【文章內(nèi)容簡介】 天擎的主動防御功能可以防御未知病毒、未知威脅和0Day攻擊。360主動防御是基于程序行為自主分析判斷的實時防護技術(shù)，不以病毒的特征碼作為判斷病毒的依據(jù)，而是從最原始的病毒定義出發(fā)，直接將程序的行為作為判斷病毒的依據(jù)。360主動防御解決了傳統(tǒng)安全軟件無法防御未知惡意軟件的弊端，從技術(shù)上實現(xiàn)了對木馬和病毒的主動防御。在實現(xiàn)機制上可以對文件訪問、進程創(chuàng)建、注冊表讀寫、網(wǎng)絡(luò)IP請求、設(shè)備加載完成主動防御攔截。在隔離網(wǎng)環(huán)境下，360的云查殺優(yōu)勢無法很好的體現(xiàn)，病毒查殺率將降低，因此360為隔離網(wǎng)企業(yè)用戶準(zhǔn)備了企業(yè)私有云的解決方案。通過在隔離網(wǎng)部署企業(yè)私有云，病毒查殺效果與客戶端聯(lián)網(wǎng)時沒有差別。企業(yè)私有云屬于360天擎終端安全管理系統(tǒng)的可選組件。 終端軟件管理當(dāng)今惡意軟件從傳統(tǒng)的“感染”和“惡作劇”演變成具有政治意義和經(jīng)濟利益的催化劑，如何更加有效的檢測和識別是最具挑戰(zhàn)性的問題之一，應(yīng)用程序控制機制應(yīng)運而生。通過采用應(yīng)用程序文件白名單機制，對不處于白名單中的應(yīng)用程序和文件判定為“黑名單”或者“灰名單”，有效控制惡意軟件的滲透和快速傳播。360天擎提供了自動、半自動和手動的應(yīng)用程序控制機制。自動化應(yīng)用控制機制基于云端信譽庫，客戶端在運行應(yīng)用程序時事先向云端驗證該文件是否為可信。半自動應(yīng)用程序控制基于客戶端對應(yīng)用程序的識別并向控制中心上報必要的系統(tǒng)、應(yīng)用程序的動態(tài)鏈接庫文件、可執(zhí)行文件，管理員基于文件簽名、文件路徑判斷該文件是否可信。手動應(yīng)用程序控制采用文件加白機制，對應(yīng)用程序文件提前抽取和判斷并加白，補充到控制中心文件信譽庫中，對企業(yè)全網(wǎng)其他客戶端均生效。 外設(shè)與移動存儲管理由于外設(shè)是PC使用者獲得第三方數(shù)據(jù)的主要入口，那么通過對其獲得渠道的約束，使那些具有危險性的文件，不會由于拷貝到PC上，而感染一個乃至網(wǎng)絡(luò)范圍內(nèi)的PC，從安全性上有了基本保證。PC外設(shè)常見的有U盤、移動硬盤、光驅(qū)、軟驅(qū)、打印機、掃描儀，以及數(shù)碼設(shè)備等，這些設(shè)備為我們?nèi)粘５墓ぷ鲙砹藰O大的方便，但對于PC數(shù)量眾多的企事業(yè)用戶而言，眾多外設(shè)的使用，在帶來工作便利的同時，也帶來管理上的難度。因此，一套完整嚴密的外設(shè)管理措施，對于企事業(yè)IT運維顯得尤為重要。360天擎采用策略化的外設(shè)管理模式。管理員統(tǒng)一定義出針對不同類別外設(shè)的多個策略，一個策略可以包括多種類型設(shè)備的控制，使管理策略更有針對性。支持硬件準(zhǔn)入管理，可幫助管理員對終端的USB存儲設(shè)備進行可讀寫、只讀和禁用權(quán)限設(shè)置，以及對光驅(qū)、139藍牙、串口、并口、PCMCIA卡、手機與平板、VPN等其他外接設(shè)備進行禁用管理。 XP防護為了徹底解決微軟停止Windows XP系統(tǒng)服務(wù)帶來的安全威脅，根除Windows XP漏洞因無法修復(fù)帶來的危害，同時又全面滿足各大企業(yè)、金融、能源、軍隊中已經(jīng)部署的大量應(yīng)用和對應(yīng)用運行穩(wěn)定型、持續(xù)性的要求，360在設(shè)計技術(shù)方案的時候，始終堅持、貫徹如下的設(shè)計原則：第一，以修復(fù)操作系統(tǒng)自身設(shè)計機制不足帶來的安全缺陷為主（加固），力求從根本上解決操作系統(tǒng)自身設(shè)計缺陷導(dǎo)致的安全問題，以從理論上逐類解決安全問題，而不是Case by case地逐個封堵、修補安全漏洞為第一目標(biāo)。例如：通過采用類似于stackguard的技術(shù)思路禁止在操作系統(tǒng)棧上禁止可執(zhí)行代碼來解決緩沖區(qū)溢出攻擊的shellcode執(zhí)行，這會解決一大類漏洞利用的問題（包括已知漏洞和未知漏洞），而非只針對某一具體的漏洞利用才有效。第二，以修復(fù)操作系統(tǒng)代碼邏輯安全漏洞的熱補丁為輔（修補），目前不能排除某些漏洞的利用方法超出了我們現(xiàn)有已掌握的攻擊手段范圍，或者某個操作系統(tǒng)設(shè)計機制上新的缺陷被發(fā)現(xiàn)并利用，在這種情況下，360通過上面提到的操作系統(tǒng)加固（即修復(fù)操作系統(tǒng)設(shè)計機制缺陷）的手段就會失效，而對加固系統(tǒng)的升級相對來說周期會比較長，在這段時間內(nèi)，通過針對具體漏洞進行修復(fù)的方式來暫時解決安全問題，待到加固系統(tǒng)升級包穩(wěn)定之后，再進行加固升級，從根本上解決問題。第三，以隔離安全問題頻出應(yīng)用軟件的執(zhí)行為（隔離）補充，通過360以往長時間的研究發(fā)現(xiàn)，大量的安全漏洞主要集中在少數(shù)關(guān)鍵的系統(tǒng)應(yīng)用之上，如：PDF閱讀器、Office軟件、IE瀏覽器等，因此，360在設(shè)計整體方案的一個重要原則就是，通過技術(shù)手段（比如Sandbox）來隔離危險應(yīng)用（即安全漏洞頻發(fā)的應(yīng)用）的執(zhí)行過程，避免這些危險應(yīng)用因為遭受到攻擊而破壞宿主Windows XP操作系統(tǒng)和對敏感數(shù)據(jù)的訪問。第四，以非白即黑高強度的安全管控策略自動化（制度）為保障，在大多數(shù)對安全要求非常高的環(huán)境中（如：兵器制造業(yè)、航空航天研發(fā)機構(gòu)等），要求做到萬無一失，針對這種情況，我們在方案中設(shè)計了“非白即黑”的文件白名單管理原則，并且將此項管理的執(zhí)行自動化，滿足高度安全可控的強安全需求。根據(jù)設(shè)計原則的要求，360采用了多層防護、標(biāo)本兼治、技術(shù)與安全管理策略相結(jié)合的整體設(shè)計思路，在Windows XP系統(tǒng)之上由內(nèi)到外采用了四層防護手段，包含了系統(tǒng)加固、熱補丁修復(fù)、危險應(yīng)用隔離、“非白即黑”安全策略等多項舉措。一、系統(tǒng)加固方案。通過系統(tǒng)加固解決Windows XP系統(tǒng)自身設(shè)計機制上的缺陷帶來的安全隱患，切斷這些缺陷導(dǎo)致的漏洞利用通路。360針對Windows XP系統(tǒng)之上已知的十幾種可帶來安全隱患的設(shè)計機制進行了加固性修復(fù)，通過對上述十幾種Windows XP系統(tǒng)設(shè)計機制上缺陷的安全加固，已經(jīng)可以有效解決目前已知所有通過系統(tǒng)漏洞、應(yīng)用漏洞對Windows XP的攻擊，從根本上解決各類漏洞帶來的安全威脅。系統(tǒng)加固方案是針對微軟Windows XP停止服務(wù)后帶來漏洞無法修復(fù)等安全威脅的最根本的解決方案，Windows XP系統(tǒng)的安全問題從本質(zhì)上來說是操作系統(tǒng)設(shè)計的過程中，缺乏對安全充分考慮導(dǎo)致的問題，導(dǎo)致黑客可以通過各種漏洞在Windows XP系統(tǒng)中大行其道，屬于操作系統(tǒng)設(shè)計機制上的問題，因此只有從根本上解決這些Windows XP系統(tǒng)設(shè)計機制上的缺陷，才能徹底解決問題，目前微軟已經(jīng)清楚地認識到了這些問題的存在，并逐漸在高版本操作系統(tǒng)上（如：WindowsWindows8）開始嘗試加固，但不幸的是，由于Windows XP系統(tǒng)已經(jīng)發(fā)布超過10年，因此當(dāng)時微軟還沒來得及發(fā)現(xiàn)、考慮這些問題，所以這些安全加固的成果并沒有體現(xiàn)在Windows XP系統(tǒng)之中，本方案的最大優(yōu)勢就在于在Windows XP系統(tǒng)之上將這些安全機制補齊，使Windows XP系統(tǒng)即使不升級到高版本W(wǎng)indows操作系統(tǒng)的情況下，也能擁有健全的安全防護機制。二、熱補丁修復(fù)方案。通過修改替換內(nèi)存中存在安全漏洞的可執(zhí)行代碼，清除存在漏洞的代碼，在不修改二進制代碼文件的情況下，實現(xiàn)對漏洞的熱修復(fù)。熱補丁方案作為輔助方案，是通過替換掉已經(jīng)加載到內(nèi)存中存在安全漏洞邏輯的代碼完成對系統(tǒng)漏洞、應(yīng)用漏洞的修復(fù)，其設(shè)計邏輯如下示意圖：熱補丁修復(fù)是在系統(tǒng)內(nèi)存中直接對存在安全漏洞的可執(zhí)行代碼進行精確的“外科手術(shù)”，替換過程與系統(tǒng)運行同時進行，涉及到操作同步、代碼空間適配等多項復(fù)雜工作，因此精確定位存在安全漏洞代碼的位置，并進行小心替換是熱補丁修復(fù)成功的關(guān)鍵，如果替換失敗，將直接導(dǎo)致系統(tǒng)崩潰或應(yīng)用崩潰，因此熱補丁修復(fù)技術(shù)需要有豐富的包括Windows XP在內(nèi)的微軟操作系統(tǒng)底層開發(fā)經(jīng)驗積累，同時也需要長時間Windows系統(tǒng)熱補丁修復(fù)的豐富實踐，在提