360天擎终端安全管理系统技术白皮书

360 天擎 终端安全管理系统 技术白皮书 北京奇虎科技有限公司 2013 年 8 月 目录 一、 背景概述 4 1、 背景 4 1.1、 终端木马、病毒问题严重 4 1.2、 0day 漏洞和特马导致的 APT 问题严重 4 1.3、 终端接入问题严重 5 1.4、 终端违规软件安装问题严重 5 1.5、 终端漏洞问题严重 5 1.6、 终端安全状况需要统一管控 6 2、 产品定位 6 二、 产品方案功能介绍 7 1、 设计理念 7 1.1、 收集了解 7 1.2、 立体防护 7 1.3、 集中管控 7 2、 系统拓扑图 7 3、 系统构架描述 8 3.1. 天擎控制中心 9 3.2. 天擎终端 9 4、 系统主要功能介绍 10 4.1. 服务端功能 11 4.2. 终端功能 12 三、 产品方案技术介绍 14 1、 相关技术 14 2、 技术指标 14 四、 实施运维方式说明 14 1、 实施原则 14 2、 实施流程 14 2.1. 安装控制中心 14 2.2. 小范围部署终端 14 2.3. 扩大终端范围 15 2.4. 全企业推广 15 一、 背景概述 1、 背景 随着最近几年各企事业单位网络应用的快速发展和具有黑客攻击特征的新 类型病毒的大量出现，原有的防毒措施已经不能很好的满足网络系统安全的需 要，突出表现在如下几个方面： 1.1、 终端木马、病毒问题严重 目前很多企事业单位缺乏必要的企业级安全软件，导致终端木马、病毒泛 滥，而且由于终端处于企业局域网内，造成交叉感染现象严重，很难彻底清除 某些感染性较强的病毒。 这类病毒、木马会导致终端运行效率降低，对文件进行破坏，或者会把一 些敏感信息泄露出去。 1.2、 0day 漏洞和特马导致的 APT 问题严重 APT（Advanced Persistent Threat）攻击是一类特定的攻击，为了获取某 个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。 APT 攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一 步一步的获取进入组织内部的权限。APT 往往利用组织内部的人员作为攻击跳 板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通 用的攻击代码。 此外，APT 攻击具有持续性，甚至长达数年。这种持续体现在攻击者不断尝 试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直 到收集到重要情报。 更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和 单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心 利益的网络基础设施。 对于这些单位而言，尽管已经部署了相对完备的纵深安全防御体系，可能 既包括针对某个安全威胁的安全设备，也包括了将各种单一安全设备串联起来 的管理平台，而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但 是，这样的防御体系仍然难以有效防止来自互联网的入侵和攻击，以及信息窃 取，尤其是新型攻击（例如 APT 攻击，以及各类利用 0day 漏洞的攻击） 。 1.3、 终端接入问题严重 企业级局域网内存储着事关企事业单位的机密信息，对安全级别要求很高， 但在很多单位，对于准入并没有做限制。 任何 PC 终端、手机、pad 等设备，都可以通过网线或者 wifi 接入企业局域 网，这对于企业数据安全是极大的危害。这些设备有可能已经被攻破，带有病 毒或者是木马，一旦入侵企业局域网，会对局域网的服务器发起攻击。 1.4、 终端违规软件安装问题严重 在企业网络中，往往就是内部人员的电脑随意安装软件带来了很大的安全 隐患：内部人员在计算机上安装使用盗版软件，不但引入了潜在的安全漏洞， 降低了计算机系统的安全系数，还有可能惹来版权诉讼的麻烦；而一些内部人 员出于好奇心或者恶意破坏的目的，在计算机上安装使用一些黑客软件，从内 部发起攻击；还有一些内部人员安全意识淡薄，不安装指定的防毒软件等等。 这些行为都对内网构成了重大的安全威胁。 谁随意安装软件？谁安装了禁止使用的软件？企业的安全管理员难以掌握 企业网内软件的安装情况和使用情况。 1.5、 终端漏洞问题严重 黑客攻击和大部分病毒都会利用到操作系统和一些常用软件的漏洞。而计 算机操作人员对操作系统漏洞的补丁修复意识淡薄，很多人根本不知道自己的 系统存在漏洞并应及时安装补丁，这为病毒的广泛生存提供了温床，就使网络 内的设备安全受到很大的威胁。 如果企业使用单机版的安全软件修复漏洞，就只能靠管理员逐台电脑打补 丁，不仅耗费管理员的时间，还大量占用企业网络的带宽和设备资源，企业信 息网络的正常运行受到极大的影响。 要确保及时的修复漏洞，不被木马和病毒利用，同时又要确保合理有效的 使用带宽资源，就需要使用企业级的安全软件集中修复漏洞。 1.6、 终端安全状况需要统一管控 如果一个企业缺乏统一的终端安全管理，就无法全面了解和监控企业内网 安全状况，一旦终端被感染病毒威胁或遭受恶意入侵，网络管理员很难及时发 现并解决问题；某个终端不安全的配置和策略会导致企业网络中出现漏洞，从 而成为整个网络安全中的短板。 假如有企业内部员工使用从外部网络中下载的文件，而这些文件又被植入 了病毒或木马，黑客就极有可能通过该主机进入企业内部网络，进而通过嗅探、 破解密码等方式对内部的关键信息或敏感数据进行收集，或以该主机为“跳板” 对内部网络的其他主机进行攻击，影响企业的正常运行，甚至导致企业核心数 据外泄。 监控终端面临病毒黑客攻击的状况，及时发现隐患并报警，统一正确配置 安全策略，可以极大的提高整个企业网络安全的水平，避免短板出现。 2、 产品定位 针对以上问题，北京奇虎科技有限公司推出了360 天擎终端安全管理系统 （以下简称天擎） 。 天擎是奇虎 360 面向政府、军队、金融、制造业、医疗、教育等大型企事 业单位推出的以安全防御为核心、以运维管控为重点、以可视化管理为支撑、 以可靠服务为保障的全方位终端安全解决方案。为用户构建能够有效抵御已知 病毒、0day 漏洞、未知恶意代码和 APT 攻击的新一代终端安全防御体系，并提 供企业安全统一管控、终端硬件准入、软件准入、上网行为管理等诸多管理类 功能。 二、 产品方案功能介绍 1、 设计理念 1.1、 收集了解 天擎终端可以收集终端机器上的安全状况，包括：漏洞修复情况、病毒木 马情况、危险项情况、以及各种软硬件情况等。 这些情况会汇集到控制中心，管理员可以通过相应功能，了解网内所有终 端的安全情况、硬件情况以及软件安装情况等。 1.2、 立体防护 天擎具有漏洞修复、病毒木马查杀、黑白名单、硬件准入、软件准入、上 网行为管理等多样化的防护手段，从准入、防黑加固、病毒查杀、软件和上网 行为控制等多个层次，为企业构建立体防护网，确保企业终端安全。 1.3、 集中管控 天擎控制中心为管理员提供了统一修复漏洞、统一杀毒、统一升级、上网 管理、软件统一分发卸载等很多管理功能，管理员可以通过控制台直接对网内 所有终端进行统一管控。 2、 系统拓扑图 天擎包括控制中心和客户端两层。 第一层：安全控制中心 安全控制中心，是天擎的核心，部署在服务器端。 有两大功能，一方面提供了管理台，采用 B/S 架构，管理员可以随时随地 的通过浏览器打开访问，对天擎进行管理和控制。主要有设备分组管理、策略 制定下发、全网健康状况监测、统一杀毒、统一漏洞修复以及各种报表和查询 等。 另一方面，提供了很多的基础服务，如：云查杀服务、终端升级服务、数 据服务、通讯服务等。 第二层：客户端 客户端，部署在需要被保护的服务器或者终端，执行最终的杀毒扫描、漏 洞修复等安全操作。并向安全控制中心发送相应的安全数据。 3、 系统构架描述 3 6 0 天擎终端安全管理系统 天擎终端 天擎控制中心 控制台 云查杀服务 通讯服务 数据服务 杀毒 升级服务 通讯终端 漏洞修复 软件管理 硬件管理 上网行为管理 其他安全模块 天擎由天擎控制中心和天擎终端组成。 3.1. 天擎控制中心 天擎控制中心，部署在服务器端，是天擎系统的核心组成部分。包括了控 制台、云查杀服务、数据服务、升级服务和通讯服务。 1. 控制台 控制台，采用 B/S 架构，管理员通过该控制台对天擎进行管理和控制， 对终端下发策略等。控制台包含了核心安全、软件管理、硬件管理、上 网行为管理以及很多实用的企业管理小工具，如：软件分发、发布公告 等。 2. 云查杀服务 为天擎终端提供云查杀服务，终端可以采用云查杀模式，不依赖于本地 病毒库，具有查杀效率高、占用资源少、病毒库更新及时、文件安全性 可定制等诸多优点。 3. 数据服务 数据服务为控制台提供数据库服务，并为外部其他系统，如：报表系统 提供数据服务，其他系统可以通过服务获取天擎的安全相关数据，并进 行处理。 4. 升级服务 天擎终端可以连接到控制中心的升级服务进行病毒库、木马库更新，终 端软件版本更新，以及修复漏洞等。 5. 通讯服务 天擎终端上报安全数据，控制中心向终端推送安全策略等，都是通过通 讯服务完成的。 3.2. 天擎终端 天擎终端，部署在终端用户的机器上，执行最终的安全操作，如：杀毒、 修复漏洞、非白即黑控制等。主要包括了：杀毒、漏洞修复、软件管理、硬件 管理、上网行为管理、其他安全模块以及通讯终端等。 1. 杀毒 终端的杀毒能力是一个安全软件的重中之重。天擎终端具有多引擎、强 查杀的特点。终端集成了 QVM、QEX、BD 等多种引擎，可以对终端从多 个角度形成立体防护，确保终端远离病毒。 2. 漏洞修复 天擎终端带有 360 安全卫士的漏洞修复模块，该模块在国内拥有近 5 亿 的用户，具有漏洞修复及时，占用资源低，防蓝屏死机等特点。 3. 软件管理 天擎终端为终端用户提供了企业级软件仓库功能，通过在服务器端部署 软件仓库服务，终端可以获取为本企业定制的软件列表。 天擎终端还可以接收管理员从控制中心下发的软件，并自动安装部署， 便于整个企业的软件统一安装。 天擎终端还会把终端安装的软件情况，汇总到控制中心，供管理员统一 管理。管理员可以在控制中心下发指令，直接写在终端的某些软件。 4. 硬件管理 天擎终端会收集终端硬件信息，并汇总到控制中心，管理员在控制中心 就可以很方便的浏览整个企业的硬件情况。 天擎终端还具有硬件识别、驱动自动安装等功能。 5. 上网行为管理 天擎终端，可以接收管理员从控制中心下发的各种上网策略，并以此限 制终端的各种上网行为，如：网速带宽限制、网站访问权限等。 6. 其他安全模块、 天擎终端还有很多安全模块，如体检、安全项检测和修复、开机加速、 插件清理等等。 7. 通讯终端 负责与控制中心的通讯服务通讯，上报终端安全数据、接收服务端指令 策略等。 4、 系统主要功能介绍 本章节对天擎的功能做个简要的介绍，如果想对功能有进一步的了解，可 以安装天擎试用版或者参考使用手册 。 4.1. 服务端功能 服务端主要是安全管理员使用，统一管理企业所有终端的安全。 4.1.1. 安全管理 该模块是天擎的核心模块之一,通过该模块,管理员可以了解所有终端的安 全情况,为终端修复漏洞、进行病毒库木马库升级、清理插件等，并可以通过该 模块进行 U 盘等外设存储的管理和控制。 4.1.2. 私有云平台 该模块是天擎的另外一个核心模块，负责为终端提供云查杀服务，从文件 级别，确保终端安全，可以设置终端的强非白即黑机制。 4.1.3. 流量管理 通过该模块，管理员可以了解各终端的网络流量情况，包括终端的实时网 络速度、一段时间的下载上传流量等，也可以对网速进行限制。 4.1.4. 软件管理 通过该模块，管理员可以查看所有终端的软件安装情况，并可以强制终端 卸载软件。 而且，该模块还为管理员提供了软件下发功能，管理员通过该模块，可以 向指定终端推送并强制安装某些软件。 4.1.5. 资产管理 通过该模块，管理员可以了解所有终端的硬件信息，包括：终端的机器型 号、CPU、内存、硬盘等等所有的硬件信息。 如果终端硬件发生变化，则会在该模块产生变更日志，使得管理员可以对 辖终端的硬件变更情况一目了然。 4.1.6. 日志报表 天擎每天会产生一条安全日志记录，描述当天的安全情况，如：平均体检 得分、漏洞修复情况、病毒查杀情况等。根据这些日志，管理员可以了解网内 终端的安全趋势，并可以据此制作安全报告。 4.1.7. 设置中心 通过该模块，管理员可以对天擎的很多参数进行设置。如：终端和服务端 的通讯时间间隔、终端升级策略、终端的皮肤外观定制、定时杀毒等等。 4.1.8. 其他工具 为了方便管理员安全方面的工作，天擎提供了一些列的小工具，如：域安 装部署工具、部署准入控制工具、信任网址白名单、终端接入规则设置、发布 公告、多级中心、控制中心迁移等等。 合理使用这些工具，可以使管理员工作更加高效、更能达到安全的效果。 4.2. 终端功能 终端安装部署在最终用户的机器上，执行最终的安全指令，是整个企业安 全的基石，要想全面提高企业终端安全水平，终端的安装部署覆盖程度是至关 重要的。 4.2.1. 病毒查杀 病毒查杀分为快速扫描、全盘扫描、自定义扫描等多种方式，可以由终端 用户自己发起，也可以由管理员从控制中心发起，还可以在控制中心定义定时 杀毒自动发起。 4.2.2. 病毒免疫 可以通过开启免疫机制，使终端达到动态链接库劫持免疫、木马免疫、宏 病毒免疫等效果。 4.2.3. 电脑体检 通过对终端的各种安全情况进行扫描，最终给电脑健康状况打分，使管理 员可以对终端安全状况有个总体了解。 4.2.4. 系统修复 终端用户可以通过该模块修复漏洞，也可以修复其他系统问题。该模块也 可以由管理员从控制中心调用，替终端用户进行系统修复。 4.2.5. 电脑清理 通过该模块，可以清理垃圾、清理软件、清理插件、清理痕迹等。本模块 可以由终端用户直接使用，也可以由管理员从控制中心发起。 4.2.6. 软件管家 终端用户可以