360网络安全系统准入系统技术白皮书-V1.3

360天擎终端安全管理系统产品白皮书北京奇虎科技有限公司目录一. 引言 (1)二. 天擎终端安全管理系统介绍 (1)2.1产品概述 (1)2.1.1 设计理念 (1)2.2产品架构 (1)2.3产品优势 (1)2.3.1 完善的终端安全防御体系 (1)2.3.2 强大的终端安全管理能力 (1)2.3.3 良好的用户体验与易用性 (1)2.3.4 顶尖的产品维护服务团队 (1)2.4主要功能 (1)2.4.1 安全趋势监控 (1)2.4.2 安全运维管理 (1)2.4.3 恶意软件防护 (1)2.4.4 终端软件管理 (1)2.4.5 外设与移动存储管理 (1)2.4.6 XP防护 (1)2.4.7 硬件资产管理 (1)2.4.8 企业软件统一管理 (1)2.4.9 终端流量管理 (1)2.4.10 终端准入管理 (1)2.4.11 远程技术支持 (1)2.4.12 日志报表查询 (1)2.4.13 边界联动防御 (1)2.5典型部署 (1)2.5.1 小型企业解决方案 (1)2.5.2 中型企业解决方案（可联接互联网环境） (1)2.5.3 中型企业解决方案（隔离网环境） (1)2.5.4 大型企业解决方案 (1)三. 产品价值 (1)3.1自主知识产权，杜绝后门隐患 (1)3.2解决安全问题，安全不只合规 (1)3.3强大管理能力，提高运维效率 (1)3.4灵活扩展能力，持续安全升级 (1)四. 服务支持 (1)五. 总结 (1)一. 引言随着IT技术的飞速发展以及互联网的广泛普及，各级政府机构、组织、企事业单位都分别建立了网络信息系统。

与此同时各种木马、病毒、0day漏洞，以及类似APT攻击这种新型的攻击手段也日渐增多，传统的病毒防御技术以及安全管理手段已经无法满足现阶段网络安全的需要，主要突出表现在如下几个方面：1.1、终端木马、病毒问题严重目前很多企事业单位缺乏必要的企业级安全软件，导致终端木马、病毒泛滥，而且由于终端处于企业局域网，造成交叉感染现象严重，很难彻底清除某些感染性较强的病毒。

360网站云监测系统——产品白皮书█版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，所有版权均属360企业安全集团所有，受到有关产权及版权法保护。

任何个人、机构未经360企业安全集团的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录1前言 (5)2为什么需要网站监控 (5)2.1攻与防的博弈 (5)2.2安全思路的转变 (6)3传统网站安全监控的弊端 (6)3.1单一的探测源头 (7)3.2钓鱼网站探测盲区 (7)3.3漏洞探测技术陈旧 (7)3.4违规资产难以发现 (7)4360网站云监测系统介绍 (8)4.1产品概述 (8)4.2产品架构 (8)4.3产品原理 (9)4.3.1多引擎扫描技术 (9)4.3.2沙箱检测技术 (9)4.3.3特有搜索检测技术 (10)4.3.4最新漏洞舆情推送手段 (10)4.3.5可用性监控技术 (11)4.3.6DDOS攻击检测技术 (11)4.4产品主要功能 (12)4.4.1安全趋势监控 (12)4.4.2有效跟踪通报处理进度 (12)4.4.3报表管理 (12)4.4.4资产管理 (13)4.4.5用户管理 (13)5产品优势 (14)5.1产品优势 (14)5.1.1立体多维，监控服务更周到 (14)5.1.2持续监测，反复跟踪无死角 (15)5.1.3威胁情报，助安全一臂之力 (15)5.1.4集中力量，造网站安全护甲 (15)1前言近年来，我国互联网市场规模和用户数量高速增长，随着云计算技术迅速兴起、信息化的普及，越来越多的企业走进“互联网+”，大量的金融、游戏、电子商务、电子政务等网站业务陆续上线。

与此同时，我国的网站仍然存在较多的安全风险，Web服务日益成为网络攻击的重点目标，DNS攻击、暴力破解、零日漏洞利用、APT攻击依然让网站弱不禁风。

数据泄露、网页篡改、网页挂马、钓鱼攻击、拒绝服务等安全事件频繁出现。

360天擎终端安全管理系统技术白皮书北京奇虎科技有限公司2013年8月目录一、背景概述41、背景41.1、终端木马、病毒问题严重41.2、0day漏洞和特马导致的APT问题严重41.3、终端接入问题严重51.4、终端违规软件安装问题严重51.5、终端漏洞问题严重51.6、终端安全状况需要统一管控62、产品定位6二、产品方案功能介绍71、设计理念71.1、收集了解71.2、立体防护71.3、集中管控72、系统拓扑图73、系统构架描述83.1.天擎控制中心93.2.天擎终端94、系统主要功能介绍104.1.服务端功能114.2.终端功能12三、产品方案技术介绍141、相关技术142、技术指标14四、实施运维方式说明141、实施原则142、实施流程142.1.安装控制中心142.2.小范围部署终端14 2.3.扩大终端范围15 2.4.全企业推广15一、背景概述1、背景随着最近几年各企事业单位网络应用的快速发展和具有黑客攻击特征的新类型病毒的大量出现，原有的防毒措施已经不能很好的满足网络系统安全的需要，突出表现在如下几个方面：1.1、终端木马、病毒问题严重目前很多企事业单位缺乏必要的企业级安全软件，导致终端木马、病毒泛滥，而且由于终端处于企业局域网内，造成交叉感染现象严重，很难彻底清除某些感染性较强的病毒。

这类病毒、木马会导致终端运行效率降低，对文件进行破坏，或者会把一些敏感信息泄露出去。

1.2、0day漏洞和特马导致的APT问题严重APT（Advanced Persistent Threat）攻击是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。

APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。

APT往往利用组织内部的人员作为攻击跳板。

有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。

360天眼新一代威胁感知系统产品技术白皮书█文档编号█密级█版本编号█日期©2015 360企业安全集团密级：XXXX █ 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，所有版权均属360企业安全集团所有，受到有关产权及版权法保护。

任何个人、机构未经360企业安全集团的书面授权许可，不得以任何方式复制或引用本文的任何片断。

█ 适用性说明本模板用于撰写360企业安全集团中各种正式文件，包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。

█ 版本变更记录目录目录 (2)1引言 (1)2产品综述 (2)2.1产品设计目标 (2)2.1.1产品价值 (2)2.2产品原理介绍 (3)2.2.1产品关键技术 (3)2.2.2关键技术实现的效果 (16)2.3产品组成与架构 (17)2.3.1威胁情报 (18)2.3.2分析平台 (18)2.3.3传感器 (19)2.3.4文件威胁鉴定器 (19)2.4产品模块间数据流程描述 (20)2.5产品型号及规格说明 (21)2.5.1产品型号与硬件产品实拍 (21)2.5.2各型号的关键功能规格说明 (22)3产品性能说明（待硬件平台更换后补充） (25)3.1天眼各模块产品性能说明 (25)4实施部署说明 (27)4.1未知威胁检测及回溯方案实施部署 (27)4.1.1未知威胁检测及回溯方案说明 (27)4.1.2所需设备说明 (27)4.1.3所需带宽说明 (30)4.1.4所需通信资源说明 (30)4.1.5实施拓扑图 (30)4.1.6实施步骤说明 (31)4.2高级威胁检测方案实施部署 (32)4.2.1高级威胁检测方案说明 (32)4.2.2所需设备说明 (32)4.2.3所需带宽说明 (34)4.2.4所需通信资源说明 (34)4.2.5实施拓扑图 (35)4.2.6实施步骤说明 (35)4.3本地威胁发现方案实施部署 (36)4.3.1本地威胁发现方案说明 (36)©2015 360企业安全集团密级：XXXX4.3.2所需设备说明 (37)4.3.3所需带宽说明 (38)4.3.4所需通信资源说明 (38)4.3.5实施拓扑图 (39)4.3.6实施步骤说明 (39)5产品优势与特点 (40)©2015 360企业安全集团密级：XXXX1引言近年来，具备国家和组织背景的APT攻击日益增多，例如：2010年攻击伊朗核电站的“震网病毒”、针对Google邮件服务器的“极光攻击”、2013年韩国金融和电视媒体网络被大面积入侵而瘫痪等等，2014年APT攻击的主要目标行业是金融和政府，分别高达84%和77%。

网神SecIPS 3600入侵防御系统产品白皮书
1 产品概述
网神SecIPS 3600基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、关联分析等手段，针对蠕虫、间谍软件、病毒、垃圾邮件、DoS攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。

2 产品特点
⏹灵活的部署方式。

网神SecIPS 3600支持IDS（旁路接入）、学习模式（串接，检测而
不防御）、连通优先、防御优先等四种工作模式，部署灵活方便，极大提高了产品的可用性。

⏹准确的攻击阻断。

网神SecIPS 3600融合了基于状态的模式匹配、基于协议的解码分
析、基于行为异常的检测、基于漏洞存在的检测、被动的操作系统及应用指纹识别、智能IP重组、蠕虫检测与隔离等新一代的检测分析技术，配合优秀的签名库，能够准确识别并实时阻断各种恶意攻击，确保网络安全可靠。

⏹丰富的管理和报表功能。

网神SecIPS 3600支持对多台探测器的集中管理（策略下发、
组件监控、事件收集等），提供多达40余种的统计报表模版，向导式的自定义报表，组建间加密通信，极大方便用户的使用，减少管理工作量。

3 主要功能
4 产品型号与技术指标
5 产品形态
6 产品资质
公安部销售许可证。

奇安信视频终端安全准入系统产品白皮书文档版本：v2.0■版权声明奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权，本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容，除另有特别注明外，所有版权均属奇安信集团及其关联公司所有；受各国版权法及国际版权公约的保护。

对于上述版权内容，任何个人、机构未经奇安信集团或其关联公司的书面授权许可，不得以任何方式复制或引用本文的任何片断；超越合理使用范畴、并未经上述公司书面许可的使用行为，奇安信集团或其关联公司均保留追究法律责任的权利。

1.产品概述 02.产品特点 03.产品功能...............................................................................错误！未定义书签。

4.产品型号与指标...................................................................错误！未定义书签。

5.产品资质...............................................................................错误！未定义书签。

1.产品概述随着“平安城市”工程、“雪亮”工程、“天网”工程的逐步推进，社会上视频监控资源正在以飞快的速度不断丰富和发展。

视频监控系统因其能提供实时、直观的视频信息，被广泛应用与社区监控、交警卡点监控等各类业务中。

随着视频专网规模迅速扩大并广泛应用于公共安全建设，视频监控网络的安全问题也日益凸显。

视频终端的安全问题将直接影响其业务的连续性，设备的共性会导致一点突破进而引发整个网络被突破，而参与安全处置协同的人员比较少，病毒传播的速度、攻击沦陷的速度比传统办公网络的终端更快速，留给我们在检测、响应、处置的时间窗口更短暂。

奇安信视频终端安全准入系统是奇安信集团为解决视频专网安全管理难题而推出的产品，能够轻松实现视频专网的资产发现和识别、前端摄像头的接入控制、仿冒检测和处置、前端摄像头的安全基线检查和状态监控、视频专网的IP地址管理与监测、一体化的视频专网终端安全防护与管理等功能。