360天擎运行情况报告

1 / 31 360 天擎运行情况报告 360 天擎使用手册 奇虎科技有限公司 2016 年 10 月 目 录 1 产品简介 . 5 2 产品定位 . 5 产品架构 . 5 安装部署 . 6 环 境 准2 / 31 备 . 6 硬件 . 6 软件 . 6 网络 . 7 获 取 安 装 包 安装 . 9 获 取 安 装包 . 9 安3 / 31 装 . 10 配置 . 10 终 端 部署 . 12 终 端 部 署 设置 . 13 Web 方式 . 14 邮 件 通知 . 16 网 站 发布 .4 / 31 . 16 离 线 安 装包 . 17 域 环 境 部署 . 17 准 入 控制 . 18 控 件 部署 . 18 隔 离 网 环境 . 19 3 功 能 使 用 说明 . 19 登录 .5 / 31 . 19 界 面 说明 . 20 Banner区 . 20 主 功 能 区域 . 20 首页 . . 20 安 全 概况 . 21 安 全 动态 . 21 6 / 31 终 端 概况 . 21 危 险 项 趋势 . 21 终 端 部署 . 21 证 书 信息 . 22 任 务 管理 . 22 常 用 功 能区 . 24 安 全 管理 . 24 7 / 31 监 控 中心 . 25 终 端 升级 . 26 漏洞 . 27 病毒 . 28 木马 . 30 插件 . 31 8 / 31 系 统 危 险项 . 32 安 全 配置 . 33 U 盘管理 . 34 私 有 云 平台 . 34 云查杀 . 34 文 件 云 安全 . 35 流 量 管理 .9 / 31 . 35 软 件 管理 . 36 软 件 监控 . 36 软 件 分发 . 37 资 产 管理 . 38 硬 件 检测 . 38 硬 件 变更 . 39 10 / 31 基 准 变更 . 40 日 志 报表 . 40 安 全 日志 . 40 修 复 漏洞 . 41 病 毒 日志 . 42 查 杀 木马 . 43 清 除 插件 . 43 11 / 31 修 复 系 统 危 险项 . 44 安 全 配置 . 44 流 量 管理 . 45 文 件 云 日志 . 45 禁 用 程 序 日志 . 46 设 置 中心 . 46 全 局 设置 . 46 12 / 31 云 平 台 设置 . 47 安 全 策略 . 48 账 号 管理 . 49 升 级 服 务 器 设置 . 51 报 警 设置 . 53 定 时 杀 毒 设置 . 53 定 制 中心 . 54 终 端 配13 / 31 置 . 55 终 端 保 护 密码 . 57 终 端 升 级 管理 . 57 其 他 工具 . 58 终 端 升 级 验 证码 . 58 域 安 装 部 署 工具 . 59 部 署 准 入 控 制 工具 . 59 14 / 31 4 信 任 网 址 白 名单 . 60 锁定主页 . 60 终端接入规则 . 60 发 布 公告 . 61 软件分发 . 61 数据备份与恢复 . 61 场景参考手册 .15 / 31 . 62 准 备 使 用 360 天擎 . 62 部 署 终端 . 62 设 置 安 全 策略 . 62 设 置 定 时 杀毒 . 63 每 天 日 常 工作 . 63 全 网 体检 . 63 查 看 安 全 概16 / 31 况 . 63 细 项 处理 . 63 安 全 报告 . 63 定 义 自 己 的 杀 毒 网 络版 . 63 1 产品简介 产品定位 360天擎，是以 360私有云和杀毒网络版产品为基础，整合优化，服务于企业安全。 主要为了达到如下目的： 1、 加强终端安全的统一管理，有效防止病毒木马入侵； 2、 对终端进行统一的优化清理，提高终端运行效率； 3、 提高安全管理员工作效率，减轻日常工作强度。 17 / 31 产品架构 360 天擎由控制中心和企业终端两部分组成。 控制中心 控制中心，是 360 天擎的管理台，部署在服务器端，采用 B/S 架构，可以随时随地的通过浏览器打开访问。 360 天擎 终端安全管理系统 技术白皮书 北京奇虎科技有限公司 2016 年 8 月 目录 一、 背景概述 4 1、 背景 4 、 终端木马、病毒问题严重 、 0day 漏洞和特马导致的 APT 问题严重 、 终端接入问题严重 、 终端违规软件安装问题严重 、 终端漏洞问题严重 、 终端安全状况需要统一管控 2、 产品定位 6 二、 产品方案功能介绍 7 1、 设计理念 7 、 收集了解 、 立体防护 、 集中管控 2、 系统拓扑图 7 3、 系统构架描述 8 18 / 31 天擎控制中心 天擎终端 4、 系统主要功能介绍 10 服务端功能 终端功能 三、 产品方案技术介绍 14 1、 相关技术 14 2、 技术指标 14 四、 实施运维方式说明 14 1、 实施原则 14 2、 实施流程 14 安装控制中心 4 4 5 5 5 6 7 7 7 9 9 11 12 14 小范围部署终端 扩大终端范围 全企业推广 14 15 15 一、 背景概述 1、 背景 随着最近几年各企事业单位网络应用的快速发展和具有黑客攻击特征的新类型病毒的大量出现，原有的防毒措施已经不能很好的满足网络系统安全的需要，突出表现在如下几个方面： 、 终端木马、病毒问题严重 目前很多企事业单位缺乏必要的企业级安全软件，19 / 31 导致终端木马、病毒泛滥，而且由于终端处于企业局域网内 ，造成交叉感染现象严重，很难彻底清除某些感染性较强的病毒。 这类病毒、木马会导致终端运行效率降低，对文件进行破坏，或者会把一些敏感信息泄露出去。 、 0day 漏洞和特马导致的 APT 问题严重 APT 攻击是一类特定的攻击，为了获取某 个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。 APT 攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。 APT 往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针 对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。 此外， APT 攻击具有持续性，甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。 更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益 的网络基础设施。 对于这些单位而言，尽管已经部署了相对完备的纵深安全防御体系，可能既包括针对某个安全威胁的安全 设20 / 31 备，也包括了将各种单一安全设备串联起来的管理平台，而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是，这样的防御体系仍然难以有效防止来自互联网的入侵和攻击，以及信息窃取，尤其是新型攻击。 、 终端接入问题严重 企业级局域网内存储着事关企事业单位的机密信息，对安全级别要求很高，但在很多单位，对于准入并没有做限制。 任何 PC 终端、手机、 pad 等设备，都可以通过网线或者 wifi 接入企业局域网，这对于企业数据安全是极大的危害。这些设备有可能已经被攻破，带有病毒或者是木马 ，一旦入侵企业局域网，会对局域网的服务器发起攻击。 、 终端违规软件安装问题严重 在企业网络中，往往就是内部人员的电脑随意安装软件带来了很大的安全隐患：内部人员在计算机上安装使用盗版软件，不但引入了潜在的安全漏洞，降低了计算机系统的安全系数，还有可能惹来版权诉讼的麻烦；而一些内部人员出于好奇心或者恶意破坏的目的，在计算机上安装使用一些黑客软件，从内部发起攻击；还有一些内部人员安全意识淡薄，不安装指定的防毒软件等等。这些行为都对内网构成了重大的安全威胁。 谁随意安装软件？谁 安装了禁止使用的软件？企业21 / 31 的安全管理员难以掌握企业网内软件的安装情况和使用情况。 、 终端漏洞问题严重 黑客攻击和大部分病毒都会利用到操作系统和一些常用软件的漏洞。而计算机操作人员对操作系统漏洞的补丁修复意识淡薄，很多人根本不知道自己的系统存在漏洞并应及时安装补丁，这为病毒的广泛生存提供了温床，就使网络内的设 360 天擎终端安全管理系统 产品白皮书 目录 一 . 引言 . 1 二 . 天 擎 终 端 安 全 管 理 系 统 介绍 . 3 产 品 概述 .22 / 31 . 3 设 计 理念 . 3 产 品 架构 . 4 产 品 优势 . 5 完 善 的 终 端 安 全 防 御 体系 . 5 强 大 的 终 端 安 全 管 理 能力 . 6 23 / 31 良 好 的 用 户 体 验 与 易 用性 . 6 顶 尖 的 产 品 维 护 服 务 团队 . 6 主 要 功能 . 7 安 全 趋 势 监控 . 7 安 全 运 维 管理 . 7 终 端 流 量 管理 .24 / 31 . 8 终 端 软 件 管理 . 8 硬 件 资 产 管理 . 8 日 志 报 表 查询 . 9 边 界 联 动 防御 . 9 典 型 部署 . 9 25 / 31 小 型 企 业 解 决 方案 . 9 中 型 企 业 解 决 方案 . 10 中 型 企 业 解 决 方案 . 11 大 型 企 业 解 决 方案 . 12 三 . 产品价值 . 14 自 主 知 识 产 权 ， 杜 绝 后 门 隐患 . 14 26 / 31 解 决 安 全 问 题 ， 安 全 不 只 合规 . 14 强 大 管 理 能 力 ， 提 高 运 维 效率 . 15 灵 活 扩 展 能 力 ， 持 续 安 全 升级 . 15 四 . 服务支持 . 15 五 . 总结 . 15 一 . 引言 随着 IT 技术的飞速发展以及互联网的广泛普及，各27 / 31 级政府机构、组织、企事业单位都分别建立了网络信息系统。与此同时各种木马、病毒、 0day 漏洞，以及类似 APT 攻击这种新型的攻击手段也日渐增多，传统的病毒防御技术以及安全管理手段已经无法满足现阶段网络安全的需要，主要突出表现在如下几个方面： 、 终端木马、病毒问题严重 目前很多企事业单位缺乏必要的企业级安全软件，导致终端木马、病毒泛滥，而且由于终端处于企业局域网内，造成交叉感染现象严重，很难 彻底清除某些感染性较强的病毒。这类病毒、木马会导致终端运行效率降低，对文件进行破坏，或者会把一些敏感信息泄露出去。 同时，很多企业网络安全缺乏统一的安全管理，企业内部终端用户安装的安全软件各不相同，参差不齐，导致安全管理员很难做到统一的安全策略下发及执行。 、 无法有效应对 APT 攻击的威胁 APT 攻击是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。 APT 攻击利用了多种攻击手段，包括各种最先进的黑客技术和社会工程学方法，一步 一步的获取进入组织内部的权限。 APT 往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。 28 / 31 此外， APT 攻击具有持续性，有的甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。 更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。 同时，很多攻 击行为都会利用 0day 漏洞进行网络渗透和攻击。此时由于没有现成的样本，所以传统的基于特征检测的入侵防御系统，以及很多企业的安全控管措施和理念已经很难有效应对 0day 漏洞以及 APT 攻击的威胁了。 、 违规终端接入问题严重 企业的内网往往承载着企业重要信息的传递，存储着大量的企业财务、客户、人力资源等信息，这些都是企业需要重点保护的核心资产。但由于很多企业对于终端准入并没有做限制，私人 PC 或外来终端设备可以轻易的接入企业内网获取企业内部信息。尤其在当今网络无边界的趋势之下，通过私设无线路 由，手机、 Pad 等移动终端也可以轻松的接入企业内网。同时，由于缺乏统一的管控和审计，如果发生企业信息泄露，很难做到追踪溯源。这对于企业数据安全是极大的危害。 29 / 31 、 企业终端违规软件难以管控 企业员工在企业终端上私自安装的盗版软件、来源不明的下载软件很可能被黑客植入病毒或木马，用以窃取企业内部信息或导致企业 IT 系统崩溃。另外，很多企业规定员工不得安装某些违规软件，例如聊天软件、 P2P 软件等，但却无法进行管控，私装现象严重。并且企业没有量身定制的自定义软件商店，无法保证软件的下载来源可靠。 、 终端漏洞不能及时修复 黑客攻击和大部分病毒都会利用到操作系统和一些常用软件的漏洞。而计算机操作人员对操作系统漏洞的补丁修复意识淡薄，很多人根本不知道自己的系统存在漏洞并应及时安装补丁，这为病毒的广泛生存提供了温床，就使网络内的设备安全受到很大的威胁。 如果企业使用单机版的安全软件修复漏洞，就只能靠管理员逐台电脑打补丁，不仅耗费管理员的时间，还大量占用企业网络的带宽和设备资源，企业信息网络的正常运行受到极大的影响。 要确保及时的修复漏洞，不被木马和病毒利用 ，同时又要确保合理有效的使用带宽资源，就需要安全软件能够帮助管理员进行统一的漏洞管理和集中修复。 、 终端安全状况需要统一管控 如果一个企业缺乏统一的终端安全管理，就无法全30 / 31 面了解和监控企业内网安全状况，一旦终端被感