项目背景

目前终端安全管理制度的控制点缺乏有效的技术执行措施，仅仅依靠终端使用者的自觉性是很难落实相应的管理制度的，主要存在的问题有：

USB无线路由屡禁不止：在办公电脑上使用USB无线路由，使终端暴露在不可控的无线网络空间，不受控的智能终端或其他无线设备可以任意接入XXX办公网，造成极大的安全隐患。

USB移动存储及各种外设滥用：在办公电脑上任意接入USB移动存储，给XXX内网带来很大的恶意代码感染风险，蓝牙、红外等外设接口的滥用，也带来非法外联的风险。

随意安装和运行各种软件：通常终端使用者都具有操作系统本地管理员权限，可以任意安装运行各种娱乐、盗版软件，给XXX带来了声誉风险及版权风险。

任意使用带宽资源导致网络拥塞：虽然XXX在网络边界部署了流量控制设备，制定了带宽限制策略，但无法实现基于应用的流量限制，内网依然存在P2P软件占用带宽，影响正常办公的情况。

随意更改主机信息：终端使用者可随意更改主机名、IP地址、MAC地址等信息，对资产管理、网络审计等方面造成不便。

完善的终端安全防御体系

本次采用的天擎终端安全管理系统，包含技术先进的网络版防病毒功能，支持对蠕虫病毒、恶意软件、广告软件、勒索软件、引导区病毒、BIOS病毒的查杀，这依赖于QVM人工智能引擎、云查杀引擎、AVE（针对可执行文件的引擎）、QEX（针对非可执行文件的引擎）等多引擎的协同工作。

360云查杀建立在云端庞大的黑白名单数据库基础上，病毒检出率高，系统资源占用低。通过使用云端的黑白名单验证的方法，可以最大限度的保护数据安全。360杀毒具备100亿黑白名单库，而且每天黑白名单库都在以百万级的数量在增长。

天擎的主动防御功能可以防御未知病毒、未知威胁和0-Day攻击。360主动防御是基于程序行为自主分析判断的实时防护技术，不以病毒的特征码作为判断病毒的依据，而是从最原始的病毒定义出发，直接将程序的行为作为判断病毒的依据。360主动防御解决了传统安全软件无法防御未知恶意软件的弊端，从技术上实现了对木马和病毒的主动防御。在实现机制上可以对文件访问、进程创建、注册表读写、网络IP请求、设备加载完成主动防御拦截。

  完善的终端安全防御体系

立体布防，层层防御（空间维度）

天擎本身具有终端安全防御，云端公有/私有云查杀的功能特性，如果与360的另一款产品天眼威胁感知系统（部署在网络边界）相结合，便可以构成“云 + 端 + 边界”的整体防御体系。通过在网络边界、终端系统部署查杀设备与查杀软件，同时结合云端查杀的多点立体布防，可实现对已知病毒及恶意代码、未知病毒及恶意代码、利用已知漏洞和0day漏洞（未知漏洞）发起的攻击渗透、乃至利用上述技术手段发起的APT攻击行为进行深度检测与精确阻断。从空间维度上做到立体布防，层层防御。

动静结合、全程查杀（时间维度）

天擎采用动静结合的多层次、全生命周期的病毒防御体系。结合了传统本地查杀引擎、360公有云查杀引擎、QVM机器学习查杀引擎、主动防御技术、沙箱技术、非白即黑的白名单策略等高级病毒查杀与防御技术，对病毒及恶意代码从进入网络、终端落地、运行时等生命周期的不同阶段进行多层过滤、动静结合、全程查杀。

全面监控，量化风险

天擎不仅提供对终端硬件资产、软件与操作系统、网络配置变动的监控，还提供终端体检与系统修复、升级与补丁分发、流量管理、系统优化与加速、企业级软件商店等几十项安全管理功能。可以根据企业单位内部要求、行业管理规定、终端风险等级下发统一安全策略，针对不同状态的终端执行特殊安全策略，实施手术刀似的精准管理。通过细粒度的统计与详尽的日志报表可以纵观全网终端的安全态势，包括病毒查杀趋势、高危漏洞修复态势、文件风险等级划分等，对全网终端风险做到量化观测，高效管理，全面监控。

智能学习，不断进化

互联网已经成为人工智能进化的基石，而大数据便是进化的源泉。360自主研发的QVM人工智能引擎采用了先进的人工智能算法，具备“自学习、自进化”能力，可以像病毒分析师一样思考。通过对360超过100亿的黑白名单、海量病毒样本大数据的不断学习分析，研究它们的变化规律，QVM人工智能引擎持续优化完善自身算法，做到不需要频繁升级特征库，就能防御90%以上的加壳和变种新病毒，而不会像常规杀毒引擎一样，“不升级病毒库就杀不了新病毒”，并且病毒检出率远远超过了第一、二代杀毒引擎的总和，查杀速度领先传统引擎至少一倍。

部署实施

内网与互联网隔离，需要在内网部署一台天擎控制中心，将天擎私有云平台接入内网并做好相应配置，在所有内网终端上安装天擎客户端代理，在办公网安装隔离网升级工具，定期从360相关的服务器下载病毒库、木马库、漏洞补丁文件等，更新到控制中心后，所有天擎终端都可以自动升级和修复漏洞。由专人负责控制中心的日常运行，定时查看各终端的安全情况，下发统一杀毒、漏洞修复等策略。本次天擎部署拓扑示意图如下：