360天擎终端安全管理
解决MATCH_
word
word文档格式规范word作业纸小票打印word模板word简历模板免费word简历
_1713376574859_2
北京奇虎科技有限公司
2014年9月
目录
背景 3
方案目标 4
终端安全 4
桌面管理 5
统一运维 5
方案设计 6
终端安全 6
终端病毒与恶意代码防范 6
终端安全性检查 14
终端防黑加固 15
协议防火墙 16
桌面管理 16
终端流量管理 16
系统自动升级 17
终端硬件性能监控 20
终端软件进程与服务管理 20
终端Agent强制安装与运行 21
终端外设管理 21
终端小工具 22
终端信息搜集 23
文件审计管控 23
统一运维 24
软件分发 24
策略下发 24
在线用户统计 25
安装包定制与Web安装 26
系统兼容性 27
系统可扩展性 27
系统容灾 28
背景
随着企业信息化进程的不断加快,企业网络规模与终端数量在不断变大,企业业务对信息化系统的依赖程度越来越高,信息化系统的建设与升级,一方面推动着企业的办公自动化、业务自动化进程不断加快,提高企业的运营效率,降低企业的运营成本。另一方面,也为企业带来了新的问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
,对企业的运营与管理提出了新的挑战。
● 管理问题
信息化系统的引入、网络的建设与升级为企业带来了诸多管理问题,其中主要包括如下几个方面:
? 如何有效管理网络设备与应用系统,使得网络能够稳定运行,保障企业自动化办公与依托于网络的业务能够平稳有效进行,这需要大量额外的网络管理系统进行运维支撑。
? 如何有效管理终端设备与应用软件,使得终端能够稳定、合规运行,保障企业的自动化办公与终端业务操作能够平稳有效进行。
? 如何有效管理业务系统的设备与软件,使得业务系统整体平稳运行,保障企业业务系统对外提供稳定的服务。
● 安全问题
信息化系统与网络的引入,为进入企业内部获得企业数据资料、操控企业业务运行提供了一种看不到的新途径,这就为企业的数据、资料乃至业务运行带来了新的安全问题,主要包括:
? 企业信息化系统与网络访问控制问题:这其中包括如何控制哪些终端在满足什么样的条件之下可以进入到企业信息化系统与网络;如何为进入到信息化系统与网络的终端用户分配访问操作权限并保障这些终端用户不能越权非法操作。
? 信息化系统及其支撑设备的安全运行问题:这其中包括如何保障信息化系统及其软硬件系统不会受到攻击,或者在受到攻击的情况下可以有效避免损失、缓解攻击带来的影响、保障信息化系统与网络仍能够安全、可靠、平稳地对外提供服务。
? 企业数据及资料的安全问题:这其中包括如何保障企业的数据及资料能够安全存储、安全访问,对于这些企业数据与资料要做到:非
授权
个人房产授权委托书公司各类授权委托书模版医师授权办法餐饮分店授权书产品代理授权书范本
人员拿不到、非授权人员拿到后带不走、非授权人员拿走后打不开等三个层次的安全防护。
● 评估问题
近些年,随着我国信息化系统的大范围建设与普及,信息化系统的建设已经进入到快速发展期,大多数企业的信息化系统与网络已经从初期的从无到有发展到了现在的颇具规模,相应地,在信息化系统的建设上,企业也开始从最初的基础设施建设逐步进入到了信息化系统稳定运行的收获期。更进一步,很多企业也已经开始理性思考在信息化系统上的大量投资带来的具体企业效益,换句话讲,企业的信息化系统已经进从基础设施建设发展到了建设效果评估阶段,科学评估信息化系统建设的成果,向信息化系统建设要效益是这个阶段的主要目标。
方案目标
本方案的目标是从企业信息化系统终端安全与管理的角度出发,以终端安全为核心,以终端桌面管理为重点,提供以终端为基础的桌面安全与管理整体解决方案,具体内容包括终端安全、桌面管理、统一运维三个方面:
终端安全
提供针对终端安全的防护措施,为终端提供安全的上网办公环境,具体包括如下几方面内容:
? 终端病毒与恶意代码防范
? 防黑加固
? 主机防火墙
? 终端安全性检查
桌面管理
? 终端流量管理
? 系统自动升级
? 终端远程协助
? 终端硬件性能监控
? 终端进程与服务管理
? 终端Agent强制安装与运行
? 终端外设管理
? 终端小工具
? 终端信息搜集
? 文件审计管控
统一运维
? 软件分发
? 策略下发
? 在线用户统计
? 安装包定制与Web安装
? 系统可扩展能力
? 系统容灾
方案设计
终端安全
终端病毒与恶意代码防范
在这一部分中,将就与终端安全相关的检测与防御方法进行方案级描述,将主要涉及两方面与终端密切相关的内容:
? 终端病毒防御
? 终端数据的安全防御
终端病毒防御
该功能的目标是对互联网中的病毒、木马、蠕虫、网马、僵尸网络、流氓软件、间谍软件等恶意代码进行有效的识别、查杀与隔离
功能框架
本方案对病毒、木马、蠕虫、网马、僵尸网络、流氓软件、间谍软件等恶意代码的识别和查杀采用了多套高性能检测引擎的技术方案,这些技术方案中,既包括传统基于静态病毒特征的多模式匹配的检测技术、也包括无特征的人工智能检测技术和基于云端的云查杀检测技术,多种检测技术的综合运用,最大限度地保障检测的有效性,具体来说,本方案中采用了如下几种关键的检测技术:
1 双病毒检测引擎
2 360云查杀检测引擎
3 恶意URL检测引擎
4 QVM-II人工智能检测引擎
已知病毒查杀功能框架如下图所示:
方案说明
双病毒特征库与双病毒检测引擎
与其他病毒检测产品不同,本方案采用了双引擎的查杀技术,具体来说就是采用实现技术完全不同的两套独立的病毒库、病毒检测引擎对已知病毒进行检测。因为已知病毒检测的关键是病毒库的覆盖度和检测引擎的预处理能力,因此如果其中一套病毒检测引擎出现错误(误报、漏报)的可能性为P(P < 1),另一套病毒检测引擎出现错误(误报、漏报)的可能性为Q(Q < 1),那么两套完全独立的病毒检测引擎同时出现错误(误报、漏报)的可能性就是P·Q(P·Q < min(P, Q)),举例来说,如果第一套引擎出错的可能性是P = 2%,第二套引擎出错的可能性是Q = 3%,那么两套引擎同时出错的可能性就是:
(0.02)·(0.03) = 0.0006
可以看到,双病毒特征库,双病毒检测引擎的方案,与单病毒库、单病毒检测引擎相比,在检测的准确率上有大幅提升,由于双病毒特征库,双病毒检测引擎与单病毒库、单病毒检测引擎相比,性能开销(CPU消耗、内存消耗)会更大,因此本方案中对是否启用双病毒库、双病毒检测引擎采用了配置开关,可以根据终端硬件的配置情况灵活启用或者关闭该功能。
360云查杀检测引擎
? 云查杀技术的必要性
随着病毒的大量出现,传统的本地病毒库的查杀方式已经无法在本地加载绝大多数病毒样本特征,仅奇虎360一家安全企业,到目前为止就已经积累了多达20亿的病毒样本,如果算上未经去重的病毒样本,目前已发现的病毒样本已经远远超过20亿的规模,而目前大多数的终端杀毒软件,受本地存储资源的限制,本地病毒特征库的规模大约在1000万 ~ 2000万左右,这个数字只占不到20+亿已发现病毒样本的1%,依靠1%的病毒库去检测互联网中肆虐的病毒,这说明传统的本地病毒库的查杀方式已经无法满足对已知病毒的查杀要求,需要通过云端的海量计算资源与海量存储资源满足对数十亿病毒进行100%查杀的安全需求。
? 360云查杀资源与技术
云查杀技术需要大量的样本资源、计算资源、检测技术资源,如果没有这些资源作支撑,则无法构建高质量的云查杀系统,本质上来说,云查杀系统是一个海量资源系统,这个资源系统中,既包括客户资源,又包括硬件资源与软件算法资源:
? 样本资源
构建云查杀系统,需要海量的病毒、木马、僵尸网络等恶意代码样本作为资源支撑,否则,所构建的云查杀系统将因为缺乏足够的病毒样本积累而难以保证对于已知病毒和恶意代码的检测率。本方案中,我们才用的360云查杀平台,拥有涵盖了近20年的所有已知的病毒、木马、蠕虫等恶意代码的样本文件,其所积累的去重之后病毒样本数量已经超过20亿。
样本资源的基础是客户资源,没有足够的客户资源作支撑,无法收集足够的病毒样本文件,只有广泛部署了终端系统的情况下,才能在短期内收集足够数量的恶意代码样本文件,奇虎360在全国拥有超过4亿的终端用户,覆盖了全国终端用户的95%以上,其中绝大多数已经选择加入了奇虎360公司的“云安全计划”,这些遍布全国的海量用户为360提供了丰富、及时的病毒样本资源,保证了360云查杀系统病毒样本收集的及时、有效。目前平均来说,一个病毒从首次在国内互联网上出现,到被360云查杀系统捕获之间,只有不到10个小时的时间。
? 计算资源
为了构造有效的云查杀系统,需要大量的计算资源进行支撑,以便对搜集到的样本资源进行深入分析,一般来说,一台
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
的服务器(如DELL R720,配置为:双路16核CPU(Xeon E5-2690,单路8核,主频2.9GHz)、Intel C600主板芯片组、内存16GB(ECC DDR3)、硬盘900GB(SAS接口)),每天(24小时)可处理的样本数量大约在3000万个左右,因此,对于标准1000终端的用户来说,若按照每天每台终端提交10个样本进行深度检测,则大约需要4台DELL R720这样配置的服务器组成的云查杀系统才能满足查杀需要。在本项目中,360所提供的云查杀系统的规模已经超过了10000台服务器,由这些云服务器所构成的查杀环境,完全可以满足本项目的云端深度查杀需求。
? 算法资源
构建有效了云查杀环境,除了稳定、及时的样本收集资源与足够数量的硬件计算环境之外,还需要先进的未知病毒及恶意代码的检测算法,这样才能够在收集到病毒与恶意代码样本之后,进行有效的分析与处理。因此,对未知病毒与恶意代码的快速检测能力,就成了构建有效的云查杀环境的关键。在本方案中,360所提供的云查杀环境集成了大量先进的真对未知病毒与恶意代码的查杀算法,这些算法中,有基于病毒与恶意代码静态样本共性特征的QVM-II算法(该算法采用人工智能与机器学习的方法,对360目前已经积累的20多亿病毒样本进行多次切片学习,抽取出病毒与恶意代码的共性特征,建立恶意代码的不同族系模型,该算法在北美、欧洲的多项恶意代码检测能力测评之中名列第一),也有目前主流的动态沙箱深度分析技术,同时还集成了利用未知漏洞进行病毒与恶意代码传播的基于内存分析的动态漏洞利用攻击分析技术,最后,对于非常复杂、难于分析的可疑文件,还会采用具有多年病毒分析与对抗经验的专家分析团队进行彻底分析。以上这些先机的自动化分析技术与方病毒专家团队人工分析的有效结合,多种手段、人机结合,保证了对病毒与恶意代码分析的万无一失。
继续阅读