目录 Contents 一. 引言... 4 二. 天擎终端安全管理系统介绍产品概述设计理念产品架构... 6 三. 产品优势终端安全一体化病毒防御多维化安全管控智能化... 7

Size: px

Start display at page:

Download "目录 Contents 一. 引言... 4 二. 天擎终端安全管理系统介绍产品概述设计理念产品架构... 6 三. 产品优势终端安全一体化病毒防御多维化安全管控智能化... 7"

鳞烛陈
5 years ago
Views:

2 目录 Contents 一. 引言... 4 二. 天擎终端安全管理系统介绍产品概述设计理念产品架构... 6 三. 产品优势终端安全一体化病毒防御多维化安全管控智能化... 7 四. 主要功能病毒 / 木马防护补丁管理资产管理终端发现单点维护软件管理终端安全运维管控流量管理非法外联应用程序安全网络安全外设管理桌面安全加固移动存储介质管理移动存储介质注册设备授权挂失管理外出管理设备例外综合安全评估配置脆弱评估数据价值评估沦陷迹象评估评估报告安全 U 盘安全芯片系统框架产品特性与软件加密 U 盘区别

3 4.8.5 产品使用模式 XP 盾甲系统加固方案热补丁修复危险应用隔离非白即黑策略终端强制合规 (NAC) Web Portal 功能认证功能安全检查终端审计报表管理报表展示大数据存储分析边界联动防御五. 典型部署互联网络部署方案隔离网络部署方案级联管控部署方案 ( 大型网络环境 ) 终端强制合规 (NAC) 旁路部署方案终端强制合规 (NAC)802.1X 部署方案六. 产品价值自主知识产权, 杜绝后门隐患解决安全问题, 安全不只合规强大管理能力, 提高运维效率灵活扩展能力, 持续安全升级七. 产品型号私有云引擎 NPC 型号说明终端强制合规引擎 NAC 型号说明控制中心配置要求客户端配置要求

4 一. 引言随着 IT 技术的飞速发展以及互联网的广泛普及, 各级政府机构组织企事业单位都分别建立了网络信息系统虽然防火墙入侵检测系统等常规的网络安全产品可以解决信息系统一部分安全问题, 但计算机终端的信息安全一直是整个网络信息系统安全的一个薄弱环节据权威机构调查, 超过 85% 的安全威胁来自企事业单位内部在国内, 高达 80% 的计算机终端应用单位未部署有效的终端安全管理系统和完善的管理制度, 造成内部网络木马病毒恶意软件肆虐, 各种 0day 漏洞 APT 攻击层出不穷同时系统与应用软件的安全漏洞使得黑客入侵有机可乘 ; 自主知识产权操作系统的缺乏, 使得国内广大 XP 用户在停服后面临前所未有的挑战除此之外, 企事业单位内部网络与终端安全问题还包括 : 终端病毒木马问题严重, 不能高效有序查杀 ; 全网被动防御病毒木马的传播与破坏, 无法应对未知威胁 ; 不能及时发现系统漏洞并进行补丁分发与自动修复 ; IT 资产不能精确统计, 资产变动情况掌握滞后 ; 终端单点维护依靠大量人工现场处理 ; 未经认证的 U 盘移动硬盘等移动存储介质成为病毒传播的载体 ; 光驱网卡蓝牙 USB 接口无线等设备成为风险引入的新途径 ; 终端随意接入网络, 入网后未经授权访问核心资源 ; 非法外联不能及时报警并阻断, 导致重要资料数据外传流失 ; 终端随意私装软件, 恶意进程持续消耗有限网络带宽资源 ; 针对以上问题,360 企业安全推陈出新, 发布了领先业界的新一代终端安全管理系统与成熟的产品解决方案 - 4 -

5 二. 天擎终端安全管理系统介绍 2.1 产品概述 360 天擎终端安全管系统是 360 面向政府企业金融军队医疗教育制造业等大型企事业单位推出的集防病毒与终端安全管控于一体的解决方案 360 天擎终端安全管理系统, 以大数据技术为支撑以可靠服务为保障, 它能够为用户精确检测已知病毒木马未知恶意代码, 有效防御 APT 攻击, 并提供终端资产管理漏洞补丁管理安全运维管控网络安全准入移动存储管理终端安全审计 XP 盾甲防护诸多功能 2.2 设计理念威胁发现天擎终端可以收集终端上的各种安全状态信息, 包括 : 漏洞修复情况病毒木马情况危险项情况安全配置以及终端各种软硬件信息等这些安全状态信息会汇集到服务器端的控制中心, 使管理员全面了解网内所有终端的安全情况硬件状态以及软件安装情况等立体防护天擎终端具有漏洞修复病毒木马查杀黑白名单硬件准入软件准入安全审计等多样化的防护手段, 从准入防黑加固病毒查杀软件和终端行为控制等多个层次, 为用户构建立体防护网, 确保企业终端安全安全管控天擎控制中心为管理员提供了统一修复漏洞统一杀毒统一升级流量管理软件统一分发卸载终端安全策略管理等多种管理功能, 管理员可以通过控制台直接对网内所有终端进行统一管控 - 5 -

2.3 产品架构天擎终端安全管理系统包括安全控制中心和客户端两部分控制中心安全控制中心是天擎终端安全管理系统的核心, 部署在服务器端, 主要包括安全管控和安全事件收集告警两大功能安全控制中心采用 B/S 架构, 管理员可以随时随地的通过浏览器打开访问, 对天擎终端进行管理和控制主要有分组管理策略制定下发全网健康状况监测统一杀毒统一漏洞修复网络流量管理

6 2.3 产品架构天擎终端安全管理系统包括安全控制中心和客户端两部分控制中心安全控制中心是天擎终端安全管理系统的核心, 部署在服务器端, 主要包括安全管控和安全事件收集告警两大功能安全控制中心采用 B/S 架构, 管理员可以随时随地的通过浏览器打开访问, 对天擎终端进行管理和控制主要有分组管理策略制定下发全网健康状况监测统一杀毒统一漏洞修复网络流量管理终端软硬件资产管理等安全此外安全控制中心还提供了系统运维的基础服务, 如 : 云查杀服务终端升级服务数据服务通讯服务等安全事件收集告警, 通过管控中心, 管理员可以了解全网终端的告警信息, 通过报表分析, 掌握全网威胁状况客户端客户端部署在需要被保护的终端或服务器上, 执行最终的木马病毒查杀漏洞修复安全防护等安全操作并与安全控制中心通信, 提供控制中心管理所需的相关安全告警信息 - 6 -

7 三. 产品优势 360 天擎终端安全与管理系统的核心价值在于对终端安全的防护与管理 360 自身经过多年的投入与积累, 沉淀下了多项针对终端安全防御的技术, 这些技术在整个安全行业领域内都具有独创性与先进性, 多项技术已经达到国际一流水平, 并领先其他欧美企业的同类产品目前 360 杀毒软件是国内唯一包揽各大国际评测全满贯的杀毒软件同时,360 自身的安全技术能力也得到了国内广大用户的认可, 目前在个人安全领域 360 安全产品正在为超过 5 亿 PC 端用户 7 亿移动端用户提供安全防护在企业安全领域, 天擎终端安全管理系统已累计为国内 50 万家企事业单位近 800 万终端提供了安全防护及终端管理 3.1 终端安全一体化功能一体化 : 国内首家集终端防病毒和安全管控于一体的终端安全管理系统平台一体化 : 完美兼容 Windows Linux 国产操作系统数据一体化 : 结合云端大数据和威胁情报, 有效感知本地安全态势 3.2 病毒防御多维化多引擎技术 : 拥有领先的云查杀引擎系统修复引擎 QEX 脚本查杀引擎启发式引擎 QVM 人工智能引擎, 有效查杀已知和未知病毒立体化主防 : 具备隔离防护 5 层入口防护 7 层系统防护及 8 层应用防护等主动防御技术智能自学习 : 通过海量病毒样本数据自学习,QVM-II 人工智能引擎无需频繁更新特征库病毒检出率仍远超传统查杀引擎非白即黑安全策略 : 具备及时发现和抵御未知威胁的能力, 并可以通过与 360 天眼系统进行联动, 有效抵御 APT 攻击 3.3 安全管控智能化资产管理 : 自动识别全网终端资产信息, 实时监控系统状态并告警, 保障业务连续性 - 7 -

8 安全策略管理 : 通过非法外联外设管理进程控制主机防火墙桌面安全加固等多元化方式, 提升终端安全等级漏洞补丁管理 : 对全网终端漏洞进行扫描并关联, 根据终端分组或操作系统类型错峰下发补丁网络安全准入 : 支持旁路应用准入 802.1x 准入及其它多种准入技术, 对不满足安全性检查的终端不予接入网络, 并引导到修复区进行安全修复审计管控 : 全网文件安全审计, 外设使用审计, 多级管理, 多种报警方式, 实现高效的全网管控 - 8 -

9 四. 主要功能 4.1 病毒 / 木马防护天擎终端安全管理系统支持对蠕虫病毒恶意软件广告软件勒索软件引导区病毒 BIOS 病毒的查杀, 这依赖于 QVM 人工智能引擎云查杀引擎 AVE( 针对可执行文件的引擎 ) QEX( 针对非可执行文件的引擎 ) 等多引擎的协同工作 360 云查杀建立在云端庞大的黑白名单数据库基础上, 病毒检出率高, 系统资源占用低通过使用云端的黑白名单验证的方法, 可以最大限度的保护数据安全 360 杀毒具备 100 亿黑白名单库, 而且每天黑白名单库都在以百万级的数量在增长待检文件 360 云查杀引擎文件信誉库 URL 信誉库恶意 URL 引擎 QVM-II 人工智病毒检测引擎恶意代码模式库病毒特征病毒检测病毒检测病毒特征码 -1 引擎 -I 引擎 -2 码 -2 天擎终端安全管理系统的主动防御功能可以防御未知病毒未知威胁和 0-Day 攻击 360 主动防御是基于程序行为自主分析判断的实时防护技术, 不以病毒的特征码作为判断病毒的依据, 而是从最原始的病毒定义出发, 直接将程序的行为作为判断病毒的依据 360 主动防御解决了传统安全软件无法防御未知恶意软件的弊端, 从技术上实现了对木马和病毒的主动防御在实现机制上可以对文件访问进程创建注册表读写网络 IP 请求设备加载完成主动防御拦截在隔离网环境下,360 的云查杀优势无法很好的体现, 病毒查杀率将降低, 因此 360 为隔离网企业用户准备了企业私有云的解决方案通过在隔离网部署企业私有云, 病毒查杀效果与客户端联网时没有差别企业私有云属于天擎终端安全管理系统的可选组件 - 9 -

10 4.2 补丁管理在企业的数据中心和办公网络中存在各种不同类型的操作系统及不同版本的操作系统都需要管理员进行全面的补丁管理, 管理员往往需要甄别不同的操作系统并根据各个系统的不同情况有选择性的下发系统补丁, 服务器系统尤为复杂, 需要管理员将补丁与服务器应用进行兼容性测试后才能对相应的服务器进行补丁升级操作天擎终端安全管理系统可以对全网计算机进行漏洞扫描把计算机与漏洞进行多维关联, 可以根据终端或漏洞进行分组管理, 并且能够根据不同的计算机分组与操作系统类型将补丁错峰下发, 在保障企业网络带宽的前提下可以有效提升企业整体漏洞防护等级 4.3 资产管理终端发现天擎终端安全管理系统具有强大的终端发现功能, 管理员可以通过定义网络 IP 段分组, 对指定的网络分组进行周期性地发现 ( 采用多协议多机制方式 ) 与统计网络中的终端数量及类型管理员通过此功能, 了解全网终端数量和天擎终端的安装量, 为企业终端安全管理运维提供有效的参考单点维护天擎终端安全管理系统对单台终端具有全面的安全运维管理功能, 包含终端的硬件资产管理软件资产管理系统服务管理进程管理账号管理网络管理系统事件管理补丁管理终端安全威胁统计和远程运维管理等功能功能 1: 概览信息包含指定终端的计算机名称型号在线情况登陆信息开关机等情况, 并能利用系统管理硬件归属情况, 以便于管理员进行终端硬件资产管理功能 2: 硬件信息包括终端的 CPU 内存硬盘显卡网卡等型号, 并能统计终端硬件配置变更情况功能 3: 软件信息包括终端已安装的软件相关信息, 并能进行软件的安装卸载等变更情况的统计

11 功能 4: 操作系统信息可读取系统相关信息并能对系统的账号服务进行管理, 展示终端系统中事件功能 5: 网络信息功能包含终端的网络设置网络连接网络流量 ARP 防欺骗 HOST 防欺骗管理功能功能 6: 对终端的进程进行统计, 并能对进程进行管理功能 7: 展示本终端的相关变更和安全事件日志查询功能功能 8: 展示本终端漏洞情况, 并能对本终端进行漏洞修复功能功能 9: 展示本终端感染木马情况功能 10: 展示本终端的安装的恶意插件情况, 并提供本终端插件清理功能功能 11: 展示本终端的系统危险项情况, 并提供本终端的系统危险项修复功能功能 12: 展示本终端的安全防护策略情况功能 13: 展示本终端的文件的白名单设置情况, 并提供本终端的白名单维护功能功能 14: 提供远程协助功能, 当终端需要远程帮助的时候, 运维人员需要向终端用户发送远程控制请求, 等终端用户确认后, 运维人员可远程控制终端用户的桌面, 帮助用户解决问题远程协助功能只要终端与运维人员的网络路由可达即可, 不局限于远程终端的物理位置, 能提高终端桌面运维人员的运维效率功能 15: 针对单台主机关机重启功能, 提高终端桌面运维人员的运维效率 4.4 软件管理天擎终端安全管理系统独有的企业软件管家功能不但能够统计全网终端的软件部署情况, 还可以根据企业不同部门进行终端分组, 并对不同分组分发不同软件, 实现远程部署远程通知安装等方式天擎企业软件管家集软件下载升级卸载等功能于一体, 为企业提供必要的一站式软件管理服务通过使用企业软件服务, 可以避免来源不明的软件的安装和运行带来的各种风险 ( 如含有恶意代码或者木马程序 ), 又可能合理分配和控制企业购买的软件许可证支持软件的统一分组定时分发, 并可实现自动安装应用以及强制卸载应用, 帮助管理员按照企业规定管理终端用户软件的安装支持查询全网终端的软件安装情况以及终端进程信息, 帮助管理员及时发现违规软件及可疑应用

12 4.5 终端安全运维管控终端安全运维管控包含对终端的流量管理非法外联应用程序安全网络安全外设桌面安全加固等流量管理通过使用天擎终端安全管理系统流量管理模块管理员可以了解各终端的网络流量情况, 包括终端的实时网络速度一段时间内的下载上传流量等, 同时支持对终端的上传及下载流量限制进行统一管控, 帮助管理员管理网络流量, 避免非法应用占用大量带宽, 保证企业正常业务的平稳运行非法外联非法外联管理模块可以针对企业中经常遇到的通过 3G 网卡随身 Wifi 等方式使内网电脑可以通过非法途径连接外网导致企业核心数据泄漏等问题的出现, 天擎非法外联管理模块无论终端使用何种方式连接外网都可以在第一时间对管理员发送告警并隔离非法终端, 在最大程度上保障企业核心数据安全应用程序安全应用程序安全支持三种策略 : 针对终端在线作用, 针对终端离线作用和针对在线和离线终端作用应用程序安全支持进程黑白名单, 添加进白名单的进程为信任进程, 而黑名单中的进程为恶意进程, 系统将直接阻断该类进程另外, 还有进程红名单, 添加进进程红名单的进程为必须运行进程, 可以防止恶意程序对该必备类型进行破坏网络安全网络安全防护支持同上三种类型策略, 也是通过黑白名单准测来确保网络安全管理员可以添加某些网络连接的协议类型,IP 地址和端口号或者添加 URL 地址来使它成为黑名单或者白名单, 从而保证用户网络安全

13 4.5.5 外设管理外设是 PC 使用者传输数据的通道, 为我们日常的工作带来了极大的方便, 但是, 对于终端的安全运维管理同时带来了难题一方面用户会通过外设将数据传出到企以外, 另一面用户会通过外设通道将病毒感染至企业内部各个终端天擎采用策略化的外设管理模式管理员统一定义出针对不同类别外设的多个策略, 一个策略可以包括多种类型设备的控制, 使管理策略更有针对性, 并支持分配到不同的分组上面支持硬件准入管理, 可帮助管理员对终端的 USB 口 1394 串口并口 PCMCIA 卡等接口进行启用和禁用控制, 支持的设备有 USB 移动存储非 USB 移动存储存储卡冗余硬盘软驱打印机扫描仪磁带机键盘鼠标红外蓝牙摄像头手机 / 平板等常用设备进行禁用管理, 也支持光盘的读写控制功能管理员可通过天擎终端安全管理系统对 PC 终端外设进行强有力的全面管控, 杜绝数据外泄和感染病毒的风险桌面安全加固 IT 管理员管理的 PC 数量不断增加,PC 统一配置逐渐成为管理中的突出问题如果没有集中管控手段, 逐台操作工作量非常大, 且 PC 用户也会擅自变更配置, 造成网内 PC 的基本配置无法统一管理, 经常出现诸如账户密码太简单被病毒感染, 私自代理上网等等一系列问题桌面安全加固能帮助 IT 管理员对终端桌面系统的账号密码本地安全策略控制面板屏保与壁纸浏览器安全杀毒软件检查等功能进行细粒度的统一强管控, 并支持不同的分组设置不同的策略功能协助 IT 管理员做到全网终端统一配置的管控目标, 提高 IT 管理员的运维水平 4.6 移动存储介质管理天擎终端安全管理系统, 能够实现对移动存储设备的灵活管控, 保证终端与移动存储介质进行数据交换和共享过程中的信息安全要求移动存储管理包括移动存储介质的身份注册网内终端授权管理移动介质挂失管理外出管理和终端设备例外等功能移动存储管理解决了用户在安全管控要求下使用移动存储介质, 实现数据共享和数据交换的迫切需求移动存储管理支持分组管理, 给予不同的移动存储介质相应的授权使用范围和读写权限, 同时支持设备状态的追踪与管理

14 4.6.1 移动存储介质注册在管理控制中心启用天擎移动存储管理中的设备注册模块, 将要注册的移动存储介质 ( 例如 U 盘移动硬盘等 ) 通过 USB 接口接入电脑, 点击注册, 天擎将弹出认证提示框, 并自动识别出该移动存储设备, 管理员按照要求填写移动存储介质相关归属信息并设定该移动存储介质的相应密级后, 经管理员对该移动存储介质确认和授权后, 该移动存储设备才可在已授权终端上使用管理员可以将该移动存储介质赋予低中高三个密级, 不同密级对应不同权利 ; 同时可赋予某些网内终端读写该移动存储介质的权限, 以保证认证后的移动存储介质只被它的授权用户使用, 并且消除不明来历的移动存储可能带来的病毒传播等隐患设备授权注册过的移动存储介质在相应授权计算机上可以进行相应读写操作, 移动存储设备授权支持组授权以及计算机例外授权, 且支持只读读写的分级授权, 更灵活的满足了用户对于移动存储设备授权要求 ; 同时可直观地查看指定组或计算机的可用设备数量, 便于用户进行日常的统计与维护工作挂失管理注册过的移动存储介质意外丢失后, 可以通过挂失管理, 禁用该移动存储介质继续在内网使用 ; 当移动存储介质找回时, 可在相应模块设置, 即可重新恢复使用外出管理天擎提供移动介质外出管理对于密级处于中级和低级的移动存储设备, 不需要外出管理模块登记中等密级的移动存储介质, 需要进行密码验证 ; 低密级移动存储设备默认可以在外使用高密级的移动存储设备, 未经外出登记, 在非授权 PC 上无法访问

15 4.6.5 设备例外可对部分包含存储功能的外设进行例外处理, 例外后的设备将可在终端上进行使用可以对例外设备进行自定义管理 4.7 综合安全评估评估中心通过对内网终端的配置脆弱程度终端数据价值和终端沦陷迹象进行评估, 实现对网内终端安全性核心数据终端以及终端使用痕迹的实时掌握, 支持不同分组执行不同任务, 以及对任务的优先级进行排序配置脆弱评估通过检查终端身份鉴别安全审计访问控制资源控制入侵防护的配置状态, 评估终端配置脆弱程度, 符合国家标准 (GB), 企业标准 (360), 或者企业自定义标准管理员通过使通信网络中所有系统和设备得到统一的最低要求的安全保障, 减少一些初级的或可预知的安全隐患, 便于维护与管理, 提高全网安全防护水平数据价值评估通过自定义终端数据价值判断标准并进行数据内容检查和数据类型检查, 量化终端所包含的企业数据资产价值, 以此评估判定终端价值 ( 普通数据终端敏感数据终端核心数据终端 ), 评估结果可以表现终端沦陷后, 造成企业数据泄漏的沦陷损失风险沦陷迹象评估通过评估终端的使用痕迹和入侵痕迹 IOC 迹象来查找恶意程序入侵历史和状况的检查评估结果可以表现终端未被防御住的高级安全问题

16 4.7.4 评估报告该功能展示评估中心的评估报告, 支持任务日志查询, 包括任务名称选择任务类型任务模板检查范围日志起始和截止时间等 4.8 安全 U 盘 360 安全 U 盘是奇虎 360 基于多年在 USB 安全威胁方面的研究的技术成果, 通过和国内最好的 U 盘硬件生产厂商合作开发研制的安全 U 盘硬件, 不但从软件方面解决了木马摆渡病毒传播 U 盘交叉使用和 U 盘文件使用缺乏审计等方面的安全问题, 同时通过定制安全芯片的应用大大提高了 U 盘的安全特性, 保证即使 U 盘丢失也依然可以有效保护 U 盘内的加密文件, 从各个方面减少了因 U 盘使用而为企业内网带来的安全隐患安全芯片 U 盘由芯片控制器和闪存两部分组成, 芯片控制器负责与 PC 的通讯和识别, 闪存用来做数据存储 ; 闪存中有一部分区域用来存放 U 盘的固件, 它的作用类似于操作系统, 控制软硬件交互 ; 固件无法通过普通手段进行读取 360 安全 U 盘所使用的芯片为国内最好的 U 盘硬件生产厂商基于 360 提出的安全需求, 在 360 硬件安全工程师的指导下定制开发的安全芯片, 对 U 盘的固件进行了多种安全保护设计, 可防止攻击者对 U 盘的固件进行逆向重新编程, 改写 U 盘的操作系统而进行攻击, 有效提高了 U 盘的硬件安全性能

4.8.2 系统框架 4.8.3 产品特性 1. 防止病毒木马破坏数据 : a) 360 安全 U 盘中的数据受安全芯片的保护, 只有通过专用接口的合法性认证, 才可以访问其中的数据, 可以防止病毒木马造成的数据损坏 2.

17 4.8.2 系统框架产品特性 1. 防止病毒木马破坏数据 : a) 360 安全 U 盘中的数据受安全芯片的保护, 只有通过专用接口的合法性认证, 才可以访问其中的数据, 可以防止病毒木马造成的数据损坏 2. 防止病毒木马主动传播 : a) 即使用户不小心把病毒木马拷入安全 U 盘, 病毒木马在安全 U 盘中同样属于封存状态, 无法主动运行并扩散到其他存储设备中可以防止主动传播 3. 便于实施部署 : a) 360 安全 U 盘的注册分为集中注册和分散注册两种模式 b) 集中注册可以通过各级管理员对 360 安全 U 盘进行统一注册, 统一管理 c) 分散注册可以通过用户注册, 管理员审批的模式, 进行快速部署 4. 支持分级管理 a) 360 安全 U 盘可以与 360 天擎联动 b) 在内网中, 可以控制不同分组 U 盘, 在不同分组终端的读写权限 c) 在外网中, 可以控制不同分组 U 盘在外网的读写权限

18 4.8.4 与软件加密 U 盘区别硬件安全 U 盘软件加密 U 盘容量 2GB 至 32GB 支持任意容量普通 U 盘数据机密性数据完整性硬件参与密钥的保护和维护, 防止数据未授权访问, 硬件保护密文加密算法不可被调试使用私有文件系统硬件保护数据完整性病毒木马无法破坏数据密钥进行加密存储, 但无访问控制密文无保护加密算法可调试使用标准文件系统数据可以被篡改, 无完整性校验, 病毒木马可以破坏数据身份认证硬件参与身份认证过程身份认证信息可以被篡改日志审计产品稳定性及维护读写权限管理用户行为审计准确度高, 可以审计外网的用户行为, 硬件保护审计日志完整性稳定性高, 有统一的质量把控, 售后维护通过硬件管理读写权限, 安全性高用户行为审计准确度低, 在外网环境无行为审计日志依据硬件厂商的 U 盘质量不同, 无法保证在制作过程中或使用过程中, 对 U 盘造成不可逆的损坏无法提供售后维护通过软件控制读写权限, 容易被攻破显然, 除了在 U 盘容量上硬件安全 U 盘不如软件安全 U 盘灵活外, 在数据机密性数据完整性身份认证日志审计产品稳定性及维护读写权限管理等方面, 硬件安全 U 盘均大大强于软件加密 U 盘所以, 企业若想有效降低因 U 盘使用为其内网带来的安全隐患, 应选择硬件安全 U 盘产品使用模式 360 安全 U 盘一款产品分为两种使用模式, 面向两类不同的用户两种使用模式可以通过在天擎注册注销自动切换两种模式区分如下描述特点

19 天擎联动模式独立使用模式在该模式下, 在天擎注册后的安全 U 盘, 可以受天擎统一管理在天擎管理范围内, 控制终端对安全 U 盘的读写权限在管理范围外, 控制外部终端对安全 U 盘的读写权限并且记录和上报 U 盘使用过程中的读写行为至天擎服务器端在该模式下, 安全 U 盘中存在管理员与用户两个角色用户角色是安全 U 盘数据的拥有者, 它只可以读写 U 盘用户数据区的文件, 但是无法使用管理类功能管理员角色是安全 U 盘的管理者, 他可以查看 U 盘读写日志, 设置口令要求, 甚至初始化 U 盘, 但是无法访问 U 盘用户数据区的文件安全 U 盘与天擎进行完美的联动, 在保证数据私密性和完整性的同时, 又能保证安全 U 盘的使用过程中的合规性, 并且实现集中管理该模式适合已经使用天擎的企业级客户使用安全 U 盘可以独立使用, 自身包含一套完整的管理系统, 在保证数据私密性和完整性的同时, 又能保证安全 U 盘的使用过程中的合规性, 并且实现分散管理该模式适合未使用天擎的, 或者存在隔离网环境的企业级用户, 以及个人用户 4.9 XP 盾甲为了彻底解决微软停止 Windows XP 系统服务带来的安全威胁, 根除 Windows XP 漏洞因无法修复带来的危害, 同时又全面满足各大企业金融能源军队中已经部署的大量应用和对应用运行稳定型持续性的要求,360 在设计技术方案的时候, 始终坚持贯彻如下的设计原则 : 第一, 以修复操作系统自身设计机制不足带来的安全缺陷为主 ( 加固 ), 力求从根本上解决操作系统自身设计缺陷导致的安全问题, 以从理论上逐类解决安全问题, 而不是 Case by case 地逐个封堵修补安全漏洞为第一目标例如 : 通过采用类似于 stackguard 的技术思路禁止在操作系统栈上禁止可执行代码来解决缓冲区溢出攻击的 shellcode 执行, 这会解决一大类漏洞利用的问题 ( 包括已知漏洞和未知漏洞 ), 而非只针对某一具体的漏洞利用才有效

20 第二, 以修复操作系统代码逻辑安全漏洞的热补丁为辅 ( 修补 ), 目前不能排除某些漏洞的利用方法超出了我们现有已掌握的攻击手段范围, 或者某个操作系统设计机制上新的缺陷被发现并利用, 在这种情况下,360 通过上面提到的操作系统加固 ( 即修复操作系统设计机制缺陷 ) 的手段就会失效, 而对加固系统的升级相对来说周期会比较长, 在这段时间内, 通过针对具体漏洞进行修复的方式来暂时解决安全问题, 待到加固系统升级包稳定之后, 再进行加固升级, 从根本上解决问题第三, 以隔离安全问题频出应用软件的执行为 ( 隔离 ) 补充, 通过 360 以往长时间的研究发现, 大量的安全漏洞主要集中在少数关键的系统应用之上, 如 :PDF 阅读器 Office 软件 IE 浏览器等, 因此,360 在设计整体方案的一个重要原则就是, 通过技术手段 ( 比如 Sandbox) 来隔离危险应用 ( 即安全漏洞频发的应用 ) 的执行过程, 避免这些危险应用因为遭受到攻击而破坏宿主 Windows XP 操作系统和对敏感数据的访问第四, 以非白即黑高强度的安全管控策略自动化 ( 制度 ) 为保障, 在大多数对安全要求非常高的环境中 ( 如 : 兵器制造业航空航天研发机构等 ), 要求做到万无一失, 针对这种情况, 我们在方案中设计了非白即黑的文件白名单管理原则, 并且将此项管理的执行自动化, 满足高度安全可控的强安全需求根据设计原则的要求,360 采用了多层防护标本兼治技术与安全管理策略相结合的整体设计思路, 在 Windows XP 系统之上由内到外采用了四层防护手段, 包含了系统加固热补丁修复危险应用隔离非白即黑安全策略等多项举措系统加固方案通过系统加固解决 Windows XP 系统自身设计机制上的缺陷带来的安全隐患, 切断这些缺陷导致的漏洞利用通路 360 针对 Windows XP 系统之上已知的十几种可带来安全隐患的设计机制进行了加固性修复, 通过对上述十几种 Windows XP 系统设计机制上缺陷的安全加固, 已经可以有效解决目前已知所有通过系统漏洞应用漏洞对 Windows XP 的攻击, 从根本上解决各类漏洞带来的安全威胁系统加固方案是针对微软 Windows XP 停止服务后带来漏洞无法修复等安全威胁的最根本的解决方案,Windows XP 系统的安全问题从本质上来说是操作系统设计的过程中, 缺乏对安全充分考虑导致的问题, 导致黑客可以通过各种漏洞在 Windows XP 系统中大行其道, 属于操作系统设计机制上的问题, 因此只有从根本上解决这些 Windows XP 系统设计机制上的缺陷, 才能彻底解决问题, 目前微软已经清楚地认识到了这些问题的存在, 并逐渐在高版本操作系统上 ( 如 :Windows7 Windows8) 开始尝试加固, 但

21 不幸的是, 由于 Windows XP 系统已经发布超过 10 年, 因此当时微软还没来得及发现考虑这些问题, 所以这些安全加固的成果并没有体现在 Windows XP 系统之中, 本方案的最大优势就在于在 Windows XP 系统之上将这些安全机制补齐, 使 Windows XP 系统即使不升级到高版本 Windows 操作系统的情况下, 也能拥有健全的安全防护机制热补丁修复通过修改替换内存中存在安全漏洞的可执行代码, 清除存在漏洞的代码, 在不修改二进制代码文件的情况下, 实现对漏洞的热修复热补丁方案作为辅助方案, 是通过替换掉已经加载到内存中存在安全漏洞逻辑的代码完成对系统漏洞应用漏洞的修复热补丁修复是在系统内存中直接对存在安全漏洞的可执行代码进行精确的外科手术, 替换过程与系统运行同时进行, 涉及到操作同步代码空间适配等多项复杂工作, 因此精确定位存在安全漏洞代码的位置, 并进行小心替换是热补丁修复成功的关键, 如果替换失败, 将直接导致系统崩溃或应用崩溃, 因此热补丁修复技术需要有丰富的包括 Windows XP 在内的微软操作系统底层开发经验积累, 同时也需要长时间 Windows 系统热补丁修复的丰富实践, 在提供本方法之前,360 已经 19 次先于微软正式补丁发布向全国超过 4 亿网民提供了微软漏洞的热补丁, 经过长时间的积累与实践,360 已经完全有经验有能力在 Windows XP 上继续向系统运行稳定性要求极高的各大政府金融能源企业军队提供可修复微软 Windows XP 漏洞的热补丁危险应用隔离在系统加固与热补丁均已失效的情况下, 解决了危险应用 ( 如 :PDF 阅读器 Office 软件 IE 浏览器等 ) 被漏洞利用攻击从而威胁 Windows XP 系统和系统敏感数据的问题危险应用隔离方案采用虚拟隔离 ( 或称为逻辑隔离 ) 的思想, 利用沙箱 (Sandbox) 技术将危险应用置于沙箱中隔离运行, 实现这些危险应用对于系统调用注册表访问文件访问网络 IO 等涉及到安全问题的敏感操作的虚拟隔离, 以此保障在这些危险应用遭受到漏洞利用攻击的情况下, 也不会对其宿主的 Windows XP 系统及其系统资源数据资源造成安全威胁

22 4.9.4 非白即黑策略在假想系统加固方案热补丁修复方案危险应用隔离方案均失效的情况下, 可以通过非白即黑的策略保证系统免受各种二进制恶意代码的攻击非白即黑的安全策略采用 PE 文件白名单的机制, 依托于高纯度的 PE 文件白名单库, 仅允许白名单库中的文件在系统中运行 ( 文件确认采用 MD5 的方式 ), 而所有未在白名单库中的 PE 文件均被禁止在 Windows XP 系统上加载运行, 这就能在理论上保证所有通过 Windows XP 系统漏洞渗透进来的恶意代码均无法在 Windows XP 系统上实现攻击 4.10 终端强制合规 (NAC) 天擎强制合规 (NAC) 组件主要为企事业单位解决入网安全合规性要求, 实现用户和设备的网络实名制认证管理网络边界安全防护管理核心业务访问准入等问题用于防止企业网络资源不受设备接入所引起的各种威胁, 在有效管理用户接入网络行为的同时, 也达到了规范化地管理计算机终端的目的产品具备从接入发现用户注册认证授权安全检查隔离修复访问控制一站式的全部入网控制流程并且支持多种认证技术, 多因素认证凭证, 多条件绑定机制, 支持混合认证模式, 多层防护体系, 适应各种复杂网络环境产品具备可扩展多种第三方认证源, 保证认证入网的灵活性系统提出三不原则, 即 : 不升级用户网络不改变网络结构不造成单点故障最大化的支持企业内部网络准入控制需求, 从而使内部网络管理变得安全透明可控, 达到信息安全管理要求 Web Portal 功能 Web Portal( 应用准入 ) 模块是保护网络核心区域不受外部非法访问的准入方案, 采用旁路部署到核心交换中, 通过监听保护区域的网络数据流, 并做连接跟踪, 对企业内网数据流进行合法性检查并对非法连接进行阻断和控制旁路镜像网络核心交换中的流量, 根据 IP 过滤出保护区区域中的访问流量, 并跟踪连接, 解析应用层协议, 通过对 http 协议进行重定向到预定页面, 实现对非法网络连接进行阻断同时, 安装了代理的终端通过开放端口, 发送心跳包给服务器, 并上报终端相关信息, 包括

23 MAC IP 主机名等, 服务器以此信息作为合法性验证条件, 当安装了天擎客户端的终端直接信任不阻断认证功能 802.1X 认证模块是通过标准 802.1x 协议, 在网络接入层做准入认证根据认证授权情况确定是否能访问网络,802.1X 认证可提供端口级的准入认证方案 802.1X 的认证的最终目的就是确定交换机端口是否可用, 对于一个端口, 如果认证成功那么就打开这个端口, 允许文所有的报文通过 ; 如果认证不成功就使这个端口保持关闭, 此时只允许 802.1X 的认证报文 EAPOL(Extensible Authentication Protocol over LAN) 通过安全检查系统可持续监视终端安全, 能快速发现接入网络计算机终端的安全状况, 并利用其本地防火墙隔离管控技术立即将这个终端与网络上的其它设备隔离起来, 只能访问修复区地址, 并引导进行修复, 及时提供安全检查日志信息和报表安全检查模板配置中心, 管理者可定义多种安全检查策略, 并提供入网检查和定时检查多种检查机制, 确保接入企业内部网络的终端是安全可信的可支持的安全检查项 : 1 防火墙是否启用检查 2 系统空密码检查 3 U 盘自启动是否启用检查 4 远程桌面是否开启检查 5 是否开启文件共享检查 6 Guest 账号是否开启检查 7 是否设置了 IE 代理检查 8 IP 获取方式检查 9 是否登录域检查 10 服务黑白名单检查 11 进程黑白名单检查

24 12 软件黑白名单检查 13 杀毒软件是否安装检查 14 外联能力检查 15 补丁检查 16 注册表检查 17 关键位置文件检查 18 操作系统版本检查 4.11 终端审计随着信息安全技术和理念的发展, 安全监控的关注点已经从设备转向对于设备使用者的行为, 用户对于设备使用人行为审计和行为控制的需求越来越明显, 天擎终端安全管理系统通过技术手段使各种管理条例落地, 增强用户的安全和保密意识, 保护内部的信息不外泄所审计的内容只是跟内网安全合规管理相关的信息, 不对涉及终端用户的个人隐私信息, 达到合规管理的审计的要求详细功能如下 : 功能 1: 软件使用日志 ( 对应用程序的启动和停止进行记录, 统计软件运行的活动状态 ) 功能 2: 外设使用日志 ( 记录终端以 USB 蓝牙或红外等终端外设接口接入外设的活动协助了解外设使用情况 ) 功能 3: 开关机日志 ( 自动记录终端的启动关闭待机休眠等状态, 形成可分析统计的基础数据 ) 功能 4: 系统帐号日志 ( 终端用户以本机账户或域账户登录将自动形成日志, 了解用户使用终端的活动规律 ) 功能 5: 文件操作日志 ( 用户访问移动存储设备网络共享服务器等所产生的日志将被记录 ; 对于本地硬盘上的文件访问, 由于会产生很大的访问量, 建议忽略或者指定特定文件夹和类型进行精确筛选 ) 功能 6: 文件打印日志 ( 终端发起的网络打印操作本地打印操作虚拟打印操作等将被记录 ; 所打印的文件可以根据需要上传留底, 为了节约存储空间, 建议设置只记录小于 5M 的文件 ) 功能 7: 邮件记录日志 ( 主要记录终端向外发送的日志, 尤其是发往非本企业内部邮箱的信息 ; 通过设置例外, 忽略已知类型的可信邮箱, 如本企业的内网或外网邮箱等, 重点记录未知收件人的邮件日志 )

25 功能 8: 安全 U 盘审计 ( 记录对于安全 U 盘进行的操作记录, 该功能支持对于非客户端环境下安全 U 盘操作的的离线日志采集 ; 从而最终实现对移动存储操作审计的全场景覆盖 ) 4.12 报表管理报表展示天擎终端安全管理系统支持对终端安全日志漏洞修复病毒日志木马查杀插件清除系统危险项, 安全配置文件及应用日志终端事件告警等信息进行报表统计能够从终端全网分组等多维度, 以及图表数据等多视图角度进行统计与展现, 也能按周月季年的时间维度进行趋势分析, 同时支持报表的导出及打印, 帮助管理员对日常安全防护安全运维工作进行分析评估大数据存储分析天擎终端安全管理系统可以为大型客户和行业客户提供独有的大数据引擎 (BDE) 系统, 将全网终端日常运维数据汇聚存储分析, 并根据客户的行业特点和客户运维管理所需的要求定制报表, 为管理员提供更佳有效的终端安全管理运维依据, 提高终端安全管理水平大数据引擎 (BDE) 与传统终端安全管理系统的数据存储方式比具有存储空间大报表生成快内容丰富多样等特点 4.13 边界联动防御天擎终端安全管理系统可以与 360 的边界防护设备天眼新一代未知威胁感知系统进行联动, 借助 360 天眼的深度检测能力, 结合天擎终端上的精确防御能力, 实现对 PC 终端的攻击防御天眼新一代未知威胁感知系统在检测出网络攻击行为之后, 一方面会采用页面报警邮件报警的方式对攻击行为进行实时报警, 同时, 天眼还会将报警信息实时发送给部署在终端之上的天擎终端安全管理系统进行有效联动天擎在接收到报警信息之后, 会及时根据报警信息所提供的文件名称五元组信息对攻击行为进行及时的隔离与阻断, 实现边界发现终端防御的深度发现与防御效果

26 最后, 天擎会将对攻击和文件的阻断与隔离结果实时反馈给天眼系统, 天眼系统在接收到天擎终端安全与管理系统的反馈结果之后, 修改天眼系统的报警信息, 加入处理结果更新防护规则, 同时将本次攻击防御的处理结果分享给网内其它控制中心和终端, 以提高全网的安全防护能力, 完成对一次攻击及其报警的闭环防御流程

27 五. 典型部署 5.1 互联网络部署方案方案特点该方案适用于能够连接互联网环境的用户, 内网中部署一套天擎终端安全管理系统, 网内中的办公终端安装天擎客户端, 通过天擎终端安全管理系统进行统一安全管控部署示意图在网络内部部署天擎控制中心和终端, 天擎终端通过控制中心连接到 360 的升级服务器进行升级更新等, 控制中心具有缓存功能, 同样的数据文件只会下载一次, 可以极大的节省企业总出口带宽天擎终端根据控制中心制定的安全策略, 进行体检杀毒和修复漏洞等安全操作进行杀毒扫描时, 天擎终端可以直接连接 360 的云查杀系统, 进行云查杀部署过程 1 安装天擎控制中心 2 部署天擎终端 3 设置安全策略 4 终端集中管理

5.2 隔离网络部署方案方案特点该方案适用于无法直接连接互联网环境的用户, 内网中部署一套天擎终端安全管理系统, 网内中的终端安装天擎客户端, 通过天擎终端安全管理系统进行统一安全管控, 天擎终端安全管理系统的病毒 / 补丁等更新程序通过离线升级工具进行拷贝导入部署示意图在企业内部部署天擎控制中心和终端,

28 5.2 隔离网络部署方案方案特点该方案适用于无法直接连接互联网环境的用户, 内网中部署一套天擎终端安全管理系统, 网内中的终端安装天擎客户端, 通过天擎终端安全管理系统进行统一安全管控, 天擎终端安全管理系统的病毒 / 补丁等更新程序通过离线升级工具进行拷贝导入部署示意图在企业内部部署天擎控制中心和终端, 天擎终端根据控制中心制定的安全策略, 进行体检杀毒和修复漏洞等安全操作使用隔离网工具, 定期从 360 相关的服务器下载病毒库木马库漏洞补丁文件等, 更新到控制中心后, 所有天擎终端都可以自动升级和修复漏洞有专人负责控制中心的日常运行, 定时查看各终端的安全情况, 下发统一杀毒漏洞修复等策略部署过程 1 安装天擎控制中心 2 部署天擎终端

29 3 定时登录控制中心, 查看各终端安全情况 4 下发统一杀毒修复漏洞等策略, 确保终端安全 5 定期使用隔离网工具下载数据, 并更新到控制中心 5.3 级联管控部署方案 ( 大型网络环境 ) 方案特点该方案适用于大型用户环境, 内网中部署多套天擎终端安全管理系统, 网内中的 PC 终端安装天擎客户端, 多套天擎终端安全管理系统可以分级级联管理如在隔离网环境中一级总控中心的病毒 / 补丁等更新程序通过离线升级工具进行拷贝导入, 二级三级分控中心通过一级总控中心进行级联更新, 下级分控中心可以向上级控制中心上报告警信息部署示意图

30 在一级单位, 部署天擎总控制中心, 在每个分区域, 部署天擎分控制中心分控制中心指向到所属的上级控制中心, 以方便管理和节省网络带宽每个区域的终端, 都指向自己区域的控制中心, 并从控制中心接收管理指令, 上报安全数据, 进行病毒库木马库升级和修复漏洞等使用隔离网工具, 定期从 360 相关的服务器下载病毒库木马库漏洞补丁文件等, 更新到总控制中心, 各分控制中心会从总控制中心下载需要的升级文件和补丁文件, 各区域的终端会从本区域的控制中心进行升级和下载补丁文件修复漏洞部署过程 1 安装部署规划, 包括控制中心的分布, 推广计划等 2 安装天擎总控制中心 3 部署核心区域天擎终端 4 根据推广计划, 逐步在各区域部署分控制中心和终端 5 定时登录控制中心, 查看各终端安全情况 6 定期使用隔离网工具下载数据, 并更新到控制中心 5.4 终端强制合规 (NAC) 旁路部署方案方案特点未安装代理的客户端或未认证的终端 PC, 访问核心网络中受保护区域时,TCP 连接会被直接阻断,http 请求被重定向到终端代理下载页面或 portal 认证页面终端认证通过或下载并安装了终端代理后, 可以正常访问相关页面和服务下次登录时只要不卸载终端代理, 就可以一直访问相关服务部署示意图

31 入网流程天擎打点联动方案功能 : 只有安装天擎客户端的 PC 才有权限访问受保护服务器 1. 用户访问受保护服务器打开终端分发页面 2. 点击链接, 下载并安装天擎客户端, 之后用户 PC 可正常访问受保护服务器 Web Portal 认证 + 安装天擎客户端功能 : 合法用户经过 portal 认证或用户注册, 下载并安装天擎客户端后才能访问受保护服务器 ( 注册用户需经管理员审批确认或自动审批确认 ) 1. 客户 PC 访问受保护服务器, 打开认证 / 注册页面 2. 注册用户填写用户真实信息并提交管理员确认身份合法 3. 经管理员确认后, 用户再次访问受保护服务器, 打开下载天擎客户端页面, 下载并安装, 之后用户可正常访问受保护服务器 Web Portal 认证方案功能 : 合法用户经过 portal 认证或用户注册, 可直接访问受保护服务器 ( 注册用户需经管理员审批确认或自动审批确认 ) 1. 客户 PC 访问受保护服务器, 重定向到认证页面, 具有合法身份用户认证成功后可以直接访问受保护服务器 2. 注册用户填写用户真实信息并提交, 管理员确认后并认证可以访问受保护服务器 5.5 终端强制合规 (NAC)802.1x 部署方案方案特点 802.1X 认证是通过标准 802.1x 协议, 在网络接入层做接入认证根据认证授权情况确定是否能访问网络, 并进行合规性检查, 根据检查结果下发网络访问权限,802.1X 认证可提供端口级的强准入认证方案, 并支持认证授权安全检查隔离修复访问控制一站式的流程全路程的入网控制部署示意图

32 入网流程在用户接入层交换机中配置 802.1x, 把认证服务器指向 NAC,NAC 接收来自终端的认证请求, 并将认证结果下发给交换机, 确定是否放行当终端安装了 360 认证小助手后, 入网前会弹出认证界面, 输入用户名口令后, 如果认证成功, 可以正常网络访问, 如果设置了合规性检查策略, 则进行合规性检查如果检查通过, 就进入正常业务网络 ; 否则进入修复区, 在修复中, 终端只可以访问修复服务器处在修复区的终端, 如果修复完成后, 可以正常访问工作区网络

33 六. 产品价值 6.1 自主知识产权, 杜绝后门隐患天擎终端安全管理系统具有完全自主的知识产权, 中国自己的国际一流杀毒软件和终端安全管理系统, 能够帮助政府部门涉密单位以及关系国计民生的大型企业对网络进行安全管控和安全加固, 杜绝安全后门隐患, 响应国家信息安全国产化政策及号召 6.2 解决安全问题, 安全不只合规天擎终端安全管理系统正稳定可靠运行于 360 自身网络中, 每天接受大量网络攻击的实战检验, 能够真正帮助企业发现网络攻击解决安全问题, 使安全再也不仅仅是合规, 使企业的安全投入物有所值 6.3 强大管理能力, 提高运维效率天擎终端安全管理系统具有丰富的管理功能, 友好的用户界面, 人性化的统计报表, 极大的提高了企业安全管理的效率, 使企业安全管理信息和日志再也不会如天书般难懂 6.4 灵活扩展能力, 持续安全升级天擎终端安全管理系统具备灵活的升级方案可扩展的多级管理平台集群化虚拟化的部署方式, 以及支持对 XP 系统漏洞的持续挖掘和修复, 可以帮助企业安全系统平滑升级, 保护企业安全投资

34 七. 产品型号 7.1 私有云引擎 NPC 型号说明型号 NPC-1000B 适用网络适用于千兆网络环境, 可以满足 600Mbps 以内网络环境的需要, 支持 1000 终端以内私有云查杀 NPC-1000S 适用于千兆网络环境, 可以满足 2Gbps 以内网络环境的需要, 支持终端以内私有云查杀 NPC-1000P 适用于千兆网络环境, 可以满足 2Gbps 以内网络环境的需要, 支持终端以内私有云查杀 7.2 终端强制合规引擎 NAC 型号说明型号 NAC-1000BX NAC-1000SX NAC-1000PX 适用网络适用于千兆网络环境, 可以满足 600Mbps 以内网络环境的需要, 主要针对 500 个信息接入点以下规模小型网络设计的 1U 纯硬件设备适用于千兆网络环境, 可以满足 2Gbps 以内网络环境的需要, 主要针对 2000 个信息接入点以下规模中小型网络设计的 2U 硬件设备适用于千兆网络环境, 可以满足 4Gbps 以内网络环境的需要, 主要针对 5000 个信息接入点以下规模大型网络设计的 2U 硬件设备 7.3 控制中心配置要求管理终端数服务器配置要求 1000 个 CPU : 最低 8 核 2.4Ghz; 内存容量 : 最低 8GB ; 硬盘 : 最低 1TB;

35 操作系统 :Windows Server 2008 R264 位, 简体中文版 ; 网卡 : 千兆单网卡 ; CPU : 最低 16 核 2.4Ghz 5000 个内存容量 : 最低 16GB; 硬盘空间 : 最低 1TB; 操作系统 :Windows Server 2008 R264 位, 简体中文版 ; 网卡 : 千兆单网卡 ; 管理浏览器 chrome43.0 及以上版本推荐 360 极速浏览器 7.4 客户端配置要求类型操作系统 CPU 内存硬盘备注 Windows 终端 Windows XP Windows Vista Windows 7 Windows 8 Windows 10 双核 2.0GHZ 1G >20G 最低配置服务器 Windows Server 2003 SP2 Windows Server 2008 Windows Server 2012 中标麒麟 Deepin 双核 3.0GHZ 4G >20G 最低配置

私有云产品解决方案

私有云产品解决方案私有云产品解决方案目录前言... 3 安全风险现状... 3 云安全解决方案... 4 体系结构... 4 工作方式... 5 产品优势... 5 " 动静结合全程查杀... 5 极速私有云查杀... 5 响应快流量少... 6 全网文件安全评估... 6 多级管理架构... 6 终端应用控制... 6 顶尖的产品维护服务团队... 6 典型部署... 7 小型企业解决方案... 7 中型企业解决方案

目录 Contents 一. 引言... 4 二. 天擎终端安全管理系统介绍 产品概述 设计理念 产品架构... 6 三. 产品优势 终端安全一体化 病毒防御多维化 安全管控智能化... 7

目录 Contents 一. 引言... 4 二. 天擎终端安全管理系统介绍产品概述设计理念产品架构... 6 三. 产品优势终端安全一体化病毒防御多维化安全管控智能化... 7