天擎终端安全管理解决方案（精选）.docx

360 天擎终端安全管理解决方案北京奇虎科技有限公司2014 年 9 月目录背景 3方案目标 4终端安全 4桌面管理 5统一运维 5方案设计 6终端安全 6终端病毒与恶意代码防范 6终端安全性检查 13终端防黑加固 15协议防火墙 16桌面管理 16终端流量管理 16系统自动升级 17终端硬件性能监控 20终端软件进程与服务管理 20终端 Agent 强制安装与运行 21终端外设管理 21终端小工具 22终端信息搜集 23文件审计管控 23统一运维 24软件分发 24策略下发 24用户统计 25安装包定制与 Web 安装 26系统兼容性 27系统可扩展性 27系统容灾 28背景随着企业信息化进程的不断加快， 企业网络规模与终端数量在不断变大， 企业业务对信息化系统的依赖程度越来越高， 信息化系统的建设与升级， 一方面推动着企业的办公自动化、 业务自动化进程不断加快， 提高企业的运营效率， 降低企业的运营成本 另一方面， 也为企业带来了新的问题， 对企业的运营与管理提出了新的挑战管理问题信息化系统的引入、网络的建设与升级为企业带来了诸多管理问题，其中主要包括如下几个方面：? 如何有效管理网络设备与应用系统，使得网络能够稳定运行，保障企业自动化办公与依托于网络的业务能够平稳有效进行，这需要大量额外的网络管理系统进行运维支撑。

如何有效管理终端设备与应用软件，使得终端能够稳定、合规运行，保障企业的自动化办公与终端业务操作能够平稳有效进行 如何有效管理业务系统的设备与软件，使得业务系统整体平稳运行，保障企业业务系统对外提供稳定的服务安全问题信息化系统与网络的引入，为进入企业内部获得企业数据资料、操控企业业务运行提供了一种看不到的新途径，这就为企业的数据、资料乃至业务运行带来了新的安全问题，主要包括：? 企业信息化系统与网络访问控制问题：这其中包括如何控制哪些终端在满足什么样的条件之下可以进入到企业信息化系统与网络；如何为进入到信息化系统与网络的终端用户分配访问操作权限并保障这些终端用户不能越权非法操作 信息化系统及其支撑设备的安全运行问题：这其中包括如何保障信息化系统及其软硬件系统不会受到攻击，或者在受到攻击的情况下可以有效避免损失、缓解攻击带来的影响、保障信息化系统与网络仍能够安全、可靠、平稳地对外提供服务 企业数据及资料的安全问题：这其中包括如何保障企业的数据及资料能够安全存储、安全访问，对于这些企业数据与资料要做到：非授权人员拿不到、非授权人员拿到后带不走、非授权人员拿走后打不开等三个层次的安全防护评估问题近些年，随着我国信息化系统的大范围建设与普及，信息化系统的建设已经进入到快速发展期， 大多数企业的信息化系统与网络已经从初期的从无到有发展到了现在的颇具规模，相应地，在信息化系统的建设上，企业也开始从最初的基础设施建设逐步进入到了信息化系统稳定运行的收获期。

更进一步，很多企业也已经开始理性思考在信息化系统上的大量投资带来的具体企业 效益，换句话讲，企业的信息化系统已经进从基础设施建设发展到了建设效果评估阶段，科学评估信息化系统建设的成果，向信息化系统建设要效益是这个阶段的主要目标方案目标本方案的目标是从企业信息化系统终端安全与管理的角度出发， 以终端安全为核心，以终端桌面管理为重点， 提供以终端为基础的桌面安全与管理整体解决方案，具体内容包括终端安全、桌面管理、统一运维三个方面：终端安全提供针对终端安全的防护措施，为终端提供安全的上网办公环境，具体包括如下几方面内容：? 终端病毒与恶意代码防范? 防黑加固? 主机防火墙? 终端安全性检查桌面管理? 终端流量管理? 系统自动升级? 终端远程协助? 终端硬件性能监控? 终端进程与服务管理? 终端 Agent 强制安装与运行? 终端外设管理? 终端小工具? 终端信息搜集? 文件审计管控统一运维? 软件分发? 策略下发? 用户统计? 安装包定制与 Web 安装? 系统可扩展能力? 系统容灾方案设计终端安全终端病毒与恶意代码防范在这一部分中， 将就与终端安全相关的检测与防御方法进行方案级描述， 将主要涉及两方面与终端密切相关的内容：终端病毒防御终端数据的安全防御终端病毒防御该功能的目标是对互联网中的病毒、木马、蠕虫、网马、僵尸网络、流氓软件、间谍软件等恶意代码进行有效的识别、查杀与隔离功能框架本方案对病毒、木马、蠕虫、网马、僵尸网络、流氓软件、间谍软件等恶意 代码的识别和查杀采用了多套高性能检测引擎的技术方案， 这些技术方案中， 既包括传统基于静态病毒特征的多模式匹配的检测技术、 也包括无特征的人工智能检测技术和基于云端的云查杀检测技术， 多种检测技术的综合运用， 最大限度地保障检测的有效性，具体来说，本方案中采用了如下几种关键的检测技术：① 双病毒检测引擎② 360 云查杀检测引擎③ 恶意 URL 检测引擎④ QVM -II 人工智能检测引擎已知病毒查杀功能框架如下图所示：方案说明双病毒特征库与双病毒检测引擎与其他病毒检测产品不同， 本方案采用了双引擎的查杀技术， 具体来说就是采用实现技术完全不同的两套独立的病毒库、 病毒检测引擎对已知病毒进行检测。

因为已知病毒检测的关键是病毒库的覆盖度和检测引擎的预处理能力， 因此如果其中一套病毒检测引擎出现错误（误报、漏报）的可能性为 P（ P < 1 ），另一套 病毒检测引擎出现错误（误报、漏报）的可能性为 Q（ Q < 1），那么两套完全独 立的病毒检测引擎同时出现错误 （误报、 漏报）的可能性就是 PQ（ PQ < min(P, Q)），举例来说，如果第一套引擎出错的可能性是 P = 2%，第二套引擎出错的可 能性是 Q = 3%，那么两套引擎同时出错的可能性就是：(0.02) (0.03) = 0.0006可以看到，双病毒特征库，双病毒检测引擎的方案，与单病毒库、单病毒检测引 擎相比， 在检测的准确率上有大幅提升， 由于双病毒特征库， 双病毒检测引擎与单病毒库、单病毒检测引擎相比，性能开销（ CPU 消耗、内存消耗）会更大，因此本方案中对是否启用双病毒库、 双病毒检测引擎采用了配置开关， 可以根据终端硬件的配置情况灵活启用或者关闭该功能360 云查杀检测引擎? 云查杀技术的必要性随着病毒的大量出现， 传统的本地病毒库的查杀方式已经无法在本地加载绝大多数病毒样本特征， 仅奇虎 360 一家安全企业， 到目前为止就已经积累了多达20 亿的病毒样本，如果算上未经去重的病毒样本，目前已发现的病毒样本已经远远超过 20 亿的规模，而目前大多数的终端杀毒软件， 受本地存储资源的限制，本地病毒特征库的规模大约在 1000 万 ~ 2000 万左右，这个数字只占不到 20+亿已发现病毒样本的 1%，依靠 1%的病毒库去检测互联网中肆虐的病毒，这说明传统的本地病毒库的查杀方式已经无法满足对已知病毒的查杀要求， 需要通过云端的海量计算资源与海量存储资源满足对数十亿病毒进行 100%查杀的安全需求。

360 云查杀资源与技术云查杀技术需要大量的样本资源、 计算资源、 检测技术资源， 如果没有这些资源作支撑， 则无法构建高质量的云查杀系统， 本质上来说， 云查杀系统是一个海量资源系统， 这个资源系统中， 既包括客户资源， 又包括硬件资源与软件算法资源：样本资源构建云查杀系统，需要海量的病毒、木马、僵尸网络等恶意代码样本作 为资源支撑，否则，所构建的云查杀系统将因为缺乏足够的病毒样本积 累而难以保证对于已知病毒和恶意代码的检测率本方案中，我们才用 的 360 云查杀平台，拥有涵盖了近 20 年的所有已知的病毒、木马、蠕虫等恶意代码的样本文件， 其所积累的去重之后病毒样本数量已经超过20 亿样本资源的基础是客户资源，没有足够的客户资源作支撑，无法收集足够的病毒样本文件，只有广泛部署了终端系统的情况下，才能在短期内 收集足够数量的恶意代码样本文件， 奇虎 360 在全国拥有超过 4 亿的终端用户，覆盖了全国终端用户的 95%以上，其中绝大多数已经选择加入了奇虎 360 公司的 “云安全计划 ”，这些遍布全国的海量用户为 360 提供了丰富、及时的病毒样本资源，保证了 360 云查杀系统病毒样本收集的及时、有效。

目前平均来说，一个病毒从首次在国内互联网上出现，到被 360 云查杀系统捕获之间，只有不到 10 个小时的时间计算资源为了构造有效的云查杀系统，需要大量的计算资源进行支撑，以便对搜 集到的样本资源进行深入分析， 一般来说，一台标准的服务器 （如 DELLR720，配置为：双路 16 核 CPU（ Xeon E5-2690，单路 8 核，主频 2.9GHz）、 Intel C600 主板芯片组、内存 16GB（ ECC DDR3）、硬盘 900GB（SAS接口）），每天（ 24 小时）可处理的样本数量大约在 3000 万个左右，因此，对于标准 1000 终端的用户来说，若按照每天每台终端提交 10 个样本进行深度检测，则大约需要 4 台 DELL R720 这样配置的服务器组成的云查杀系统才能满足查杀需要在本项目中， 360 所提供的云查杀系统的规模已经超过了 10000 台服务器， 由这些云服务器所构成的查杀环境，完全可以满足本项目的云端深度查杀需求算法资源构建有效了云查杀环境，除了稳定、及时的样本收集资源与足够数量的 硬件计算环境之外，还需要先进的未知病毒及恶意代码的检测算法，这 样才能够在收集到病毒与恶意代码样本之后，进行有效的分析与处理。

因此，对未知病毒与恶意代码的快速检测能力，就成了构建有效的云查 杀环境的关键在本方案中， 360 所提供的云查杀环境集成了大量先进的真对未知病毒与恶意代码的查杀算法，这些算法中，有基于病毒与恶 意代码静态样本共性特征的 QVM -II 算法（该算法采用人工智能与机器学习的方法，对 360 目前已经积累的 20 多亿病毒样本进行多次切片学习，抽取出病毒与恶意代码的共性特征， 建立恶意代码的不同族系模型， 该算法在北美、欧洲的多项恶意代码检测能力测评之中名列第一） ，也有目前主流的动态沙箱深度分析技术， 同时还集成了利用未知漏洞进行病毒与恶意代码传播的基于内存分析的动态漏洞利用攻击分析技术， 最后，对于非常复杂、难于分析的可疑文件，还会采用具有多年病毒分析与对抗经验的专家分析团队进行彻底分析 以上这些先机的自动化分析技术与方病毒专家团队人工分析的有效结合，多种手段、人机结合，保 证了对病毒与恶意代码分析的万无一失 360 云查杀隐私问题说明由于本方案中采用了云查杀技术， 云查杀技术需要在终端与云端之间交互必要的样本数据以保证对样本进行有效检测， 因此需要对云查杀过程中终端与云端之间所交换的数据进行详细的说明，以此排除隐私泄露的可能。

360 公司承诺并保证：在使用 360 云查杀系统的过程中，除了必要的检测之外，不会以任何形式非法采集、利用用户的任何隐私数据，下面进行逐一说明： 1、云查杀系统的使用完全。