360天擎终端安全管理系统技术白皮书.docxVIP

360天擎终端安全管理系统技术白皮书北京奇虎科技有限公司2013年8月目录一、背景概述41、背景41.1、终端木马、病毒问题严重41.2、0day漏洞和特马导致的APT问题严重41.3、终端接入问题严重51.4、终端违规软件安装问题严重51.5、终端漏洞问题严重51.6、终端安全状况需要统一管控62、产品定位6二、产品方案功能介绍71、设计理念71.1、收集了解71.2、立体防护71.3、集中管控72、系统拓扑图73、系统构架描述83.1.天擎控制中心93.2.天擎终端94、系统主要功能介绍104.1.服务端功能114.2.终端功能12三、产品方案技术介绍141、相关技术142、技术指标14四、实施运维方式说明141、实施原则142、实施流程142.1.安装控制中心142.2.小范围部署终端142.3.扩大终端范围152.4.全企业推广15背景概述?背景?随着最近几年各企事业单位网络应用的快速发展和具有黑客攻击特征的新类型病毒的大量出现，原有的防毒措施已经不能很好的满足网络系统安全的需要，突出表现在如下几个方面：终端木马、病毒问题严重目前很多企事业单位缺乏必要的企业级安全软件，导致终端木马、病毒泛滥，而且由于终端处于企业局域网内，造成交叉感染现象严重，很难彻底清除某些感染性较强的病毒。这类病毒、木马会导致终端运行效率降低，对文件进行破坏，或者会把一些敏感信息泄露出去。0day漏洞和特马导致的APT问题严重APT（Advanced Persistent Threat）攻击是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。此外，APT攻击具有持续性，甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。　更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。　对于这些单位而言，尽管已经部署了相对完备的纵深安全防御体系，可能既包括针对某个安全威胁的安全设备，也包括了将各种单一安全设备串联起来的管理平台，而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是，这样的防御体系仍然难以有效防止来自互联网的入侵和攻击，以及信息窃取，尤其是新型攻击（例如APT攻击，以及各类利用0day漏洞的攻击）。终端接入问题严重企业级局域网内存储着事关企事业单位的机密信息，对安全级别要求很高，但在很多单位，对于准入并没有做限制。任何PC终端、手机、pad等设备，都可以通过网线或者wifi接入企业局域网，这对于企业数据安全是极大的危害。这些设备有可能已经被攻破，带有病毒或者是木马，一旦入侵企业局域网，会对局域网的服务器发起攻击。终端违规软件安装问题严重在企业网络中，往往就是内部人员的电脑随意安装软件带来了很大的安全隐患：内部人员在计算机上安装使用盗版软件，不但引入了潜在的安全漏洞，降低了计算机系统的安全系数，还有可能惹来版权诉讼的麻烦；而一些内部人员出于好奇心或者恶意破坏的目的，在计算机上安装使用一些黑客软件，从内部发起攻击；还有一些内部人员安全意识淡薄，不安装指定的防毒软件等等。这些行为都对内网构成了重大的安全威胁。谁随意安装软件？谁安装了禁止使用的软件？企业的安全管理员难以掌握企业网内软件的安装情况和使用情况。终端漏洞问题严重黑客攻击和大部分病毒都会利用到操作系统和一些常用软件的漏洞。而计算机操作人员对操作系统漏洞的补丁修复意识淡薄，很多人根本不知道自己的系统存在漏洞并应及时安装补丁，这为病毒的广泛生存提供了温床，就使网络内的设备安全受到很大的威胁。如果企业使用单机版的安全软件修复漏洞，就只能靠管理员逐台电脑打补丁，不仅耗费管理员的时间，还大量占用企业网络的带宽和设备资源，企业信息网络的正常运行受到极大的影响。要确保及时的修复漏洞，不被木马和病毒利用，同时又要确保合理有效的使用带宽资源，就需要使用企业级的安全软件集中修复漏洞。终端安全状况需要统一管控如果一个企业缺乏统一的终端安全管理，就无法全面了解和监控企业内网安全状况，一旦终端被感染病毒威胁或遭受恶意入侵，网络管理员很难及时发现并解决问题；某个终端不安全的配置和策略会导致企业网络中出现漏洞，从而成为整个网络安全中的短板。假如有企业内部员工使用从外部网络中下载的文件，而这些文件又被植入了病毒或木马，黑客就极有可能通过该主机进入企业内部网络，进而通过嗅探、破解密码等方式