【文章內(nèi)容簡(jiǎn)介】 天擎的主動(dòng)防御功能可以防御未知病毒、未知威脅和0Day攻擊。360主動(dòng)防御是基于程序行為自主分析判斷的實(shí)時(shí)防護(hù)技術(shù)，不以病毒的特征碼作為判斷病毒的依據(jù)，而是從最原始的病毒定義出發(fā)，直接將程序的行為作為判斷病毒的依據(jù)。360主動(dòng)防御解決了傳統(tǒng)安全軟件無(wú)法防御未知惡意軟件的弊端，從技術(shù)上實(shí)現(xiàn)了對(duì)木馬和病毒的主動(dòng)防御。在實(shí)現(xiàn)機(jī)制上可以對(duì)文件訪問(wèn)、進(jìn)程創(chuàng)建、注冊(cè)表讀寫(xiě)、網(wǎng)絡(luò)IP請(qǐng)求、設(shè)備加載完成主動(dòng)防御攔截。在隔離網(wǎng)環(huán)境下，360的云查殺優(yōu)勢(shì)無(wú)法很好的體現(xiàn)，病毒查殺率將降低，因此360為隔離網(wǎng)企業(yè)用戶準(zhǔn)備了企業(yè)私有云的解決方案。通過(guò)在隔離網(wǎng)部署企業(yè)私有云，病毒查殺效果與客戶端聯(lián)網(wǎng)時(shí)沒(méi)有差別。企業(yè)私有云屬于360天擎終端安全管理系統(tǒng)的可選組件。 終端軟件管理當(dāng)今惡意軟件從傳統(tǒng)的“感染”和“惡作劇”演變成具有政治意義和經(jīng)濟(jì)利益的催化劑，如何更加有效的檢測(cè)和識(shí)別是最具挑戰(zhàn)性的問(wèn)題之一，應(yīng)用程序控制機(jī)制應(yīng)運(yùn)而生。通過(guò)采用應(yīng)用程序文件白名單機(jī)制，對(duì)不處于白名單中的應(yīng)用程序和文件判定為“黑名單”或者“灰名單”，有效控制惡意軟件的滲透和快速傳播。360天擎提供了自動(dòng)、半自動(dòng)和手動(dòng)的應(yīng)用程序控制機(jī)制。自動(dòng)化應(yīng)用控制機(jī)制基于云端信譽(yù)庫(kù)，客戶端在運(yùn)行應(yīng)用程序時(shí)事先向云端驗(yàn)證該文件是否為可信。半自動(dòng)應(yīng)用程序控制基于客戶端對(duì)應(yīng)用程序的識(shí)別并向控制中心上報(bào)必要的系統(tǒng)、應(yīng)用程序的動(dòng)態(tài)鏈接庫(kù)文件、可執(zhí)行文件，管理員基于文件簽名、文件路徑判斷該文件是否可信。手動(dòng)應(yīng)用程序控制采用文件加白機(jī)制，對(duì)應(yīng)用程序文件提前抽取和判斷并加白，補(bǔ)充到控制中心文件信譽(yù)庫(kù)中，對(duì)企業(yè)全網(wǎng)其他客戶端均生效。 外設(shè)與移動(dòng)存儲(chǔ)管理由于外設(shè)是PC使用者獲得第三方數(shù)據(jù)的主要入口，那么通過(guò)對(duì)其獲得渠道的約束，使那些具有危險(xiǎn)性的文件，不會(huì)由于拷貝到PC上，而感染一個(gè)乃至網(wǎng)絡(luò)范圍內(nèi)的PC，從安全性上有了基本保證。PC外設(shè)常見(jiàn)的有U盤(pán)、移動(dòng)硬盤(pán)、光驅(qū)、軟驅(qū)、打印機(jī)、掃描儀，以及數(shù)碼設(shè)備等，這些設(shè)備為我們?nèi)粘５墓ぷ鲙?lái)了極大的方便，但對(duì)于PC數(shù)量眾多的企事業(yè)用戶而言，眾多外設(shè)的使用，在帶來(lái)工作便利的同時(shí)，也帶來(lái)管理上的難度。因此，一套完整嚴(yán)密的外設(shè)管理措施，對(duì)于企事業(yè)IT運(yùn)維顯得尤為重要。360天擎采用策略化的外設(shè)管理模式。管理員統(tǒng)一定義出針對(duì)不同類別外設(shè)的多個(gè)策略，一個(gè)策略可以包括多種類型設(shè)備的控制，使管理策略更有針對(duì)性。支持硬件準(zhǔn)入管理，可幫助管理員對(duì)終端的USB存儲(chǔ)設(shè)備進(jìn)行可讀寫(xiě)、只讀和禁用權(quán)限設(shè)置，以及對(duì)光驅(qū)、139藍(lán)牙、串口、并口、PCMCIA卡、手機(jī)與平板、VPN等其他外接設(shè)備進(jìn)行禁用管理。 XP防護(hù)為了徹底解決微軟停止Windows XP系統(tǒng)服務(wù)帶來(lái)的安全威脅，根除Windows XP漏洞因無(wú)法修復(fù)帶來(lái)的危害，同時(shí)又全面滿足各大企業(yè)、金融、能源、軍隊(duì)中已經(jīng)部署的大量應(yīng)用和對(duì)應(yīng)用運(yùn)行穩(wěn)定型、持續(xù)性的要求，360在設(shè)計(jì)技術(shù)方案的時(shí)候，始終堅(jiān)持、貫徹如下的設(shè)計(jì)原則：第一，以修復(fù)操作系統(tǒng)自身設(shè)計(jì)機(jī)制不足帶來(lái)的安全缺陷為主（加固），力求從根本上解決操作系統(tǒng)自身設(shè)計(jì)缺陷導(dǎo)致的安全問(wèn)題，以從理論上逐類解決安全問(wèn)題，而不是Case by case地逐個(gè)封堵、修補(bǔ)安全漏洞為第一目標(biāo)。例如：通過(guò)采用類似于stackguard的技術(shù)思路禁止在操作系統(tǒng)棧上禁止可執(zhí)行代碼來(lái)解決緩沖區(qū)溢出攻擊的shellcode執(zhí)行，這會(huì)解決一大類漏洞利用的問(wèn)題（包括已知漏洞和未知漏洞），而非只針對(duì)某一具體的漏洞利用才有效。第二，以修復(fù)操作系統(tǒng)代碼邏輯安全漏洞的熱補(bǔ)丁為輔（修補(bǔ)），目前不能排除某些漏洞的利用方法超出了我們現(xiàn)有已掌握的攻擊手段范圍，或者某個(gè)操作系統(tǒng)設(shè)計(jì)機(jī)制上新的缺陷被發(fā)現(xiàn)并利用，在這種情況下，360通過(guò)上面提到的操作系統(tǒng)加固（即修復(fù)操作系統(tǒng)設(shè)計(jì)機(jī)制缺陷）的手段就會(huì)失效，而對(duì)加固系統(tǒng)的升級(jí)相對(duì)來(lái)說(shuō)周期會(huì)比較長(zhǎng)，在這段時(shí)間內(nèi)，通過(guò)針對(duì)具體漏洞進(jìn)行修復(fù)的方式來(lái)暫時(shí)解決安全問(wèn)題，待到加固系統(tǒng)升級(jí)包穩(wěn)定之后，再進(jìn)行加固升級(jí)，從根本上解決問(wèn)題。第三，以隔離安全問(wèn)題頻出應(yīng)用軟件的執(zhí)行為（隔離）補(bǔ)充，通過(guò)360以往長(zhǎng)時(shí)間的研究發(fā)現(xiàn)，大量的安全漏洞主要集中在少數(shù)關(guān)鍵的系統(tǒng)應(yīng)用之上，如：PDF閱讀器、Office軟件、IE瀏覽器等，因此，360在設(shè)計(jì)整體方案的一個(gè)重要原則就是，通過(guò)技術(shù)手段（比如Sandbox）來(lái)隔離危險(xiǎn)應(yīng)用（即安全漏洞頻發(fā)的應(yīng)用）的執(zhí)行過(guò)程，避免這些危險(xiǎn)應(yīng)用因?yàn)樵馐艿焦舳茐乃拗鱓indows XP操作系統(tǒng)和對(duì)敏感數(shù)據(jù)的訪問(wèn)。第四，以非白即黑高強(qiáng)度的安全管控策略自動(dòng)化（制度）為保障，在大多數(shù)對(duì)安全要求非常高的環(huán)境中（如：兵器制造業(yè)、航空航天研發(fā)機(jī)構(gòu)等），要求做到萬(wàn)無(wú)一失，針對(duì)這種情況，我們?cè)诜桨钢性O(shè)計(jì)了“非白即黑”的文件白名單管理原則，并且將此項(xiàng)管理的執(zhí)行自動(dòng)化，滿足高度安全可控的強(qiáng)安全需求。根據(jù)設(shè)計(jì)原則的要求，360采用了多層防護(hù)、標(biāo)本兼治、技術(shù)與安全管理策略相結(jié)合的整體設(shè)計(jì)思路，在Windows XP系統(tǒng)之上由內(nèi)到外采用了四層防護(hù)手段，包含了系統(tǒng)加固、熱補(bǔ)丁修復(fù)、危險(xiǎn)應(yīng)用隔離、“非白即黑”安全策略等多項(xiàng)舉措。一、系統(tǒng)加固方案。通過(guò)系統(tǒng)加固解決Windows XP系統(tǒng)自身設(shè)計(jì)機(jī)制上的缺陷帶來(lái)的安全隱患，切斷這些缺陷導(dǎo)致的漏洞利用通路。360針對(duì)Windows XP系統(tǒng)之上已知的十幾種可帶來(lái)安全隱患的設(shè)計(jì)機(jī)制進(jìn)行了加固性修復(fù)，通過(guò)對(duì)上述十幾種Windows XP系統(tǒng)設(shè)計(jì)機(jī)制上缺陷的安全加固，已經(jīng)可以有效解決目前已知所有通過(guò)系統(tǒng)漏洞、應(yīng)用漏洞對(duì)Windows XP的攻擊，從根本上解決各類漏洞帶來(lái)的安全威脅。系統(tǒng)加固方案是針對(duì)微軟Windows XP停止服務(wù)后帶來(lái)漏洞無(wú)法修復(fù)等安全威脅的最根本的解決方案，Windows XP系統(tǒng)的安全問(wèn)題從本質(zhì)上來(lái)說(shuō)是操作系統(tǒng)設(shè)計(jì)的過(guò)程中，缺乏對(duì)安全充分考慮導(dǎo)致的問(wèn)題，導(dǎo)致黑客可以通過(guò)各種漏洞在Windows XP系統(tǒng)中大行其道，屬于操作系統(tǒng)設(shè)計(jì)機(jī)制上的問(wèn)題，因此只有從根本上解決這些Windows XP系統(tǒng)設(shè)計(jì)機(jī)制上的缺陷，才能徹底解決問(wèn)題，目前微軟已經(jīng)清楚地認(rèn)識(shí)到了這些問(wèn)題的存在，并逐漸在高版本操作系統(tǒng)上（如：WindowsWindows8）開(kāi)始嘗試加固，但不幸的是，由于Windows XP系統(tǒng)已經(jīng)發(fā)布超過(guò)10年，因此當(dāng)時(shí)微軟還沒(méi)來(lái)得及發(fā)現(xiàn)、考慮這些問(wèn)題，所以這些安全加固的成果并沒(méi)有體現(xiàn)在Windows XP系統(tǒng)之中，本方案的最大優(yōu)勢(shì)就在于在Windows XP系統(tǒng)之上將這些安全機(jī)制補(bǔ)齊，使Windows XP系統(tǒng)即使不升級(jí)到高版本W(wǎng)indows操作系統(tǒng)的情況下，也能擁有健全的安全防護(hù)機(jī)制。二、熱補(bǔ)丁修復(fù)方案。通過(guò)修改替換內(nèi)存中存在安全漏洞的可執(zhí)行代碼，清除存在漏洞的代碼，在不修改二進(jìn)制代碼文件的情況下，實(shí)現(xiàn)對(duì)漏洞的熱修復(fù)。熱補(bǔ)丁方案作為輔助方案，是通過(guò)替換掉已經(jīng)加載到內(nèi)存中存在安全漏洞邏輯的代碼完成對(duì)系統(tǒng)漏洞、應(yīng)用漏洞的修復(fù)，其設(shè)計(jì)邏輯如下示意圖：熱補(bǔ)丁修復(fù)是在系統(tǒng)內(nèi)存中直接對(duì)存在安全漏洞的可執(zhí)行代碼進(jìn)行精確的“外科手術(shù)”，替換過(guò)程與系統(tǒng)運(yùn)行同時(shí)進(jìn)行，涉及到操作同步、代碼空間適配等多項(xiàng)復(fù)雜工作，因此精確定位存在安全漏洞代碼的位置，并進(jìn)行小心替換是熱補(bǔ)丁修復(fù)成功的關(guān)鍵，如果替換失敗，將直接導(dǎo)致系統(tǒng)崩潰或應(yīng)用崩潰，因此熱補(bǔ)丁修復(fù)技術(shù)需要有豐富的包括Windows XP在內(nèi)的微軟操作系統(tǒng)底層開(kāi)發(fā)經(jīng)驗(yàn)積累，同時(shí)也需要長(zhǎng)時(shí)間Windows系統(tǒng)熱補(bǔ)丁修復(fù)的豐富實(shí)踐，在提