产品综述
1. 产品简介
360 终端安全管理系统软件是在 360 安全大脑极智赋能下,以大数据、云计算、人工智能等 新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。
本产品通过防病毒、补丁管理与漏洞修复、终端管控、移动存储管控以及资产管理功能,赋 予终端更为细致的安全防御策略、更为精准的查杀能力、更为快速的处置能力,有效抵御传统木 马病毒和高级威胁,帮助政企用户构建持续有效的终端安全管理体系。
2. 产品组成与架构
360 终端安全管理系统由三部分组成:
服务端:360 终端安全管理系统的管理控制中心,管理员可以统一下发病毒查杀策略与查杀 任务。
客户端:部署在终端和服务器本地,对本地环境进行监控,接收并执行 360 终端安全管理系 统控制中心下发的策略指令,发起版本升级、病毒库和补丁库更新请求并执行升级修复任务。
云端查杀平台:通过强大的多引擎架构进行文件安全性的实时分析,并将云查询结果返回管 理控制台。云端查杀平台支持互联网公有云查询(默认支持),同时支持隔离网本地化部署。云 端查杀平台在隔离网环境下的本地化部署,需要通过额外再部署私有云系统来实现。
360终端安全管理系统组成架构
2.1 服务端
360 终端安全管理系统的服务端,即管理控制平台部署在 Centos 操作系统上,正确部署后 可实现对网络内部终端安全管控和威胁监控。管理控制台采用 B/S 架构。管理员可以在任意通畅 的网络环境下,通过浏览器打开管理界面,对安装 360 终端安全管理系统客户端的终端进行管理 和控制。
管理控制台适配的操作系统是 Centos7.6,管理控制台需要部署在单独的服务器系统上,服 务器的硬件配置规格如下:
2.2 客户端
360 终端安全管理系统客户端部署在需要被保护的终端上,执行管理控制平台下发的安全策 略,并与管理控制台通信,提供管理控制台所需的相关安全告警信息及日志。
客户端适配的操作系统列表:
|
|
|
|
|
|
|
|
|
|
|
|
|
2.3 云端查杀平台
公有云查杀平台(默认支持)
随着新型病毒及变种的大量出现,传统的本地病毒库过于庞大,严重影响了终端性能。此外, 由于本地病毒库覆盖的样本有限,这也直接影响了最终的病毒检出率。360 终端安全管理系统在 可连接互联网情况下,支持利用 360 公有云平台执行云查杀,帮助管理员解决本地查杀存在的性 能瓶颈问题,提高病毒检出率,减少误报率和漏报率。公有云查杀平台建立在云端庞大的黑白名 单数据库基础上,病毒检出率高,系统资源占用低。360公有云查杀平台目前拥有280亿+的样本, 每天响应超 700亿次查杀请求,通过使用云端黑白名单验证的方法,可以最大限度检测恶意威胁。
私有云查杀平台 ( 组件需额外采购 )
360 终端安全管理系统在隔离网情况下可以部署私有云查杀平台。私有云查杀平台把云端文 件特征库置于内网指定服务器内,无需连外网。私有云查杀平台支持 1 亿级具有高精确度、高流 行度的黑白名单库,提供文件 MD5 的黑白属性查询能力,其运算速度和数据量都远远超过传统 杀毒软件的本地查杀引擎,从而提供本地化的样本快速检测能力。
除了预置的标准黑白名单库,安全运维人员可以根据单位网络的实际业务场景和应用情况, 对特定的样本进行黑白级别预置,形成自主运营的黑白名单库。
在部署方式上,私有云查杀平台需要部署独立的服务器,推荐配置为不低于双路英特尔至强 银牌4114处理器、10核20线程主频2.2Ghz;内存不低于64G;操作系统和本地查杀云独 立磁盘安装,本地查杀云使用的机械硬盘不小于 1.5TB、使用的固态硬盘不小于 500GB;搭配 万兆网络接口;操作系统是 64 位操作系统 CentOS 7.4 x86_64 或 CentOS 7.6 x86_64。
产品功能
1 防病毒
1.1 恶意代码检测
360 终端安全管理系统,基于云查杀引擎、鲲鹏引擎、QVM Ⅱ人工智能引擎以及 QEX 脚本 引擎构造的立体协同检测机制,充分发挥 360 在安全大数据方面的深厚积累,可以对木马蠕虫、 恶意软件、勒索病毒、APT 攻击等实现持续有效对抗,全面保障终端系统安全。
云查杀引擎:360 云查杀引擎建立在云端庞大的黑白名单数据库基础上,病毒检出率高,系 统资源占用低。
鲲鹏引擎:360 鲲鹏引擎是以数据驱动安全的思路构建的大数据特征引擎,提供自动化病毒 特征提取分析能力。相较于传统引擎的病毒特征提取方式,鲲鹏引擎依托 360 安全大脑大存储、 多样本、高算力、机器学习等资源,实现了后端病毒特征自动分析提取。鲲鹏产出一个国内最新 出现样本的病毒特征,平均只需要 3 个小时的时间。目前,鲲鹏引擎可以有效识别全球 80 亿 + 的病毒文件。
QVM Ⅱ引擎:新一代 QVM 智能识别引擎采用人工智能与机器学习的方法,对 360 集团目 前已经积累的 280 亿全量样本与 32 亿 + 恶意木马病毒样本进行多次切片学习,抽取出病毒与恶 意代码共性特征,建立恶意代码不同族系模型,该算法获得国际多项恶意代码检测能力测评第一。
QEX 脚本引擎:针对非 PE 类宏病毒、vbs、reg 等恶意文件,360 终端安全管理系统利用 专用 QEX 脚本查杀引擎进行检测。QEX 引擎为脚本执行模拟器,可将变种繁多的宏病毒置入模 拟器执行,通过既定输出参数精确判断宏病毒后执行精确查杀。
1.2 入口防护
入口防护围绕终端与外部的信息交互接口进行定向监测与防护,包含下载安全防护,U盘防护, 黑客入侵防护,漏洞入侵防护,DNS 防护。为了降低外部威胁入侵风险,在防护策略上,通过对 恶意链接进行信誉库比对,对文件下载及传输安全性进行监测,经过安全验证后才可执行后续操作。 弱口令扫描是黑客常用的攻击手段,为了有效阻断远程入侵攻击,当首次检测到终端有陌生 IP 登 陆、多次自动登录口令错误时,自动阻断远程登录行为。
1.3 浏览器及上网防护
互联网下载行为,容易导致恶意样本感染终端进而感染局域网机器,比如网页木马、钓鱼网址、 网银诈骗等。针对此类情况,360 终端安全管理系统提供动态分析结合静态匹配的技术方案,即 采用云端事先采集分析和本地实时动态分析相结合方式对恶意 URL 进行检测和拦截。
Web 应用是目前互联网最主要应用,Web 安全问题因此也成了互联网安全问题中最重要问题,占据了互联网问题中的绝大部分。网银诈骗、网购诈骗、钓鱼网站、网页木马等通过恶意网 址进行钓鱼、诈骗、侵财的攻击事件频发,已经成了 Web 应用主要威胁。同时,部分 APT(高 级持续性威胁)攻击行为也通过恶意网站(一般是钓鱼网站)对低权限终端进行入侵,进而以此 低权限终端做跳板不断渗透高权限终端与服务器,最后完成 APT 攻击过程,因此对于访问 Web 过程中的安全防护,已经成了当前终端安全防护重要组成部分。
针对终端访问恶意网址防护主要通过以下三种技术手段:
1、实时分析、动态检测
2、事先分析、静态匹配
3、实时分析结合事先分析,动态检测结合静态检测
第一种技术手段完全依靠在用户访问 Web 过程中对页面及其附属资源的动态分析和主动防 御技术(如:IE 控件监控、内存监控、注册表监控)等方法对用户访问恶意网站、恶意链接的行 为进行发现和阻断。此种方式优点为可以对恶意访问行为进行实时发现,但其缺点也比较明显,即: 如果对用户访问的 Web 访问进行深度分析,会消耗大量用户本地资源,分析结论的得出也可能 需要完整分析过程之后才能完成,此时可能攻击行为已经部分发生。同时,完全依靠本地动态分析, 也存在一定漏报可能。
第二种技术手段本质是通过云计算方式来完成。事先对互联网中存在的链接进行采集,采用 动态分析结合沙箱方式进行事先检测,将存在恶意行为链接形成静态恶意链接库。终端在访问一 个链接之前,终端系统安全代理客户端会将此链接与恶意链接库进行比对,如果发现此链接在恶 意链接库中出现,则认为该链接属于恶意链接,对其访问行为进行禁止。此种技术与单纯实时分析、 动态检测技术相比,可以大幅度降低终端的资源消耗,并可以在第一时间发现恶意链接,而非等 整个页面及其资源文件都下载到本地并进行分析之后才能发现。同时由于依靠云端事前抓取分析, 用户检测结果漏报可能性降低。
第三种技术是结合上述两种方法,对于大多数白名单中的网址直接放行,对于黑名单中网址 直接拦截,对于灰名单(即没在白名单、也没在黑名单)中网址则采用动态分析、主动防御技术 进行实时分析。此种技术优点既利用了云端与终端检测结果过滤大量白链接、拦截黑链接,大幅 降低了客户端的资源开销。同时对极少量稀有链接采用动态分析、主动防御技术进行深入动态分析, 起到了查缺补漏效果。
360终端安全管理系统对于恶意URL检测,采用第三种方法,即:动态分析结合静态匹配 技术方案,通过上述技术分析可以清晰地看到以最低资源消耗的情况下,实现对恶意链接的精确 检测要求。
考虑到浏览器有可能被用来启动恶意木马、恶意插件、弹窗广告或窃取用户隐私,360 终端 安全管理系统还专门提供上网浏览器首页锁定以及默认浏览器锁定功能,当默认浏览器被修改时, 及时弹窗告警。
1.4 系统防护
系统防护包含摄像头防护,键盘记录防护,文件系统防护,驱动防护,注册表防护,实现从 驱动到系统的纵深防护机制。
2 终端管控
2.1 违规外联管控
出于安全保密需要,特定的政企单位或者机要部门需要在隔离网环境办公,切断跟外部互联 网的联系。为了更有效、更及时侦测内部终端是否存在非法连接外网或指定网络的行为,360 终 端安全管理系统提供了外联探测功能。通过域名解析、PING 地址探测、TCP 链接检测的方式, 去发现终端的非法外联行为,并可对违规终端执行断网处置。对于互联网用户则支持互联网出口 地址检测,及时发现通过非法出口联网的行为。
为了配合违规外联策略控制,还可通过禁止终端修改IP和MAC地址,实现IP/MAC绑定效果, 封堵基于 IP 或 MAC 方式的网络绕过行为。
2.2 网络控制
360 终端安全管理系统提供基于 IP、端口和域名三个维度通讯阻断能力。在攻击预防阶段, 降低风险暴露面。当遇到紧急病毒事件时,能够把感染范围抑制在指定区域,阻断病毒向全网感 染扩散。
2.3 桌面加固
对于政企单位而言,桌面标准化一方面可以提升终端安全防护水平,降低外部攻击风险,同 时也能提升单位的整体办公形象。
360 终端安全管理系统,基于桌面加固策略来提供桌面标准化能力。桌面加固是通过对终端 的账号密码强度、屏保和桌面壁纸的策略控制,实现用户桌面的统一管理,在实现安全的同时, 提升政企单位的办公室文明建设。
在账号密码的安全防护方面,桌面加固可对终端用户的账号密码复杂度(最小长度、最大使 用期限)、登录锁定阈值进行限制,阻止非法或恶意的系统登录行为。对于终端的桌面壁纸,可 以实现统一的设置,并且可以将终端资产信息如计算机名称、IP、MAC、手机、使用人等信息在 桌面背景显示。
2.4 远程控制
在日常运维过程中,远程控制功能可以大大降低运维人员的工作量,提高故障处理效率。 360 终端安全管理系统提供基于长连接的远程控制能力。运维人员可以通过申请远程的方式,获 得对远程终端的操作权限,被远程终端可以通过桌面上方的浮窗提示信息,知晓本机正在被远程。
3 移动存储管理
移动存储介质作为终端数据交换的重要载体,极易传播各类木马蠕虫病毒。对移动存储介质 进行安全接入管理,可以大大收窄风险传播入口,降低计算机病毒感染率。
360 终端安全管理系统可以根据设备本身的 ID 信息进行采集识别,对移动存储介质可进行注册、授权和使用权限控制。通过对移动存储介质的精细化管控,避免非法设备或未授权设备的接入, 减少未知风险输入,同时也支持移动存储设备标签化注册,降低管理成本。
4 Win7 盾甲(受控)
对于有继续使用 Windows7(以下简称“Win7”)系统开展业务的政企用户而言,Win7 系 统停止更新服务带来了相当大的安全困扰。停服后的Win7终端,面临的最大风险是漏洞利用攻击。 360 终端安全管理系统,从系统加固、应用加固以及热补丁修复三个维度,对 Win7 系统提供安 全保障。
系统加固是从处理操作系统设计或运行缺陷的角度,对漏洞利用攻击执行系统级防护。通过 内存保护检查、堆喷射防护、零地址防护、栈置换、内核攻击防护以及系统调用过滤等多种方式, 在操作系统层面进行安全加固,从而阻断漏洞利用攻击。
应用程序漏洞往往集中在 Office、IE 浏览器和 PDF 阅读器等常用办公工具上。360 终端安 全管理系统,可以通过沙箱的方式启动这些高频应用,即使应用程序本身被攻击,也不影响到宿 主终端。
对于 Win7 系统,360 终端安全管理系统还可以提供热补丁修复能力。热补丁修复机制提供 了针对高危漏洞的应急处理方式,尽量缩减漏洞暴露时间,基于免重启的方式实现终端便捷防护。 热补丁修复与系统加固可以进行紧密配合,热补丁作为临时的紧急解决方案,而系统加固可以在 后续提供稳定的加固包彻底解决问题。
5 资产管理
客户端安装成功后,终端需要上报自身的资产信息,包括资产类型、资产用途、归属部门、 使用人、电话、邮箱等。终端成功纳入管控中心后,客户端采集的计算机名称、硬件配置信息, CPU、内存、硬盘等信息也会同步到管控中心,同时可记录硬件配置变化信息。
6 漏洞与补丁管理
6.1 补丁管理架构
360 终端安全管理系统的补丁管理模块共由三部分组成:
终端漏洞管理模块(360 终端安全管理系统客户端):通过漏洞检测模块检查终端系统、应 用是否存在漏洞,并向管理控制台请求补丁修复;
360 终端安全管理系统管理控制台:管理员统一下发漏洞修复策略、请求补丁更新;
云端漏洞管理服务器(360 安全大脑):在管理控制台请求补丁更新后,同步管理控制台需 要更新的补丁和下发最新补丁。
6.2 漏洞修复能力
360 终端安全管理系统,支持对操作系统漏洞及 Office 高危漏洞、第三方软件漏洞修复。
(1)操作系统及 Office 高危漏洞
此类补丁一般为微软发布的严重或重要级别漏洞补丁,漏洞级别由微软安全公告全球公开发 布,涵盖有 Windows 系统级补丁、Office 补丁以及 Windows 中各种组件的补丁(如 Visual Studio、.Net Framework 等)。360 智能漏洞管理功能将此类漏洞列在高危漏洞中,会第一时 间提示用户打补丁进行修复。
由于国内大量终端使用了第三方修改过的 Windows 操作系统版本,在安装个别补丁时可能 会出现系统或软件故障。360 集团具备丰富的打补丁运营经验,若发现某个补丁有较大概率会导 致系统蓝屏或无法启动,360 智能补丁管理功能会根据终端系统环境,不推荐此类补丁的安装。
(2)软件更新
此类为第三方软件的严重漏洞。主要为比较流行软件中的漏洞(例如 Adobe Flash Player、 Acrobat Reader),而这些漏洞可能导致严重问题。这类补丁 360 集团在软件官方发布修正版 本后第一时间提醒用户修复漏洞。
典型部署方式
1 互联网环境典型部署
适用于能够连接互联网环境的用户,网络中部署一套 360 终端安全管理系统,网内办公终端 安装 360 终端安全管理系统客户端,通过系统管理控制台进行统一安全管控。
在网络内部部署 360 终端安全管理系统管理控制台和终端,360 终端安全管理系统终端通过 管理控制台连接到“360 安全大脑”升级服务器进行升级、更新等。管理控制台具有缓存功能, 同样的数据文件只会下载一次,减少对出口带宽的影响。360 终端安全管理系统客户端根据管理 控制台制定的安全策略,进行体检、杀毒和修复漏洞等安全操作。进行杀毒扫描时,360 终端安 全管理系统终端可以直接连接安全大脑云端查杀平台,进行云查杀。具体部署过程如下:
1、安装 360 终端安全管理系统管理控制台;
2、部署 360 终端安全管理系统客户端;
3、设置安全策略;
4、终端集中管理。
2 隔离网环境典型部署
适用于无法直接连接互联网环境的用户,隔离网中部署一套 360 终端安全管理系统,网络内 部终端安装 360 终端安全管理系统客户端,通过系统管理控制台进行统一安全管控。
360 终端安全管理系统管理控制平台负责制定安全策略,进行终端杀毒和修复漏洞等安全操 作。使用隔离网工具,定期从“360 安全大脑”下载病毒库、木马库、漏洞补丁文件等。更新到 管理控制台后,所有客户端都可以自动升级和修复漏洞。隔离网可选择部署私有云查杀平台,解 决不能连接到互联网云端执行云查杀问题。具体部署过程如下:
1、安装 360 终端安全管理系统管理控制台;
2、部署 360 终端安全管理系统客户端;
3、部署私有云查杀平台;
4、定时登录管理控制台,查看各终端安全情况;
5、下发统一杀毒、修复漏洞等策略,确保终端安全;
6、定期使用隔离网工具下载数据,并更新到管理控制台。
产品价值
1 高级威胁有效防护
360 终端安全管理系统集成了新一代 QVM 智能识别引擎,对已发现的病毒进行切片处理、 病毒特征提取,形成病毒家族类框架。对于基于某家族类病毒的未知变种,新一代 QVM 智能识 别引擎可进行有效的查杀。360 集团自主研发的新一代 QVM 智能识别引擎采用先进的人工智能 算法,具备“自学习、自进化”能力,可以像病毒分析师一样思考。
通过对 360 集团超过两百亿的黑白名单、海量病毒样本大数据的不断学习分析,研究它们的 变化规律,新一代 QVM 智能识别引擎持续优化完善自身算法,做到不需要频繁升级特征库,就 能防御已知与未知加壳和变种新病毒,而不会像常规杀毒引擎一样,“不升级病毒库就杀不了新 病毒”,并且病毒检出率远远超过了第一、二代杀毒引擎的总和,查杀速度领先传统引擎至少一倍。
2 响应网络安全合规化建设要求
360终端安全管理系统,从外设使用、违规外联管控、浏览器安全防护提供终端合规管理能力, 打造桌面标准化管控体系。
另一方面,360 终端安全管理系统,提供终端防病毒以及终端统一管控的能力,在恶意代码 检测、入侵防御等方面响应等级保护2.0的建设要求,同时也满足单位内部终端安全管理制度规范。
3 易用性和可维护性
基于360在互联网行业的积累,360终端安全管理系统延续了360在设计、使用方面的经验, 在产品 UI 设计、策略批量下发、漏洞细粒度管控、一对一远程协助方面,全面满足企业级安全管 控需求,降低管理运维成本,提高全网终端的管理效益。
