天擎产品与技术培训课件

360天擎终端安全管理系统

（ESS：EnterpriseSecurityManagementSystem）360天擎终端安全管理系统

（ESS：Enterprise大纲1、需求及问题2、主要功能及特点3、典型部署4、案例、服务及资质大纲1、需求及问题2、主要功能及特点3、典型部署4、案例、服终端安全管理的普遍需求安全老病毒，新病毒，宏病毒恶意URL，未知病毒特种木马，APT攻击管理终端安全威胁传统杀软难以应对特征提取难病毒库过大未知病毒防不住终端行为管理终端运维管理终端资产管理安全接入、非法外联流量、审计、应用登记、变更、状态补丁、软件、协助终端合规要求：等级保护、分级保护、SOX等终端安全管理的普遍需求安全老病毒，新病毒，宏病毒管理终端大纲1、需求及问题2、主要功能及特点3、典型部署4、案例、服务及资质大纲1、需求及问题2、主要功能及特点3、典型部署4、案例、服主要功能及特点1）领先的终端安全防御3）灵活的终端准入管控5）直观的日志报表2）高效的终端运维管理4）细粒度的文件审计管控天擎

6）先进的边界联动防御主要功能及特点1）领先的终端安全防御3）灵活的终端准入管控1）领先的终端安全防御双静态查毒引擎、双静态病毒库文件信誉引擎（全球最大），需要联网已知病毒、恶意代码恶意URL&网马未知病毒、恶意代码人工智能的专利引擎：QVM-II虚拟执行的沙箱引擎：VXE文件运行时跟踪引擎：主动防御（RTE）恶意URL信誉引擎（国内最全），需要联网APT&特种木马

私有云白名单非白即黑强安全策略控制防黑加固

XP加固、基于IP、端口的主机防火墙，高危端口封堵弱口令监测、系统帐号及权限变更监测1）领先的终端安全防御双静态查毒引擎、双静态病毒库已知病毒、特征库（60亿+）

黑名单（20亿+）

白名单（１亿＋）提高查杀能力，及时升级适应网络封闭，物理隔离环境近乎100%的绝对安全保障终端防御核心技术：云查杀机制特征库（60亿+）终端防御核心技术：云查杀机制QVM人工智能引擎是QihooSupportVectorMachine（奇虎支持向量机）的缩写。是360完全自主研发的第三代恶意代码检测引擎（已获得国际PCT专利）终端防御核心技术：智能查杀引擎（QVM）检测建模训练切片基于大数据（20亿样本）与人工智能技术在北美与欧洲针对未知恶意代码的测评中屡获第一已获得多项国际PCT

专利QVM人工智能引擎是QihooSupportVector8终端防御核心技术：应用级Sandbox传统技术：1、终端安全基线管理（应用与配置白名单）2、终端主机防火墙（网络访问白名单）优点：技术简单，针对违规情况比较有效缺点：简单机械，如果白名单中的应用存在漏洞，则系统依然存在存在被攻击的风险Office沙箱危险应用隔离在沙盒之中打开漏高危应用（IE、Office），即使这些应用遭到攻击，也无法危及到所宿主的Windows系统I/O重定向所有操作都重定向到虚拟内存区域，攻击陷入沙盒之中而无计可施IE

沙箱终端防御核心技术：应用级Sandbox传统技术：Office9传统技术：采用亡羊补牢的办法针对已知漏洞逐一修复，无法抵御未知漏洞（0day）的攻击，无法做到提前预防，漏洞修复的速度永远滞后于漏洞出现的速度，这种缺陷是APT攻击屡屡成功的病根补一防百---修复一个操作系统安全机制的缺陷，可以有效防止成百上千的漏洞攻击标本兼治---从源头上祛除操作系统的漏洞病灶，彻底根除安全隐患提前预防APT---从机理上检测0day漏洞攻击，实现对APT攻击的早期检测七战七捷！终端防御核心技术：系统加固（everyday技术）传统技术：补一防百标本兼治提前预防APT七战七捷！终端防御核10白名单文件内置近1亿高纯度白名单库涵盖绝大多数已知主流应用通过文件MD5识别白文件非白名单文件均视为不安全的黑文件禁止运行非白名单文件黑白策略自由区：无百名单，黑文件禁止运行，未知文件提示后选择运行办公区：白名单=360系统白名单+用户自定义白名单，

涉密网：白名单=用户自定义白名单终端防御核心技术：“非白即黑”白名单白名单文件内置近1亿高纯度白名单库非白名单文件均视为不安全的11终端防御核心技术：主动防御（HIPS）进程行为进程创建进程加载进程销毁进程注入……系统行为系统调用注册表修改用户权限提升Shell命令调用…….文件行为文件打开、加载文件网络I/O可疑文件释放…….网络行为文件网络行为邮件发送行为进程网络行为…….驱动行为驱动加载驱动hook行为驱动网络行为…….终端防御核心技术：主动防御（HIPS）进程行为系统行为文件行12用大数据、云计算技术做防病毒的门槛样本资源构建云查杀系统，需要海量的病毒、木马、僵尸网络等恶意代码样本作为资源支撑。奇虎360拥有积累了近20年，超过20亿的病毒样本（黑名单）。样本资源的基础是客户资源，没有足够的客户资源作支撑，无法收集足够的病毒样本文件。奇虎360在全国拥有近5亿的终端用户，覆盖了全国终端用户的95%以上。每天接收全国网民与合作伙伴的病毒查杀请求高达700亿次。用大数据、云计算技术做防病毒的门槛样本资源用大数据、云计算技术做防病毒的门槛计算资源为了构造有效的查杀系统，需要大量的计算资源进行支撑，以便对搜集到的样本资源进行深入分析，一般来说，一台标准的服务器，每天（24小时）可处理的样本数量大约在3000万个左右奇虎360所提供的云查杀系统的规模已经超过了10000台服务器

。每天可处理3千亿个样本。用大数据、云计算技术做防病毒的门槛计算资源2）高效的终端运维管理可视智能可控安全运维管理终端升级、漏洞修复、插件清理、外设及进程管控、软件分发远程协助管理员对授权终端进行远程协助，一对一远程解决安全问题流量管理全网终端的日上传，日下载总量统计全网终端的上传下载速度统计限制全网终端的上传下载速度重要终端流量速度保障IP-MAC地址绑定终端IP-MAC地址绑定，加强对终端的管理2）高效的终端运维管理可视智能可控安全运维管理360补丁服务器Internet企业内网全面扫描操作系统、应用软件漏洞

统一分发补丁文件（按需分发）

强制执行漏洞修复（统一修复）

补丁分发流量控制分发带宽流量压缩

分发带宽流量限制全面强制节省补丁及软件分发360Internet企业内网全面扫描操作系统、应用软件进程、外设与移动存储管控进程管控存储管控外设管控指定必须运行的软件及进程，对进程进行保护；也可禁止特定软件、进程可对操作终端U盘进行可读写、只读和禁用权限设置可控灵活安全internet对光驱、蓝牙、串口、手机与平板、USB无线网卡等外设进行有效管控进程、外设与移动存储管控进程管控存储管控外设管控指定必须运行展示终端硬件信息型号，CPU，内存，硬盘，设备SN监控终端硬件CPU温度，硬盘温度，主板温度等实时监控硬件配置变更，显示硬件变动记录硬件多次变更过程回溯可视记忆实时硬件资产管理展示终端硬件信息监控终端硬件实时监控硬件配置变更，显示硬件展示全网安装的软件与涉及的终端，显示每个终端安装的软件自定义企业内部应用集合，终端用户自由下载运行集合中的软件统一推送应用，分发软件，并自动安装应用企业软件管家展示全网安装的软件与涉及的终端，显示每个终端安装的软件企业软3）灵活的终端准入管控3）灵活的终端准入管控网卡变更非法外联更多检查硬件变更高危漏洞安全软件特征码过期终端准入合规性检查网卡变更非法外联更多检查硬件变更高危漏洞安全软件特征码过期终4）细粒度的文件审计管控文件操作：指定扩展名的文件访问、修改、删除、移动等行为的审计文件输出：共享文件夹输出管控文件打印：打印机审计及管控邮件收发：邮件收发管控4）细粒度的文件审计管控文件操作：指定扩展名的文件访问、修改5）直观的日志报表全网一键体检全网内漏洞、木马、插件、系统危险项、安全配置项、未知文件等的威胁数量和危险终端数量。终端状况展现对全网不健康终端、亚健康终端、健康终端进行统计。安全动态跟踪，帮助管理员了解全网内漏洞补丁的修复状况。威胁趋势分析全面了解企业内终端危险项、木马、病毒、漏洞、新增文件等的发展趋势。详尽日志报表对终端安全日志、漏洞修复、XP加固日志、病毒日志、木马查杀、插件清除、系统危险项，安全配置、流量管理、终端准入日志，文件及应用日志等的报表统计。5）直观的日志报表全网一键体检6）先进的边界联动防御通过办公终端上所安装的天擎与部署在边界处的天眼之间的联动，可以实现“边界发现、终端防御”的整体防御策略，完成对病毒、恶意代码的闭环防御流程。6）先进的边界联动防御通过办公终端上所安装的天擎与部署在边界大纲1、需求及问题2、主要功能及特点3、典型部署4、案例、服务及资质大纲1、需求及问题2、主要功能及特点3、典型部署4、案例、服普通办公网部署360云查杀系统360公网升级服务器天擎控制中心天擎客户端云查杀升级、更新体检、杀毒、打补丁统一管理互联网办公网普通办公网部署360云查杀系统天擎控制中心天擎客户端云查隔离网私有云硬件部署360公网升级服务器天擎隔离网升级工具天擎控制中心天擎客户端办公网隔离网互联网升级、更新体检、杀毒、打补丁统一管理数据摆渡天擎私有云私有云查杀隔离网私有云硬件部署360公网升级服务器天擎隔离网升级工具天隔离网部署360公网升级服务器天擎隔离网升级工具天擎控制中心天擎客户端办公网隔离网互联网升级、更新体检、杀毒、打补丁统一管理数据摆渡隔离网部署360公网升级服务器天擎隔离网升级工具天擎控制中心多级部署多级部署大纲1、需求及问题2、主要功能及特点3、典型部署4、案例、服务及资质大纲1、需求及问题2、主要功能及特点3、典型部署4、案例、服成功案例成功案例中国电力建设集团分布式部署案例中国电力建设集团分布式部署案例Text高级安全响应服务远程电话/网络支持服务产品到场支持服务人员组成：高级安全研究、服务、咨询人员服务内容：安全应急、渗透测试、日志分析、样本分析

攻击追溯、安全咨询、高级安全培训人员组成：售后服务人员、研发人员服务内容：产品巡检、产品故障排除、现场

产品问题追查、产品安装、产品

使用培训人员组成：售后服务人员、研发人员1对1远程服务人员服务内容：产品使用问题咨询、

产品故障远程排查、处理标准化服务体系Text高级安全响应服务远程电话/网络支持服务产品到场支持服产品资质产品资质攻防实战水平国际领先攻防实战水平国际领先天擎产品与技术培训课件2013年，360独立挖掘并受到微软官网致谢的微软高危漏洞多达13个，超过国内其他所有安全厂商的总和；360漏洞分析实验室研发了自动化漏洞挖掘技术，仅2014年1月即已挖掘出近60个微软IE浏览器漏洞；2013年4月，360推出了第三方漏洞收集平台，不到一年的时间已投入百万元，收集了超过1200个0day漏洞。2014年360将进一步投入5000万-1亿元，面向全球范围收集微软安全漏洞；漏洞挖掘方面的成果一切不具备漏洞挖掘能力的安全厂商都是耍流氓2013年，360独立挖掘并受到微软官网致谢的微软高危漏洞多XP盾甲“七冠王”7月31日，为检验各安全企业XP防护产品是否真正能够保护XP安全，由中国网络空间安全协会（筹）竞评演练工作组主办的XP靶场挑战赛火爆上演。经过长达一天的激烈攻防大战，有东半球最强白帽子军团之称的360公司再次经受住了考验，360XP盾甲在比赛中坚守成功。这是继今年4月5日举行的首个XP攻防挑战赛后，360XP盾甲再次取得XP挑战赛冠军。360已经在国内外组织的有关XP防护产品的七次挑战赛及测评中全部胜出，成为实至名归的“七冠王”，彰显了360公司在安全领域特别是XP防护领域的绝对实力。XP盾甲“七冠王”7月31日，为检验各安全企业XP防护产品是演讲完毕，谢谢观看！演讲完毕，谢谢观看！360天擎终端安全管理系统

（ESS：EnterpriseSecurityManagementSystem）360天擎终端安全管理系统

（ESS：Enterprise大纲1、需求及问题2、主要功能及特点3、典型部署4、案例、服务及资质大纲1、需求及问题2、主要功能及特点3、典型部署4、案例、服终端安全管理的普遍需求安全老病毒，新病毒，宏病毒恶意URL，未知病毒特种木马，APT攻击管理终端安全威胁传统杀软难以应对特征提取难病毒库过大未知病毒防不住终端行为管理终端运维管理终端资产管理安全接入、非法外联流量、审计、应用登记、变更、状态补丁、软件、协助终端合规要求：等级保护、分级保护、SOX等终端安全管理的普遍需求安全老病毒，新病毒，宏病毒管理终端大纲1、需求及问题2、主要功能及特点3、典型部署4、案例、服务及资质大纲1、需求及问题2、主要功能及特点3、典型部署4、案例、服主要功能及特点1）领先的终端安全防御3）灵活的终端准入管控5）直观的日志报表2）高效的终端运维管理4）细粒度的文件审计管控天擎

6）先进的边界联动防御主要功能及特点1）领先的终端安全防御3）灵活的终端准入管控1）领先的终端安全防御双静态查毒引擎、双静态病毒库文件信誉引擎（全球最大），需要联网已知病毒、恶意代码恶意URL&网马未知病毒、恶意代码人工智能的专利引擎：QVM-II虚拟执行的沙箱引擎：VXE文件运行时跟踪引擎：主动防御（RTE）恶意URL信誉引擎（国内最全），需要联网APT&特种木马

私有云白名单非白即黑强安全策略控制防黑加固

XP加固、基于IP、端口的主机防火墙，高危端口封堵弱口令监测、系统帐号及权限变更监测1）领先的终端安全防御双静态查毒引擎、双静态病毒库已知病毒、特征库（60亿+）

黑名单（20亿+）

白名单（１亿＋）提高查杀能力，及时升级适应网络封闭，物理隔离环境近乎100%的绝对安全保障终端防御核心技术：云查杀机制特征库（60亿+）终端防御核心技术：云查杀机制QVM人工智能引擎是QihooSupportVectorMachine（奇虎支持向量机）的缩写。是360完全自主研发的第三代恶意代码检测引擎（已获得国际PCT专利）终端防御核心技术：智能查杀引擎（QVM）检测建模训练切片基于大数据（20亿样本）与人工智能技术在北美与欧洲针对未知恶意代码的测评中屡获第一已获得多项国际PCT

专利QVM人工智能引擎是QihooSupportVector47终端防御核心技术：应用级Sandbox传统技术：1、终端安全基线管理（应用与配置白名单）2、终端主机防火墙（网络访问白名单）优点：技术简单，针对违规情况比较有效缺点：简单机械，如果白名单中的应用存在漏洞，则系统依然存在存在被攻击的风险Office沙箱危险应用隔离在沙盒之中打开漏高危应用（IE、Office），即使这些应用遭到攻击，也无法危及到所宿主的Windows系统I/O重定向所有操作都重定向到虚拟内存区域，攻击陷入沙盒之中而无计可施IE

沙箱终端防御核心技术：应用级Sandbox传统技术：Office48传统技术：采用亡羊补牢的办法针对已知漏洞逐一修复，无法抵御未知漏洞（0day）的攻击，无法做到提前预防，漏洞修复的速度永远滞后于漏洞出现的速度，这种缺陷是APT攻击屡屡成功的病根补一防百---修复一个操作系统安全机制的缺陷，可以有效防止成百上千的漏洞攻击标本兼治---从源头上祛除操作系统的漏洞病灶，彻底根除安全隐患提前预防APT---从机理上检测0day漏洞攻击，实现对APT攻击的早期检测七战七捷！终端防御核心技术：系统加固（everyday技术）传统技术：补一防百标本兼治提前预防APT七战七捷！终端防御核49白名单文件内置近1亿高纯度白名单库涵盖绝大多数已知主流应用通过文件MD5识别白文件非白名单文件均视为不安全的黑文件禁止运行非白名单文件黑白策略自由区：无百名单，黑文件禁止运行，未知文件提示后选择运行办公区：白名单=360系统白名单+用户自定义白名单，

涉密网：白名单=用户自定义白名单终端防御核心技术：“非白即黑”白名单白名单文件内置近1亿高纯度白名单库非白名单文件均视为不安全的50终端防御核心技术：主动防御（HIPS）进程行为进程创建进程加载进程销毁进程注入……系统行为系统调用注册表修改用户权限提升Shell命令调用…….文件行为文件打开、加载文件网络I/O可疑文件释放…….网络行为文件网络行为邮件发送行为进程网络行为…….驱动行为驱动加载驱动hook行为驱动网络行为…….终端防御核心技术：主动防御（HIPS）进程行为系统行为文件行51用大数据、云计算技术做防病毒的门槛样本资源构建云查杀系统，需要海量的病毒、木马、僵尸网络等恶意代码样本作为资源支撑。奇虎360拥有积累了近20年，超过20亿的病毒样本（黑名单）。样本资源的基础是客户资源，没有足够的客户资源作支撑，无法收集足够的病毒样本文件。奇虎360在全国拥有近5亿的终端用户，覆盖了全国终端用户的95%以上。每天接收全国网民与合作伙伴的病毒查杀请求高达700亿次。用大数据、云计算技术做防病毒的门槛样本资源用大数据、云计算技术做防病毒的门槛计算资源为了构造有效的查杀系统，需要大量的计算资源进行支撑，以便对搜集到的样本资源进行深入分析，一般来说，一台标准的服务器，每天（24小时）可处理的样本数量大约在3000万个左右奇虎360所提供的云查杀系统的规模已经超过了10000台服务器

。每天可处理3千亿个样本。用大数据、云计算技术做防病毒的门槛计算资源2）高效的终端运维管理可视智能可控安全运维管理终端升级、漏洞修复、插件清理、外设及进程管控、软件分发远程协助管理员对授权终端进行远程协助，一对一远程解决安全问题流量管理全网终端的日上传，日下载总量统计全网终端的上传下载速度统计限制全网终端的上传下载速度重要终端流量速度保障IP-MAC地址绑定终端IP-MAC地址绑定，加强对终端的管理2）高效的终端运维管理可视智能可控安全运维管理360补丁服务器Internet企业内网全面扫描操作系统、应用软件漏洞

统一分发补丁文件（按需分发）

强制执行漏洞修复（统一修复）

补丁分发流量控制分发带宽流量压缩

分发带宽流量限制全面强制节省补丁及软件分发360Internet企业内网全面扫描操作系统、应用软件进程、外设与移动存储管控进程管控存储管控外设管控指定必须运行的软件及进程，对进程进行保护；也可禁止特定软件、进程可对操作终端U盘进行可读写、只读和禁用权限设置可控灵活安全internet对光驱、蓝牙、串口、手机与平板、USB无线网卡等外设进行有效管控进程、外设与移动存储管控进程管控存储管控外设管控指定必须运行展示终端硬件信息型号，CPU，内存，硬盘，设备SN监控终端硬件CPU温度，硬盘温度，主板温度等实时监控硬件配置变更，显示硬件变动记录硬件多次变更过程回溯可视记忆实时硬件资产管理展示终端硬件信息监控终端硬件实时监控硬件配置变更，显示硬件展示全网安装的软件与涉及的终端，显示每个终端安装的软件自定义企业内部应用集合，终端用户自由下载运行集合中的软件统一推送应用，分发软件，并自动安装应用企业软件管家展示全网安装的软件与涉及的终端，显示每个终端安装的软件企业软3）灵活的终端准入管控3）灵活的终端准入管控网卡变更非法外联更多检查硬件变更高危漏洞安全软件特征码过期终端准入合规性检查网卡变更非法外联更多检查硬件变更高危漏洞安全软件特征码过期终4）细粒度的文件审计管控文件操作：指定扩展名的文件访问、修改、删除、移动等行为的审计文件输出：共享文件夹输出管控文件打印：打印机审计及管控邮件收发：邮件收发管控4）细粒度的文件审计管控文件操作：指定扩展名的文件访问、修改5）直观的日志报表全网一键体检全网内漏洞、木马、插件、系统危险项、安全配置项、未知文件等的威胁数量和危险终端数量。终端状况展现对全网不健康终端、亚健康终端、健康终端进行统计。安全动态跟踪，帮助管理员了解全网内漏洞补丁的修复状况。威胁趋势分析全面了解企业内终端危险项、木马、病毒、漏洞、新增文件等的发展趋势。详尽日志报表对终端安全日志、漏洞修复、XP加固日志、病毒日志、木马查杀、插件清除、系统危险项，安全配置、流量管理、终端准入日志，文件及应用日志等的报表统计。5）直观的日志报表全网一键体检6）先进的边界联动防御通过办公终端上所安装的天擎与部署在边界处的天眼之间的联动，可以实现“边界发现、终端防御”的整体防御策略，完成对病毒、恶意代码的闭环防御流程。6）先进的边界联动防御通过办公终端上所安装的天擎与部署在边界大纲1、需求及问题2、主要功能及特点3、典型部署4、案例、服务及资质大纲1、需求及问题2、主要功能及特点3、典型部署4、案例、服普通办公网部署360云查杀系统360公网升级服务器天擎控制中心天擎客户端云查杀升级、更新体检、杀毒、打补丁统一管理互联网办公网普通办公网部署360云查杀系统天擎控制中心天擎客户端云查隔离网私有云硬件部署360公网升级服务器天擎隔离网升级工具天擎控制中心天擎客户端办公网隔离网互联网升级、更新体检、杀毒、打补丁统一管理数据摆渡天擎私有云私有云查杀隔离网私有云硬件部署360公网升级服务器天擎隔离网升级工具天隔离网部署360公网升级服务器天擎隔离网升级工具天擎控制中心天擎客户端办公网隔离网互联网升级、更新体检、杀毒、打补丁统一管理数据摆渡隔离网部署360公网升级服务器天擎隔离网升级工具天擎控制中心多级部署多级部署大纲1、需