OSCE XG 第一讲 产品概述

  第三章《ACSE 产品必修课程》之任务 1《OSCE XG学习计划》课程 1《OSCE XG 第一讲 产品概述》

企业安全管理需求

1. 员工多样化，多设备的管理可视性，大规模部署
2. 企业防护范围之外的移动设备，流动员工与合作伙伴
3. 混合云包括软件即服务的管理架构
4. 主动式的内容防护
5. 高级威胁智能关联分析，事件调查与研究
6. 可扩张与集成第三方安全产品信息与联动
7. 完整即使简易有效的本地化产品系列与安全服务

OSCE 概述

  防毒墙网络版 OfficeScan（即 OSCE）是一款可以保护企业网络免受可以软件、网络病毒、基于 Web 的威胁、间谍软件和混合威胁攻击的安全产品

  OSCE 的保护对象：服务器、PC 终端、便携式计算机

产品架构

OSCE 的主要功能

安全风险扫描（最重要的功能）

  通过扫描文件，对扫描到的风险执行处理措施，以保护计算机安全

1. 扫描引擎：集成了 ATSE（高级威胁扫描引擎）功能，以 VSAPI（病毒扫描引擎）的输出作为启发式检测的基础，增强了对零日攻击的保护
2. 病毒特征库：病毒特征库包含帮助 OSCE 客户端识别最新病毒/恶意软件和混合威胁攻击的信息
3. 云安全智能防护：将存储的病毒/恶意软件和病毒码转移到云中，本地只保留基础的病毒码，解决了因病毒码数量过大而导致的性能、网络带宽使用率和存储的问题
4. OSCE 的云安全智能防护还提供以下服务：云端存储的防恶意软件签名、Web 信誉服务、文件信誉服务

恶意行为监控

  通过恶意软件行为阻止和事件监控来保护终端。用户配置的例外列表和安全软件认证服务是对这两种功能的完善

恶意软件行为阻止

  提供了一个必须的额外威胁保护层，通过观察一段时间内的系统事件，当程序执行不同的操作序列时，恶意软件行为阻止将检测已知的恶意行为并阻止关联的程序。

  可确保在较高级别上抵御新的、未知的突发的威胁，尤其对于勒索软件，可以保护文档使其免受未授权的加密或修改，阻止通常与勒索软件相关的进程，保护用户终端不受勒索软件的威胁。

事件监控

  通常病毒入侵计算机后，会实施一些恶意行为，包括擅自修改用户的注册表，未经允许修改系统文件、安全策略和程序配置等等，许多恶意程序使用 Windows 系统文件使用的文件名创建它们自身或其他恶意程序的副本，这通常导致覆盖或者替换系统文件，避开检测或阻碍用户删除恶意文件。

  事件监控会监控系统区域中的某些事件，并允许管理员调整触发此类事件的程序，如发现重复的系统文件、host 文件被修改、安全策略被修改、系统文件被修改等等，通过管理员预先的配置来处理触发的事件。

主机防火墙

1. 应用程序过滤：过滤特定应用程序中的传入和传出流量
2. 网络通信过滤：过滤所有传入和传出的网络通信
3. 扫描网络病毒：扫描每个数据包中是否有网络病毒
4. 安全软件认证列表：提供了可绕开防火墙策略安全级别的应用程序列表

事件爆发阻止

1. 限制/拒绝访问共享文件夹
2. 封闭易受攻击的端口
3. 拒绝对文件和文件夹的写访问
4. 拒绝访问压缩可执行文件
5. 在恶意软件进程/文件上创建互相排斥处理

可疑样本提交

  样本提交的要求

1. OSCE 服务端必须注册在 TMCM 6.0 SP3 Patch2 或更高的版本
2. TMCM 已注册了有 DDAN 5.1 或更高版本

机器学习功能

反漏洞防护

OSCE 的优势特点

集中式管理架构

1. 客户端-服务器模型：该架构允许客户端由单个服务器控制的集中式框架上对多台计算机进行远程管理
2. 外部管理：部署外部管理服务器 Edge Server，将其作为客户端的中转站进行管理，实现对企业外部的所有客户端的管理

多年终端安全经验积累

1. Gartner 终端安全魔力象限持续16年位居领导者
2. 多年 AV-Test 遥遥领先

先进的安全技术

  恶意软件防护、个人防火墙、间谍软件防护、入侵检测系统 IPS、Web 信誉评级、文件信誉评级、数据保护（DLP）、数据加密、变种保护、白名单检查、统计检查、行为分析、漏洞防护虚拟补丁、应用程序控制、沙盒分析、机器学习（ML）业内首创双重 ML、终端检测与相应（EDR）业内第一家方案提供商 Gartner

互联威胁防御

  基于本地威胁情报构建精密联动机制