360天擎产品与技术培训课件

添加标题,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2014,年,8,月,27,日,添加标题,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,添加标题,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,添加标题,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,添加标题,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,添加标题,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,添加标题,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,添加标题,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,添加标题,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,谢 谢！,添加标题,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,添加标题,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,添加标题,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,01,添加标题,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,01,添加标题,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,添加标题,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,360,天擎终端安全管理系统,（,ESS,：,Enterprise Security Management System,）,360天擎终端安全管理系统（ESS：Enterprise,大纲,1,、需求及问题,2,、主要功能及特点,3,、典型部署,4,、案例、服务及资质,大纲1、需求及问题2、主要功能及特点3、典型部署4、案例、服,终端安全管理的普遍需求,安 全,老病毒，新病毒，宏病毒,恶意,URL,，未知病毒,特种木马，,APT,攻击,管 理,终端安全威胁,传统杀软难以应对,特征提取难,病毒库过大,未知病毒防不住,终端行为管理,终端运维管理,终端资产管理,安全接入、非法外联,流量、审计、应用,登记、变更、状态,补丁、软件、协助,终端合规要求：等级保护、分级保护、,SOX,等,终端安全管理的普遍需求安 全老病毒，新病毒，宏病毒管 理终端,大纲,1,、需求及问题,2,、主要功能及特点,3,、典型部署,4,、案例、服务及资质,大纲1、需求及问题2、主要功能及特点3、典型部署4、案例、服,主要功能及特点,1,）,领先的终端安全防御,3,）灵活的终端准入管控,5,）直观的日志报表,2,）高效的终端运维管理,4,）细粒度的文件审计管控,天擎,6,）先进的边界联动防御,主要功能及特点1）领先的终端安全防御3）灵活的终端准入管控,1,）领先的终端安全防御,双静态查毒引擎,、双静态病毒库,文件信誉引擎（,全球最大,），需要联网,已知病毒、恶意代码,恶意,URL&,网马,未知病毒、恶意代码,人工智能的专利引擎,：,QVM-II,虚拟执行的沙箱引擎,：,VXE,文件运行时跟踪引擎,：主动防御（,RTE,）,恶意,URL,信誉引擎,（国内最全），,需要联网,APT&,特种木马,私有云白名单,非白即黑,强安全策略控制,防黑加固,XP,加固,、基于,IP,、端口的,主机防火墙,，高危端口封堵,弱口令,监测、系统帐号及权限变更监测,1）领先的终端安全防御双静态查毒引擎、双静态病毒库已知病毒、,特征库（,60,亿,+,）,黑名单（,20,亿,+,）,白名单（,亿,）,提高查杀能力，及时升级,适应,网络封闭，物理隔离,环境,近乎,100%,的绝对安全保障,终端防御核心技术：,云查杀机制,特征库（60亿+）终端防御核心技术：云查杀机制,QVM,人工智能引擎是,Qihoo Support Vector Machine,（奇虎支持向量机）,的缩写。是,360,完全自主研发的第三代恶意代码检测引擎（已获得国际,PCT,专利）,终端防御核心技术,：,智能查杀引擎（,QVM,）,检测,建模,训练,切片,基于,大数据,（,20,亿 样本）与,人工智能,技术,在北美与欧洲针对未知恶意代码的测评中屡获,第一,已获得多项国际,PCT,专利,8,QVM人工智能引擎是Qihoo Support Vector,终端防御核心技术,：,应用级,Sandbox,传统技术：,1,、终端安全基线管理（应用与配置白名单）,2,、终端主机防火墙（网络访问白名单）,优点：,技术简单，针对违规情况比较有效,缺点：,简单机械，如果白名单中的应用,存在漏洞，则系统依然存在,存在被攻击的风险,Office,沙箱,危险应用隔离,在沙盒之中打开漏高危应用（,IE,、,Office,），即使这些应用遭到攻击，也无法危及到所宿主的,Windows,系统,I/O,重定向,所有操作都重定向到虚拟内存区域，攻击陷入沙盒之中而无计可施,IE,沙箱,9,终端防御核心技术：应用级Sandbox传统技术：Office,传统技术：,采用亡羊补牢的办法针对已知漏洞逐一修复，,无法抵御未知漏洞（,0day,）的攻击，无,法做到提前预防，漏洞修复的速度,永远滞后于漏洞出现的速度，,这种缺陷是,APT,攻击屡屡,成功的病根,补一防百,-,修复一个操作系统安全机制的缺陷，可以有效防止成百上千的漏洞攻击,标本兼治,-,从源头上祛除操作系统的漏洞病灶，彻底根除安全隐患,提前预防,APT,-,从机理上检测,0day,漏洞攻击，实现对,APT,攻击的早期检测,七战七捷！,终端防御核心技术,：,系统加固（,everyday,技术）,10,传统技术：补一防百标本兼治提前预防APT七战七捷！终端防御核,白名单文件,内置近,1,亿高纯度白名单库,涵盖绝大多数已知主流应用,通过文件,MD5,识别白文件,非白名单文件均视为不安全的黑文件,禁止运行,非白名单文件,黑白策略,自由区,：无百名单，黑文件禁止运行，未知文件提示后选择运行,办公区,：白名单,=360,系统白名单,+,用户自定义白名单，,涉密网,：白名单,=,用户自定义白名单,终端防御核心技术,：,“非白即黑”白名单,11,白名单文件内置近1亿高纯度白名单库非白名单文件均视为不安全的,终端防御核心技术,：,主动防御（,HIPS,）,进程行为,进程创建,进程加载,进程销毁,进程注入,系统行为,系统调用,注册表修改,用户权限提升,Shell,命令调用,.,文件行为,文件打开、加载,文件网络,I/O,可疑文件释放,.,网络行为,文件网络行为,邮件发送行为,进程网络行为,.,驱动行为,驱动加载,驱动,hook,行为,驱动网络行为,.,12,终端防御核心技术：主动防御（HIPS）进程行为系统行为文件行,用大数据、云计算技术做防病毒的,门槛,样本资源,构建云查杀系统，需要海量的病毒、木马、僵尸网络等恶意代码样本作为资源支撑。,奇虎,360,拥有积累了近,2,0,年，超过,20,亿的病毒样本（黑名单）。,样本资源的基础是客户资源，没有足够的客户资源作支撑，无法收集足够的病毒样本文件。,奇虎,360,在全国拥有近,5,亿,的终端用户，覆盖了全国终端用户的,95%,以上。,每天接收全国网民与合作伙伴的病毒查杀请求高达,700,亿,次。,用大数据、云计算技术做防病毒的门槛样本资源,用大数据、云计算技术做防病毒的门槛,计算资源,为了构造有效的查杀系统，需要大量的计算资源进行支撑，以便对搜集到的样本资源进行深入分析，一般来说，一台标准的服务器，每天（,24,小时）可处理的样本数量大约在,3000,万个左右,奇虎,360,所提供的云查杀系统的规模已经超过了,10000,台服务器,。,每天可处理,3,千亿,个样本。,用大数据、云计算技术做防病毒的门槛计算资源,2,）高效的终端运维管理,可视,智能,可控,安全运维管理,终端升级、漏洞修复、插件清理、外设及进程管控、软件分发,远程协助,管理员对授权终端进行远程协助，一对一远程解决安全问题,流量管理,全网终端的日上传，日下载总量统计,全网终端的上传下载速度统计,限制全网终端的上传下载速度,重要终端流量,速度保障,IP-MAC,地址绑定,终端,IP-MAC,地址绑定，加强对终端的管理,2）高效的终端运维管理可视智能可控安全运维管理,360,补丁服务器,Internet,企业内网,全面扫描操作系统、应用软件漏洞,统一分发补丁文件（,按需分发,）,强制执行漏洞修复（统一修复）,补丁分发流量控制,分发带宽流量压缩,分发带宽流量限制,全面,强制,节省,补丁及软件分发,360 Internet企业内网 全面扫描操作系统、应用软件,进程、外设与移动存储管控,进程管控,存储管控,外设管控,指定必须运行的软件及进程，对进程进行保护；也可禁止特定软件、进程,可对操作终端,U,盘进行可读写、只读和禁用权限设置,可控,灵活,安全,internet,对光驱、蓝牙、串口、手机与平板、,USB,无线网卡等外设进行有效管控,进程、外设与移动存储管控进程管控存储管控外设管控指定必须运行,展示终端硬件信息,型号，,CPU,，内存，硬盘，设备,SN,监控终端硬件,CPU,温度，硬盘温度，主板温度等,实时监控硬件配置变更，显示硬件变动记录,硬件多次变更过程回溯,可视,记忆,实时,硬件资产管理,展示终端硬件信息 监控终端硬件实时监控硬件配置变更，显示硬件,展示全网,安装的软件与涉及的终端，显示每个终端安装的软件,自定义企业,内部应用集合,，终端用户自由下载运行集合中的软件,统一,推送,应用，分发软件，并自动安装应用,企业软件管家,展示全网安装的软件与涉及的终端，显示每个终端安装的软件企业软,3,）灵活的终端准入管控,3）灵活的终端准入管控,网卡变更,非法外联,更多检查,硬件变更,高危漏洞,安全软件,特征码过期,终端准入合规性检查,网卡变更非法外联更多检查硬件变更高危漏洞安全软件特征码过期终,4,）细粒度的文件审计管控,文件操作：,指定扩展名的文件访问、修改、删除、移动等行为的审计,文件输出：,共享文件夹输出管控,文件打印：,打印机审计及管控,邮件收发：,邮件收发管控,4）细粒度的文件审计管控文件操作：指定扩展名的文件访问、修改,5,）,直观的日志报表,全网一键体检,全网内漏洞、木马、插件、系统危险项、安全配置项、未知文件等的威胁数量和危险终端数量。,终端状况展现,对全网不健康终端、亚健康终端、健康终端进行统计。安全动态跟踪，帮助管理员了解全网内漏洞补丁的修复状况。,威胁趋势分析,全面了解企业内终端危险项、木马、病毒、漏洞、,新增文件等的发展趋势。,详尽日志报表,对终端安全日志、漏洞修复、,XP,加固日志、,病毒日志、木马查杀、插件清除、系统危险项，,安全配置、流量管理、终端准入日志，,文件及应用日志等的报表统计。,5）直观的日志报表全网一键体检,6,）先进的边界联动防御,通过办公终端上所安装的天擎与部署在边界处的天眼之间的联动，可以实现“