监控
全流量听包、存储 大数据分析
沙箱实时检测
补洞
实时扫描线上系统漏洞 抓取安全论坛最新发布漏洞
连夜分析影响，迅速修复
日志分析
修改shell，发送系统日志到日志服务器 利用大数据技术识别日志异常并报警
服务器与业务系统
堡垒主机
统一登陆认证 集中运维审计
异地容灾
三地机房在线同步 负载均衡，灾难调度 离线备份作为后援
360网络安全防护体系建设 实践分享
目录
1
安全理念
2
防护体系
3
技术团队
安全理念
301
安全理念：一、二、三、四
一个中心 三个阵地
360 安全理念
两个原则 四个假设
整体防护
10 多个Lan办公网络 80 多个数据中心 VPN 网络
办公网
数据中心
VPN 网络
安全理念：一个中心
安全理念：两个原则
鹰眼：一网打尽Web漏洞
核心监控设备
天眼：沙箱 + 大数据分析
➢ 监控100Gbps的实时带宽 ➢ 每天存储50TB的流量数据 ➢ 沙箱分析平均延时10秒 ➢ 每天存储的日志条数4000亿
核心将控设备：服务器日志异地存储与分析系统
✓ Shell日志远程存储 ✓ Shell日志大数据异常分析
日志存储与 分析服务器
• 安全扫描系统
第三方安全漏洞监测系统
• 办公网安全审计系统 天擎 天机
员工：安全是责任
最小化访问权限
• IDC与办公网隔离 • 办公网与办公网隔离 • 办公网内部主机间隔离 • ……
制度
员工是第一道防线 也是最脆弱的防线
隔离
强ቤተ መጻሕፍቲ ባይዱ策略
• 必须安装360天擎 • 24小时必须重启一次 • 终端有漏洞必须修复 • 密码最少15位 • ……
系统一定 有已发现但仍未修补的漏洞
系统已经被渗透
✓ 如何发现系统已经被渗透 ✓ 如何处理已经被渗透的漏洞 ✓ 如果重现攻击过程 ✓ 如何溯源
员工并不可靠
✓ 如何发现员工的异常行为 ✓ 如何检测并阻断来自内部的攻击
安全理念：想攻击者所想
Thinking as the Attackers
防护体系
1001
管理员
配置
网络访问控制统一管理平台
网络访问控制 统一管理平台
ACL
防火墙
R2631E
E100 NE08E R3680E
VPN
VPN
R2631E
分支
R3680E
R3680E NE40
内部线路
IDC
R2621
办公网
360大厦
R3680E
VPN
Wifi终端设备：受控使用
➢ 只有注册IMEI才能使用公司内部的Wifi上网 ➢ 只有使用域账号才能连接上公司内部的Wifi ➢ 可以通过鹰隼系统定位到Wifi终端的物理位置 ➢ 绵羊墙
修改过的
服务器shell
线上服务器
服务器shell日志
自动上传
1601
产品：源代码/二进制程序板子半自动检查
情况一：
开发人员主动提交
上线程序及代码
情况二：
开发人员私自将所开
发的程序上线
代码检查服务器
服务器上的监控程序会自动将 新增、变化的文件送到代码检 查服务器进行检查
C、C++、PHP ……
➢ Web漏洞扫描 ➢ Webshell扫描 ➢ Andriod漏洞扫描 ➢ 漏洞扫描 ➢ 后门扫描 ➢ ….
攻防平衡原则
✓ 现实社会中，攻防本质是成本的对抗
✓ 防守就是在受保护的目标价值、安全投入、 性价比 三者之间做 tradeoff
✓ 攻防之间是动态的平衡，攻击在不断变化，决
定防守需要持续升级，否则将失去平衡
自主可控原则
✓ 真正的安全来自于可控的安全团队 加上可控的安全工具
✓ 一手抓安全防护 ✓ 一手抓安全工具的自主开发
GSM？
GSM
技术团队
2301
安全魔方团队（信息安全部）
主管：谭晓生副总裁
协议与逆向 分析团队
安全开发 团队
网络安全 团队
团长：刘小雄
IOS安全 团队
Web安全 团队
云安全 团队
Andriod 安全团队
无线安全 硬件团队
感谢聆听 Q&A
北京市朝阳区酒仙桥路6号院2号楼 100015 Bldg 2, 6 Hao yuan, JiuXianQiao Rd, JianGuo Road, ChaoYang District Beijing 100015, P.R.C. Tel: +86 10 5878 1000 Fax: +86 10 5682 2000
第一道防线：争夺边境线
✓ 产品 ✓ 对外服务 ✓ 员工
三大 战役
最后一道防线：反潜伏
✓ 监控 ✓ 审计 ✓ 大数据分析
安全理念：三个阵地
纵深防线：保卫大城市
✓ 重要服务器 ✓ 重要业务系统 ✓ 重要数据
✓ 如何发现漏洞利用行为 ✓ 如何检测攻击行为
系统一定 有未发现的漏洞
安全理念：四个假设
✓ 及时发现漏洞 ✓ 强制修补漏洞
Wifi接入设备（AP）：入侵检测与防护
鹰隼：无线AP入侵检测与防护
➢ 实时掌握360办公区内的所有热点 ➢ 对非360提供的热点进行阻断 ➢ 终端关注针对AP的口令破解行为 ➢ 360公司内部禁止私建Wifi，包括360随身Wifi
BYOD远程办公：数据隔离与加密
天机： ➢ 沙箱系统隔离 ➢ 办公数据加密 ➢ VPN通道加密 ➢ 物理定位、远程锁定、擦除数据
防护体系整体构建
第一道防线
最后一道防线
纵深防线
• 双因子认证 • 堡垒机
• 服务器日志分析平台 • Webshell 监控平台
密码破解机 数据安全审计系统
• 网络访问控制统一管理平台
• 天眼威胁感知系统 无线入侵检测与防护系统
• Web安全扫描系统 Webshell白盒扫描系统 Andriod漏洞半自动化扫描系统
问责
不妥协！
• 小问题警告（事不到三） • 大问题辞退（零容忍） • 问责诛连到主管VP
GPU
密码破解机 GPU
密码碰撞
分布式彩虹表存储阵列
密码破解设备
彩虹表MD5碰撞 • 彩虹表规模超5.5万亿 • 两台GPU服务器24小时不停机碰撞 • 秒杀“弱口令” 密码管理规定 • 口令长度最少15位 • 凡被破解的密码均视为弱口令