360天擎終端安全管理解決方案

精選優(yōu)質(zhì)文檔傾情為你奉上精選優(yōu)質(zhì)文檔傾情為你奉上專心專注專業(yè)專心專注專業(yè)精選優(yōu)質(zhì)文檔傾情為你奉上專心專注專業(yè)360天擎終端安全管理解決方案北京奇虎科技有限公司2014年9月目錄背景 3方案目標(biāo) 4終端安全 4桌面管理 5統(tǒng)一運(yùn)維 5方案設(shè)計(jì) 6終端安全 6終端病毒與惡意代碼防范 6終端安全性檢查 14終端防黑加固 15協(xié)議防火墻 16桌面管理 16終端流量管理 16系統(tǒng)自動(dòng)升級(jí) 17終端硬件性能監(jiān)控 20終端軟件進(jìn)程與服務(wù)管理 20終端Agent強(qiáng)制安裝與運(yùn)行 21終端外設(shè)管理 21終端小工具 22終端信息搜集 23文件審計(jì)管控 23統(tǒng)一運(yùn)維 24軟件分發(fā) 24策略下發(fā) 24在線用戶統(tǒng)計(jì) 25安裝包定制與Web安裝 26系統(tǒng)兼容性 27系統(tǒng)可擴(kuò)展性 27系統(tǒng)容災(zāi) 28背景隨著企業(yè)信息化進(jìn)程的不斷加快，企業(yè)網(wǎng)絡(luò)規(guī)模與終端數(shù)量在不斷變大，企業(yè)業(yè)務(wù)對(duì)信息化系統(tǒng)的依賴程度越來越高，信息化系統(tǒng)的建設(shè)與升級(jí)，一方面推動(dòng)著企業(yè)的辦公自動(dòng)化、業(yè)務(wù)自動(dòng)化進(jìn)程不斷加快，提高企業(yè)的運(yùn)營(yíng)效率，降低企業(yè)的運(yùn)營(yíng)成本。另一方面，也為企業(yè)帶來了新的問題，對(duì)企業(yè)的運(yùn)營(yíng)與管理提出了新的挑戰(zhàn)。管理問題信息化系統(tǒng)的引入、網(wǎng)絡(luò)的建設(shè)與升級(jí)為企業(yè)帶來了諸多管理問題，其中主要包括如下幾個(gè)方面：如何有效管理網(wǎng)絡(luò)設(shè)備與應(yīng)用系統(tǒng)，使得網(wǎng)絡(luò)能夠穩(wěn)定運(yùn)行，保障企業(yè)自動(dòng)化辦公與依托于網(wǎng)絡(luò)的業(yè)務(wù)能夠平穩(wěn)有效進(jìn)行，這需要大量額外的網(wǎng)絡(luò)管理系統(tǒng)進(jìn)行運(yùn)維支撐。如何有效管理終端設(shè)備與應(yīng)用軟件，使得終端能夠穩(wěn)定、合規(guī)運(yùn)行，保障企業(yè)的自動(dòng)化辦公與終端業(yè)務(wù)操作能夠平穩(wěn)有效進(jìn)行。如何有效管理業(yè)務(wù)系統(tǒng)的設(shè)備與軟件，使得業(yè)務(wù)系統(tǒng)整體平穩(wěn)運(yùn)行，保障企業(yè)業(yè)務(wù)系統(tǒng)對(duì)外提供穩(wěn)定的服務(wù)。安全問題信息化系統(tǒng)與網(wǎng)絡(luò)的引入，為進(jìn)入企業(yè)內(nèi)部獲得企業(yè)數(shù)據(jù)資料、操控企業(yè)業(yè)務(wù)運(yùn)行提供了一種看不到的新途徑，這就為企業(yè)的數(shù)據(jù)、資料乃至業(yè)務(wù)運(yùn)行帶來了新的安全問題，主要包括：企業(yè)信息化系統(tǒng)與網(wǎng)絡(luò)訪問控制問題：這其中包括如何控制哪些終端在滿足什么樣的條件之下可以進(jìn)入到企業(yè)信息化系統(tǒng)與網(wǎng)絡(luò)；如何為進(jìn)入到信息化系統(tǒng)與網(wǎng)絡(luò)的終端用戶分配訪問操作權(quán)限并保障這些終端用戶不能越權(quán)非法操作。信息化系統(tǒng)及其支撐設(shè)備的安全運(yùn)行問題：這其中包括如何保障信息化系統(tǒng)及其軟硬件系統(tǒng)不會(huì)受到攻擊，或者在受到攻擊的情況下可以有效避免損失、緩解攻擊帶來的影響、保障信息化系統(tǒng)與網(wǎng)絡(luò)仍能夠安全、可靠、平穩(wěn)地對(duì)外提供服務(wù)。企業(yè)數(shù)據(jù)及資料的安全問題：這其中包括如何保障企業(yè)的數(shù)據(jù)及資料能夠安全存儲(chǔ)、安全訪問，對(duì)于這些企業(yè)數(shù)據(jù)與資料要做到：非授權(quán)人員拿不到、非授權(quán)人員拿到后帶不走、非授權(quán)人員拿走后打不開等三個(gè)層次的安全防護(hù)。評(píng)估問題近些年，隨著我國(guó)信息化系統(tǒng)的大范圍建設(shè)與普及，信息化系統(tǒng)的建設(shè)已經(jīng)進(jìn)入到快速發(fā)展期，大多數(shù)企業(yè)的信息化系統(tǒng)與網(wǎng)絡(luò)已經(jīng)從初期的從無到有發(fā)展到了現(xiàn)在的頗具規(guī)模，相應(yīng)地，在信息化系統(tǒng)的建設(shè)上，企業(yè)也開始從最初的基礎(chǔ)設(shè)施建設(shè)逐步進(jìn)入到了信息化系統(tǒng)穩(wěn)定運(yùn)行的收獲期。更進(jìn)一步，很多企業(yè)也已經(jīng)開始理性思考在信息化系統(tǒng)上的大量投資帶來的具體企業(yè)效益，換句話講，企業(yè)的信息化系統(tǒng)已經(jīng)進(jìn)從基礎(chǔ)設(shè)施建設(shè)發(fā)展到了建設(shè)效果評(píng)估階段，科學(xué)評(píng)估信息化系統(tǒng)建設(shè)的成果，向信息化系統(tǒng)建設(shè)要效益是這個(gè)階段的主要目標(biāo)。方案目標(biāo)本方案的目標(biāo)是從企業(yè)信息化系統(tǒng)終端安全與管理的角度出發(fā)，以終端安全為核心，以終端桌面管理為重點(diǎn)，提供以終端為基礎(chǔ)的桌面安全與管理整體解決方案，具體內(nèi)容包括終端安全、桌面管理、統(tǒng)一運(yùn)維三個(gè)方面：終端安全提供針對(duì)終端安全的防護(hù)措施，為終端提供安全的上網(wǎng)辦公環(huán)境，具體包括如下幾方面內(nèi)容：終端病毒與惡意代碼防范防黑加固主機(jī)防火墻終端安全性檢查桌面管理終端流量管理系統(tǒng)自動(dòng)升級(jí)終端遠(yuǎn)程協(xié)助終端硬件性能監(jiān)控終端進(jìn)程與服務(wù)管理終端Agent強(qiáng)制安裝與運(yùn)行終端外設(shè)管理終端小工具終端信息搜集文件審計(jì)管控統(tǒng)一運(yùn)維軟件分發(fā)策略下發(fā)在線用戶統(tǒng)計(jì)安裝包定制與Web安裝系統(tǒng)可擴(kuò)展能力系統(tǒng)容災(zāi)方案設(shè)計(jì)終端安全終端病毒與惡意代碼防范在這一部分中，將就與終端安全相關(guān)的檢測(cè)與防御方法進(jìn)行方案級(jí)描述，將主要涉及兩方面與終端密切相關(guān)的內(nèi)容：終端病毒防御終端數(shù)據(jù)的安全防御終端病毒防御該功能的目標(biāo)是對(duì)互聯(lián)網(wǎng)中的病毒、木馬、蠕蟲、網(wǎng)馬、僵尸網(wǎng)絡(luò)、流氓軟件、間諜軟件等惡意代碼進(jìn)行有效的識(shí)別、查殺與隔離功能框架本方案對(duì)病毒、木馬、蠕蟲、網(wǎng)馬、僵尸網(wǎng)絡(luò)、流氓軟件、間諜軟件等惡意代碼的識(shí)別和查殺采用了多套高性能檢測(cè)引擎的技術(shù)方案，這些技術(shù)方案中，既包括傳統(tǒng)基于靜態(tài)病毒特征的多模式匹配的檢測(cè)技術(shù)、也包括無特征的人工智能檢測(cè)技術(shù)和基于云端的云查殺檢測(cè)技術(shù)，多種檢測(cè)技術(shù)的綜合運(yùn)用，最大限度地保障檢測(cè)的有效性，具體來說，本方案中采用了如下幾種關(guān)鍵的檢測(cè)技術(shù)：雙病毒檢測(cè)引擎360云查殺檢測(cè)引擎惡意URL檢測(cè)引擎QVM-II人工智能檢測(cè)引擎已知病毒查殺功能框架如下圖所示：方案說明雙病毒特征庫(kù)與雙病毒檢測(cè)引擎與其他病毒檢測(cè)產(chǎn)品不同，本方案采用了雙引擎的查殺技術(shù)，具體來說就是采用實(shí)現(xiàn)技術(shù)完全不同的兩套獨(dú)立的病毒庫(kù)、病毒檢測(cè)引擎對(duì)已知病毒進(jìn)行檢測(cè)。因?yàn)橐阎《緳z測(cè)的關(guān)鍵是病毒庫(kù)的覆蓋度和檢測(cè)引擎的預(yù)處理能力，因此如果其中一套病毒檢測(cè)引擎出現(xiàn)錯(cuò)誤（誤報(bào)、漏報(bào)）的可能性為P（P<1），另一套病毒檢測(cè)引擎出現(xiàn)錯(cuò)誤（誤報(bào)、漏報(bào)）的可能性為Q（Q<1），那么兩套完全獨(dú)立的病毒檢測(cè)引擎同時(shí)出現(xiàn)錯(cuò)誤（誤報(bào)、漏報(bào)）的可能性就是P·Q（P·Q<min(P,Q)），舉例來說，如果第一套引擎出錯(cuò)的可能性是P=2%，第二套引擎出錯(cuò)的可能性是Q=3%，那么兩套引擎同時(shí)出錯(cuò)的可能性就是：(0.02)·(0.03)=0.0006可以看到，雙病毒特征庫(kù)，雙病毒檢測(cè)引擎的方案，與單病毒庫(kù)、單病毒檢測(cè)引擎相比，在檢測(cè)的準(zhǔn)確率上有大幅提升，由于雙病毒特征庫(kù)，雙病毒檢測(cè)引擎與單病毒庫(kù)、單病毒檢測(cè)引擎相比，性能開銷（CPU消耗、內(nèi)存消耗）會(huì)更大，因此本方案中對(duì)是否啟用雙病毒庫(kù)、雙病毒檢測(cè)引擎采用了配置開關(guān)，可以根據(jù)終端硬件的配置情況靈活啟用或者關(guān)閉該功能。360云查殺檢測(cè)引擎云查殺技術(shù)的必要性隨著病毒的大量出現(xiàn)，傳統(tǒng)的本地病毒庫(kù)的查殺方式已經(jīng)無法在本地加載絕大多數(shù)病毒樣本特征，僅奇虎360一家安全企業(yè)，到目前為止就已經(jīng)積累了多達(dá)20億的病毒樣本，如果算上未經(jīng)去重的病毒樣本，目前已發(fā)現(xiàn)的病毒樣本已經(jīng)遠(yuǎn)遠(yuǎn)超過20億的規(guī)模，而目前大多數(shù)的終端殺毒軟件，受本地存儲(chǔ)資源的限制，本地病毒特征庫(kù)的規(guī)模大約在1000萬~2000萬左右，這個(gè)數(shù)字只占不到20+億已發(fā)現(xiàn)病毒樣本的1%，依靠1%的病毒庫(kù)去檢測(cè)互聯(lián)網(wǎng)中肆虐的病毒，這說明傳統(tǒng)的本地病毒庫(kù)的查殺方式已經(jīng)無法滿足對(duì)已知病毒的查殺要求，需要通過云端的海量計(jì)算資源與海量存儲(chǔ)資源滿足對(duì)數(shù)十億病毒進(jìn)行100%查殺的安全需求。360云查殺資源與技術(shù)云查殺技術(shù)需要大量的樣本資源、計(jì)算資源、檢測(cè)技術(shù)資源，如果沒有這些資源作支撐，則無法構(gòu)建高質(zhì)量的云查殺系統(tǒng)，本質(zhì)上來說，云查殺系統(tǒng)是一個(gè)海量資源系統(tǒng)，這個(gè)資源系統(tǒng)中，既包括客戶資源，又包括硬件資源與軟件算法資源：樣本資源構(gòu)建云查殺系統(tǒng)，需要海量的病毒、木馬、僵尸網(wǎng)絡(luò)等惡意代碼樣本作為資源支撐，否則，所構(gòu)建的云查殺系統(tǒng)將因?yàn)槿狈ψ銐虻牟《緲颖痉e累而難以保證對(duì)于已知病毒和惡意代碼的檢測(cè)率。本方案中，我們才用的360云查殺平臺(tái)，擁有涵蓋了近20年的所有已知的病毒、木馬、蠕蟲等惡意代碼的樣本文件，其所積累的去重之后病毒樣本數(shù)量已經(jīng)超過20億。樣本資源的基礎(chǔ)是客戶資源，沒有足夠的客戶資源作支撐，無法收集足夠的病毒樣本文件，只有廣泛部署了終端系統(tǒng)的情況下，才能在短期內(nèi)收集足夠數(shù)量的惡意代碼樣本文件，奇虎360在全國(guó)擁有超過4億的終端用戶，覆蓋了全國(guó)終端用戶的95%以上，其中絕大多數(shù)已經(jīng)選擇加入了奇虎360公司的“云安全計(jì)劃”，這些遍布全國(guó)的海量用戶為360提供了豐富、及時(shí)的病毒樣本資源，保證了360云查殺系統(tǒng)病毒樣本收集的及時(shí)、有效。目前平均來說，一個(gè)病毒從首次在國(guó)內(nèi)互聯(lián)網(wǎng)上出現(xiàn)，到被360云查殺系統(tǒng)捕獲之間，只有不到10個(gè)小時(shí)的時(shí)間。計(jì)算資源為了構(gòu)造有效的云查殺系統(tǒng)，需要大量的計(jì)算資源進(jìn)行支撐，以便對(duì)搜集到的樣本資源進(jìn)行深入分析，一般來說，一臺(tái)標(biāo)準(zhǔn)的服務(wù)器（如DELLR720，配置為：雙路16核CPU（XeonE5-2690，單路8核，主頻2.9GHz）、IntelC600主板芯片組、內(nèi)存16GB（ECCDDR3）、硬盤900GB（SAS接口）），每天（24小時(shí)）可處理的樣本數(shù)量大約在3000萬個(gè)左右，因此，對(duì)于標(biāo)準(zhǔn)1000終端的用戶來說，若按照每天每臺(tái)終端提交10個(gè)樣本進(jìn)行深度檢測(cè)，則大約需要4臺(tái)DELLR720這樣配置的服務(wù)器組成的云查殺系統(tǒng)才能滿足查殺需要。在本項(xiàng)目中，360所提供的云查殺系統(tǒng)的規(guī)模已經(jīng)超過了10000臺(tái)服務(wù)器，由這些云服務(wù)器所構(gòu)成的查殺環(huán)境，完全可以滿足本項(xiàng)目的云端深度查殺需求。算法資源構(gòu)建有效了云查殺環(huán)境，除了穩(wěn)定、及時(shí)的樣本收集資源與足夠數(shù)量的硬件計(jì)算環(huán)境之外，還需要先進(jìn)的未知病毒及惡意代碼的檢測(cè)算法，這樣才能夠在收集到病毒與惡意代碼樣本之后，進(jìn)行有效的分析與處理。因此，對(duì)未知病毒與惡意代碼的快速檢測(cè)能力，就成了構(gòu)建有效的云查殺環(huán)境的關(guān)鍵。在本方案中，360所提供的云查殺環(huán)境集成了大量先進(jìn)的真對(duì)未知病毒與惡意代碼的查殺算法，這些算法中，有基于病毒與惡意代碼靜態(tài)樣本共性特征的QVM-II算法（該算法采用人工智能與機(jī)器學(xué)習(xí)的方法，對(duì)360目前已經(jīng)積累的20多億病毒樣本進(jìn)行多次切片學(xué)習(xí)，抽取出病毒與惡意代碼的共性特征，建立惡意代碼的不同族系模型，該算法在北美、歐洲的多項(xiàng)惡意代碼檢測(cè)能力測(cè)評(píng)之中名列第一），也有目前主流的動(dòng)態(tài)沙箱深度分析技術(shù)，同時(shí)還集成了利用未知漏洞進(jìn)行病毒與惡意代碼傳播的基于內(nèi)存分析的動(dòng)態(tài)漏洞利用攻擊分析技術(shù)，最后，對(duì)于非常復(fù)雜、難于分析的可疑文件，還會(huì)采用具有多年病毒分析與對(duì)抗經(jīng)驗(yàn)的專家分析團(tuán)隊(duì)進(jìn)行徹底分析。以上這些先機(jī)的自動(dòng)化分析技術(shù)與方病毒專家團(tuán)隊(duì)人工分析的有效結(jié)合，多種手段、人機(jī)結(jié)合，保證了對(duì)病毒與惡意代碼分析的萬無一失。360云查殺隱私問題說明由于本方案中采用了云查殺技術(shù)，云查殺技術(shù)需要在終端與云端之間交互必要的樣本數(shù)據(jù)以保證對(duì)樣本進(jìn)行有效檢測(cè)，因此需要對(duì)云查殺過程中終端與云端之間所交換的數(shù)據(jù)進(jìn)行詳細(xì)的說明，以此排除隱私泄露的可能。360公司承諾并保證：在使用360云查殺系統(tǒng)的過程中，除了必要的檢測(cè)之外，不會(huì)以任何形式非法采集、利用用戶的任何隱私數(shù)據(jù)，下面進(jìn)行逐一說明：云查殺系統(tǒng)的使用完全由終端用戶自行決定，可以由管理員統(tǒng)一配置，如果終端用戶或管理員選擇關(guān)閉云查殺功能，則終端將不會(huì)向云端傳送任何檢測(cè)所需要的數(shù)據(jù)進(jìn)行病毒與惡意代碼的檢查對(duì)于云端深度檢查，終端和云端之間也只會(huì)傳送可執(zhí)行文件（PE格式），而不會(huì)傳送敏感的數(shù)據(jù)文件（如：word、pdf、圖紙、圖片等），因?yàn)橹粋魉土丝蓤?zhí)行文件，可執(zhí)行文件只是程序的執(zhí)行體，有可執(zhí)行代碼組成，并不包含用戶的敏感數(shù)據(jù)，更不包含用戶的隱私信息，因此不存在隱私泄露或泄密的可能對(duì)于云端非深度檢查，終端和云端之間連可執(zhí)行文件都未進(jìn)行傳輸，而只是抽取了可執(zhí)行文件（PE格式）的部分屬性信息（而非可執(zhí)行文件體）傳送至云端進(jìn)行檢查，這些文件的屬性信息與文件內(nèi)容完全無關(guān)（就如同一個(gè)人的姓名、居住地、職業(yè)信息與這個(gè)人的血型毫不相關(guān)是同一個(gè)道理），因此在非深度的一般性云查殺中，理論上就不存在隱私泄露的可能性。在非深度云查殺的過程中，終端與云端交互的文件屬性信息包含且僅包含如下內(nèi)容：該文件在終端的存放路徑該文件的哈希指紋（MD5、SHA-1）該文件的大小該文件所在終端的操作系統(tǒng)類型該文件所在終端的操作系統(tǒng)版本號(hào)該文件所在終端的IE版本號(hào)所有云端與終端之間的交互的信息，除了需要深入分析的不含用戶任何數(shù)據(jù)信息、隱私信息的可執(zhí)行文件可能會(huì)涉及到專家人工分析之外，其余的所有信息將完全由機(jī)器進(jìn)行自動(dòng)處理，除了檢測(cè)之外，沒有任何渠道可以獲得這些信息，所有的過程都是有機(jī)器完成，即便是不包含用戶隱私的文件屬性數(shù)據(jù)，除了機(jī)器之外，也不會(huì)有其他的途徑可對(duì)之進(jìn)行提取和閱讀。以上就是在本項(xiàng)目中所采用的360云查殺系統(tǒng)的隱私問題的說明，可以看到，采用360云查殺系統(tǒng)完全不存在任何用戶隱私的泄漏問題。惡意URL檢測(cè)引擎Web應(yīng)用是目前互聯(lián)網(wǎng)的最主要應(yīng)用，Web安全問題因此也成了互聯(lián)網(wǎng)安全問題中最重要的問題，占據(jù)了互聯(lián)網(wǎng)問題中的絕大部分，網(wǎng)銀詐騙、網(wǎng)購(gòu)詐騙、釣魚網(wǎng)站、網(wǎng)馬等通過惡意網(wǎng)址進(jìn)行釣魚、詐騙、侵財(cái)?shù)墓羰录l發(fā)，已經(jīng)成了Web應(yīng)用的主要威脅，同時(shí)也發(fā)現(xiàn)，部分APT（高級(jí)持續(xù)性威脅）攻擊行為也是通過惡意網(wǎng)站（一般是釣魚網(wǎng)站）對(duì)企業(yè)低權(quán)限終端進(jìn)行入侵，進(jìn)而以此低權(quán)限終端做跳板不斷滲透高權(quán)限終端與服務(wù)器，最后完成APT攻擊過程，因此對(duì)于訪問Web過程中的安全防護(hù)，已經(jīng)成了當(dāng)前終端安全防護(hù)的重要組成部分。從技術(shù)上來看，對(duì)于終端訪問惡意網(wǎng)址的防護(hù)主要有三種技術(shù)手段：實(shí)時(shí)分析、動(dòng)態(tài)檢測(cè)事先分析、靜態(tài)匹配實(shí)時(shí)分析結(jié)合事先分析，動(dòng)態(tài)檢測(cè)結(jié)合靜態(tài)檢測(cè)第一種技術(shù)手段完全依靠在用戶訪問Web過程中對(duì)頁(yè)面及其附屬資源的動(dòng)態(tài)分析和主動(dòng)防御技術(shù)（如：IE控件監(jiān)控、內(nèi)存監(jiān)控、注冊(cè)表監(jiān)控）等方法對(duì)用戶訪問惡意網(wǎng)站、惡意鏈接的行為進(jìn)行發(fā)現(xiàn)和阻斷。這種方式的優(yōu)點(diǎn)是可以對(duì)惡意訪問行為進(jìn)行實(shí)時(shí)發(fā)現(xiàn)，但其缺點(diǎn)也比較明顯，即：如果對(duì)用戶訪問的Web訪問進(jìn)行深度分析，會(huì)消耗大量的用戶本地資源，如果分析結(jié)論的得出也可能需要完整的分析過程之后才能完成，此時(shí)可能攻擊行為已經(jīng)部分發(fā)生，同時(shí)，完全依靠本地的動(dòng)態(tài)分析，也存在一定的漏報(bào)可能，這些都是單純依靠實(shí)時(shí)分析、動(dòng)態(tài)檢測(cè)可能會(huì)出現(xiàn)的一些問題。第二種技術(shù)手段本質(zhì)是通過云計(jì)算的方式來完成的，即：事先對(duì)互聯(lián)網(wǎng)中存在的鏈接進(jìn)行采集，采用動(dòng)態(tài)分析結(jié)合沙箱的方式進(jìn)行事先檢測(cè)，將存在惡意行為的鏈接形成靜態(tài)惡意鏈接庫(kù)，終端在訪問一個(gè)鏈接之前，終端系統(tǒng)安全代理會(huì)將此鏈接與惡意鏈接庫(kù)進(jìn)行比對(duì)，如果發(fā)現(xiàn)此鏈接在惡意鏈接庫(kù)中出現(xiàn)，則認(rèn)為該鏈接屬于惡意鏈接，進(jìn)而對(duì)其訪問行為進(jìn)行禁止，與單純蠶蛹實(shí)時(shí)分析、動(dòng)態(tài)檢測(cè)的技術(shù)相比，采用這種方法可以大幅度降低終端的資源消耗，可以在第一時(shí)間發(fā)現(xiàn)惡意鏈接（而不是等整個(gè)頁(yè)面及其資源文件都下載到本地并進(jìn)行了分析之后），同時(shí)由于依靠云端的事前抓取分析、云端用戶的檢測(cè)結(jié)果，漏報(bào)的可能性非常小。但這種技術(shù)也存在一定的局限性：對(duì)于新出現(xiàn)的惡意鏈接，因?yàn)檫€沒來得及被云端抓取分析，因此在一定時(shí)間內(nèi)（比如：30分鐘）對(duì)這類新出現(xiàn)的惡意網(wǎng)址無法提供檢測(cè)能力，即會(huì)出現(xiàn)漏報(bào)；另一方面，對(duì)于被掛馬的受害網(wǎng)址，如果木馬被清除，那么短期內(nèi)（在下一輪抓取完成之前），該網(wǎng)址仍將被列入在惡意網(wǎng)址庫(kù)之中，即在這段時(shí)間內(nèi)會(huì)有誤報(bào)出現(xiàn)。第三種技術(shù)是結(jié)合上述兩種方法，這種方法優(yōu)勢(shì)非常明顯，即：對(duì)于大多數(shù)白名單中的網(wǎng)址直接放行，對(duì)于黑名單中的網(wǎng)址直接攔截，對(duì)于灰名單（即沒在白名單、也沒在黑名單）中的網(wǎng)址則采用動(dòng)態(tài)分析、主動(dòng)防御技術(shù)進(jìn)行實(shí)時(shí)分析。這種方式的優(yōu)點(diǎn)非常明顯：既利用了云端與其他終端的檢測(cè)結(jié)果過濾了大量的白鏈接、攔截黑鏈接，大幅降低了客戶端的資源開銷，同時(shí)對(duì)極少量稀有鏈接又利用動(dòng)態(tài)分析、主動(dòng)防御技術(shù)進(jìn)行深入的動(dòng)態(tài)分析，起到了查缺補(bǔ)漏的效果。在本方案中對(duì)于惡意URL的檢測(cè)，采用的是第三種方法，即：動(dòng)態(tài)分析結(jié)合靜態(tài)匹配的技術(shù)方案，通過上述的技術(shù)分析可以看到，可以清晰地看到，本方案可以滿足對(duì)惡意鏈接的精確檢測(cè)要求。QVM-II人工智能檢測(cè)引擎對(duì)于病毒和惡意代碼的檢測(cè)，一直存在著兩個(gè)技術(shù)方向，一個(gè)是依靠病毒特征匹配的靜態(tài)檢測(cè)技術(shù)，這種技術(shù)的特點(diǎn)是必須依靠已知的病毒特征，一般靜態(tài)特征匹配的技術(shù)適合對(duì)已知病毒、惡意代碼的檢測(cè)。另外一種是依靠對(duì)病毒行為的動(dòng)態(tài)分析技術(shù)，這種技術(shù)更適合對(duì)未知病毒、惡意代碼的檢測(cè)。這兩種技術(shù)是目前對(duì)病毒進(jìn)行檢測(cè)的關(guān)鍵技術(shù)，分別實(shí)現(xiàn)對(duì)已知、未知的病毒及惡意代碼檢測(cè)。其中采用特征對(duì)病毒進(jìn)行檢測(cè)的技術(shù)又分為兩個(gè)方向，一個(gè)是窮舉式病毒特征提取，即針對(duì)每個(gè)已發(fā)現(xiàn)的病毒、惡意代碼樣本提取各自的病毒特征，這種方式的優(yōu)點(diǎn)是能夠準(zhǔn)確識(shí)別出已提取特征的病毒與惡意代碼，誤報(bào)率和漏報(bào)率都很低。另一種是針對(duì)不同族類的病毒及惡意代碼提取出共性的族群特征，并以此作為檢測(cè)依據(jù)對(duì)惡意代碼進(jìn)行檢測(cè)。這種方式的優(yōu)點(diǎn)是不依賴某一個(gè)病毒或惡意代碼的具體特征，而是提取某一族群的惡意代碼共性特征，因此，這種檢測(cè)方法對(duì)于某一病毒與惡意代碼族群內(nèi)的新生病毒具有非常強(qiáng)的檢測(cè)能力，同時(shí)還能對(duì)檢測(cè)出來的病毒與惡意代碼進(jìn)行族系歸類。QVM-II人工智能檢測(cè)引擎采用人工智能與機(jī)器學(xué)習(xí)的方法，對(duì)360目前已經(jīng)積累的20多億病毒樣本進(jìn)行多次切片學(xué)習(xí)，抽取出病毒與惡意代碼的共性特征，建立惡意代碼的不同族系模型，該算法在北美、歐洲的多項(xiàng)惡意代碼檢測(cè)能力測(cè)評(píng)之中名列第一。該技術(shù)的主要組成框架如下：終端安全性檢查目標(biāo)描述根據(jù)終端的安全狀況，決定其是否能接入到網(wǎng)絡(luò)之中，亦即將終端的安全狀況作為網(wǎng)絡(luò)準(zhǔn)入的前判斷件之一。此功能的最終目的是強(qiáng)制終端落實(shí)規(guī)定的安全防范措施，進(jìn)行安全加固工作，隔離可能成為安全短板的終端。設(shè)計(jì)描述本功能由4項(xiàng)子功能組成：子功能1：終端安全狀況信息收集（包括：當(dāng)前終端的登錄賬號(hào)、當(dāng)前終端的殺毒軟件安裝與運(yùn)行情況、當(dāng)前終端殺毒軟件病毒庫(kù)的版本信息、當(dāng)前終端操作系統(tǒng)的安裝情況）。子功能2：病毒特征庫(kù)、系統(tǒng)漏洞補(bǔ)丁文件自動(dòng)下載、自動(dòng)修復(fù)。子功能3：根據(jù)策略阻斷終端連入網(wǎng)絡(luò)。子功能4：通過管理控制中心配置終端安全狀況準(zhǔn)入策略，支持按照IP地址、網(wǎng)段、IP地址區(qū)間下發(fā)到不同的終端。終端安全狀態(tài)的幾個(gè)關(guān)鍵指標(biāo)是：登錄賬號(hào)是否合法。是否安裝并運(yùn)行了規(guī)定的防病毒軟件。病毒庫(kù)是否升級(jí)至最新。操作系統(tǒng)補(bǔ)丁是否升級(jí)至規(guī)定標(biāo)準(zhǔn)。硬件是否變更。是否存在非法外聯(lián)的現(xiàn)象。說明：對(duì)于子功能1中的殺毒軟件的病毒庫(kù)的安裝情況以及殺毒軟件的病毒庫(kù)版本情況的檢查，將鎖定在有限的幾家殺毒軟件（如：瑞星、金山、卡巴斯基、諾頓、MAcfee、趨勢(shì)科技等），如果需要檢查其他廠家的殺毒軟件，則通過額外定制開發(fā)完成。終端防黑加固目標(biāo)描述對(duì)客戶端進(jìn)行防黑加固功能，提供有針對(duì)性監(jiān)控功能，包括系統(tǒng)賬號(hào)變更、重點(diǎn)端口監(jiān)控，共享目錄管控等。設(shè)計(jì)描述對(duì)終端密碼復(fù)雜度、生存期和密碼歷史進(jìn)行檢查，如客戶機(jī)不滿足將提示終端用戶修改；對(duì)重點(diǎn)端口進(jìn)行監(jiān)控，并支持自定義端口監(jiān)控與上報(bào)；可以顯示終端開啟的共享目錄并對(duì)共享目錄進(jìn)行管理（關(guān)閉共享）可監(jiān)控用戶賬號(hào)權(quán)限發(fā)生變化；用戶組權(quán)限發(fā)生變化；用戶賬號(hào)增加、減少；用戶組增加、減少；用戶賬號(hào)狀態(tài)發(fā)生改變（啟用、禁用），同時(shí)上報(bào)日志協(xié)議防火墻目標(biāo)描述在內(nèi)網(wǎng)終端間建立訪問控制機(jī)制，杜絕非業(yè)務(wù)需求下的終端互訪現(xiàn)象，遏制網(wǎng)內(nèi)主機(jī)發(fā)起的攻擊。設(shè)計(jì)描述基于IP、端口雙向配置基于主機(jī)的訪問控制策略。實(shí)現(xiàn)同個(gè)子網(wǎng)或不同子網(wǎng)內(nèi)終端之間的訪問控制，在不需要對(duì)原有網(wǎng)絡(luò)設(shè)備做任何調(diào)整的前提下，實(shí)現(xiàn)細(xì)粒度的安全域訪問控制管理。可禁止終端PING出、PING入，有效遏制內(nèi)網(wǎng)嗅探行為。訪問控制策略在控制中心集中定義，可根據(jù)不同分組按需下發(fā)，分布式執(zhí)行，簡(jiǎn)潔、高效。桌面管理終端流量管理目標(biāo)描述對(duì)客戶端訪問外部子網(wǎng)的流量進(jìn)行統(tǒng)計(jì)與限制，實(shí)時(shí)統(tǒng)計(jì)全網(wǎng)內(nèi)各客戶端訪問流量的排名。設(shè)計(jì)描述流量訪問策略配置在控制端提供TAB頁(yè)面，對(duì)終端/終端組（可通過IP地址、IP區(qū)間、子網(wǎng)對(duì)應(yīng)）訪問目標(biāo)網(wǎng)絡(luò)或目標(biāo)服務(wù)器（可通過IP地址、IP區(qū)間、子網(wǎng)對(duì)應(yīng)）的網(wǎng)絡(luò)流量（速率）上限進(jìn)行配置（最小單位：KBps）。②此配置作為策略下發(fā)至各個(gè)終端。終端訪問流量計(jì)數(shù)終端在網(wǎng)絡(luò)層統(tǒng)計(jì)各自訪問的流量，包括：該終端的總體訪問流量速率。對(duì)特定目標(biāo)主機(jī)的訪問流量速率。對(duì)特定子網(wǎng)的訪問流量速率。④終端將各自的流量統(tǒng)計(jì)數(shù)據(jù)上報(bào)至管理控制中心。終端訪問流量控制⑤根據(jù)管理控制臺(tái)為該終端下發(fā)的流量控制策略與終端統(tǒng)計(jì)出的當(dāng)前的訪問流量，對(duì)該終端的流量速率進(jìn)行整形限制，注意，此處需要根據(jù)流量訪問策略區(qū)分如下三種情況進(jìn)行流量限制：對(duì)該終端的總體訪問流量速率進(jìn)行整形限制。對(duì)該終端與特定目標(biāo)主機(jī)的之間的通信流量速率進(jìn)行整形限制。對(duì)該終端與特定子網(wǎng)的通信流量速率進(jìn)行整形限制。全網(wǎng)流量統(tǒng)計(jì)排名⑥管理控制中心對(duì)所有終端上報(bào)的流量速率數(shù)據(jù)進(jìn)行實(shí)時(shí)排名刷新，采取do-by-need的方式，在用戶請(qǐng)求排名的時(shí)候，實(shí)時(shí)計(jì)算最新的流量速率的排名列表。系統(tǒng)自動(dòng)升級(jí)目標(biāo)描述在無須運(yùn)維管理人員參與的情況下，對(duì)360天擎客戶端軟件、360管理控制臺(tái)軟件、360天擎客戶端病毒特征庫(kù)、系統(tǒng)/應(yīng)用的漏洞補(bǔ)丁進(jìn)行自動(dòng)下載、升級(jí)與安裝。設(shè)計(jì)描述為了避免升級(jí)過程中導(dǎo)致網(wǎng)絡(luò)擁塞，終端的升級(jí)將從內(nèi)網(wǎng)的升級(jí)服務(wù)器統(tǒng)一拉取升級(jí)文件，即終端不會(huì)從位于Internet的360升級(jí)服務(wù)器下載升級(jí)文件。當(dāng)360天擎管理控制臺(tái)處于隔離網(wǎng)與非隔離網(wǎng)兩種環(huán)境之下，其升級(jí)方案也有比較大的區(qū)別，天擎360支持對(duì)于隔離網(wǎng)環(huán)境下的物理隔離升級(jí)與非隔離網(wǎng)環(huán)境下的內(nèi)網(wǎng)推送式升級(jí)。升級(jí)過程一共分兩個(gè)階段：第一階段：升級(jí)服務(wù)器（一般來說就是管理控制臺(tái)）從位于Internet上的360升級(jí)服務(wù)器下載全部升級(jí)文件至本地。第二階段：360天擎客戶端根據(jù)自己的實(shí)際需要從升級(jí)服務(wù)器上下載升級(jí)所需要的文件并執(zhí)行升級(jí)操作。對(duì)于隔離網(wǎng)環(huán)境來說，由于內(nèi)網(wǎng)升級(jí)服務(wù)器無法連接至360升級(jí)服務(wù)器，因此無法直接完成升級(jí)文件的下載，在這種情況下，我們提供了“隔離升級(jí)代理”工具完成升級(jí)文件的下在工作，具體升級(jí)過程如下：第一步：將“隔離升級(jí)代理”工具放置在內(nèi)網(wǎng)升級(jí)服務(wù)器上，運(yùn)行該工具，即可完成升級(jí)所需信息的收集工作，即搜集到內(nèi)網(wǎng)服務(wù)器中當(dāng)前升級(jí)文件的版本信息，建立升級(jí)基線。第二步：將“隔離升級(jí)代理”和所搜集到的升級(jí)服務(wù)器的升級(jí)基線拷貝到一臺(tái)可以連接至互聯(lián)網(wǎng)360升級(jí)服務(wù)器的機(jī)器上，并再次運(yùn)行該升級(jí)工具，此時(shí)，“隔離升級(jí)代理”工具將根據(jù)當(dāng)前最新的升級(jí)文件與第一步中采集到的升級(jí)基線進(jìn)行對(duì)比，下載新增、修改的文件，并將下載到的文件保存在“隔離升級(jí)代理”工具所在的文件夾中。第三步：再次將“隔離升級(jí)代理”文件夾整體拷貝到內(nèi)網(wǎng)升級(jí)服務(wù)器之上，再次運(yùn)行該工具，即可將最新的升級(jí)文件成功存放在內(nèi)網(wǎng)升級(jí)服務(wù)器上的制定存儲(chǔ)位置。升級(jí)過程中的帶寬利用為了最大限度降低升級(jí)過程中的帶寬消耗，保障業(yè)務(wù)運(yùn)行帶寬不受升級(jí)過程影響，360天擎采用如下的技術(shù)保證升級(jí)過程中的網(wǎng)絡(luò)穩(wěn)定性與業(yè)務(wù)穩(wěn)定性：帶寬壓縮技術(shù)在客戶端下載升級(jí)文件的過程中，將對(duì)升級(jí)文件進(jìn)行壓縮處理，盡力降低升級(jí)文件傳輸過程中對(duì)帶寬的消耗。帶寬限制技術(shù)內(nèi)網(wǎng)升級(jí)服務(wù)器支持對(duì)升級(jí)文件傳輸?shù)膸捒偭髁窟M(jìn)行限制設(shè)置，可以對(duì)升級(jí)過程中消耗的總帶寬進(jìn)行上限設(shè)置。智能分發(fā)技術(shù)內(nèi)網(wǎng)客戶端將根據(jù)自身的實(shí)際需要從內(nèi)網(wǎng)升級(jí)服務(wù)器下載不同的特征庫(kù)升級(jí)文件、補(bǔ)丁文件、軟件升級(jí)包等，而不會(huì)將所有的升級(jí)文件都從內(nèi)網(wǎng)升級(jí)服務(wù)器上下載。終端硬件性能監(jiān)控目標(biāo)描述監(jiān)控所有終端（包括VIP終端）的硬件性能狀況，包括：CPU利用率、內(nèi)存利用率、硬盤容量與使用情況、網(wǎng)絡(luò)延遲等。設(shè)計(jì)描述采樣與設(shè)值采樣周期存儲(chǔ)期限預(yù)警閾值CPU默認(rèn)60秒，可設(shè)置保存最近3個(gè)月可設(shè)置內(nèi)存默認(rèn)60秒，可設(shè)置保存最近3個(gè)月可設(shè)置硬盤默認(rèn)1天，可設(shè)置保存最近3個(gè)月可設(shè)置網(wǎng)絡(luò)延時(shí)默認(rèn)60秒，可設(shè)置保存最近3個(gè)月可設(shè)置查詢與預(yù)警支持通過IP、UserID、采樣參數(shù)、樣本值（大于、小于）結(jié)合時(shí)間段進(jìn)行查詢，繪制出完整的性能曲線。在采樣周期到時(shí)的時(shí)候，如果性能參數(shù)滿足報(bào)警閾值設(shè)置，則立即產(chǎn)生報(bào)警，報(bào)警數(shù)據(jù)可以通過郵件進(jìn)行發(fā)送。終端軟件進(jìn)程與服務(wù)管理目標(biāo)描述監(jiān)控所有終端的所有進(jìn)程、服務(wù)的運(yùn)行情況，統(tǒng)計(jì)不同進(jìn)程、服務(wù)的出現(xiàn)時(shí)間、終止時(shí)間、運(yùn)行持續(xù)時(shí)間等信息，可以強(qiáng)行啟動(dòng)或強(qiáng)行關(guān)閉終端進(jìn)程。設(shè)計(jì)描述進(jìn)程、服務(wù)監(jiān)控進(jìn)程、服務(wù)名稱。進(jìn)程、服務(wù)描述。進(jìn)程、服務(wù)啟動(dòng)時(shí)間。進(jìn)程、服務(wù)終止時(shí)間。進(jìn)程、服務(wù)持續(xù)運(yùn)行時(shí)間。該進(jìn)程、服務(wù)是否屬于強(qiáng)制啟動(dòng)。進(jìn)程、服務(wù)啟動(dòng)與關(guān)閉遠(yuǎn)程可以強(qiáng)制啟動(dòng)進(jìn)程、服務(wù)，并將該進(jìn)程、服務(wù)列入后繼強(qiáng)制啟動(dòng)策略遠(yuǎn)程可以遠(yuǎn)程禁止進(jìn)程、服務(wù)，并將該進(jìn)程、服務(wù)列入后繼強(qiáng)制禁止策略可設(shè)置進(jìn)程允許，必須或禁止運(yùn)行，可以保護(hù)進(jìn)程不被結(jié)束掉終端Agent強(qiáng)制安裝與運(yùn)行目標(biāo)描述終端Agent一旦安裝之后，便強(qiáng)制運(yùn)行，不允許終止Agent進(jìn)程的運(yùn)行，并且默認(rèn)情況下不允許卸載，即不能手工卸載Agent程序，也不允許第三方工具對(duì)Agent程序進(jìn)行刪除，如必須卸載Agent軟件，必須提供卸載密碼。設(shè)計(jì)描述防卸載：360天擎終端Agent通過在卸載程序uninstaller.exe加入了密碼驗(yàn)證的邏輯，要求在卸載過程中必須提供管理員密碼，如果密碼不正確，則卸載程序uninstaller.exe將拒絕執(zhí)行卸載操作。防終止：360天擎終端Agent通過截獲窗體的Windows消息，獲得用戶發(fā)出的終止Agent進(jìn)程的消息，通過改寫OnExit()函數(shù)，在其中加入驗(yàn)證邏輯，改變進(jìn)程退出的標(biāo)準(zhǔn)路徑，以此防止Agent被非法終止。終端外設(shè)管理目標(biāo)描述對(duì)主機(jī)所能連接的外部設(shè)備進(jìn)行嚴(yán)格管控，具體來說就是對(duì)USB接口、光驅(qū)、軟驅(qū)等設(shè)備進(jìn)行準(zhǔn)入控制，同時(shí)可以對(duì)U盤實(shí)現(xiàn)只讀控制，以此實(shí)現(xiàn)主機(jī)的數(shù)據(jù)安全。設(shè)計(jì)描述本系統(tǒng)在設(shè)備驅(qū)動(dòng)層對(duì)外部設(shè)備進(jìn)行可接入控制，實(shí)現(xiàn)對(duì)外部設(shè)備的嚴(yán)格準(zhǔn)入控制。外設(shè)類型控制方式USB接口啟用/禁用光驅(qū)啟用/禁用藍(lán)牙啟用/禁用智能卡啟用/禁用手機(jī)及平板啟用/禁用打印機(jī)啟用/禁用USB有線網(wǎng)卡啟用/禁用USB無線網(wǎng)卡及熱點(diǎn)啟用/禁用串口啟用/禁用并口啟用/禁用U盤禁用/只讀/讀寫終端小工具目標(biāo)描述為管理員提供靈活易用的終端管理與優(yōu)化工具，方便管理員快速處理終端問題，提高終端管理的運(yùn)維效率。設(shè)計(jì)描述集成360安全衛(wèi)士的終端安全管理工具。企業(yè)軟件商店管理員在管理端上傳終端所需的辦公軟件，終端可以點(diǎn)擊下載并安裝開機(jī)加速對(duì)開機(jī)啟動(dòng)項(xiàng)進(jìn)行管理，優(yōu)化開機(jī)速度系統(tǒng)垃圾清理清理系統(tǒng)臨時(shí)文件緩存與IE臨時(shí)文件緩存硬件信息查看器查看硬件物理信息與狀態(tài)信息網(wǎng)絡(luò)查看器查看網(wǎng)絡(luò)的狀態(tài)終端信息搜集目標(biāo)描述統(tǒng)計(jì)終端上的系統(tǒng)信息與軟件信息，為管理員管理系統(tǒng)提供詳盡的依據(jù)，同時(shí)根據(jù)所搜集到的終端信息生成報(bào)表。設(shè)計(jì)描述操作系統(tǒng)Windows操作系統(tǒng)的版本、補(bǔ)丁信息OfficeOffice的版本、補(bǔ)丁信息瀏覽器IE瀏覽器的版本、補(bǔ)丁信息防病毒軟件防病毒軟件的版本、補(bǔ)丁信息文件審計(jì)管控目標(biāo)描述對(duì)終端用戶使用文件、打印機(jī)、收發(fā)郵件等行為進(jìn)行細(xì)粒度的審計(jì)和管控。設(shè)計(jì)描述文件審計(jì)與管控對(duì)指定擴(kuò)展名文件的讀取、修改、刪除、移動(dòng)等行為的審計(jì)功能，支持對(duì)指定路徑或擴(kuò)展名文件的讀取、修改、刪除、移動(dòng)等行為的限制及審計(jì)功能，同時(shí)，對(duì)于終端共享目錄的輸出、讀取及終端用戶對(duì)網(wǎng)絡(luò)文件的訪問也可進(jìn)行詳細(xì)的審計(jì)。打印審計(jì)與管控對(duì)網(wǎng)絡(luò)打印機(jī)的審計(jì)與管控功能，對(duì)終端的打印動(dòng)作、打印文件信息進(jìn)行審計(jì)，也可禁止使用打印機(jī)或禁止打印某類文件，可有效防止核心數(shù)據(jù)通過紙質(zhì)文件外泄。郵件審計(jì)與管控對(duì)客戶端郵件發(fā)送審計(jì)與管控功能，可禁止客戶端發(fā)送任何郵件，減少核心數(shù)據(jù)通過電子郵件外傳的風(fēng)險(xiǎn)。統(tǒng)一運(yùn)維軟件分發(fā)目標(biāo)描述管理控制臺(tái)可以對(duì)指定終端（或終端群組）強(qiáng)制推送軟件，被推送的終端無法選擇是否接收被推送的軟件，同時(shí)，被推送的軟件到達(dá)終端之后，可以選擇是否立即安裝。設(shè)計(jì)描述控制端可以選擇推動(dòng)的終端（通過UserID、IP、網(wǎng)段、IP區(qū)間）。推動(dòng)可以選擇定時(shí)進(jìn)行。推送過程中壓縮傳輸?？梢灾付ㄍ扑秃蟮拇鎯?chǔ)位置（存儲(chǔ)路徑）?？梢灾付ㄍ扑瓦^程總帶寬上限。可以指定推送后是否立即安裝。策略下發(fā)目標(biāo)描述策略管理的目的是對(duì)包括外設(shè)、流量、應(yīng)用等控制對(duì)象下發(fā)控制策略，具體要求可以按照UserID、IP、部門、子網(wǎng)、IP范圍、設(shè)備分組等進(jìn)行策略制定。設(shè)計(jì)描述根據(jù)項(xiàng)目要求，我們?cè)诜桨钢性O(shè)計(jì)了三維策略控制體系：時(shí)間在什么時(shí)間段內(nèi)實(shí)施控制，即控制生效。對(duì)象對(duì)什么對(duì)象實(shí)施控制（用戶（UserID）、服務(wù)器設(shè)備（IP）、部門、子網(wǎng)、IP范圍、應(yīng)用、流量、其他）。控制內(nèi)容對(duì)象的控制范圍的具體值（應(yīng)用是否可以按裝、終端是否能夠準(zhǔn)入、流量的具體限流值）。在策略下發(fā)的時(shí)候，將根據(jù)控制對(duì)象進(jìn)行定點(diǎn)推送，與策略無關(guān)的非受控對(duì)象不會(huì)收到所推動(dòng)的策略。在線用戶統(tǒng)計(jì)目標(biāo)描述統(tǒng)計(jì)當(dāng)前在線、離線的用戶數(shù)量。提供查詢功能，查詢指定的用戶是否在線，提供查詢功能，查詢指定的組內(nèi)在線、離線的用戶數(shù)量。設(shè)計(jì)描述終端定時(shí)打點(diǎn)終端開機(jī)之后與管理控制中心進(jìn)行通信，定時(shí)（如：每30秒）向管理控制中心執(zhí)行一次打點(diǎn)操作。②管理控制中心為每個(gè)終端設(shè)置一個(gè)定時(shí)器，該定時(shí)器初始值為40秒，如果在定時(shí)器到時(shí)，但還沒收到該終端的打點(diǎn)信息，則管理控制中心主動(dòng)向該終端發(fā)起一次狀態(tài)探測(cè)請(qǐng)求，若該請(qǐng)求5秒內(nèi)無響應(yīng)，則該終端置為“離線”狀態(tài)，同時(shí)停止該終端定時(shí)器；若該請(qǐng)求5秒內(nèi)返回應(yīng)答，則該終端置為“在線”狀態(tài)，同時(shí)將定時(shí)器清零，重新開始計(jì)時(shí)。狀態(tài)統(tǒng)計(jì)與查詢③統(tǒng)計(jì)全網(wǎng)在線與離線終端的數(shù)量，同時(shí)給出這些終端的IP、MAC、主機(jī)名、對(duì)應(yīng)的用戶名、用戶所屬的部門等。④根據(jù)時(shí)間、部門、用戶名、IP、MAC查詢主機(jī)的在線與理想狀態(tài)，并可導(dǎo)出成CSV格式。安裝包定制與Web安裝目標(biāo)描述為管理員提供定制終端安裝包的能力，其中包括：指定終端的管理控制中心IP、指定終端的管理控制中心服務(wù)端口等信息，這樣，在終端安裝的時(shí)候，就無需進(jìn)行額外的交互操作就可以完成安裝。另外，終端可以通過訪問Web的方式實(shí)現(xiàn)一鍵式安裝，無需進(jìn)行額外的操作即可完成安裝操作。設(shè)計(jì)描述配置植入系統(tǒng)允許管理員可以在管理控制端提供為終端定制安裝包的操作，具體來說，就是可以為終端安裝包植入如下兩方面信息：該終端所需連接的DNS服務(wù)器信息（包括IP地址、端口）。該終端所需連接的管理控制中心的信