发布时间 : 星期日 文章360天擎终端安全管理系统产品白皮书更新完毕开始阅读
.
支持威胁趋势分析,帮助管理员全面了解企业终端危险项、木马、病毒、漏洞、新增文件等的发展趋势。
2.4.2 安全运维管理
支持对终端升级、漏洞修复、木马查杀、插件清理、系统危险项等的全局管理以及分组管理,支持安全策略分组下发,帮助管理员管理复杂的多层次网络以及多部门组织架构。
支持一对一远程协助功能,终端用户可以直接向360客服求助,帮助管理员分担支持压力。
支持网络准入管理,禁止没有按要求安装天擎终端安全管理系统、存在安全问题的终端、或者外来非法终端接入企业网络,帮助管理员保证入网终端合规,防止非法终端入侵网络,给企业业务系统造成破坏。
同时,随着病毒的大量出现(360公司的病毒库已达60亿),传统的本地病毒库已经过于庞大,甚至无法在本地加载绝大多数的病毒特征库,这严重地影响了终端性能和病毒检出率。天擎支持公有/私有云查杀技术,帮助管理员解决本地查杀的性能瓶颈,提高病毒检出率,减少误报率和漏报率。
2.4.3 恶意软件防护
360天擎支持对蠕虫病毒、恶意软件、广告软件、勒索软件、引导区病毒、BIOS病毒的查杀,这依赖于QVM人工智能引擎、云查杀引擎、AVE(针对可执行文件的引擎)、QEX(针对非可执行文件的引擎)等多引擎的协同工作。
360杀毒采用了五大领先防杀引擎,包括360自主研发的360云查杀引擎、系统修复引擎、QVM二代人工智能引擎和国际知名的小红伞引擎、BitDefender引擎。QVM二代人工智能引擎通过人工智能分析算法,学习和认识新形式恶意软件,通过在海量病毒样本数据中归纳出一套智能算法来发现和学习病毒变化规律。它无需频繁更新特征库、无需分析病毒静态特征、无需分析病毒行为,但是病毒检出率却远远超过了传统查杀引擎的总和,而且查杀速度比传统引擎至少快一倍。
360云查杀建立在云端庞大的黑白数据库基础上,病毒检出率高,系统资源占用低。通过使用云端的黑白验证的方法,可以最大限度的保护数据安全。截至目前,360杀毒具备二十亿以上的黑库和四亿的黑库,每天黑白库都在以百万级的数量在增长。
word 专业资料
.
360天擎的主动防御功能可以防御未知病毒、未知威胁和0-Day攻击。360主动防御是基于程序行为自主分析判断的实时防护技术,不以病毒的特征码作为判断病毒的依据,而是从最原始的病毒定义出发,直接将程序的行为作为判断病毒的依据。360主动防御解决了传统安全软件无法防御未知恶意软件的弊端,从技术上实现了对木马和病毒的主动防御。在实现机制上可以对文件访问、进程创建、注册表读写、网络IP请求、设备加载完成主动防御拦截。
在隔离网环境下,360的云查杀优势无法很好的体现,病毒查杀率将降低,因此360为隔离网企业用户准备了企业私有云的解决方案。通过在隔离网部署企业私有云,病毒查杀效果与客户端联网时没有差别。企业私有云属于360天擎终端安全管理系统的可选组件。
2.4.4 终端软件管理
当今恶意软件从传统的“感染”和“恶作剧”演变成具有政治意义和经济利益的催化剂,如何更加有效的检测和识别是最具挑战性的问题之一,应用程序控制机制应运而生。通过采用应用程序文件白机制,对不处于白中的应用程序和文件判定为“黑”或者“灰”,有效控制恶意软件的渗透和快速传播。
word 专业资料
.
360天擎提供了自动、半自动和手动的应用程序控制机制。自动化应用控制机制基于云端信誉库,客户端在运行应用程序时事先向云端验证该文件是否为可信。半自动应用程序控制基于客户端对应用程序的识别并向控制中心上报必要的系统、应用程序的动态库文件、可执行文件,管理员基于文件签名、文件路径判断该文件是否可信。手动应用程序控制采用文件加白机制,对应用程序文件提前抽取和判断并加白,补充到控制中心文件信誉库中,对企业全网其他客户端均生效。
2.4.5 外设与移动存储管理
由于外设是PC使用者获得第三方数据的主要入口,那么通过对其获得渠道的约束,使那些具有危险性的文件,不会由于拷贝到PC上,而感染一个乃至网络围的PC,从安全性上有了基本保证。PC外设常见的有U盘、移动硬盘、光驱、软驱、打印机、扫描仪,以及数码设备等,这些设备为我们日常的工作带来了极大的方便,但对于PC数量众多的企事业用户而言,众多外设的使用,在带来工作便利的同时,也带来管理上的难度。因此,一套完整严密的外设管理措施,对于企事业IT运维显得尤为重要。
360天擎采用策略化的外设管理模式。管理员统一定义出针对不同类别外设的多个策略,一个策略可以包括多种类型设备的控制,使管理策略更有针对性。支持硬件准入管理,可帮助管理员对终端的USB存储设备进行可读写、只读和禁用权限设置,以及对光驱、1394、蓝牙、串口、并口、PCMCIA卡、手机与平板、VPN等其他外接设备进行禁用管理。
2.4.6 XP防护
为了彻底解决微软停止Windows XP系统服务带来的安全威胁,根除Windows XP漏洞因无法修复带来的危害,同时又全面满足各大企业、金融、能源、军队中已经部署的大量应用和对应用运行稳定型、持续性的要求,360在设计技术方案的时候,始终坚持、贯彻如下的设计原则:
第一,以修复操作系统自身设计机制不足带来的安全缺陷为主(加固),力求从根本上解决操作系统自身设计缺陷导致的安全问题,以从理论上逐类解决安全问题,而不是Case by case地逐个封堵、修补安全漏洞为第一目标。例如:通过采用类似于stackguard的技术思路禁止在操作系统栈上禁止可执行代码来解决缓冲区溢出攻击的shellcode执行,这会解决一大类漏洞利用的问题(包括已知漏洞和未知漏洞),而非只针对某一具体的漏洞利用才有效。
word 专业资料
.
第二,以修复操作系统代码逻辑安全漏洞的热补丁为辅(修补),目前不能排除某些漏洞的利用方法超出了我们现有已掌握的攻击手段围,或者某个操作系统设计机制上新的缺陷被发现并利用,在这种情况下,360通过上面提到的操作系统加固(即修复操作系统设计机制缺陷)的手段就会失效,而对加固系统的升级相对来说周期会比较长,在这段时间,通过针对具体漏洞进行修复的方式来暂时解决安全问题,待到加固系统升级包稳定之后,再进行加固升级,从根本上解决问题。
第三,以隔离安全问题频出应用软件的执行为(隔离)补充,通过360以往长时间的研究发现,大量的安全漏洞主要集中在少数关键的系统应用之上,如:PDF阅读器、Office软件、IE浏览器等,因此,360在设计整体方案的一个重要原则就是,通过技术手段(比如Sandbox)来隔离危险应用(即安全漏洞频发的应用)的执行过程,避免这些危险应用因为遭受到攻击而破坏宿主Windows XP操作系统和对敏感数据的访问。
第四,以非白即黑高强度的安全管控策略自动化(制度)为保障,在大多数对安全要求非常高的环境中(如:兵器制造业、航空航天研发机构等),要求做到万无一失,针对这种情况,我们在方案中设计了“非白即黑”的文件白管理原则,并且将此项管理的执行自动化,满足高度安全可控的强安全需求。
根据设计原则的要求,360采用了多层防护、标本兼治、技术与安全管理策略相结合的整体设计思路,在Windows XP系统之上由到外采用了四层防护手段,包含了系统加固、热补丁修复、危险应用隔离、“非白即黑”安全策略等多项举措。
一、系统加固方案。通过系统加固解决Windows XP系统自身设计机制上的缺陷带来的安全隐患,切断这些缺陷导致的漏洞利用通路。360针对Windows XP系统之上已知的十几种可带来安全隐患的设计机制进行了加固性修复,通过对上述十几种Windows XP系统设计机制上缺陷的安全加固,已经可以有效解决目前已知所有通过系统漏洞、应用漏洞对Windows XP的攻击,从根本上解决各类漏洞带来的安全威胁。系统加固方案是针对微软Windows XP停止服务后带来漏洞无法修复等安全威胁的最根本的解决方案,Windows XP系统的安全问题从本质上来说是操作系统设计的过程中,缺乏对安全充分考虑导致的问题,导致黑客可以通过各种漏洞在Windows XP系统行其道,属于操作系统设计机制上的问题,因此只有从根本上解决这些Windows XP系统设计机制上的缺陷,才能彻底解决问题,目前微软已经清楚地认识到了这些问题的存在,并逐渐在高版本操作系统上(如:Windows7、Windows8)开始尝试加固,但不幸的是,由于Windows XP系统已经发布超过10年,因此当时微软还没来得及发现、考虑这些问题,所以这些安全加固的成果并没有体现在Windows XP系统之中,本方案的最大优势
word 专业资料