实时掌握360办公区内的所有热点 对非360提供的热点进行阻断 终端关注针对AP的口令破解行为 360公司内部禁止私建Wifi，包括360随身Wifi
BYOD远程办公：数据隔离与加密
天机： 沙箱系统隔离 办公数据加密 VPN通道加密 物理定位、远程锁定、擦除数据
GSM？
核心监控设备
鹰眼：一网打尽Web漏洞
天眼：沙箱 + 大数据分析
监控100Gbps的实时带宽 每天存储50TB的流量数据
沙箱分析平均延时10秒
每天存储的日志条数4000亿
核心将控设备：服务器日志异地存储与分析系统
Shell日志远程存储 Shell日志大数据异常分析
日志存储与 分析服务器
安全理念：三个阵地
第一道防线：争夺边境线
产品 对外服务
员工
三大 战役
纵深防线：保卫大城市
重要服务器 重要业务系统 重要数据
最后一道防线：反潜伏
监控 审计 大数据分析
安全理念：四个假设
如何发现漏洞利用行为 如何检测攻击行为
及时发现漏洞 强制修补漏洞
• 小问题警告（事不到三） • 大问题辞退（零容忍） • 问责诛连到主管VP
密码破解设备 密码破解机 GPU GPU
彩虹表MD5碰撞
• 彩虹表规模超5.5万亿
• 两台GPU服务器24小时不停机碰撞 • 秒杀“弱口令”
密码碰撞
分布式彩虹表存储阵列
密码管理规定
• 口令长度最少15位
• 凡被破解的密码均视为弱口令
• 办公网安全审计系统
天擎
天机
员工：安全是责任
强制策略
• 必须安装360天擎
制度
• 24小时必须重启一次 • 终端有漏洞必须修复 • 密码最少15位 • ……
员工是第一道防线
最小化访问权限
• IDC与办公网隔离
• 办公网与办公网隔离 • 办公网内部主机间隔离 • ……
也是最脆弱的防线
不妥协！
隔离
问责
系统一定 有未发现的漏洞
系统一定 有已发现但仍未修补的漏洞
系统已经被渗透
如何发现系统已经被渗透
员工并不可靠
如何发现员工的异常行为
如何处理已经被渗透的漏洞
如果重现攻击过程 如何溯源
如何检测并阻断来自内部的攻击
安全理念：想攻击者所想
Thinking as the Attackers
防护体系
1001
防护体系整体构建
最后一道防线
• 服务器日志分析平台 • Webshell 监控平台 • 双因子认证 • 堡垒机 密码破解机 数据安全审计系统
纵深防线
第一道防线
• 网络访问控制统一管理平台 • 天眼威胁感知系统 • Web安全扫描系统 • 安全扫描系统 无线入侵检测与防护系统 Webshell白盒扫描系统 第三方安全漏洞监测系统 Andriod漏洞半自动化扫描系统
服务器与业务系统
监控
全流量听包、存储 大数据分析 沙箱实时检测
堡垒主机
统一登陆认证
集中运维审计
补洞
实时扫描线上系统漏洞 抓取安全论坛最新发布漏洞 连夜分析影响，迅速修复
异地容灾
三地机房在线同步 负载均衡，灾难调度 离线备份作为后援
日志分析
修改shell，发送系统日志到日志服务器 利用大数据技术识别日志异常并报警
360网络安全防护体系建设 实践分享
目录
1
安全理念
2
3
技术团队 防护体系
安全理念
301
安全理念：一、二、三、四
一个中心
两个原则
360 安全理念
三个阵地
四个假设
安全理念：一个中心
整体防护
10 多个Lan办公网络
80 多个数据中心 VPN 网络 办公网 数据中心
VPN 网络
安全理念：两个原则
情况一： 开发人员主动提交 上线程序及代码
服务器上的监控程序会自动将 新增、变化的文件送到代码检 查服务器进行检查
网络访问控制统一管理平台
网络访问控制 统一管理平台
配置
管理员
ACL
防火墙
E100 NE08E R3680E
VPN
R3680E NE40
360大厦
内部线路
R3680E
R3680E
R2631E
VPN
VPN
R2631E
IDC
办公网
R2621
分支
Wifi终端设备：受控使用
只有注册IMEI才能使用公司内部的Wifi上网 只有使用域账号才能连接上公司内部的Wifi 可以通过鹰隼系统定位到Wifi终端的物理位置
绵羊墙
Wifi接入设备（AP）：入侵检测与防护
鹰隼：无线AP入侵检测与防护
GSM
技术团队
2301
安全魔方团队（信息安全部）
主管：谭晓生副总裁
协议与逆向 分析团队
安全开发 团队
网络安全 团队
团长：刘小雄
IOS安全 团队
Web安全 团队
云安全 团队
Andriod 安全团队
无线安全 硬件团队
感谢聆听 Q&A
北京市朝阳区酒仙桥路6号院2号楼 100015 Bldg 2, 6 Hao yuan, JiuXianQiao Rd, JianGuo Road, ChaoYang District Beijing 100015, P.R.C. Tel: +86 10 5878 1000 Fax: +86 10 5682 2000
修改过的 服务器shell
服务器shell日志 码/二进制程序板子半自动检查
C、C++、PHP ……
代码检查服务器
Web漏洞扫描 Webshell扫描 Andriod漏洞扫描 漏洞扫描 后门扫描 ….
情况二： 开发人员私自将所开 发的程序上线
攻防平衡原则
现实社会中，攻防本质是成本的对抗 防守就是在受保护的目标价值、安全投入、
自主可控原则
真正的安全来自于可控的安全团队 加上可控的安全工具 一手抓安全防护 一手抓安全工具的自主开发
性价比 三者之间做 tradeoff
攻防之间是动态的平衡，攻击在不断变化，决 定防守需要持续升级，否则将失去平衡