有终端的硬件信息,包括:
终端的机器型号、CPU、内存、硬盘等等所有的硬件信息。
如果终端硬件发生变化,则会在该模块产生变更日志,使得管理员可以对辖终端的硬件变更情况一目了然。
4.1.6.日志报表
天擎每天会产生一条安全日志记录,描述当天的安全情况,如:
平均体检得分、漏洞修复情况、病毒查杀情况等。
根据这些日志,管理员可以了解网内终端的安全趋势,并可以据此制作安全报告。
4.1.7.设置中心
通过该模块,管理员可以对天擎的很多参数进行设置。
如:
终端和服务端的通讯时间间隔、终端升级策略、终端的皮肤外观定制、定时杀毒等等。
4.1.8.其他工具
为了方便管理员安全方面的工作,天擎提供了一些列的小工具,如:
域安装部署工具、部署准入控制工具、信任网址白名单、终端接入规则设置、发布公告、多级中心、控制中心迁移等等。
合理使用这些工具,可以使管理员工作更加高效、更能达到安全的效果。
4.2.终端功能
终端安装部署在最终用户的机器上,执行最终的安全指令,是整个企业安全的基石,要想全面提高企业终端安全水平,终端的安装部署覆盖程度是至关重要的。
4.2.1.病毒查杀
病毒查杀分为快速扫描、全盘扫描、自定义扫描等多种方式,可以由终端用户自己发起,也可以由管理员从控制中心发起,还可以在控制中心定义定时杀毒自动发起。
4.2.2.病毒免疫
可以通过开启免疫机制,使终端达到动态链接库劫持免疫、木马免疫、宏病毒免疫等效果。
4.2.3.电脑体检
通过对终端的各种安全情况进行扫描,最终给电脑健康状况打分,使管理员可以对终端安全状况有个总体了解。
4.2.4.系统修复
终端用户可以通过该模块修复漏洞,也可以修复其他系统问题。
该模块也可以由管理员从控制中心调用,替终端用户进行系统修复。
4.2.5.电脑清理
通过该模块,可以清理垃圾、清理软件、清理插件、清理痕迹等。
本模块可以由终端用户直接使用,也可以由管理员从控制中心发起。
4.2.6.软件管家
终端用户可以通过软件管家,浏览本企业的软件仓库中的软件,下载安装或者更新相应的软件。
并可通过该模块卸载软件、查询不常用软件等。
4.2.7.其他功能
天擎终端还提供了很多的终端小工具,协助终端用户更方便的管理自己的机器,确保终端安全和高效运行。
三、产品方案技术介绍
1、相关技术
主要应用技术的介绍,以及该技术的优势。
2、技术指标
针对技术参数进行描述。
四、实施运维方式说明
1、实施原则
天擎的安装部署推广,需要遵循先慢后快,稳步进行的总原则。
切忌一开始就大范围铺开。
2、实施流程
天擎的部署推广分为四大步骤
2.1.安装控制中心
安装部署控制中心,并确认控制中西的各功能项可以正常运行。
根据企业自身情况,设置天擎的相关系统参数,如:
缓存存储位置,终端通讯间隔等。
并且可以对终端的安装部署、显示界面等进行定制。
2.2.小范围部署终端
控制中心安装部署完成后,在管理员可控的范围内(一般建议是管理员本部门),挑选几台机器,安装部署终端。
该过程主要是验证安装部署是否正常,终端各项功能是否可以正常运行,终端与控制中心是否可以正常通讯等。
2.3.扩大终端范围
小范围测试完成后,挑选更多的终端,进行安装部署,一般建议各个部门都挑选几台。
这个阶段主要是确保终端和各应用之间的兼容性。
2.4.全企业推广
经过兼容性的测试后,就可以在整个企业内部开始安装推广。
整个流程,如下图所示。
升级会员 