【7、一体化终端管理（天擎）】天擎终端安全管理系统V60_产品白皮书_V10-精品文档整理-精品文档资料.docx

《【7、一体化终端管理（天擎）】天擎终端安全管理系统V60_产品白皮书_V10-精品文档整理-精品文档资料.docx》由会员分享，可在线阅读，更多相关《【7、一体化终端管理（天擎）】天擎终端安全管理系统V60_产品白皮书_V10-精品文档整理-精品文档资料.docx（25页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、360天擎终端安全管理系统产品白皮书目录1.引言12.产品介绍22.1产品概述22.2产品理念22.3产品架构33.产品功能43.1病毒/木马防护43.2补丁管理53.3资产管理53.4软件管家63.5终端安全运维63.6移动存储介质管理63.7安全U盘73.8XP盾甲83.9终端强制合规（NAC)93.10终端审计103.11威胁追踪模块（EDR）103.12报表管理114.产品优势114.1终端安全一体化124.2病毒防御多维化124.3安全管控智能化125.典型部署135.1互联网络部署方案135.2隔离网络部署方案145.3级联管控部署方案（大型网络环境）165.4终端强制合规（NAC

2、）旁路部署方案185.5终端强制合规（NAC）802.1x部署方案195.6部署清单216.产品价值226.1自主知识产权，杜绝后门隐患226.2解决安全问题，安全不只合规226.3强大管理能力，提高运维效率226.4灵活扩展能力，持续安全升级231. 引言随着云计算、大数据、人工智能技术的飞速发展，各级政府机构、组织、企业单位等建立了庞大而复杂的网络信息系统。与此同时，政企客户也构建了大量的防御措施，防火墙、入侵检测系统等边界网络安全产品可以解决信息系统一部分安全问题，但计算机终端的信息安全始终是整个网络信息系统安全的一个薄弱环节。在客户网络中，大量计算机终端未部署有效的终端安全防护系统，造

3、成内部网络木马、病毒、恶意软件肆虐，勒索、挖矿病毒横行；由于系统和软件的漏洞无法避免，以及终端安全管理手段的缺失，计算机对外暴露大量风险点，也给黑客入侵提供了便利；自主知识产权操作系统的缺乏，使得国内广大XP用户在停服后面临前所未有的挑战。除此之外，企事业单位内部网络与终端安全问题还包括： 终端病毒、木马问题严重，不能高效有序查杀； 全网被动防御病毒、木马的传播与破坏，无法应对未知威胁； 不能及时发现系统漏洞并进行补丁分发与自动修复； IT资产不能精确统计，资产变动情况掌握滞后； 终端单点维护依靠大量人工现场处理； 未经认证的U盘、移动硬盘等移动存储介质成为病毒传播的载体； 光驱、网卡、蓝牙、

4、USB接口、无线等设备成为风险引入的新途径； 终端随意接入网络，入网后未经授权访问核心资源； 非法外联不能及时报警并阻断，导致重要资料数据外传流失； 终端随意私装软件，恶意进程持续消耗有限网络带宽资源； 针对政企客户的定向攻击持续且隐蔽性高，造成严重后果；针对以上问题，奇安信集团基于终端安全方面多年的技术沉淀和实践经验，不断完善终端安全管理系统和产品解决方案。 2. 产品介绍2.1 产品概述360天擎终端安全管理系统是面向政府、企业、金融、军队、医疗、教育、制造业等大型企事业单位推出的集防病毒与终端安全管控于一体的解决方案。360天擎终端安全管理系统，以大数据技术为支撑、以可靠服务为保障，它能

5、够为用户精确检测已知病毒木马、未知恶意代码，有效防御APT攻击，并提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审计、XP盾甲防护诸多功能。2.2 产品理念针对政企客户终端面临的外部威胁和内部管理痛点，奇安信集团基于“终端安全一体化”产品理念，推出集防病毒和安全管控于一体的安全管理系统，结合云端统一的大数据和威胁情报，有效发现识别病毒、木马、APT等各类威胁，通过病毒查杀、准入、防黑加固等安能力，为用户构建立体防护体系，同时完美兼容不同操作系统和计算平台，实现平台一体化。2.3 产品架构360天擎终端安全管理系统包括安全控制中心和客户端两部分。 控制中心安全

6、控制中心是360天擎终端安全管理系统的核心，部署在服务器端，主要包括安全管控和安全事件收集告警两大功能。安全控制中心采用B/S架构，管理员可以随时随地的通过浏览器打开访问，对360天擎终端安全管理系统终端进行管理和控制。主要有分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量监控、终端软硬件资产管理等。安全此外安全控制中心还提供了系统运维的基础服务，如：云查杀服务、终端升级服务、数据服务、通讯服务等。安全事件收集告警，通过管控中心，管理员可以了解全网终端的告警信息，通过报表分析，掌握全网威胁状况。 客户端客户端部署在需要被保护的终端或服务器上，执行最终的木马病毒查杀、漏

7、洞修复、安全防护等安全操作。并与安全控制中心通信，提供控制中心管理所需的相关安全告警信息。3. 产品功能3.1 病毒/木马防护360天擎终端安全管理系统支持对蠕虫病毒、恶意软件、广告软件、勒索软件、引导区病毒、BIOS病毒的查杀，这依赖于QVM人工智能引擎、云查杀引擎、AVE（针对可执行文件的引擎）、QEX（针对非可执行文件的引擎）等多引擎的协同工作。云查杀引擎建立在云端庞大的黑白名单数据库基础上，病毒检出率高，系统资源占用低。通过使用云端的黑白名单验证的方法，可以最大限度的保护数据安全。奇安信威胁情报中心具备200亿黑白名单库，而且每天黑白名单库都在以百万级的数量在增长。主动防御功能可以防御

8、未知病毒、未知威胁。主动防御是基于程序行为自主分析判断的实时防护技术，不以病毒的特征码作为判断病毒的依据，而是从最原始的病毒定义出发，直接将程序的行为作为判断病毒的依据。主动防御解决了传统安全软件无法防御未知恶意软件的弊端，从技术上实现了对木马和病毒的主动防御。在实现机制上可以对文件访问、进程创建、注册表读写、网络IP请求、设备加载完成主动防御拦截。在隔离网环境下，云查杀优势无法很好的体现，病毒查杀率将降低，因此奇安信为隔离网企业用户准备了企业私有云的解决方案。通过在隔离网部署企业私有云，病毒查杀效果与客户端联网时几乎没有差别。企业私有云系统属于360天擎终端安全管理系统的可选组件。3.2 补

9、丁管理在企业的数据中心和办公网络中存在各种不同类型的操作系统及不同版本的操作系统都需要管理员进行全面的补丁管理，管理员往往需要甄别不同的操作系统并根据各个系统的不同情况有选择性的下发系统补丁，服务器系统尤为复杂，需要管理员将补丁与服务器应用进行兼容性测试后才能对相应的服务器进行补丁升级操作。360天擎终端安全管理系统可以对全网计算机进行漏洞扫描把计算机与漏洞进行多维关联，可以根据终端或漏洞进行分组管理，并且能够根据不同的计算机分组与操作系统类型将补丁错峰下发，在保障企业网络带宽的前提下可以有效提升企业整体漏洞防护等级。3.3 资产管理360天擎终端安全管理系统具有强大的终端资产管理功能，管理员

10、可以通过定义网络IP段分组，对指定的网络分组进行周期性地发现（采用多协议、多机制方式）与统计网络中的终端数量及类型。通过该功能，管理员快速了解全网终端数量和360天擎终端安全管理系统终端的安装量，为企业终端安全管理运维提供有效的参考。另外，对单台终端具有全面的安全运维管理功能，包含终端的硬件资产管理、软件资产管理、系统服务管理、进程管理、账号管理、网络管理、系统事件管理、补丁管理、终端安全威胁统等功能。3.4 软件管家软件管家系统致力于为政府企业客户快速便捷地建立私有、安全、个性化、场景化的软件应用平台，提供安全可靠的软件源及对终端的软件应用过程进行有效的生命周期管理；提供全面的软件资产管理闭

11、环，为终端软件安全应用提供保障；通过丰富直观的可视化报表功能，管理员可以轻松掌握网内软件资产及应用情况，及时发现和解决软件安全合规问题，为企业的运维管理者提供全自动化的终端软件应用管理平台，有效降低和解决软件供应链攻击事件对终端安全的威胁。软件管家立足于软件威胁检测和识别能力，通过软件资产管理和分发的平台，严守软件来源，严控软件分发通道，严管软件合规使用，服务于企业的软件生命周期管理，实现软件资产的闭环管理。3.5 终端安全运维终端安全运维包含对终端的流量监控、非法外联、应用程序安全、网络安全、外设、桌面安全加固等。通过创建不同的规则或者规则组合来判断终端所处环境，可以根据终端所处不同的环境来

12、执行不同的策略。比如，可以根据终端所处场景（合规场所、违规场所、无线场所）进行管理与配置，通过规则中的IP、域名、DNS等方式综合判断终端所在场所。终端处于不同场所执行不同的管理策略。3.6 移动存储介质管理360天擎终端安全管理系统，能够实现对移动存储设备的灵活管控，保证终端与移动存储介质进行数据交换和共享过程中的信息安全要求。移动存储管理包括移动存储介质的身份注册、网内终端授权管理、移动介质挂失管理、外出管理和终端设备例外等功能。移动存储管理解决了用户在安全管控要求下使用移动存储介质，实现数据共享和数据交换的迫切需求。移动存储管理支持分组管理，给予不同的移动存储介质相应的授权使用范围和读写

13、权限，同时支持设备状态的追踪与管理。3.7 安全U盘移动存储介质管理系统作为360天擎终端安全管理系统的增值模块，是奇安信集团面向政府、企业、金融、军队、医疗、教育、制造业等大型企事业单位推出的移动存储介质管理方案。它以终端底层技术为支撑、以可靠服务为保障，为用户提供终端移动存储介质（安全U盘）全生命周期的安全管理。360天擎安全U盘是采用安全固件进行加密的移动存储介质，有效解决了木马摆渡、病毒传播、U盘交叉使用和U盘文件使用缺乏审计等方面的安全问题，通过定制安全芯片的应用大大提高了U盘的安全特性，保证即使U盘丢失也依然可以有效保护U盘内的加密文件，从各个方面减少了因U盘使用而为企业内网带来的

14、安全隐患360天擎安全U盘针对普通U盘在主控芯片、引导程序、固件、数据存储等不同模块面临的风险点，采取相应的安全手段，补齐安全短板，防止非法、未授权的访问、剖片攻击、 附件篡改等风险，保障移动介质的合规使用以及数据的安全性。3.8 XP盾甲为了彻底解决微软停止Windows XP系统服务带来的安全威胁，根除Windows XP漏洞因无法修复带来的危害，同时又全面满足各大企业、金融、能源、军队中已经部署的大量应用和对应用运行稳定型、持续性的要求，奇安信在设计技术方案的时候，始终坚持、贯彻如下的设计原则：第一，以修复操作系统自身设计机制不足带来的安全缺陷为主（加固），力求从根本上解决操作系统自身设

15、计缺陷导致的安全问题，以从理论上逐类解决安全问题，而不是Case by case地逐个封堵、修补安全漏洞为第一目标。例如：通过采用类似于stackguard的技术思路禁止在操作系统栈上禁止可执行代码来解决缓冲区溢出攻击的shellcode执行，这会解决一大类漏洞利用的问题（包括已知漏洞和未知漏洞），而非只针对某一具体的漏洞利用才有效。第二，以修复操作系统代码逻辑安全漏洞的热补丁为辅（修补），目前不能排除某些漏洞的利用方法超出了我们现有已掌握的攻击手段范围，或者某个操作系统设计机制上新的缺陷被发现并利用，在这种情况下，奇安信通过上面提到的操作系统加固（即修复操作系统设计机制缺陷）的手段就会失效，

16、而对加固系统的升级相对来说周期会比较长，在这段时间内，通过针对具体漏洞进行修复的方式来暂时解决安全问题，待到加固系统升级包稳定之后，再进行加固升级，从根本上解决问题。第三，以隔离安全问题频出应用软件的执行为（隔离）补充，通过奇安信以往长时间的研究发现，大量的安全漏洞主要集中在少数关键的系统应用之上，如：PDF阅读器、Office软件、IE浏览器等，因此，奇安信在设计整体方案的一个重要原则就是，通过技术手段（比如Sandbox）来隔离危险应用（即安全漏洞频发的应用）的执行过程，避免这些危险应用因为遭受到攻击而破坏宿主Windows XP操作系统和对敏感数据的访问。第四，以非白即黑高强度的安全管控

17、策略自动化（制度）为保障，在大多数对安全要求非常高的环境中（如：兵器制造业、航空航天研发机构等），要求做到万无一失，针对这种情况，我们在方案中设计了“非白即黑”的文件白名单管理原则，并且将此项管理的执行自动化，满足高度安全可控的强安全需求。根据设计原则的要求，XP遁甲采用了多层防护、标本兼治、技术与安全管理策略相结合的整体设计思路，在Windows XP系统之上由内到外采用了四层防护手段，包含了系统加固、热补丁修复、危险应用隔离、“非白即黑”安全策略等多项举措。3.9 终端强制合规（NAC)360天擎终端安全管理系统强制合规（NAC）组件主要为企事业单位解决入网安全合规性要求，实现用户和设备的

18、网络实名制认证管理、网络边界安全防护管理、核心业务访问准入等问题。用于防止企业网络资源不受设备接入所引起的各种威胁，在有效管理用户接入网络行为的同时，也达到了规范化地管理计算机终端的目的。产品已支持Web Portal(应用准入)、802.1X和安全检查能功能。具备从接入发现、用户注册、认证授权、安全检查、隔离修复、访问控制 “一站式”的全部入网控制流程。并且支持多种认证技术，多因素认证凭证，多条件绑定机制，支持混合认证模式，多层防护体系，适应各种复杂网络环境。产品具备可扩展多种第三方认证源，保证认证入网的灵活性。系统提出三不原则，即：不升级用户网络、不改变网络结构、不造成单点故障。最大化的支

19、持企业内部网络准入控制需求，从而使内部网络管理变得安全、透明、可控，达到信息安全管理要求。3.10 终端审计随着信息安全技术和理念的发展，安全监控的关注点已经从设备转向对于设备使用者的行为，用户对于设备使用人行为审计和行为控制的需求越来越明显，360天擎终端安全管理系统通过技术手段使各种管理条例落地，增强用户的安全和保密意识，保护内部的信息不外泄。所审计的内容只是跟内网安全合规管理相关的信息，不对涉及终端用户的个人隐私信息，达到合规管理的审计的要求。目前可进行审计的内容包括软件使用日志、外设使用日志、开关机日志、系统帐号日志、文件操作日志、文件打印日志、邮件记录日志、安全U盘审计。3.11 威

20、胁追踪模块（EDR）在企业终端安全领域，企业用户不但能接触到面向企业个人的安全威胁，同时还有可能接触到面向企业资产的安全威胁。由于企业资产的价值是远高于企业个人的，所以攻击者愿意付出更多的攻击成本来实施安全威胁。这些成本往往包括一个团队，使用鱼叉攻击、社会工程学攻击等定向攻击的方式，甚至还有可能使用0day漏洞来提升攻击的强度，确保最终威胁实施的成功和隐蔽。同时，由于企业的安全大数据相对封闭，导致安全厂商无法第一时间帮助企业用户处理安全威胁。而企业的安全运维能力往往不足，最终导致面向企业资产的安全威胁的响应速度严重不足，甚至在企业内潜伏多年，无法发现。360天擎终端安全响应系统（Endpoin

21、t Detection and Response，EDR）是国内首款针对于高级威胁进行快速检测和响应的新一代终端安全产品，它可以持续洞察内网终端的安全活动信息，并结合奇安信集团大数据威胁情报等线索对内网沦陷终端进行快速的检索和定位，并提供针对威胁事件的自动化响应和修复能力，在对抗高级威胁中获得更好的效果与更快的效率，最大限度压缩攻击者的攻击时间，减少高级威胁最终达到目的可能性。EDR以威胁情报驱动，采取了一种全新的“攻防倒置”的思路，改变原有的防守方如果有一次的防御的失误，攻击者就会成功的渗透现象。依靠大数据威胁情报的指引，通过最新的安全线索快速锁定威胁终端，通过实时数据和历史终端信息对于受害

22、终端进行深度评估，揭示内网终端的安全缺陷，通过自动化响应机制进行处置。在大数据威胁情报的指引下，终端安全响应系统可以将一个复杂的高级威胁安全响应，分解成为定位、评估、响应等一系列行动过程，从而解决了高级威胁难以处置的问题。定位是从恰当的线索开始的，线索包括文件MD5、运行命令参数、IP、域名等，线索的来源既可以是企业内部运行规则，也可以是奇安信威胁情报中心推送的威胁情报。通过数据采集引擎，持续采集终端各类动态行为数据与静态属性信息,并上报到奇安信硬件大数据分析平台，结合威胁情报进行自动化分析判断，进而精确定位到沦陷终端。通过EDR的进程树还原功能，对沦陷终端进行追本溯源，还原攻击者入侵过程，评

23、估影响范围。3.12 报表管理360天擎终端安全管理系统支持对终端安全日志、漏洞修复、病毒日志、木马查杀、插件清除、系统危险项，安全配置、文件及应用日志、终端事件告警等信息进行报表统计。能够从终端、全网、分组等多维度，以及图表、数据等多视图角度进行统计与展现，也能按周、月、季、年的时间维度进行趋势分析，同时支持报表的导出及打印，帮助管理员对日常安全防护、安全运维工作进行分析评估。4. 产品优势360天擎终端安全与管理系统的核心价值在于对终端安全的防护与管理。奇安信自身经过多年的投入与积累，沉淀下了多项针对终端安全防御的技术，这些技术在整个安全行业领域内都具有独创性与先进性得到了国内广大用户的认

24、可，在企业安全领域，天擎终端安全管理系统已累计为国内7千家企事业单位、超过3300万终端提供了安全防护及终端管理。4.1 终端安全一体化 功能一体化：国内首家集终端防病毒和安全管控于一体的终端安全管理系统； 平台一体化：完美兼容Windows、Linux、国产操作系统、MacOS X，同时支持桌面和服务器操作系统； 数据一体化：结合云端大数据和威胁情报，有效感知本地安全态势；4.2 病毒防御多维化 多引擎技术：拥有领先的云查杀引擎、系统修复引擎、QEX脚本查杀引擎、启发式引擎、QVM人工智能引擎，有效查杀已知和未知病毒 立体化主防：具备隔离防护、5层入口防护、7层系统防护及8层应用防护等主动防

25、御技术 智能自学习：通过海量病毒样本数据自学习，QVM-II人工智能引擎无需频繁更新特征库、病毒检出率仍远超传统查杀引擎 “非白即黑”安全策略：具备及时发现和抵御未知威胁的能力，并可以通过与天眼系统进行联动，有效抵御APT攻击4.3 安全管控智能化 资产管理：自动识别全网终端资产信息，实时监控系统状态并告警，保障业务连续性 安全策略管理：通过非法外联、外设管理、进程控制、主机防火墙、桌面安全加固等多元化方式，提升终端安全等级 漏洞补丁管理：对全网终端漏洞进行扫描并关联，根据终端分组或操作系统类型错峰下发补丁 网络安全准入：支持旁路应用准入、802.1x准入及其它多种准入技术，对不满足安全性检查

26、的终端不予接入网络，并引导到修复区进行安全修复 审计管控：全网文件安全审计，外设使用审计，多级管理，多种报警方式，实现高效的全网管控5. 典型部署5.1 互联网络部署方案 方案特点该方案适用于能够连接互联网环境的用户，内网中部署一套360天擎终端安全管理系统，网内中的办公终端安装360天擎终端安全管理系统客户端，通过360天擎终端安全管理系统进行统一安全管控。 部署示意图在网络内部部署360天擎终端安全管理系统控制中心和终端，360天擎终端安全管理系统终端通过控制中心连接到奇安信的升级服务器进行升级、更新等，控制中心具有缓存功能，同样的数据文件只会下载一次，可以极大的节省企业总出口带宽。360

27、天擎终端安全管理系统终端根据控制中心制定的安全策略，进行体检、杀毒和修复漏洞等安全操作。进行杀毒扫描时，360天擎终端安全管理系统终端可以直接连接奇安信的云查杀系统，进行云查杀。 部署过程1、安装360天擎终端安全管理系统控制中心。2、部署360天擎终端安全管理系统终端。3、设置安全策略。4、终端集中管理。5.2 隔离网络部署方案 方案特点该方案适用于无法直接连接互联网环境的用户，内网中部署一套360天擎终端安全管理系统，网内中的终端安装360天擎终端安全管理系统客户端，通过360天擎终端安全管理系统进行统一安全管控，360天擎终端安全管理系统的病毒/补丁等更新程序通过离线升级工具进行拷贝导入

28、。 部署示意图在企业内部部署360天擎终端安全管理系统控制中心和终端，360天擎终端安全管理系统终端根据控制中心制定的安全策略，进行体检、杀毒和修复漏洞等安全操作。使用隔离网工具，定期从奇安信相关的服务器下载病毒库、木马库、漏洞补丁文件等，更新到控制中心后，所有360天擎终端安全管理系统终端都可以自动升级和修复漏洞。有专人负责控制中心的日常运行，定时查看各终端的安全情况，下发统一杀毒、漏洞修复等策略。 部署过程1、安装360天擎终端安全管理系统控制中心。2、部署360天擎终端安全管理系统终端。3、定时登录控制中心，查看各终端安全情况。4、下发统一杀毒、修复漏洞等策略，确保终端安全。5、定期使用

29、隔离网工具下载数据，并更新到控制中心。5.3 级联管控部署方案（大型网络环境） 方案特点该方案适用于大型用户环境，内网中部署多套360天擎终端安全管理系统，网内中的PC终端安装360天擎终端安全管理系统客户端，多套360天擎终端安全管理系统可以分级级联管理。如在隔离网环境中一级总控中心的病毒/补丁等更新程序通过离线升级工具进行拷贝导入，二级三级分控中心通过一级总控中心进行级联更新，下级分控中心可以向上级控制中心上报告警信息。 部署示意图在一级单位，部署360天擎终端安全管理系统总控制中心，在每个分区域，部署360天擎终端安全管理系统分控制中心。分控制中心指向到所属的上级控制中心，以方便管理和节

30、省网络带宽。每个区域的终端，都指向自己区域的控制中心，并从控制中心接收管理指令，上报安全数据，进行病毒库、木马库升级和修复漏洞等。使用隔离网工具，定期从奇安信相关的服务器下载病毒库、木马库、漏洞补丁文件等，更新到总控制中心，各分控制中心会从总控制中心下载需要的升级文件和补丁文件，各区域的终端会从本区域的控制中心进行升级和下载补丁文件修复漏洞。 部署过程1、 安装部署规划，包括控制中心的分布，推广计划等。2、 安装360天擎终端安全管理系统总控制中心。3、 部署核心区域360天擎终端安全管理系统终端。4、 根据推广计划，逐步在各区域部署分控制中心和终端。5、 定时登录控制中心，查看各终端安全情况

31、。6、 定期使用隔离网工具下载数据，并更新到控制中心5.4 终端强制合规（NAC）旁路部署方案 方案特点未安装代理的客户端或未认证的终端PC，访问核心网络中受保护区域时，TCP连接会被直接阻断，http请求被重定向到终端代理下载页面或portal认证页面。 终端认证通过或下载并安装了终端代理后，可以正常访问相关页面和服务。下次登录时只要不卸载终端代理，就可以一直访问相关服务。 部署示意图 入网流程l 360天擎终端安全管理系统打点联动方案功能：只有安装360天擎终端安全管理系统客户端的PC才有权限访问受保护服务器。1. 用户访问受保护服务器打开终端分发页面。2. 点击链接，下载并安装360天擎

32、终端安全管理系统客户端，之后用户PC可正常访问受保护服务器。l Web Portal认证+安装360天擎终端安全管理系统客户端功能：合法用户经过portal认证或用户注册，下载并安装360天擎终端安全管理系统客户端后才能访问受保护服务器（注册用户需经管理员审批确认或自动审批确认）1客户PC访问受保护服务器，打开认证/注册页面。2. 注册用户填写用户真实信息并提交管理员确认身份合法。3. 经管理员确认后，用户再次访问受保护服务器，打开下载360天擎终端安全管理系统客户端页面，下载并安装，之后用户可正常访问受保护服务器。l Web Portal认证方案功能：合法用户经过portal认证或用户注册，

33、可直接访问受保护服务器（注册用户需经管理员审批确认或自动审批确认）1.客户PC访问受保护服务器，重定向到认证页面，具有合法身份用户认证成功后可以直接访问受保护服务器。2.注册用户填写用户真实信息并提交，管理员确认后并认证可以访问受保护服务器。5.5 终端强制合规（NAC）802.1x部署方案 方案特点802.1X认证是通过标准802.1x协议，在网络接入层做接入认证、根据认证授权情况确定是否能访问网络，并进行合规性检查，根据检查结果下发网络访问权限，802.1X认证可提供端口级的强准入认证方案，并支持认证授权、安全检查、隔离修复、访问控制 “一站式”的流程全路程的入网控制。 部署示意图 入网流

34、程在用户接入层交换机中配置802.1x，把认证服务器指向NAC，NAC接收来自终端的认证请求，并将认证结果下发给交换机，确定是否放行。当终端安装了360天擎认证小助手后，入网前会弹出认证界面，输入用户名口令后，如果认证成功，可以正常网络访问，如果设置了合规性检查策略，则进行合规性检查。如果检查通过，就进入正常业务网络；否则进入修复区，在修复中，终端只可以访问修复服务器。处在修复区的终端，如果修复完成后，可以正常访问工作区网络。5.6 部署清单控制中心配置要求管理终端数服务器配置要求1000个CPU：最低8核2.4Ghz；内存容量：最低8GB ；硬盘：最低1TB；操作系统：Windows Ser

35、ver 2008 R264位，简体中文版；网卡：千兆单网卡；5000个CPU：最低16核2.4Ghz内存容量：最低16GB；硬盘空间：最低1TB；操作系统：Windows Server 2008 R264位，简体中文版；网卡：千兆单网卡；管理浏览器chrome43.0及以上版本推荐360极速浏览器客户端配置要求类型操作系统CPU内存硬盘备注Windows终端Windows XPWindows VistaWindows 7Windows 8Windows 10双核2.0GHZ1G20G最低配置MacOS X苹果PC标准配置服务器Windows Server 2003 SP2Windows Ser

36、ver 2008Windows Server 2012中标麒麟Deepin双核3.0GHZ4G20G最低配置6. 产品价值6.1 自主知识产权，杜绝后门隐患360天擎终端安全管理系统具有完全自主的知识产权，中国自己的国际一流杀毒软件和终端安全管理系统，能够帮助政府部门、涉密单位、以及关系国计民生的大型企业对网络进行安全管控和安全加固，杜绝安全后门隐患，响应国家信息安全国产化政策及号召。6.2 解决安全问题，安全不只合规 360天擎终端安全管理系统正稳定可靠运行于奇安信自身网络中，每天接受大量网络攻击的实战检验，能够真正帮助企业发现网络攻击、解决安全问题，使安全再也不仅仅是合规，使企业的安全投入物有所值。6.3 强大管理能力，提高运维效率 360天擎终端安全管理系统具有丰富的管理功能，友好的用户界面，人性化的统计报表，极大的提高了企业安全管理的效率，使企业安全管理信息和日志再也不会如天书般难懂。6.4 灵活扩展能力，持续安全升级360天擎终端安全管理系统具备灵活的升级方案、可扩展的多级管理平台、集群化虚拟化的部署方式，以及支持对XP系统漏洞的持续挖掘和修复，可以帮助企业安全系统平滑升级，保护企业安全投资。