网络安全 频道

360用户隐私保护白皮书 共四章近三万字

  第三部分 360产品连接服务器详情

  一 云安全体系

  360云安全保护计划,以保护用户隐私为第一优先原则,杀木马、防盗号、保护用户上网安全。云安全体系保护用户隐私的行为说明如下:

  文件安全连网检测

  传统杀毒软件将病毒库放在用户电脑,在用户电脑进行文件的分析工作,在扫描过程中会反复在本地病毒库中进行比对,占用大量系统资源,让电脑非常慢,并且随着病毒库的不断升级,病毒库的容量越来越大,分析文件时所耗费的时间也越来越长,让电脑越用越慢。

  360使用国际非常先进云安全技术,在360云安全计算中心(云端)建立了存储数亿个木马病毒样本的黑名单数据库和已经被证明是安全文件的白名单数据库。360系列产品利用互联网,通过连网查询技术,把对用户电脑里的文件扫描检测从客户端转到云端(服务器端),能够极大地提高对木马病毒查杀和防护的及时性、有效性。同时,90%以上的安全检测计算由云端服务器承担,从而降低了用户电脑的CPU和内存等资源占用,使用户电脑变快。

  360云安全连网检测技术好比您使用搜索引擎时先在搜索框中输入想要搜索的内容,向服务器提交需要搜索的内容后,服务器返回给您相关的信息。因此,360在检测文件安全信息时,需要连接360云安全计算中心,将待查询的文件信息报给服务器,由服务器返回文件是否安全。

  (1)什么情况下会进行文件安全连网检测

  当用户使用360安全卫士查杀木马以及360杀毒查杀病毒时,会对用户电脑中的可执行的程序、可自启动的文件进行连网检测。

  当用户使用360安全卫士主动防御、360杀毒实时防护以及360保险箱时,会将程序执行过程中,可能给用户电脑带来风险的操作,比如加载驱动、安装插件等进行连网检测。如果加载的驱动经过服务端查询是危险的,那么360客户端将进行拦截;如果安装的插件经过服务端查询是未知的,那么客户端会提示用户注意风险等。

  (2)哪些数据会送到云端与木马病毒库、白名单库比对检测

  电脑连网与360云安全中心木马病毒库和白名单库比对检测的文件,全部是可执行的程序文件。连网检测的文件不包含用户的文档、图表、照片、视频等与隐私相关的非程序文件和信息(如:姓名、电话、住址、E-mail、帐号信息等)。

  电脑连网比对检测的文件信息,仅包括文件名、文件路径和文件指纹。文件指纹是使用国际公开的MD5文件信息摘要算法算出的一个32位的编码,可以为每一个文件计算一个文件指纹,用于标识文件的唯一性。因此,360云安全计算中心在比对文件安全信息时,仅使用文件指纹就能知道文件是否安全,而不需要将文件本身上报到服务器。另外,由于MD5算法是单向的,即只能通过文件计算得出MD5编码,而不能通过编码还原文件,所以上报文件指纹也不会涉及到用户个人信息。

  对于可疑的可执行程序(即可以运行的程序和会被其他程序调用的文件),360会在征得您的同意后,上报给360安全中心作为样本进行分析,具体请查看可疑文件样本上报。

  可执行程序按功能可分为三种:系统自身程序,用户安装的软件和木马病毒。可执行程序只是为产品提供功能支持,本身不包含用户的个人信息。即使是一个银行软件的可执行程序(如招商银行专业版)也不会包含用户的银行账号和密码。因此上报可疑样本也不会涉及到您的个人信息。

  有了文件名和文件指纹,360云安全中心能够知道每一个文件是干什么的,应该叫什么名字,这样就可以将很多把自己伪装成系统文件或用户常用软件诱骗用户运行的木马(如木马将自己更名为“招商银行专业版”,并把图标也换成和招商银行专业版一样)揪出来进行处理。检测过程就像公安机关在查案时,不仅仅需要查看嫌疑人的身份证上的名字是不是正在通缉的罪犯,还需要将可疑人员的姓名和身份证号码上报到公安系统进行查询,才可以确认嫌疑人是不是盗用别人的身份证或者使用了假身份证,从而提高办案速度和避免错案。

  360云安全检测技术在扫描一个文件时,会将文件的文件名,文件路径和文件指纹送到360云安全计算中心进行查询,而360云安全计算中心将这些信息和数据库进行比对,能够快速准确的识别文件是否安全。

  (3)通过文件安全连网检测,您可以获得什么安全服务

  通过文件安全连网检测,您在查杀木马病毒时,360把文件信息提交给360云安全中心,通过对比木马病毒库和白名单库后返回文件危险级别的结果,并且不占用本机的资源。如果是木马病毒,将予以清除;如果是正常文件,将予以放行;如果是可疑文件,将给出终止运行或隔离的建议。因此,360云安全计算中心的文件安全的连网检测,能帮助用户在第一时间内拦截或清除恶意程序和木马病毒并且360云安全计算中心的木马病毒库和白名单库是实时更新的,用户不需要频繁更新病毒库就能查杀最新的木马病毒。

  网页安全连网检测

  360云安全中心在服务器端建立了存储数千万个恶意网址的数据库。恶意网址数据库包括挂马网页、恶意网址、钓鱼网站等。360云安全计算中心每天向恶意网址数据库实时添加近百万个新的恶意网址。

  (1)什么情况下会进行网页安全检测

  如果您开启了360安全卫士网盾的网页防护功能或使用360安全浏览器用户访问网站和点击网页中的链接时,360会把网址送到360云安全计算中心,进行连网安全检测。

  (2)哪些数据会送到云端与恶意网址数据库进行比对检测

  电脑连网与恶意网址数据库比对检测,所提交的数据仅为URL网址,不包含可追踪定位用户的信息(如:用户ID、电脑名称等)。

  (3)通过网页安全检测,您可以获得什么安全服务

  通过网页安全检测,您在上网时如果打开了木马网站或者含有木马网站链接的网站时,360网盾或360安全浏览器会及时的拦截网页中的木马或弹出警示窗口,阻止木马进入您的电脑,盗取您的资料或破坏您的电脑。而且360云安全计算中心的恶意网址库是实时更新的,您不需要频繁更新就能拦截最新的恶意网址。

  可疑文件样本上报

  可疑文件样本是指:既不在木马病毒库中,又不白名单库中,且具有一定风险的可执行文件样本。可疑文件中,绝大多数是未知的木马和病毒,对用户的电脑会造成极大的安全威胁。为了确认这些可疑文件的安全性,如果用户选择加入360“云查杀”计划,就将这些可疑文件样本上报至360云安全计算中心。360云安全计算中心投入了数千台服务器、上百G互联网带宽、上百名样本分析工程师,及时的对样本进行分析。目前参加360“云查杀”计划的用户已经超过2亿。

  360上报的每一个文件都是经过您的同意的,并且您可以清楚的看到360什么时间上报了什么样本文件。

  (1)什么情况下会上报可疑文件样本

  i.当您第一次使用360安全卫士查杀木马时,木马云查杀界面中会询问您是否加入“云查杀计划”,当您【确认】加入后,360安全卫士会在发现可疑文件样本时上报。您也可以随时通过360木马云查杀界面中的【隐私设置】来加入或退出“云查杀计划”。

  ii.加入“云查杀计划”的电脑,在执行扫描和实时防护的过程中发现可疑样本时,会自动将可疑样本上报至360云安全计算中心。

  iii.在您使用360安全卫士的全面诊断功能或使用其他调用全面诊断功能的产品(如恶意软件举报)时,360全面诊断会扫描您电脑的关键位置、正在运行的程序,已经安装的系统插件,并将扫描结果信息(包括安全、危险和可疑)在界面中显示。如果您选择上报。如果您选择了上报诊断报告,360会在经过您的再次确认后将您的上报至360安全中心进行分析,帮助您解决问题。

  此诊断报告仅为您做诊断时系统的运行信息,包括正在运行的程序的程序名称,程序文件指纹,系统插件的名称和插件指纹,用于判断文件的安全性,文件的作用,和文件是否为假冒的用户程序。同样,这些信息也不涉及您的个人隐私信息。

  iv.对于同一可疑文件样本,如果有其他用户上报过,360云安全计算中心就不再要求您的电脑进行上报。加入“云查杀计划”的用户非常多,因此,对于您的电脑,上报可疑文件样本的概率非常低。

  (2)上报可疑文件样本是否会侵犯隐私

  上报的可疑文件样本,全部是可执行文件。可执行文件是可以运行或被其他程序调用的程序,例如exe文件、dll文件等。按功能可分为三种:系统自身程序,用户安装的软件和木马病毒。可执行程序只是为产品提供功能支持,本身不包含用户的个人信息,即使是一个银行软件的可执行程序(如招商银行专业版)也不会包含用户的银行账号和密码。因此上报可疑样本也不会涉及到您的个人信息。

  360会通过文件结构来判断一个文件是否为可执行文件,所以不会错误的上报非可执行文件,也就是说不会上报您的文档、图表、照片、视频等与隐私相关的非程序文件和信息(如:姓名、电话、住址、E-mail、账号、密码等)。上报的可疑文件样本仅作为木马分析使用。

  (3)如何设置和查看可疑文件样本上报

  i.360木马云查杀提供了非常方便的打开和关闭样本上报的功能。方法是:打开360安全卫士,点击【木马查杀】,再点击云查杀界面右侧的【隐私设置】,即可进入可疑文件样本上传的设置界面。

  ii.点击隐私设置界面的“已上报文件”标签,即可查看上报历史。

  (4)为什么会有同一路径下同一文件名的可执行文件被反复上报

  360客户端通过文件指纹识别文件的唯一性,同一可执行文件在360的数亿用户中只会上报一次。如果您发现有个别同样文件名的可执行文件被上报了多次,那么说明该可执行文件的文件指纹发生了变化,也就是该可执行文件的内容或功能发生了变化。在多数情况下,拥有这种不断变换自身内容行为的可执行文件都是木马,它们用这种办法来逃避安全软件的查杀。因此,更加说明通过文件名无法判断一个文件是好是坏,360需要您上报此可执行文件样本来帮助我们获取该文件的安全属性和文件指纹。

  软件信息连网查询

  360云安全计算中心建立了全面的软件信息数据库,包含软件版本、软件功能简介、软件分类、软件中各文件的作用、用户对软件的评分评论等。

  软件和木马文件可以随意命名一样,也可以随意更改自己的名字。很多恶意软件为了提高自身的使用量,达到弹出广告、悄悄安装插件,将自己命名为您经常使用的软件名(如恶意软件将自己命名为“QQ”),骗取您的使用,从而达到谋利目的。

  而通过360云安全计算中心的软件信息连网查询功能,我们能通过软件名称,软件指纹,判断每个软件的正真作用,并把查询到的软件信息和软件作用显示在相应的软件列表上。这些描述信息能够帮助您升级软件、卸载软件、优化开机自动启动的软件,使软件更好用,电脑启动速度更快。

  (1)什么时候会连网查询软件信息

  您在使用360安全卫士的“插件清理”、“流量监控”、“软件升级”、“软件卸载”或“开机加速”等需要显示程序和文件信息的功能时,相应功能会通过文件名、文件指纹到360云安全计算中心连网查询您电脑中进程和软件的安全属性和程序的功能描述,并将信息结果显示在相应的软件列表上。

  (2)哪些数据会送到云端与软件信息库比对

  电脑连网查询软件信息数据库,所需上报的数据仅包括软件的文件名、文件路径及文件指纹。不包含可追踪定位用户的信息(如:用户ID、电脑名称等),不包含用户的文档、图表、照片、视频等与隐私相关的非程序文件和信息(如:姓名、电话、住址、E-mail、帐号、密码等)。

  (4)通过软件信息查询,您可以获得什么服务

  插件清理:通过查询每个插件的作用,360插件清理能够显示出每个插件的作用,并给出相应清理建议,帮助您清理电脑中的插件,提高系统速度。

  流量监控:通过查询文件的安全属性和功能描述,您可以知道每个正在连网的程序是否安全,是做什么用的,占了多少带宽,从而管理和优化自己的网络。

  软件升级:通过连网查询软件评价信息数据库,您可以在第一时间获得软件新版本发布通知并升级。升级后的软件可能会提供新的功能,增强体验;也可能修复了原有的不足和漏洞,避免受到木马攻击而造成损失。

  软件卸载:随着电脑安装的软件越来越多,磁盘空间被一些无用的软件占用,造成电脑越来越慢。通过连网查询软件信息数据库,可以获得电脑中已安装软件的简介、功能介绍、分类、用户评分和用户评论等信息,帮助您在卸载软件时做出正确的选择。

  开机加速:很多软件,包括知名软件包含了非必要的开机自动启动行为,这些行为直接导致了用户电脑变慢,性能下降。通过连网查询软件信息数据库,可以获得软件功能的介绍和是否需要开机自动启动的建议。您根据查询结果,禁止一些不必要的软件在开机时自动启动,进而提高电脑的性能,让电脑变快。

  2.用户体验改善

  为了改善产品的用户体验,360会根据需要对产品的各功能使用情况进行统计,我们可以通过分析统计数据提高产品质量,并且推出对用户有帮助的创新安全服务。

  在统计时,我们只对360产品自身的内容进行统计,绝不涉及用户的个人数据。

  产品安装、卸载量统计

  (1)统计原因:

  通过360云安全体系的工作原理可以知道,360产品的安全功能需要和服务器进行通信,才能保证获取到的文件、网址的安全信息是及时,准确的。因此360安全中心需要知道当前有多少用户在使用360的产品,以便我们能充裕的部署服务器数量、网络带宽,更好的为您服务。

  例如当用户增多时,我们会及时增加服务器数量和网络带宽,让新用户也能及时准确的获得服务。

  (2)统计时机和内容:

  根据国际各大杀毒软件、反恶意软件的通行惯例,在安装、卸载360产品时,360产品会向360安全中心服务器报告产品是否成功安装。360的所有版本都有一个应用程序唯一识别码,此识别码仅标识360自身的程序,用于消除同一用户反复安装产品后产生的重复统计,此识别码不涉及用户个人信息。

  当您安装、卸载360产品的时候,这个识别码和一个包含安装成功与否信息将报告给360安全中心,用于统计产品安装情况。具体报告方法为访问服务器的一个页面,服务器根据该页面的被访问次数统计产品安装次数。

  产品功能使用量统计:

  (1)统计原因:

  为了应对新的木马威胁,满足用户新的需求,我们会持续增加和改善产品功能,因此我们需要知道每个产品功能的使用量,即有多少用户在使用这个产品功能。以便我们能够对每个产品功能的重要性做出正确的判断,指导我们调整产品功能的研发优先级。

  例如通过统计,发现使用A功能的用户非常多,而使用B功能的用户非常少,那么我们可能会将更多的研发工程师投入到A功能,快速改进A功能,让您有更好的使用体验。

  (2)统计时机和内容:

  360会根据需要,对产品某些功能的使用次数进行统计,当您使用360的这些功能时,360会将此功能的名称和应用程序唯一识别码报告给360安全中心。具体报告方法为访问服务器的一个页面,服务器根据该页面的被访问次数统计功能使用次数。

  360统计产品功能的使用量和网站包括知名网站(如新浪网,腾讯网)统计每个页面的访问量相同,我们只统计产品功能的使用次数,绝不涉及用户个人数据。

  程序错误日志上报

  当程序出现意外错误或崩溃时,360和包括微软、Google在内的很多公司一样,会自动生成一个错误日志。我们可能需要您向360安全中心上报程序或系统产生的错误日志,以便我们能定位程序错误或崩溃的原因,改善产品质量。

  在需要您上报错误日志时,我们会询问您是否同意上报。如果您同意上报,我们会将此错误日志上报给360安全中心,如果您不同意,则不会上报。

  错误日志是360程序在出现错误或崩溃时记录的运行信息,仅包含程序本身的出错信息,绝不涉及任何用户个人数据。

  360产品在发布前都经过严格的测试,因此程序极少会出现错误或崩溃,所以您连网上报程序错误日志的可能性非常低。

  产品升级

  360产品会需要连接服务器,检查程序更新信息,对程序自身和程序所需要的病毒木马库文件进行升级更新,以增加抵御木马病毒的能力和改善您使用产品时的体验。

  根据不同产品的需要,客户端会在不同时机连接服务器检查更新。如360安全卫士会在每次开机,360安全卫士程序被运行后以及运行后每隔一段时间自动连接服务器,进行升级。

  虽然360产品是基于云安全的新一代互联网产品,所有查询工作都交给360云安全中心操作。但为了防止您的电脑不能连网时的安全,360云安全中心将最为流行的数万个木马库在您的电脑做了备份,以便能够在断网情况下处理和拦截木马。

  360产品在检查更新时,会将自身的版本号,应用程序唯一识别码报告给服务器,服务器根据版本号和应用程序唯一识别码判断出是否需要升级后,反馈给客户端,进行升级。

  P2P下载加速技术

  P2P是一种“人人为我,我为人人”的互联网下载加速技术。您在下载某个文件时,其他用户可能也在下载相同的文件,P2P技术会让你就近从附近的用户那里下载,获得更快的下载速度。同时您也可以帮助其他用户,把把正在下载的问题提供给其他用户,提高他们的下载速度。迅雷,电驴,BT软件也使用的这种技术来提高下载速度。

  例如您是海南用户,本来需要翻山过海的连接北京的服务器下载某个文件,使用P2P技术后可以从正在下载此文件的海南用户那里下载,减少传输过程中的损耗,提高下载速度。

  360产品也使用了P2P下载加速技术,让您可以选择使用P2P加速产品下载和升级,第一时间获得抵御木马病毒的能力。

  360产品在使用P2P技术时只会分享正在下载的产品安装程序、病毒库、漏洞补丁等文件,绝对不会上传包含用户个人信息的其他文件,并且仅用作和其他用户分享,不会被上传到360安全中心的服务器。

  您可以在360安全卫士的【设置】→【升级方式】中的【使用P2P技术为升级程序加速】来开启或关闭P2P功能。也可以在360升级管理的设置中关闭上传功能和限制上传速度。

0
相关文章