360天擎终端安全管理
解决方案
北京奇虎科技有限公司
2014年9月
目录
背景 (3)
方案目标 (4)
终端安全 (4)
桌面管理 (5)
统一运维 (5)
方案设计 (6)
终端安全 (6)
终端病毒与恶意代码防范 (6)
终端安全性检查 (13)
终端防黑加固 (15)
协议防火墙 (16)
桌面管理 (16)
终端流量管理 (16)
系统自动升级 (17)
终端硬件性能监控 (20)
终端软件进程与服务管理 (20)
终端Agent强制安装与运行 (21)
终端外设管理 (21)
终端小工具 (22)
终端信息搜集 (23)
文件审计管控 (23)
统一运维 (24)
软件分发 (24)
策略下发 (24)
在线用户统计 (25)
安装包定制与Web安装 (26)
系统兼容性 (27)
系统可扩展性 (27)
系统容灾 (28)
背景
随着企业信息化进程的不断加快,企业网络规模与终端数量在不断变大,企业业务对信息化系统的依赖程度越来越高,信息化系统的建设与升级,一方面推动着企业的办公自动化、业务自动化进程不断加快,提高企业的运营效率,降低企业的运营成本。另一方面,也为企业带来了新的问题,对企业的运营与管理提出了新的挑战。
●管理问题
信息化系统的引入、网络的建设与升级为企业带来了诸多管理问题,其中主要包括如下几个方面:
如何有效管理网络设备与应用系统,使得网络能够稳定运行,保障企业自动化办公与依托于网络的业务能够平稳有效进行,这需要大量额外的
网络管理系统进行运维支撑。
如何有效管理终端设备与应用软件,使得终端能够稳定、合规运行,保障企业的自动化办公与终端业务操作能够平稳有效进行。
如何有效管理业务系统的设备与软件,使得业务系统整体平稳运行,保障企业业务系统对外提供稳定的服务。
●安全问题
信息化系统与网络的引入,为进入企业内部获得企业数据资料、操控企业业务运行提供了一种看不到的新途径,这就为企业的数据、资料乃至业务运行带来了新的安全问题,主要包括:
企业信息化系统与网络访问控制问题:这其中包括如何控制哪些终端在满足什么样的条件之下可以进入到企业信息化系统与网络;如何为进入
到信息化系统与网络的终端用户分配访问操作权限并保障这些终端用户
不能越权非法操作。
信息化系统及其支撑设备的安全运行问题:这其中包括如何保障信息化系统及其软硬件系统不会受到攻击,或者在受到攻击的情况下可以有效
避免损失、缓解攻击带来的影响、保障信息化系统与网络仍能够安全、
可靠、平稳地对外提供服务。
企业数据及资料的安全问题:这其中包括如何保障企业的数据及资料能够安全存储、安全访问,对于这些企业数据与资料要做到:非授权人员
拿不到、非授权人员拿到后带不走、非授权人员拿走后打不开等三个层
次的安全防护。
●评估问题
近些年,随着我国信息化系统的大范围建设与普及,信息化系统的建设已经进入到快速发展期,大多数企业的信息化系统与网络已经从初期的从无到有发展到了现在的颇具规模,相应地,在信息化系统的建设上,企业也开始从最初的基础设施建设逐步进入到了信息化系统稳定运行的收获期。更进一步,很多企业也已经开始理性思考在信息化系统上的大量投资带来的具体企业
效益,换句话讲,企业的信息化系统已经进从基础设施建设发展到了建设效果评估阶段,科学评估信息化系统建设的成果,向信息化系统建设要效益是这个阶段的主要目标。
方案目标
本方案的目标是从企业信息化系统终端安全与管理的角度出发,以终端安全为核心,以终端桌面管理为重点,提供以终端为基础的桌面安全与管理整体解决方案,具体内容包括终端安全、桌面管理、统一运维三个方面:
终端安全
提供针对终端安全的防护措施,为终端提供安全的上网办公环境,具体包括如下几方面内容:
?终端病毒与恶意代码防范
?防黑加固
?主机防火墙
?终端安全性检查
桌面管理
?终端流量管理
?系统自动升级
?终端远程协助
?终端硬件性能监控
?终端进程与服务管理
?终端Agent强制安装与运行
?终端外设管理
?终端小工具
?终端信息搜集
?文件审计管控
统一运维
?软件分发
?策略下发
?在线用户统计
?安装包定制与Web安装
?系统可扩展能力
?系统容灾
方案设计
终端安全
终端病毒与恶意代码防范
在这一部分中,将就与终端安全相关的检测与防御方法进行方案级描述,将主要涉及两方面与终端密切相关的内容:
?终端病毒防御
?终端数据的安全防御
终端病毒防御
功能框架
本方案对病毒、木马、蠕虫、网马、僵尸网络、流氓软件、间谍软件等恶意代码的识别和查杀采用了多套高性能检测引擎的技术方案,这些技术方案中,既包括传统基于静态病毒特征的多模式匹配的检测技术、也包括无特征的人工智能检测技术和基于云端的云查杀检测技术,多种检测技术的综合运用,最大限度地保障检测的有效性,具体来说,本方案中采用了如下几种关键的检测技术:
①双病毒检测引擎
②360云查杀检测引擎
③恶意URL检测引擎
④QVM-II人工智能检测引擎
已知病毒查杀功能框架如下图所示:
方案说明
双病毒特征库与双病毒检测引擎
与其他病毒检测产品不同,本方案采用了双引擎的查杀技术,具体来说就是采用实现技术完全不同的两套独立的病毒库、病毒检测引擎对已知病毒进行检测。因为已知病毒检测的关键是病毒库的覆盖度和检测引擎的预处理能力,因此如果其中一套病毒检测引擎出现错误(误报、漏报)的可能性为P(P < 1),另一套病毒检测引擎出现错误(误报、漏报)的可能性为Q(Q < 1),那么两套完全独立的病毒检测引擎同时出现错误(误报、漏报)的可能性就是P·Q(P·Q < min(P, Q)),举例来说,如果第一套引擎出错的可能性是P = 2%,第二套引擎出错的可能性是Q = 3%,那么两套引擎同时出错的可能性就是:
(0.02)·(0.03) = 0.0006
可以看到,双病毒特征库,双病毒检测引擎的方案,与单病毒库、单病毒检测引擎相比,在检测的准确率上有大幅提升,由于双病毒特征库,双病毒检测引擎与
单病毒库、单病毒检测引擎相比,性能开销(CPU消耗、内存消耗)会更大,因此本方案中对是否启用双病毒库、双病毒检测引擎采用了配置开关,可以根据终端硬件的配置情况灵活启用或者关闭该功能。
360云查杀检测引擎
云查杀技术的必要性
随着病毒的大量出现,传统的本地病毒库的查杀方式已经无法在本地加载绝大多数病毒样本特征,仅奇虎360一家安全企业,到目前为止就已经积累了多达20亿的病毒样本,如果算上未经去重的病毒样本,目前已发现的病毒样本已经远远超过20亿的规模,而目前大多数的终端杀毒软件,受本地存储资源的限制,本地病毒特征库的规模大约在1000万~ 2000万左右,这个数字只占不到20+亿已发现病毒样本的1%,依靠1%的病毒库去检测互联网中肆虐的病毒,这说明传统的本地病毒库的查杀方式已经无法满足对已知病毒的查杀要求,需要通过云端的海量计算资源与海量存储资源满足对数十亿病毒进行100%查杀的安全需求。 360云查杀资源与技术
云查杀技术需要大量的样本资源、计算资源、检测技术资源,如果没有这些资源作支撑,则无法构建高质量的云查杀系统,本质上来说,云查杀系统是一个海量资源系统,这个资源系统中,既包括客户资源,又包括硬件资源与软件算法资源:
?样本资源
构建云查杀系统,需要海量的病毒、木马、僵尸网络等恶意代码样本作
为资源支撑,否则,所构建的云查杀系统将因为缺乏足够的病毒样本积
累而难以保证对于已知病毒和恶意代码的检测率。本方案中,我们才用
的360云查杀平台,拥有涵盖了近20年的所有已知的病毒、木马、蠕
虫等恶意代码的样本文件,其所积累的去重之后病毒样本数量已经超过
20亿。
样本资源的基础是客户资源,没有足够的客户资源作支撑,无法收集足
够的病毒样本文件,只有广泛部署了终端系统的情况下,才能在短期内
收集足够数量的恶意代码样本文件,奇虎360在全国拥有超过4亿的终
端用户,覆盖了全国终端用户的95%以上,其中绝大多数已经选择加入了奇虎360公司的“云安全计划”,这些遍布全国的海量用户为360提供了丰富、及时的病毒样本资源,保证了360云查杀系统病毒样本收集的及时、有效。目前平均来说,一个病毒从首次在国内互联网上出现,到被360云查杀系统捕获之间,只有不到10个小时的时间。
?计算资源
为了构造有效的云查杀系统,需要大量的计算资源进行支撑,以便对搜集到的样本资源进行深入分析,一般来说,一台标准的服务器(如DELL R720,配置为:双路16核CPU(Xeon E5-2690,单路8核,主频2.9GHz)、Intel C600主板芯片组、内存16GB(ECC DDR3)、硬盘900GB(SAS 接口)),每天(24小时)可处理的样本数量大约在3000万个左右,因此,对于标准1000终端的用户来说,若按照每天每台终端提交10个样本进行深度检测,则大约需要4台DELL R720这样配置的服务器组成的云查杀系统才能满足查杀需要。在本项目中,360所提供的云查杀系统的规模已经超过了10000台服务器,由这些云服务器所构成的查杀环境,完全可以满足本项目的云端深度查杀需求。
?算法资源
构建有效了云查杀环境,除了稳定、及时的样本收集资源与足够数量的硬件计算环境之外,还需要先进的未知病毒及恶意代码的检测算法,这样才能够在收集到病毒与恶意代码样本之后,进行有效的分析与处理。
因此,对未知病毒与恶意代码的快速检测能力,就成了构建有效的云查杀环境的关键。在本方案中,360所提供的云查杀环境集成了大量先进的真对未知病毒与恶意代码的查杀算法,这些算法中,有基于病毒与恶意代码静态样本共性特征的QVM-II算法(该算法采用人工智能与机器学习的方法,对360目前已经积累的20多亿病毒样本进行多次切片学习,抽取出病毒与恶意代码的共性特征,建立恶意代码的不同族系模型,该算法在北美、欧洲的多项恶意代码检测能力测评之中名列第一),也有目前主流的动态沙箱深度分析技术,同时还集成了利用未知漏洞进行病毒与恶意代码传播的基于内存分析的动态漏洞利用攻击分析技术,最
后,对于非常复杂、难于分析的可疑文件,还会采用具有多年病毒分析
与对抗经验的专家分析团队进行彻底分析。以上这些先机的自动化分析
技术与方病毒专家团队人工分析的有效结合,多种手段、人机结合,保
证了对病毒与恶意代码分析的万无一失。
360云查杀隐私问题说明
由于本方案中采用了云查杀技术,云查杀技术需要在终端与云端之间交互必要的样本数据以保证对样本进行有效检测,因此需要对云查杀过程中终端与云端之间所交换的数据进行详细的说明,以此排除隐私泄露的可能。
360公司承诺并保证:在使用360云查杀系统的过程中,除了必要的检测之外,不会以任何形式非法采集、利用用户的任何隐私数据,下面进行逐一说明:1、云查杀系统的使用完全由终端用户自行决定,可以由管理员统一配置,如果
终端用户或管理员选择关闭云查杀功能,则终端将不会向云端传送任何检测所需要的数据进行病毒与恶意代码的检查
2、对于云端深度检查,终端和云端之间也只会传送可执行文件(PE格式),而
不会传送敏感的数据文件(如:word、pdf、图纸、图片等),因为只传送了可执行文件,可执行文件只是程序的执行体,有可执行代码组成,并不包含用户的敏感数据,更不包含用户的隐私信息,因此不存在隐私泄露或泄密的可能
3、对于云端非深度检查,终端和云端之间连可执行文件都未进行传输,而只是
抽取了可执行文件(PE格式)的部分属性信息(而非可执行文件体)传送至云端进行检查,这些文件的属性信息与文件内容完全无关(就如同一个人的姓名、居住地、职业信息与这个人的血型毫不相关是同一个道理),因此在非深度的一般性云查杀中,理论上就不存在隐私泄露的可能性。在非深度云查杀的过程中,终端与云端交互的文件属性信息包含且仅包含如下内容:
?该文件在终端的存放路径
?该文件的哈希指纹(MD5、SHA-1)
?该文件的大小
?该文件所在终端的操作系统类型
?该文件所在终端的操作系统版本号
该文件所在终端的IE版本号
4、所有云端与终端之间的交互的信息,除了需要深入分析的不含用户任何数据
信息、隐私信息的可执行文件可能会涉及到专家人工分析之外,其余的所有信息将完全由机器进行自动处理,除了检测之外,没有任何渠道可以获得这些信息,所有的过程都是有机器完成,即便是不包含用户隐私的文件属性数据,除了机器之外,也不会有其他的途径可对之进行提取和阅读。
以上就是在本项目中所采用的360云查杀系统的隐私问题的说明,可以看到,采用360云查杀系统完全不存在任何用户隐私的泄漏问题。
恶意URL检测引擎
Web应用是目前互联网的最主要应用,Web安全问题因此也成了互联网安全问题中最重要的问题,占据了互联网问题中的绝大部分,网银诈骗、网购诈骗、钓鱼网站、网马等通过恶意网址进行钓鱼、诈骗、侵财的攻击事件频发,已经成了Web应用的主要威胁,同时也发现,部分APT(高级持续性威胁)攻击行为也是通过恶意网站(一般是钓鱼网站)对企业低权限终端进行入侵,进而以此低权限终端做跳板不断渗透高权限终端与服务器,最后完成APT攻击过程,因此对于访问Web过程中的安全防护,已经成了当前终端安全防护的重要组成部分。
从技术上来看,对于终端访问恶意网址的防护主要有三种技术手段:
1、实时分析、动态检测
2、事先分析、静态匹配
3、实时分析结合事先分析,动态检测结合静态检测
第一种技术手段完全依靠在用户访问Web过程中对页面及其附属资源的动态分析和主动防御技术(如:IE控件监控、内存监控、注册表监控)等方法对用户访问恶意网站、恶意链接的行为进行发现和阻断。这种方式的优点是可以对恶意访问行为进行实时发现,但其缺点也比较明显,即:如果对用户访问的Web 访问进行深度分析,会消耗大量的用户本地资源,如果分析结论的得出也可能需要完整的分析过程之后才能完成,此时可能攻击行为已经部分发生,同时,完全依靠本地的动态分析,也存在一定的漏报可能,这些都是单纯依靠实时分析、动态检测可能会出现的一些问题。
第二种技术手段本质是通过云计算的方式来完成的,即:事先对互联网中存在的链接进行采集,采用动态分析结合沙箱的方式进行事先检测,将存在恶意行为的链接形成静态恶意链接库,终端在访问一个链接之前,终端系统安全代理会将此链接与恶意链接库进行比对,如果发现此链接在恶意链接库中出现,则认为该链接属于恶意链接,进而对其访问行为进行禁止,与单纯蚕蛹实时分析、动态检测的技术相比,采用这种方法可以大幅度降低终端的资源消耗,可以在第一时间发现恶意链接(而不是等整个页面及其资源文件都下载到本地并进行了分析之后),同时由于依靠云端的事前抓取分析、云端用户的检测结果,漏报的可能性非常小。但这种技术也存在一定的局限性:对于新出现的恶意链接,因为还没来得及被云端抓取分析,因此在一定时间内(比如:30分钟)对这类新出现的恶意网址无法提供检测能力,即会出现漏报;另一方面,对于被挂马的受害网址,如果木马被清除,那么短期内(在下一轮抓取完成之前),该网址仍将被列入在恶意网址库之中,即在这段时间内会有误报出现。
第三种技术是结合上述两种方法,这种方法优势非常明显,即:对于大多数白名单中的网址直接放行,对于黑名单中的网址直接拦截,对于灰名单(即没在白名单、也没在黑名单)中的网址则采用动态分析、主动防御技术进行实时分析。这种方式的优点非常明显:既利用了云端与其他终端的检测结果过滤了大量的白链接、拦截黑链接,大幅降低了客户端的资源开销,同时对极少量稀有链接又利用动态分析、主动防御技术进行深入的动态分析,起到了查缺补漏的效果。
在本方案中对于恶意URL的检测,采用的是第三种方法,即:动态分析结合静态匹配的技术方案,通过上述的技术分析可以看到,可以清晰地看到,本方案可以满足对恶意链接的精确检测要求。
QVM-II人工智能检测引擎
对于病毒和恶意代码的检测,一直存在着两个技术方向,一个是依靠病毒特征匹配的静态检测技术,这种技术的特点是必须依靠已知的病毒特征,一般静态特征匹配的技术适合对已知病毒、恶意代码的检测。另外一种是依靠对病毒行为的动态分析技术,这种技术更适合对未知病毒、恶意代码的检测。这两种技术是目前对病毒进行检测的关键技术,分别实现对已知、未知的病毒及恶意代码检测。
其中采用特征对病毒进行检测的技术又分为两个方向,一个是穷举式病毒特
征提取,即针对每个已发现的病毒、恶意代码样本提取各自的病毒特征,这种方式的优点是能够准确识别出已提取特征的病毒与恶意代码,误报率和漏报率都很低。另一种是针对不同族类的病毒及恶意代码提取出共性的族群特征,并以此作为检测依据对恶意代码进行检测。这种方式的优点是不依赖某一个病毒或恶意代码的具体特征,而是提取某一族群的恶意代码共性特征,因此,这种检测方法对于某一病毒与恶意代码族群内的新生病毒具有非常强的检测能力,同时还能对检测出来的病毒与恶意代码进行族系归类。
QVM-II人工智能检测引擎采用人工智能与机器学习的方法,对360目前已经积累的20多亿病毒样本进行多次切片学习,抽取出病毒与恶意代码的共性特征,建立恶意代码的不同族系模型,该算法在北美、欧洲的多项恶意代码检测能力测评之中名列第一。该技术的主要组成框架如下:
终端安全性检查
目标描述
根据终端的安全状况,决定其是否能接入到网络之中,亦即将终端的安全状
况作为网络准入的前判断件之一。此功能的最终目的是强制终端落实规定的安全防范措施,进行安全加固工作,隔离可能成为安全短板的终端。
?设计描述
本功能由4项子功能组成:
子功能1:终端安全状况信息收集(包括:当前终端的登录账号、当前终端的杀毒软件安装与运行情况、当前终端杀毒软件病毒库的版本信息、当前终端操作系统的安装情况)。
子功能2:病毒特征库、系统漏洞补丁文件自动下载、自动修复。
子功能3:根据策略阻断终端连入网络。
子功能4:通过管理控制中心配置终端安全状况准入策略,支持按照IP地址、网段、IP地址区间下发到不同的终端。
终端安全状态的几个关键指标是:
?登录账号是否合法。
?是否安装并运行了规定的防病毒软件。
?病毒库是否升级至最新。
?操作系统补丁是否升级至规定标准。
?硬件是否变更。
?是否存在非法外联的现象。
说明:对于子功能1中的杀毒软件的病毒库的安装情况以及杀毒软件的病毒库版本情况的检查,将锁定在有限的几家杀毒软件(如:瑞星、金山、卡巴斯基、诺顿、MAcfee、趋势科技等),如果需要检查其他厂家的杀毒软件,则通过额外定制开发完成。
终端防黑加固
?目标描述
对客户端进行防黑加固功能,提供有针对性监控功能,包括系统账号变更、重点端口监控,共享目录管控等。
?设计描述
①对终端密码复杂度、生存期和密码历史进行检查,如客户机不满足将提示终
端用户修改;
②对重点端口进行监控,并支持自定义端口监控与上报;
③可以显示终端开启的共享目录并对共享目录进行管理(关闭共享)
④可监控用户账号权限发生变化;用户组权限发生变化;用户账号增加、减少;
用户组增加、减少;用户账号状态发生改变(启用、禁用),同时上报日志
协议防火墙
?目标描述
在内网终端间建立访问控制机制,杜绝非业务需求下的终端互访现象,遏制网内主机发起的攻击。
?设计描述
①基于IP、端口双向配置基于主机的访问控制策略。实现同个子网或不同子网
内终端之间的访问控制,在不需要对原有网络设备做任何调整的前提下,实现细粒度的安全域访问控制管理。
②可禁止终端PING出、PING入,有效遏制内网嗅探行为。访问控制策略在控
制中心集中定义,可根据不同分组按需下发,分布式执行,简洁、高效。桌面管理
终端流量管理
?目标描述
对客户端访问外部子网的流量进行统计与限制,实时统计全网内各客户端访问流量的排名。
?设计描述
流量访问策略配置
③在控制端提供TAB页面,对终端/终端组(可通过IP地址、IP区间、子网
对应)访问目标网络或目标服务器(可通过IP地址、IP区间、子网对应)的网络流量(速率)上限进行配置(最小单位:KBps)。
②此配置作为策略下发至各个终端。
终端访问流量计数
④终端在网络层统计各自访问的流量,包括:
?该终端的总体访问流量速率。
?对特定目标主机的访问流量速率。
?对特定子网的访问流量速率。
④终端将各自的流量统计数据上报至管理控制中心。
终端访问流量控制
⑤根据管理控制台为该终端下发的流量控制策略与终端统计出的当前的访问流
量,对该终端的流量速率进行整形限制,注意,此处需要根据流量访问策略区分如下三种情况进行流量限制:
?对该终端的总体访问流量速率进行整形限制。
?对该终端与特定目标主机的之间的通信流量速率进行整形限制。
?对该终端与特定子网的通信流量速率进行整形限制。
全网流量统计排名
⑥管理控制中心对所有终端上报的流量速率数据进行实时排名刷新,采取
do-by-need的方式,在用户请求排名的时候,实时计算最新的流量速率的排名列表。
系统自动升级
?目标描述
在无须运维管理人员参与的情况下,对360天擎客户端软件、360管理控制
台软件、360天擎客户端病毒特征库、系统/应用的漏洞补丁进行自动下载、升级与安装。
?设计描述
为了避免升级过程中导致网络拥塞,终端的升级将从内网的升级服务器统一拉取升级文件,即终端不会从位于Internet的360升级服务器下载升级文件。
当360天擎管理控制台处于隔离网与非隔离网两种环境之下,其升级方案也有比较大的区别,天擎360支持对于隔离网环境下的物理隔离升级与非隔离网环境下的内网推送式升级。
升级过程一共分两个阶段:
?第一阶段:升级服务器(一般来说就是管理控制台)从位于Internet上的360
升级服务器下载全部升级文件至本地。
?第二阶段:360天擎客户端根据自己的实际需要从升级服务器上下载升级所
需要的文件并执行升级操作。
对于隔离网环境来说,由于内网升级服务器无法连接至360升级服务器,因此无法直接完成升级文件的下载,在这种情况下,我们提供了“隔离升级代理”工具完成升级文件的下在工作,具体升级过程如下:
第一步:将“隔离升级代理”工具放置在内网升级服务器上,运行该工具,即可完成升级所需信息的收集工作,即搜集到内网服务器中当前升级文件的版
本信息,建立升级基线。
第二步:将“隔离升级代理”和所搜集到的升级服务器的升级基线拷贝到一台可以连接至互联网360升级服务器的机器上,并再次运行该升级工具,此时,
“隔离升级代理”工具将根据当前最新的升级文件与第一步中采集到的
升级基线进行对比,下载新增、修改的文件,并将下载到的文件保存在
“隔离升级代理”工具所在的文件夹中。
第三步:再次将“隔离升级代理”文件夹整体拷贝到内网升级服务器之上,再次运行该工具,即可将最新的升级文件成功存放在内网升级服务器上的制定
存储位置。
升级过程中的带宽利用
为了最大限度降低升级过程中的带宽消耗,保障业务运行带宽不受升级过程影响,360天擎采用如下的技术保证升级过程中的网络稳定性与业务稳定性:
带宽压缩技术
在客户端下载升级文件的过程中,将对升级文件进行压缩处理,尽力降低升级文件传输过程中对带宽的消耗。
带宽限制技术
内网升级服务器支持对升级文件传输的带宽总流量进行限制设置,可以对升级过程中消耗的总带宽进行上限设置。
智能分发技术
内网客户端将根据自身的实际需要从内网升级服务器下载不同的特征库升级文件、补丁文件、软件升级包等,而不会将所有的升级文件都从内网升级服务器上下载。
终端硬件性能监控
?目标描述
监控所有终端(包括VIP终端)的硬件性能状况,包括:CPU利用率、内存利用率、硬盘容量与使用情况、网络延迟等。
?设计描述
采样与设值
查询与预警
支持通过IP、UserID、采样参数、样本值(大于、小于)结合时间段进行查询,绘制出完整的性能曲线。
在采样周期到时的时候,如果性能参数满足报警阈值设置,则立即产生报警,报警数据可以通过邮件进行发送。
终端软件进程与服务管理
?目标描述
监控所有终端的所有进程、服务的运行情况,统计不同进程、服务的出现时间、终止时间、运行持续时间等信息,可以强行启动或强行关闭终端进程。
?设计描述
进程、服务监控
进程、服务名称。
360天擎终端安全管理系统 产品白皮书 北京奇虎科技有限公司
目录 一. 引言 (1) 二. 天擎终端安全管理系统介绍 (1) 2.1产品概述 (1) 2.1.1 设计理念 (1) 2.2产品架构 (1) 2.3产品优势 (1) 2.3.1 完善的终端安全防御体系 (1) 2.3.2 强大的终端安全管理能力 (1) 2.3.3 良好的用户体验与易用性 (1) 2.3.4 顶尖的产品维护服务团队 (1) 2.4主要功能 (1) 2.4.1 安全趋势监控 (1) 2.4.2 安全运维管理 (1) 2.4.3 恶意软件防护 (1) 2.4.4 终端软件管理 (1) 2.4.5 外设与移动存储管理 (1) 2.4.6 XP防护 (1) 2.4.7 硬件资产管理 (1) 2.4.8 企业软件统一管理 (1) 2.4.9 终端流量管理 (1) 2.4.10 终端准入管理 (1) 2.4.11 远程技术支持 (1) 2.4.12 日志报表查询 (1) 2.4.13 边界联动防御 (1) 2.5典型部署 (1) 2.5.1 小型企业解决方案 (1) 2.5.2 中型企业解决方案(可联接互联网环境) (1) 2.5.3 中型企业解决方案(隔离网环境) (1) 2.5.4 大型企业解决方案 (1) 三. 产品价值 (1) 3.1自主知识产权,杜绝后门隐患 (1) 3.2解决安全问题,安全不只合规 (1) 3.3强大管理能力,提高运维效率 (1) 3.4灵活扩展能力,持续安全升级 (1) 四. 服务支持 (1) 五. 总结 (1)
一. 引言 随着IT技术的飞速发展以及互联网的广泛普及,各级政府机构、组织、企事业单位都分别建立了网络信息系统。与此同时各种木马、病毒、0day漏洞,以及类似APT攻击这种新型的攻击手段也日渐增多,传统的病毒防御技术以及安全管理手段已经无法满足现阶段网络安全的需要,主要突出表现在如下几个方面: 1.1、终端木马、病毒问题严重 目前很多企事业单位缺乏必要的企业级安全软件,导致终端木马、病毒泛滥,而且由于终端处于企业局域网,造成交叉感染现象严重,很难彻底清除某些感染性较强的病毒。这类病毒、木马会导致终端运行效率降低,对文件进行破坏,或者会把一些敏感信息泄露出去。 同时,很多企业网络安全缺乏统一的安全管理,企业部终端用户安装的安全软件各不相同,参差不齐,导致安全管理员很难做到统一的安全策略下发及执行。 1.2、无法有效应对APT攻击的威胁 APT(Advanced Persistent Threat)攻击是一类特定的攻击,为了获取某个组织甚至是的重要信息,有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段,包括各种最先进的黑客技术和社会工程学方法,一步一步的获取进入组织部的权限。APT往往利用组织部的人员作为攻击跳板。有时候,攻击者会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。 此外,APT攻击具有持续性,有的甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段,以及在渗透到网络部后长期蛰伏,不断收集各种信息,直到收集到重要情报。 更加危险的是,这些新型的攻击和威胁主要就针对重要的基础设施和单位进行,包括能源、电力、金融、国防等关系到国计民生,或者是核心利益的网络基础设施。 同时,很多攻击行为都会利用0day漏洞进行网络渗透和攻击。此时由于没有现成的样本,所以传统的基于特征检测的入侵防御系统,以及很多企业的安全控管措施和理念已经很难有效应对0day漏洞以及APT攻击的威胁了。
Broada IT-View? SecureDesk 桌面安全管理系统 用户手册
2005.4 北京广通信达有限公司? 1998,2005 目录 1 前言 (1) 1.1名词解释 (1) 2 IT-VIEW SECUREDESK系统结构 (3) 2.1系统部署 (3) 2.2系统组成 (3) 3 系统简介 (5) 3.1环境要求 (5) 3.2启动W EB客户端 (5) 3.3退出W EB客户端 (6) 3.4W EB客户端主界面 (7) 4 功能简介 (8) 4.1系统管理 (8) 4.1.1用户管理 (8) 4.1.2权限管理 (8) 4.1.3组织机构管理 (9) 4.1.4物理位置管理 (10) 4.1.5子网管理 (11) 4.1.6系统日志 (12) 4.1.7远程控制 (13) 4.2策略管理 (14) 4.2.1创建模版 (14) 4.2.2编辑模版内容 (15)
4.2.3下发策略模版 (15) 4.2.4策略下发结果查看 (17) 4.2.5策略下发历史情况查看 (17) 4.3资产管理 (18) 4.3.1注册用户管理 (18) 4.3.1.1注册用户查询 (18) 4.3.1.2注册用户高级查询 (19) 4.3.1.3注册用户审核 (20) 4.3.2资产视图 (21) 4.3.3资产报告 (22) 4.3.4资产统计 (22) 4.4软件分发 (22) 4.4.1软件分发项配置 (22) 4.4.1.1Windows补丁 (22) 4.4.1.2 病毒库 (24) 4.4.1.3 SecureDesk Agent自动更新 (24) 4.4.2软件分发报告 (24) 4.5告警管理 (25) 4.5.1告警查询 (25) 4.5.2主机监控 (26)
(单机版
Version:8.0.7.x)
中国软件与技术服务股份有限公司 CHINA NATIONAL SOFTWARE & SERVICE CO.,LTD.
版 权 声 明
非常感谢您选用我们的产品, 本手册用于指导用户安装中软统一终端安全管理平台 8.0 (中文简称安全管理平台) ,请您在安装本系统前,详细阅读本手册。本手册和系统一并出售且 仅提供电子文档。 。 Copyright ? 2005 by CS&S,中国软件与技术服务股份有限公司版权所有。 中软统一终端安全管理平台 8.0 是中国软件与技术服务股份有限公司自主研发的受法 律保护的商业软件。遵守法律是共同的责任,任何人未经授权人许可,不得以任何形式或方法 及出于任何目的复制或传播本软件和手册,权利人将追究侵权者责任并保留要求赔偿的权利。 任何人或实体由于该手册提供的信息造成的任何损失或损害,中国软件与技术服务股 份有限公司不承担任何义务或责任。
系统版权 中文名称:中软统一终端安全管理平台 8.0 英文简称:UEM8.0 开发单位:中国软件与技术服务股份有限公司
本系统的版权单位 中国软件与技术服务股份有限公司 地址:北京市海淀区学院南路 55 号中软大厦,100081 电话: (010)51508031/32/33 邮箱:waterbox@https://www.doczj.com/doc/d617763921.html,
2
前
言
目前,个人计算机系统成为组成企业、单位网络的主体,也是绝大多数泄密事件发生的源头。 针对这一现状,中软自主研发的终端安全管理平台是内网安全管理的有力武器,是加强个人计算机 内部安全管理的重要工具。它作为国内市场上第一款成熟的内部安全管理软件,填补了国内在该领 域的空白,为我国信息安全保障工作注入了新的活力。 本书详细介绍了中软统一终端安全管理平台 8.0 安装方法,为用户在安装本系统时提供参考, 全书共为五章。 第一章:系统概述 第二章:体系结构和运行所需软硬件环境 第三章:服务器安装与卸载 第四章:控制台安装与卸载 第五章:客户端安装与卸载 本书内容全面,深入浅出,适合安装、使用中软统一终端安全管理平台的用户读者;检测、评 估中软统一终端安全管理平台的技术人员和专家以及希望使用中软统一终端安全管理平台协助对其 组织、机构或企业进行管理的管理人员等。 本手册适用于中软统一终端安全管理平台 8.0 的 8.0.7.x 单机版本的安装使用,随相应版本的产 品光盘附带,对该产品的其他版本,如未作特殊说明或者更新,该手册同样适用。 本手册在编写过程中,尽管我们做了最大努力力求完美和准确,但由于水平有限,难免存在疏 漏和缺陷之处。如果您对本手册有任何疑问、意见或建议,请与我们联系。感谢您对我们的支持和 帮助。
通用产品研发中心 2008 年 3 月
3
360天擎终端安全管理系统v6.0-测试方案 (详细用例) -CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN
测试方 案 ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 | Contents 1. 产品简介 .............................................................................................................. 错误!未定义书签。 2. 部署拓扑 .............................................................................................................. 错误!未定义书签。 . 硬件配置要求................................................................................................ 错误!未定义书签。 3. 天擎管理中心功能测试 ...................................................................................... 错误!未定义书签。 . 天擎分级部署................................................................................................ 错误!未定义书签。 天擎多级部署 ........................................................................................ 错误!未定义书签。 . 客户端分组管理............................................................................................ 错误!未定义书签。 客户端分组 ............................................................................................ 错误!未定义书签。 自动分组 ................................................................................................ 错误!未定义书签。 客户端分组切换 .................................................................................... 错误!未定义书签。 . 客户端任务管理............................................................................................ 错误!未定义书签。 客户端天擎版本升级............................................................................. 错误!未定义书签。 病毒库升级 ............................................................................................ 错误!未定义书签。 客户端任务分配管理............................................................................. 错误!未定义书签。 手动杀毒任务 ........................................................................................ 错误!未定义书签。 终端查杀引擎设置 ................................................................................ 错误!未定义书签。 定时杀毒任务 ........................................................................................ 错误!未定义书签。 消息推送 ................................................................................................ 错误!未定义书签。 . 客户端策略管理............................................................................................ 错误!未定义书签。 客户端软件常规安装部署方式............................................................. 错误!未定义书签。 终端自保护能力测试............................................................................. 错误!未定义书签。 客户端防退出、卸载............................................................................. 错误!未定义书签。 离线客户端管理 .................................................................................... 错误!未定义书签。 文件溯源 ................................................................................................ 错误!未定义书签。 黑白名单管理 ........................................................................................ 错误!未定义书签。 终端安全防护功能管理......................................................................... 错误!未定义书签。 终端弹窗管理 ........................................................................................ 错误!未定义书签。 . 日志报表功能测试........................................................................................ 错误!未定义书签。 查杀病毒和木马日志报表..................................................................... 错误!未定义书签。 客户端病毒情况报表............................................................................. 错误!未定义书签。 客户端感染病毒排名榜或趋势图......................................................... 错误!未定义书签。 汇总多级管理架构的数据..................................................................... 错误!未定义书签。 管理控制操作审计日志报表................................................................. 错误!未定义书签。 . 系统管理测试................................................................................................ 错误!未定义书签。 帐号管理及权限分配管理..................................................................... 错误!未定义书签。 客户端与管理中心通讯间隔设置......................................................... 错误!未定义书签。 控制中心升级测试 ................................................................................ 错误!未定义书签。 安全报告订阅 ........................................................................................ 错误!未定义书签。 管理服务器备份与恢复......................................................................... 错误!未定义书签。 4. 天擎客户端功能验证 .......................................................................................... 错误!未定义书签。 . 病毒、木马查杀............................................................................................ 错误!未定义书签。 . 手动杀毒........................................................................................................ 错误!未定义书签。 . 实时防护........................................................................................................ 错误!未定义书签。 . 信任路径........................................................................................................ 错误!未定义书签。
桌面安全管理制度 总则 为加强XX农村商业银行个人桌面终端的安全使用,保证个人桌面终端操作系统、周边硬件、应用系统的安全使用,切实防范和降低因桌面终端使用不当,对信息系统带来的安全风险,制定本办法。 本办法适用于办公网所有桌面终端管理。公司范围内个人桌面终端设备上线直至报废前的使用过程,应按本办法相关规定进行管理。 个人桌面终端定义:接入XX农村商业银行网络的用于办公的各类计算机及所属设备。 网络准入 ?准入条件 接入OA办公网计算机必须安装桌面安全管理系统客户端软件; 当设备无法安装桌面系统软件,如打印机及CE终端等,各部门设备负责人员需要事先申报,见附件一(总行申报给科技部,各网点申报给本区域支行桌面系统管理人员)对设备进行mac认证处理;XPE终端及pc设备使用OA账户用户名和密码认证,成功后进入正常网络; ?准入管理 个人桌面终端设备接入公司办公网络前,由使用人根据工作需要提出增加终端的申请,并经相关部门人员审批后通过桌面系统需求变更单报送相关部门批准后方可接入。
禁止未安装桌面管理系统客户端及未审批的设备接入办公网络; 桌面系统管理人员,定期对日志进行审查,查看是否有未安装桌面管理系统客户端,并对非法接入设备定位及规范处理; 禁止使用他人帐号登陆网络准入系统,禁止将帐号提供给他人使用。 Mac认证设备需要更换端口时,各部门设备负责人员需要事先申报,见附表二(总行申报给科技部,各网点申报给本区域支行桌面系统管理人员)对设备变更进行记录; 各区域准入服务器管理人员,需要定期对准入系统数据库进行备份,防止服务器宕机造成用户数据丢失,引发网络准入失效。 桌面安全 ?基本安全 使用人离开座位,应锁闭计算机屏幕,下班后,应关闭计算机;新购入的终端设备必须经过相关部门登记、编号、贴标签卡后,才能交使用者领用,相关部门设备负责人员需配合用户注册桌面管理系统软件并完善信息。 个人桌面终端设备因使用时间较长或严重损坏而无法修复及超过固定资产使用年限需要报废的,由使用部门提出申请并按相关报废流程办理,对已批准报废的个人桌面终端设备,应在桌面关系统资产统计中及时删除。 个人桌面终端设备上安装、运行的软件都必须为正版软件,未经授权的软件不得在个人桌面终端设备上安装、运行。桌面系统管
360天擎终端安全管理 解决方案 -CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN
360天擎终端安全管理 解决方案 北京奇虎科技有限公司 2014年9月
目录 背景 ...................................................................................................................错误!未定义书签。方案目标............................................................................................................错误!未定义书签。 终端安全 ..................................................................................................错误!未定义书签。 桌面管理 ..................................................................................................错误!未定义书签。 统一运维 ..................................................................................................错误!未定义书签。方案设计............................................................................................................错误!未定义书签。 终端安全 ..................................................................................................错误!未定义书签。 终端病毒与恶意代码防范 .............................................................错误!未定义书签。 终端安全性检查 .............................................................................错误!未定义书签。 终端防黑加固 .................................................................................错误!未定义书签。 协议防火墙 .....................................................................................错误!未定义书签。 桌面管理 ..................................................................................................错误!未定义书签。 终端流量管理 .................................................................................错误!未定义书签。 系统自动升级 .................................................................................错误!未定义书签。 终端硬件性能监控 .........................................................................错误!未定义书签。 终端软件进程与服务管理 .............................................................错误!未定义书签。 终端Agent强制安装与运行..........................................................错误!未定义书签。 终端外设管理 .................................................................................错误!未定义书签。 终端小工具 .....................................................................................错误!未定义书签。 终端信息搜集 .................................................................................错误!未定义书签。 文件审计管控 .................................................................................错误!未定义书签。 统一运维 ..................................................................................................错误!未定义书签。 软件分发 .........................................................................................错误!未定义书签。 策略下发 .........................................................................................错误!未定义书签。 在线用户统计 .................................................................................错误!未定义书签。 安装包定制与Web安装................................................................错误!未定义书签。系统兼容性........................................................................................................错误!未定义书签。系统可扩展性....................................................................................................错误!未定义书签。系统容灾............................................................................................................错误!未定义书签。
Desk桌面终端管理解决方案1 Desk桌面管理解决方案云南邦永科技有限公司 成熟、稳定、超越 驾驭您错综复杂的网络,驱动您应需而变的业务 Desk?桌面管理系统采用分布式设计思想,具有多级管理能力,适用于不同规模和不同复杂程度的局域网管理需求。为网管人员提供一个集安全、管理和维护三位一体的综合管理平台。它突破桌面管理太弱、可视化程度太低、安全/管理/维护脱节、往往是事后救火的传统管理模式,从发现和修补安全漏洞入手,到直观详细的展示网络运行状态,并辅以实施强大的管理机制和高效的维护手段,使网络管理循序渐进,宜张宜弛。 桌面管理的现状 基于对当前普遍存在的计算机网络安全与管理现状的理解,我们认为当前要解决的问题主要有如下几点: ●在内网私自使用移动存储外设或非法外联,可能导致核心数据的流失; ●计算机使用者的不正当行为,既严重降低工作效率又是引入病毒和恶意软件的主要 原因。因此,急需切实有效的技术手段规范计算机的使用行为; ●随着网络规模的不断扩大,如果没有一个自动化程度很高
的远程维护平台,而仅靠 信息中心的网管人员跑来跑去的手工维护,是不可能适应业务的快速发展。 针对上述这些主要问题和计算机网络的实际情况,我们利用桌面管理系强大管理平台,主要实施如下措施: Desk?桌面管理解决方案 Desk?桌面管理平台是一个具有多级管理能力的分布式系统平台,该系统平台提供了全面的多级管理,多管理点、权限分配和数据共享的能力,适用于不同规模和不同复杂程度的局域网管理需求,为网管人员提供一个可以同时面向终端用户、应用系统和计算机网络本身三个层面,依据管理、安全和维护三位一体设计思想的桌面管理平台。 U盘管理:满足单位对外置移动设备或计算机硬件的管理要求,防止企业信息和 需求,又保证了数据安全。 杀毒软件管理:保证全网计算机都安装了杀毒软件,病毒能够及时查杀;并且保 Desk?亮点方案之强大的管理机制 灵活的应用程序管理:设定计算机只允许做什么,或禁止做什么,方便地把通用 软/硬件资产管理:可以全自动汇总企业数以万计的计算机
内网终端安全管理系统解决方案
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言................................ 错误!未定义书签。 1.1.概述 错误!未定义书签。 1.2.应对策略 错误!未定义书签。 2.终端安全防护理念.................... 错误!未定义书签。 2.1.安全理念 错误!未定义书签。 2.2.安全体系 错误!未定义书签。 3.终端安全管理解决方案................ 错误!未定义书签。 3.1.终端安全管理建设目标 错误!未定义书签。 3.2.终端安全管理方案设计原则 错误!未定义书签。 3.3.终端安全管理方案设计思路 错误!未定义书签。 3.4.终端安全管理解决方案实现 错误!未定义书签。 3.4.1.网络接入管理设计实现 错误!未定义书签。 3.4.1.1.网络接入管理概述
3.4.1.2.网络接入管理方案及思路 错误!未定义书签。 3.4.2.补丁及软件自动分发管理设计实现 错误!未定义书签。 3.4.2.1.补丁及软件自动分发管理概述 错误!未定义书签。 3.4.2.2.补丁及软件自动分发管理方案及思路 错误!未定义书签。 3.4.3.移动存储介质管理设计实现 错误!未定义书签。 3.4.3.1.移动存储介质管理概述 错误!未定义书签。 3.4.3.2.移动存储介质管理方案及思路 错误!未定义书签。 3.4.4.桌面终端管理设计实现 错误!未定义书签。 3.4.4.1.桌面终端管理概述 错误!未定义书签。 3.4.4.2.桌面终端管理方案及思路 错误!未定义书签。 3.4.5.终端安全审计设计实现 错误!未定义书签。 3.4.5.1.终端安全审计概述
360终端安全管理系统 测试方案 ? 2020 360企业安全集团■声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等容,除另有特别注明外,所有均属360企业安全集团所有,受到有关产权及法保护。任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录| Contents 1. 产品简介 (1) 2. 部署拓扑 (1) 2.1. 硬件配置要求 (2) 3. 天擎管理中心功能测试 (3) 3.1. 天擎分级部署 (3) 3.1.1. 天擎多级部署 (3) 3.2. 客户端分组管理 (3) 3.2.1. 客户端分组 (3) 3.2.2. 自动分组 (3) 3.2.3. 客户端分组切换 (4) 3.3. 客户端任务管理 (4) 3.3.1. 客户端天擎版本升级 (4) 3.3.2. 病毒库升级 (4) 3.3.3. 客户端任务分配管理 (4) 3.3.4. 手动杀毒任务 (5) 3.3.5. 终端查杀引擎设置 (5) 3.3.6. 定时杀毒任务 (6) 3.3.7. 消息推送 (6) 3.4. 客户端策略管理 (6) 3.4.1. 客户端软件常规安装部署方式 (6) 3.4.2. 终端自保护能力测试 (6) 3.4.3. 客户端防退出、卸载 (7) 3.4.4. 离线客户端管理 (7) 3.4.5. 文件溯源 (7) 3.4.6. 黑白管理 (8) 3.4.7. 终端安全防护功能管理 (8) 3.4.8. 终端弹窗管理 (8) 3.5. 日志报表功能测试 (9) 3.5.1. 查杀病毒和木马日志报表 (9) 3.5.2. 客户端病毒情况报表 (9) 3.5.3. 客户端感染病毒排名榜或趋势图 (9) 3.5.4. 汇总多级管理架构的数据 (10) 3.5.5. 管理控制操作审计日志报表 (10) 3.6. 系统管理测试 (10) 3.6.1. 管理及权限分配管理 (10) 3.6.2. 客户端与管理中心通讯间隔设置 (11) 3.6.3. 控制中心升级测试 (11) 3.6.4. 安全报告订阅 (11) 3.6.5. 管理服务器备份与恢复 (12) 4. 天擎客户端功能验证 (13) 4.1. 病毒、木马查杀 (13) 4.2. 手动杀毒 (13) 4.3. 实时防护 (13)
用户 手册 ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等 内容,除另有特别注明外,所有版权均属360企业安全集团所有,受 到有关产权及版权法保护。任何个人、机构未经360企业安全集团的 书面授权许可,不得以任何方式复制或引用本文的任何片断。 360终端安全管理系统 6/26/2020360企业安全集团
一、产品简介产品概述
360天擎终端安全管系统是360面向政府、企业、金融、军队、医疗、教育、制造业等大型企事业单位推出的集防病毒与终端安全管控于一体的解决方案。360天擎终端安全管理系统,以大数据技术为支撑、以可靠服务为保障,它能够为用户精确检测已知病毒木马、未知恶意代码,有效防御APT攻击,并提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审计、XP盾甲防护诸多功能。 设计理念 ?威胁发现 天擎终端可以收集终端上的各种安全状态信息,包括:漏洞修复情况、病毒木马情况、危险项情况、安全配置以及终端各种软硬件信息等。这些安全状态信息会汇集到服务器端的控制中心,使管理员全面了解网内所有终端的安全情况、硬件状态以及软件安装情况等。 ?立体防护 天擎终端具有漏洞修复、病毒木马查杀、黑白名单、硬件准入、软件准入、安全审计等多样化的防护手段,从准入、防黑加固、病毒查杀、软件和终端行为控制等多个层次,为用户构建立体防护网,确保企业终端安全。 ?安全管控 天擎控制中心为管理员提供了统一修复漏洞、统一杀毒、统一升级、流量管理、软件统一分发卸载、终端安全策略管理等多种管理功能,管理员可以通过控制台直接对网内所有终端进行统一管控。 产品架构 天擎终端安全管理系统包括安全控制中心和客户端两部分。 ?控制中心 安全控制中心是天擎终端安全管理系统的核心,部署在服务器端,主要包括安全
一、总则 第一条为了加强XXXX个人桌面终端的安全使用,保证个人桌面终端操作系统、办公软件、周边硬件、通信设备、业务系统的安全使用,切实防范和降低因桌面终端使用不当,对信息系统或数据的访问而带来的安全风险,制定本办法。 第二条本办法适用于全院医院办公环境的所有个人桌面终端管理。 第三条医院范围内个人桌面终端设备自领用起直至报废前的使用过程,应按本办法相关规定进行管理。 第四条个人桌面终端定义:接入医院网络的用于办公的各类计算机及所属设备。 二、职责 第五条医院各科室、部门对所在部门名下的个人桌面终端设备负有管理责任,信息管理部对本办法负有执行监督的责任,应保证设备的安全合理使用。按照“谁使用,谁负责”的原则,使用人对配置给个人的桌面终端负有保管和安全使用的责任,其所保管桌面终端设备,正确操作使用。 第六条信息管理部门按需组织使用人参加相应的知识培训,以掌握个人终端设备的使用方法和了解相关管理规范。 第七条任何使用人在未经他人许可的情况下,不能使用他人或其它未经授权的个人桌面终端设备,也不得将所使用的个人桌面终端设备任意转借他人。 第八条确因工作需要,使用人可以允许非医院工作人员在受监控的情况下操作其负责的个人桌面终端设备,但该使用人应承担使用过程中的全部责任。 第九条使用人在个人桌面终端设备使用过程中,有责任及时通过故障报修方式(电话或其它通讯)向相关部门上报使用过程中发生的故障、错误和各类安全事件,并应当协助维护人员工作。 第十条信息管理部有个人桌面终端设备管理的职责,将定期或不定期的组织针对个人桌面终端设备相关软硬件配置和使用情况的检查。 第十一条信息管理部有对终端使用人访问互联网的行为进行监控,并对其违规行为进行通报的责任。
“中软统一终端安全管理系统(United Endpoint Management, 简称UEM)”,以其全新的安全理念、强大的功能体系、完善的技术架构,改变了传统的内网安全管理模式,实现了主机监控与审计的完美统一。该系统采用了终端安全“一体化”的安全防护技术,整合了病毒防护监测、网络接入认证、终端健康性检查、系统身份认证、资产管理、补丁管理、运行监控和失泄密防护等等终端软件的安全功能,是终端安全的完整解决方案。 【系统功能】 该系统的主要从以下几个方面保障内部安全: 一.终端安全管理 1.安全策略管理 按照企业终端计算机安全管理规定,统一配置终端计算机的Windows安全策略,实现集中的安全策略配置管理,统一提高终端计算机用户的安全策略基线。系统所能配置的安全策略有:帐户密码策略监视、帐户锁定策略监视、审核策略监视、共享策略监视、屏保策略监视。 2.终端入网认证 对接入内网的计算机进行统一的管理,未经许可的计算机不能接入内网,接入内网的计算机必须通过安全性检查才能访问内部网络资源,其主要功能为:非法用户内联控制、主机安全性检查。 3.用户身份认证 身份认证是系统应用安全的起点,通过硬件USBKey和口令认证登录Windows系统用户身份,保证进入Windows系统用户身份的合法性;对登录用户权限进行合法性检查,保证用户权限的合规性。具体功能为:基于USBKey的身份认证、登录用户权限合法性检查。 4.网络进程管理 通过对网络进程的统一管理,规范计算机用户的网络行为,实现“外面的网路连接未经许可进不来,里面的网络进程未经许可出不去”。具体功能为:管理向外发起连接的网络进程、管理接收外部连入的网络进程、实时获取网络进程信息和会话连接状态。 5.防病毒软件监测 通过策略设置输入防病毒软件特征,按照统一的策略监测防病毒软件使用状况,并进行统计分析形成统一的数据报表。具体功能为:监视防病毒软件的使用状况、防病毒软件监测特征的自定义。 6.补丁分发管理 统一配置终端计算机的补丁管理策略,实现对系统补丁状况的扫描,自动完成补丁分发。系统所支持的补丁包括:Windows操作系统补丁系列、office系列办公软件补丁、SQL Server系列补丁等
360终端安全管理系统 用户手册 ? 2020 360企业安全集团■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
一、产品简介 (4) 1.1产品概述 (4) 1.2设计理念 (4) 1.3产品架构 (5) 二、安装部署 (6) 2.1环境准备 (6) 2.1.1服务器准备 (6) 2.1.2终端环境准备 (7) 2.1.3网络环境准备 (7) 2.2控制中心安装 (8) 2.3客户端安装 (12) 2.3.1客户端功能定制和下载 (12) 2.3.2客户端在线安装 (12) 2.3.3客户端离线安装 (13) 2.3.4客户端域安装 (15) 三.功能使用说明 (17) 3.1登录 (17) 3.2界面说明 (17) 3.2.1Banner区 (17) 3.2.2主功展示区域 (18) 3.3首页 (18) 3.3.1安全概况 (19) 3.3.2待处理任务 (19) 3.3.3服务器性能监控 (20) 3.3.4安全动态 (20) 3.3.5文件鉴定 (20) 3.3.6病毒查杀趋势 (21) 3.3.7病毒分类 (21) 3.3.8高危漏洞修复趋势 (22) 3.3.9XP盾甲趋势 (22) 3.3.10常用功能 (23) 3.3.11授权信息 (24) 3.4终端管理 (24) 3.4.1终端概况 (25) 3.4.2地址资源管理 (44) 3.4.3病毒查杀 (50) 3.4.4插件管理 (52) 3.4.5系统修复 (53) 3.4.6漏洞管理 (55) 3.4.7XP盾甲 (56)