好文档就是一把金锄头!
欢迎来到金锄头文库![会员中心]
电子文档交易市场
安卓APP | ios版本
电子文档交易市场
安卓APP | ios版本

360天擎终端安全安全管理解决方案.docx

29页
  • 卖家[上传人]:leixi****n2022
  • 文档编号:279520650
  • 上传时间:2022-04-20
  • 文档格式:DOCX
  • 文档大小:2.78MB
  • / 29 举报 版权申诉 马上下载
  • 文本预览
  • 下载提示
  • 常见问题
    • 360天擎终端安全管理解决方案北京奇虎科技有限公司2014年9月29目录背景 3方案目标 4终端安全 4桌面管理 5统一运维 5方案设计 6终端安全 6终端病毒与恶意代码防范 6终端安全性检查 14终端防黑加固 15协议防火墙 16桌面管理 16终端流量管理 16系统自动升级 17终端硬件性能监控 20终端软件进程与服务管理 20终端Agent强制安装与运行 21终端外设管理 21终端小工具 22终端信息搜集 23文件审计管控 23统一运维 24软件分发 24策略下发 24用户统计 25安装包定制与Web安装 26系统兼容性 27系统可扩展性 27系统容灾 28背景随着企业信息化进程的不断加快,企业网络规模与终端数量在不断变大,企业业务对信息化系统的依赖程度越来越高,信息化系统的建设与升级,一方面推动着企业的办公自动化、业务自动化进程不断加快,提高企业的运营效率,降低企业的运营成本另一方面,也为企业带来了新的问题,对企业的运营与管理提出了新的挑战l 管理问题信息化系统的引入、网络的建设与升级为企业带来了诸多管理问题,其中主要包括如下几个方面:Ø 如何有效管理网络设备与应用系统,使得网络能够稳定运行,保障企业自动化办公与依托于网络的业务能够平稳有效进行,这需要大量额外的网络管理系统进行运维支撑。

      Ø 如何有效管理终端设备与应用软件,使得终端能够稳定、合规运行,保障企业的自动化办公与终端业务操作能够平稳有效进行Ø 如何有效管理业务系统的设备与软件,使得业务系统整体平稳运行,保障企业业务系统对外提供稳定的服务l 安全问题信息化系统与网络的引入,为进入企业内部获得企业数据资料、操控企业业务运行提供了一种看不到的新途径,这就为企业的数据、资料乃至业务运行带来了新的安全问题,主要包括:Ø 企业信息化系统与网络访问控制问题:这其中包括如何控制哪些终端在满足什么样的条件之下可以进入到企业信息化系统与网络;如何为进入到信息化系统与网络的终端用户分配访问操作权限并保障这些终端用户不能越权非法操作Ø 信息化系统及其支撑设备的安全运行问题:这其中包括如何保障信息化系统及其软硬件系统不会受到攻击,或者在受到攻击的情况下可以有效避免损失、缓解攻击带来的影响、保障信息化系统与网络仍能够安全、可靠、平稳地对外提供服务Ø 企业数据及资料的安全问题:这其中包括如何保障企业的数据及资料能够安全存储、安全访问,对于这些企业数据与资料要做到:非授权人员拿不到、非授权人员拿到后带不走、非授权人员拿走后打不开等三个层次的安全防护。

      l 评估问题近些年,随着我国信息化系统的大范围建设与普及,信息化系统的建设已经进入到快速发展期,大多数企业的信息化系统与网络已经从初期的从无到有发展到了现在的颇具规模,相应地,在信息化系统的建设上,企业也开始从最初的基础设施建设逐步进入到了信息化系统稳定运行的收获期更进一步,很多企业也已经开始理性思考在信息化系统上的大量投资带来的具体企业效益,换句话讲,企业的信息化系统已经进从基础设施建设发展到了建设效果评估阶段,科学评估信息化系统建设的成果,向信息化系统建设要效益是这个阶段的主要目标方案目标本方案的目标是从企业信息化系统终端安全与管理的角度出发,以终端安全为核心,以终端桌面管理为重点,提供以终端为基础的桌面安全与管理整体解决方案,具体内容包括终端安全、桌面管理、统一运维三个方面:终端安全提供针对终端安全的防护措施,为终端提供安全的上网办公环境,具体包括如下几方面内容:ü 终端病毒与恶意代码防范ü 防黑加固ü 主机防火墙ü 终端安全性检查桌面管理ü 终端流量管理ü 系统自动升级ü 终端远程协助ü 终端硬件性能监控ü 终端进程与服务管理ü 终端Agent强制安装与运行ü 终端外设管理ü 终端小工具ü 终端信息搜集ü 文件审计管控统一运维ü 软件分发ü 策略下发ü 用户统计ü 安装包定制与Web安装ü 系统可扩展能力ü 系统容灾方案设计终端安全终端病毒与恶意代码防范在这一部分中,将就与终端安全相关的检测与防御方法进行方案级描述,将主要涉及两方面与终端密切相关的内容:n 终端病毒防御n 终端数据的安全防御终端病毒防御该功能的目标是对互联网中的病毒、木马、蠕虫、网马、僵尸网络、流氓软件、间谍软件等恶意代码进行有效的识别、查杀与隔离功能框架本方案对病毒、木马、蠕虫、网马、僵尸网络、流氓软件、间谍软件等恶意代码的识别和查杀采用了多套高性能检测引擎的技术方案,这些技术方案中,既包括传统基于静态病毒特征的多模式匹配的检测技术、也包括无特征的人工智能检测技术和基于云端的云查杀检测技术,多种检测技术的综合运用,最大限度地保障检测的有效性,具体来说,本方案中采用了如下几种关键的检测技术:① 双病毒检测引擎② 360云查杀检测引擎③ 恶意URL检测引擎④ QVM-II人工智能检测引擎已知病毒查杀功能框架如下图所示:方案说明双病毒特征库与双病毒检测引擎与其他病毒检测产品不同,本方案采用了双引擎的查杀技术,具体来说就是采用实现技术完全不同的两套独立的病毒库、病毒检测引擎对已知病毒进行检测。

      因为已知病毒检测的关键是病毒库的覆盖度和检测引擎的预处理能力,因此如果其中一套病毒检测引擎出现错误(误报、漏报)的可能性为P(P < 1),另一套病毒检测引擎出现错误(误报、漏报)的可能性为Q(Q < 1),那么两套完全独立的病毒检测引擎同时出现错误(误报、漏报)的可能性就是P·Q(P·Q < min(P, Q)),举例来说,如果第一套引擎出错的可能性是P = 2%,第二套引擎出错的可能性是Q = 3%,那么两套引擎同时出错的可能性就是:· = 可以看到,双病毒特征库,双病毒检测引擎的方案,与单病毒库、单病毒检测引擎相比,在检测的准确率上有大幅提升,由于双病毒特征库,双病毒检测引擎与单病毒库、单病毒检测引擎相比,性能开销(CPU消耗、内存消耗)会更大,因此本方案中对是否启用双病毒库、双病毒检测引擎采用了配置开关,可以根据终端硬件的配置情况灵活启用或者关闭该功能360云查杀检测引擎Ø 云查杀技术的必要性随着病毒的大量出现,传统的本地病毒库的查杀方式已经无法在本地加载绝大多数病毒样本特征,仅奇虎360一家安全企业,到目前为止就已经积累了多达20亿的病毒样本,如果算上未经去重的病毒样本,目前已发现的病毒样本已经远远超过20亿的规模,而目前大多数的终端杀毒软件,受本地存储资源的限制,本地病毒特征库的规模大约在1000万 ~ 2000万左右,这个数字只占不到20+ 亿已发现病毒样本的1%,依靠1%的病毒库去检测互联网中肆虐的病毒,这说明传统的本地病毒库的查杀方式已经无法满足对已知病毒的查杀要求,需要通过云端的海量计算资源与海量存储资源满足对数十亿病毒进行100%查杀的安全需求。

      Ø 360云查杀资源与技术云查杀技术需要大量的样本资源、计算资源、检测技术资源,如果没有这些资源作支撑,则无法构建高质量的云查杀系统,本质上来说,云查杀系统是一个海量资源系统,这个资源系统中,既包括客户资源,又包括硬件资源与软件算法资源:n 样本资源构建云查杀系统,需要海量的病毒、木马、僵尸网络等恶意代码样本作为资源支撑,否则,所构建的云查杀系统将因为缺乏足够的病毒样本积累而难以保证对于已知病毒和恶意代码的检测率本方案中,我们才用的360云查杀平台,拥有涵盖了近20年的所有已知的病毒、木马、蠕虫等恶意代码的样本文件,其所积累的去重之后病毒样本数量已经超过20亿样本资源的基础是客户资源,没有足够的客户资源作支撑,无法收集足够的病毒样本文件,只有广泛部署了终端系统的情况下,才能在短期内收集足够数量的恶意代码样本文件,奇虎360在全国拥有超过4亿的终端用户,覆盖了全国终端用户的95%以上,其中绝大多数已经选择加入了奇虎360公司的“云安全计划”,这些遍布全国的海量用户为360提供了丰富、及时的病毒样本资源,保证了360云查杀系统病毒样本收集的及时、有效目前平均来说,一个病毒从首次在国内互联网上出现,到被360云查杀系统捕获之间,只有不到10个小时的时间。

      n 计算资源为了构造有效的云查杀系统,需要大量的计算资源进行支撑,以便对搜集到的样本资源进行深入分析,一般来说,一台标准的服务器(如DELL R720,配置为:双路16核CPU(Xeon E5-2690,单路8核,主频)、Intel C600主板芯片组、内存16GB(ECC DDR3)、硬盘900GB(SAS接口)),每天(24小时)可处理的样本数量大约在3000万个左右,因此,对于标准1000终端的用户来说,若按照每天每台终端提交10个样本进行深度检测,则大约需要4台DELL R720这样配置的服务器组成的云查杀系统才能满足查杀需要在本项目中,360所提供的云查杀系统的规模已经超过了10000台服务器,由这些云服务器所构成的查杀环境,完全可以满足本项目的云端深度查杀需求n 算法资源构建有效了云查杀环境,除了稳定、及时的样本收集资源与足够数量的硬件计算环境之外,还需要先进的未知病毒及恶意代码的检测算法,这样才能够在收集到病毒与恶意代码样本之后,进行有效的分析与处理因此,对未知病毒与恶意代码的快速检测能力,就成了构建有效的云查杀环境的关键在本方案中,360所提供的云查杀环境集成了大量先进的真对未知病毒与恶意代码的查杀算法,这些算法中,有基于病毒与恶意代码静态样本共性特征的QVM-II算法(该算法采用人工智能与机器学习的方法,对360目前已经积累的20多亿病毒样本进行多次切片学习,抽取出病毒与恶意代码的共性特征,建立恶意代码的不同族系模型,该算法在北美、欧洲的多项恶意代码检测能力测评之中名列第一),也有目前主流的动态沙箱深度分析技术,同时还集成了利用未知漏洞进行病毒与恶意代码传播的基于内存分析的动态漏洞利用攻击分析技术,最后,对于非常复杂、难于分析的可疑文件,还会采用具有多年病毒分析与对抗经验的专家分析团队进行彻底分析。

      以上这些先机的自动化分析技术与方病毒专家团队人工分析的有效结合,多种手段、人机结合,保证了对病毒与恶意代码分析的万无一失Ø 360云查杀隐私问题说明由于本方案中采用了云查杀技术,云查杀技术需要在终端与云端之间交互必要的样本数据以保证对样本进行有效检测,因此需要对云查杀过程中终端与云端之间所交换的数据进行详细的说明,以此排除隐私泄露的可能360公司承诺并保证:在使用360云查杀系统的过程中,除了必要的检测之外,不会以任何形式非法采集、利用用户的任何隐私数据,下面进行逐一说明:1、 云查杀系统的使用完全由终端用户自行决定,可以由管理员统一配置,如果终端用户或管理员选择关闭云查杀功能,则终端将不会向云端传送任何检测所需要的数据进行病毒与恶意代码的检查2、 对于云端深度检查,终端和云端之间也只会传送可执行文件(PE格式),而不会传送敏感的数据文件(如:word、pdf、图纸、图片等),因为只传送了可执行文件,可执行文件只是程序的执行体,有可执行代码组成,并不包含用户的敏感数据,更不包含用户的隐私信息,因此不存在隐私泄露或泄密的可能3、 对于云端非深度检查,终端和云端之间连可执行文件都未进行传输,而只是抽取了可执行文件(PE格式)的部分属性信息(而非可执行文件体)传送至云端进行检查,这些文件的属。

      点击阅读更多内容
      关于金锄头网 - 版权申诉 - 免责声明 - 诚邀英才 - 联系我们
      手机版 | 川公网安备 51140202000112号 | 经营许可证(蜀ICP备13022795号)
      ©2008-2016 by Sichuan Goldhoe Inc. All Rights Reserved.