V8+终端安全系统技术白皮书 V10.docx

V8+终端安全系统技术白皮书 V10.docx

《V8+终端安全系统技术白皮书 V10.docx》由会员分享，可在线阅读，更多相关《V8+终端安全系统技术白皮书 V10.docx（17页珍藏版）》请在冰豆网上搜索。

V8+终端安全系统技术白皮书V10

技术白皮书

版权声明

本文件所有内容受版权受中国著作权法等有关知识产权法保护，为北京金山安全软件有限公司（以下简称“金山安全软件”）所有。

、

是金山安全软件享有权利的注册商标，本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标，特此鸣谢。

金山安全软件不对本文件的内容、使用，或本文件中说明的产品负担任何责任或保证，特别对有关商业机能和适用任何特殊目的的隐含性保证不负担任何责任。

另外，金山安全软件保留修改本文件和本文件中所描述产品的权力。

如有修改，恕不另行通知。

北京金山安全管理系统技术有限公司400-033-9009

地址：

北京市海淀区中关村大街1号海龙大厦14层

网址：

技术支持：

***********************

第一章主要功能特点

领先的云引擎

金山V8+终端安全系统将金山安全多年运营与积累的核心云安全技术全面整合到产品当中，依托金山公有云的业内领先优势，为企业提供数倍于传统企业杀毒软件的能力的同时，终端资源占用相对于传统本地库的杀毒软件大为降低。

边界联动防御

通过对外界程序进入电脑的监控，与云端及动态行为分析系统联动，阻止威胁于入口之外，拦截私有敏感行为，迅速发现未知新威胁,使其在尚未被运行时即可被判定为安全或不安全，上报至信息管理中心，便于追溯恶意程序的来源、感染路径。

这样管理员清晰找出企业内部边防的薄弱地带，最大限度地保障对企业内部计算机的安全防护。

动态行为分析

对通过边界联动防御上报来的未知文件，进行全生命周期内的行为分析。

在规模化的虚拟机中分析文件的进程操作行为、文件操作行为、系统配置操作行为、网络通信行为等关键行为，提供系统运行过程中的截图；通过这些行为组合综合判断是否为安全的文件。

铠甲防御系统

铠甲防御技术是一款完美的结合金山云引擎的终端云主动防御技术，

铠甲防御技术中的行为拦截模式，是基于多步行为的综合判定，是拥有广谱特征匹配的启发式行为判定。

拥有广谱特征匹配的启发式行为判定就是指一个规则可以对应很多种的行为和一些行为的变种。

集合的“蓝芯III”引擎金山智能数学算法（KingsoftantiVirusMathematicalalgorithmEngine）包括熵，SVM，人脸识别算法等铠甲防御是全新架构的防御体系，拥有超强抽象能力的本地行为启发引擎，拥有很强的自我学习能力，无需频繁升级病毒特征库，就能直接查杀未知新病毒，尤其是在流行病毒的变种分析上，结合火眼行为分析，大幅度提升防御与病毒检出能力。

虚拟化支持

金山V8+虚拟化解决方案采用的是“虚拟环境轻客户端模式”，结合了无代理模式的性能优势和基于代理的多重安全保护手段。

同无代理保护一样，轻客户端模式在系统中心也集成一个任务调度系统，负责所有高性能消耗的工作调度。

安装在虚拟机上的“轻终端”将快速响应调度器的统一指令，使得服务器整体时时刻刻保持很低的负载，从而将其对机器性能的影响降到最低。

智能漏洞修复

针对病毒利用系统漏洞传播的新趋势，金山V8+终端安全系统率先采用了分布式的漏洞扫描及修复技术。

管理员通过管理节点获取终端主动智能上报的漏洞信息，再精确部署漏洞修复程序；其通过代理下载修复程序的方式，极大地降低了网络对外带宽的占用。

全网漏洞扫描及修复过程无需人工参与，且能够在终端用户未登录或以受限用户登录情况下进行。

并且提供了对终端系统漏洞管理功能，可以精确的了解全网终端的系统漏洞情况。

软件管理

为便于管理员集中管理全网软件资产，V8+终端安全系统提供软件统计、软件禁用管理、软件卸载管理、软件分发管理功能，构建由软资产采集到软件行为监控再到软件行为管理的立体式软资产管理模型。

大幅度提高工作效率降低管理成本。

系统优化

金山V8+终端安全系统提供了系统优化功能，有效的帮助用户对开机启动项目进行管理，找到影响开机速度、影响电脑运行效率的软件，通过系统优化功能提升系统的运行效率，降低不必要的资源消耗。

垃圾清理

金山V8+终端安全系统系统的垃圾清理新增52项清理垃圾规则和21项痕迹清理规则，提供的垃圾清理功能，能够协助终端用户对上网产生的垃圾文件、看视频和听音乐产生的缓存以及Windows系统产生的垃圾文件进行有效的清除；清除使用计算机时留下的各种痕迹，有效保护个人隐私；清理注册表可以加快系统速度。

保证电脑快速健康的运转。

灵活的部署及管理

⏹可移动的Web管理控制台

控制台基于WEB结构开发，管理员无需安装额外的控制软件，就可以在任意一台计算机上轻松管理整个防毒体系，真正实现了“管理无处不在”。

⏹可扩展的无限分级管理架构

金山V8+终端安全系统使用主系统中心来集中管理数据，以实现以单个系统中心对多个系统中心、升级服务器及其他特殊防毒节点的集中管理。

这个架构借鉴了业内比较优秀的网络管理的设计案例，具有良好的可扩展性和可伸缩性，对于网络规模扩大或新增节点都可以很容易地实现集中管理。

这种架构使得金山V8+终端安全系统可以稳定地工作在跨地域的大型网络上。

⏹高效的安装部署方式

管理员可以根据企业网络环境采用WEB安装、远程安装、域脚本安装等方式，在较短的时间内完成网络内大量终端的安装，简单快速地实现整个网络反病毒体系的部署，最大限度贴合网络实际环境。

⏹灵活定制企业级安全策略

通过金山V8+终端安全系统的管理节点，既可以配置全网统一的安全策略，又可以将具有不同需求的终端分配到特定的组，配置具有针对性的组策略。

通过这种灵活的配置方式，管理员可以轻松地定制企业级安全策略。

⏹多样式的帐户管理设置

默认可分配三种管理员权限，普通管理员、配置管理员、审计管理员，并可以按实际需求，支持手动修改具体权限，可适应企业不同人员权限的划分设置，以保证灵活与安全。

⏹自主授权分割功能

管理员可以从主系统中心分割授权数量给下级系统中心，限制下级系统中心对终端的管理数量，阻止非法终端注册。

⏹高效分组管理功能

支持多种分组规则，如IP分组以及支持与AD和LDAP同步功能，可将用户组织架构同步到终端安全管理系统中，依照用户现有架构进行管理。

分组支持多层分组，支持分组与账号绑定，有效减少服务器资源投入，并降低维护成本。

⏹白名单功能

启动白名单功能之后，只允许白名单列表范围内的IP连接到本系统中心，在白名单列表范围之外的IP地址都视其为黑名单，拒绝其连接。

⏹图形化统计病毒信息

图形化的统计页面可以将网络内的病毒分布状况直观地呈现出来，以便于管理员分析网内病毒发展趋势，并采取针对性的措施。

金山V8+终端安全系统强化了首页整体概况以及多级中心的图示显示。

跨平台

支持Windows、Linux等多种平台操作系统，彻底扫除网络反病毒盲点。

第二章体系结构

金山V8+终端安全系统是一套专为企业级网络环境设计的反病毒安全解决方案，它能够为企事业单位网络范围内的工作站和网络服务器提供可伸缩的跨平台病毒防护。

金山V8+终端安全系统实现了集中式配置、部署、策略管理和报告，并支持管理员对网络安全进行实时审核，以确定哪些节点易于受到病毒的攻击，以及在出现紧急病毒情况时采取何种应急处理措施。

网络管理员可以通过逻辑分组的方式管理终端和服务器的反病毒相关工作，并可以创建、部署和锁定安全策略和设置，从而使得网络系统保持最新状态和良好的配置。

金山V8+终端安全系统采用了业界主流的B/S开发模式，由系统中心（拥有基于WEB的系统中心控制台）、升级服务器、终端、服务器端组成了反病毒安全保障体系。

系统中心可通过简单的设置为主系统中心或下级系统中心，并可以同时扮演主系统中心与下级系统中心角色，实现了针对复杂网络环境的无限扩展性安全体系。

图2-1金山V8+终端安全系统系统结构图

2.1系统中心

系统中心是金山V8+终端安全系统进行信息管理和病毒防护的控制核心。

系统中心基于Corba与其它子系统（服务器端和终端）连接，其它子系统在系统中心控制下完成协同工作。

通过数据库技术，系统中心可以实时记录网络防护体系内每台计算机上的病毒防护信息、防毒设置信息和终端资源信息。

系统中心分为主系统中心和下级系统中心，主系统中心具有管理配制所有下级系统中心，升级服务器，云引擎服务器、终端和服务器端的权限，下级系统中心具有管理和配制注册到本系统中心的下下级系统中心、升级服务器，终端和服务器端的权限，并向主系统中心汇报数据。

同时，系统中心集成了基于WEB方式的控制台，能够集中管理网络上所有已安装过金山V8+终端安全系统终端的计算机，保障每个纳入金山毒霸反病毒体系的计算机时刻处于最佳的防病毒状态。

系统中心控制台

系统中心控制台是整个金山V8+终端安全系统系统设置、使用和控制的操作平台。

它的界面结构友好、直观，符合用户的使用与操作习惯。

系统中心控制台基于WEB结构开发，管理员无需安装额外的控制软件，网络内任何一台装有IE6.0及其以上浏览器的终端都能用来实现对整个网络的管理，真正实现了“管理无处不在”。

2.2升级服务器

升级服务器负责升级文件的更新与传递，还提供MS漏洞修补程序（Hotfix）下载代理。

升级服务器分两种类型：

主升级服务器直接从外网更新升级文件，并负责向二级升级服务器分发（也可以向终端及服务器端分发），一般主升级服务器与主系统中心绑定。

二级升级服务器从主升级服务器（也可以是其它二级升级服务器）更新升级文件，并负责向终端及服务器端分发，二级升级服务器一般与下级系统中心绑定。

2.3云引擎服务器

金山V8+终端安全系统所使用的云引擎服务器主要将传统杀毒软件所使用的病毒库特征集中在企业云端服务器上来统一处理，通过云引擎服务器快速响应终端的文件特征查询请求，实现终端对文件安全性的鉴定，在降低传统终端对系统资源占用比较高的同时，系统防护能力因为云引擎服务器的存在得到更快的响应，从云引擎服务器到金山云的实时同步响应，也让新威胁特征的鉴定达到一个非常快的速度。

2.4动态行为分析器

动态行为分析系统是以未知文件动态行为分析为核心，以特征匹配为辅助，依托海量的金山特征库以及用户自定义的专属特征库，可帮助用户识别内部网络中的高级威胁，并能有效抵御已知/未知病毒木马、0day漏洞及未知恶意代码，可协助用户达成终端的全方位安全防护与威胁处理。

基于金山安全成熟的“可信云查杀”、国内领先的多核引擎技术、KVM云启发引擎技术，V8+拥有超强自我学习及不断进化的能力，它无需频繁升级，可直接查杀未知新病毒。

V8+让杀毒从非黑即白迈入黑白双控的全新阶段，实现了从多层防御到有防御纵深的持续对抗的安全模型跨越。

2.5终端

终端面向网络中的终端群提供反病毒安全防护，是金山V8+终端安全系统反病毒体系的执行终端。

它能够实时监控系统的运行与操作，先进的多引擎“云引擎3”、“蓝芯III”、“KSC云启发引擎”、“小U本地引擎”集合云引擎的快速的极速鉴定，蓝芯III引擎采用金山智能数学算法基于病毒行为检测的启发式查杀技术确保您能及时发现出潜在的未知威胁并采取相应安全措施，基于传统的静态磁盘文件和狭义匹配技术，更进一步从网络和数据流入手，极大地提高了查杀木马及其变种的能力。

新增的U盘监控功能，更有效地防止病毒通过U盘入侵系统。

更有效的病毒隔离系统可以将所有不可修复的受病毒感染文件置于受金山毒霸控制的安全区域内，以便您采取数据过滤等进一步处理措施。

邮件防护能够自动监测收发邮件过程，及时发现隐藏其中的病毒。

漏洞扫描技术能够使您的系统彻底杜绝利用漏洞传播攻击的病毒危害，这其中就包括冲击波、振荡波、红色代码等极其严重的威胁。

隐蔽软件扫描技术能够全面侦测计算机中未经用户许可隐蔽安装的软件，包括恶意程序、间谍软件、木马、广告软件等。

侦测结果第一时间向用户反馈报告，提供快捷清除修复操作。

金山V8+终端安全系统终端，在功能上，把