瑞星杀毒软件网络版技术白皮书Word文档格式.docx

1、瑞星杀毒软件服务器端瑞星杀毒软件客户端瑞星系统中心可以很容易地在整个网络内实现远程管理、智能升级、自动分发、远程报警等多种功能，有效的管理，严密的保护，杜绝病毒的入侵。通过瑞星管理员控制台，管理员可以在网络中的任意一台计算机上对整个网络进行集中控制管理，清楚地掌握整个网络环境中各个节点的病毒监测状态，既方便了管理员，又最大程度的减少了整个网络中的安全漏洞，有效保障了整个网络的系统安全。瑞星杀毒软件网络版适用于所有建立了企业内部网络的大中小型企业。根据客户网络规模的大小，瑞星公司推出的网络版系列产品包括：高级企业版、高级企业专用版、企业版、企业专用版、中小企业版、网吧版。可安装在下列各种平台：W

2、indows 2000 （Professional/Server/Advance Server）Windows XP （Professional/Home）Windows Server 2003、Windows Server 2008Windows Vista、Windows7FreeBSDUNIX（SUN Solaris系列，IBM AIX系列）Linux（RedHat Linux、红旗Linux等基于Intel x86芯片的系统）瑞星公司还推出邮件服务器系统防病毒产品，支持的平台有：Microsoft Exchange ServerLotus Domino Server注意：各版本的安装平

3、台有所分别，请参阅“第六章 瑞星杀毒软件网络版产品系列”。第一章 瑞星杀毒软件网络版的系统结构1.1 分布式体系结构瑞星杀毒软件网络版采用分布式的体系结构，整个防病毒体系是由四个相互关联的子系统组成：系统中心、服务器端、客户端、“移动式”管理员控制台。各个子系统协同工作，共同完成对整个网络的病毒防护工作，为企业级用户的网络系统提供全方位防病毒解决方案。图1分布式体系结构其中：1.系统中心是整个瑞星杀毒软件网络版网络防病毒体系的信息管理和病毒防护的自动控制核心，它实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息，同时根据管理员控制台的设置，实现对整个防护系统的自动控制。2.服务器端/客

4、户端是分别针对网络服务器/网络工作站（客户机）设计的，承担着对当前服务器/工作站上病毒的实时监控、检测和清除，自动向系统中心报告病毒监测情况，以及自动进行升级的任务。3.瑞星管理员控制台是为网络管理员专门设计的，是整个瑞星杀毒软件网络版网络防病毒系统设置、管理和控制的操作平台，它集中管理网络上所有已安装了瑞星杀毒软件网络版的计算机，同时实现对系统中心的管理，它可以安装到任何一台安装了瑞星杀毒软件网络版的计算机上，实现移动式管理。瑞星杀毒软件网络版采用分布式体系，结构清晰明了，管理维护方便。管理员只要拥有管理员账号和口令，就能在网络上任何一台安装了瑞星管理员控制台的计算机上，实现对整个网络上所有

5、计算机的集中管理。1.2 支持大型网络统一管理的多级中心系统瑞星杀毒软件网络版多中心系统是为了满足大型跨区域网络的病毒防护系统而开发的，它采用分级的层次化管理，上级中心能够控制和管理其下级中心。每一级中心既作为一个独立的网络防病毒中心运行，又同其上下级中心共同构成一个完整的防病毒系统。瑞星杀毒软件网络版多级中心系统按照客户的行政结构和网络结构分层设置多级管理中心，通过该系统可实现反病毒的统一管理和分布管理，统一管理表现为由上级中心统一制定防病毒策略、发送查杀病毒命令、下达版本升级提示，并及时掌握全部系统中心（包含下级中心）的病毒分布情况等；分布管理表现为下级中心既可以在收到上级中心的命令后做出

6、响应，也可以管理本级，并主动向上级中心发送请求和汇报信息。瑞星杀毒软件网络版多中心系统包括单中心系统的所有组件和功能，并新增两个组件下级通讯代理（RavSender）和上级通讯代理（RavReceiver），用于上下级通讯。图2 瑞星杀毒软件网络版对大型网络的监控与管理第二章 瑞星杀毒软件网络版的安装特点瑞星杀毒软件网络版具有多种安装方式，包括：智能安装、远程安装、WEB安装以及脚本登录安装等，通过这些多样化的安装方式，网络管理员可以十分轻松地在最短的时间内完成整个系统的安装。而且管理员可以通过“瑞星安装包定制工具”定制安装包。2.1 智能安装瑞星杀毒软件网络版可根据用户当前的操作系统和网络状

7、态智能安装合适的模块，安装程序首先通过智能广播，确定整个网络内是否安装了系统中心。若没有找到系统中心，则判断当前计算机的操作系统是否为Windows 2000 Server/Server 2003，若是，将自动安装系统中心，否则提示用户首先应在Windows 2000 Server/Server 2003计算机上安装系统中心。若找到了系统中心，则自动根据用户计算机的操作系统是 Windows 2000工作站还是Windows XP/Vista，自动安装客户端或服务器端。瑞星杀毒软件网络版的整个安装过程完全是智能化设计，可以完全不需要用户指定系统中心位置，也不需要用户指定安装的模块，简单、方便、

8、实用。2.2 远程安装远程安装包括两个部分，它们都可同时对多台机器进行远程安装：第一，可远程安装瑞星杀毒软件网络版。也就是说，可通过瑞星管理员控制台，向所有网络邻居中的Windows 2000/XP/Vista/Server 2003 服务器/工作站远程安装瑞星杀毒软件网络版的服务器端或客户端。第二，可远程安装瑞星管理员控制台。也就是说，可从瑞星管理员控制台向任何已经安装了瑞星杀毒软件网络版服务器端/客户端的计算机远程安装管理员控制台，实现移动式管理。2.3 WEB安装通过WEB安装，可以将瑞星防毒软件的安装包发布到企业的内部网（Intranet）中，客户端用户通过浏览指定位置的网页实现网络版

9、的安装。2.4 脚本登录安装瑞星杀毒软件网络版能够自动识别域服务器，并为域服务器配置登录脚本。这种方式主要针对Windows 2000/XP/Vista工作站等登录到域控制器的用户，当用户登录到本域时，实现自动为其安装瑞星杀毒软件网络版，避免系统管理员为每台计算机都进行手动或远程安装。对于瑞星杀毒软件网络版，只需在域控制器上运行瑞星登录脚本安装程序，安装程序自动列出所有的用户供管理员选择，管理员可以根据需要选定部分或所有的用户即可，完全不需要管理员额外的操作。2.5 自定义客户端安装包管理员可根据企业的实际情况在瑞星系统中心上定制出客户端的安装包，选择需要安装的组件。以实现客户端的快速方便地部

10、署。并配合上述的Web安装和脚本登录安装模式使用。图3 客户端安装包制作工具选择安装组件2.6客户端搜索工具通过此工具可快速扫描指定网段/网络邻居的客户端是否安装了瑞星杀毒软件，或其他厂商的杀毒软件（需提供客户端的用户名和口令），帮助管理员快速定位需要安装杀毒软件的机器，并可以评估本网的安全状态。第三章 瑞星杀毒软件网络版的安全管理3.1 网络内总体安全概要分析通过管理控制台全面直观地展现整个网络中的安全情况：网络内存在哪些病毒，哪些客户端存在病毒，客户端的升级情况和比例，防病毒系统系统的运行情况（系统中心升级情况，日志记录是否超大，授权数是否超出）。并针对这些分析给出指导性的操作建议。让网络

11、管理员能够轻松地掌握网络中的总体安全情况并及时调整防毒策略。图4 管理控制台总体安全状况分析3.2 远程控制与管理瑞星杀毒软件网络版具有全面集中管理和控制功能，网络管理员可通过管理控制台对客户端执行下列操作：远程查杀病毒远程开启/关闭实时监控远程开启/关闭主动防御远程开启/关闭自我保护远程扫描漏洞和通知安装补丁通知客户端立即升级向客户端发送消息远程安装/卸载客户端远程安装控制台管理员可通过瑞星管理员控制台直接管理各种平台的服务器端/客户端：Windows 2000/2003服务器、Windows 2000工作站、Windows XP客户端、UNIX/Linux客户端。图5 通过瑞星管理员控制台

12、，实现全面集中管理3.3 全网查杀毒瑞星杀毒软件网络版能够随时启动对全网的统一查杀毒（即使本次没有开机的计算机，在下次启动后也会自动进行查杀毒），这样就能全网统一行动，最大程度的减小了病毒传播的可能。当然，管理员也可以对很方便的使用瑞星管理员控制台对单个或多个客户端进行查杀毒。3.4 防毒策略的定制与分发防毒策略的定制和分发对全网的病毒预防起着至关重要的作用。网络管理员通过瑞星管理控制台对全网或某个分组设置统一的防毒策略，也可对特定的客户端设置防毒策略。管理员可以根据实际情况锁定某些关键的选项，使客户端无法修改，以保证防病毒策略的有效实施。具体的防毒策略包括：设置客户端的实时监控的选项，设置客

13、户端定时扫描病毒，设置保护密码防止客户端用户关闭实时监控或卸载杀毒软件等。3.5 实时监控客户端防毒状况网络管理员在管理控制台上能实时地查看到每个客户端的下列信息：扫描状态实时监控的状态主动防御的状态版本信息感染了哪些病毒根据上述信息，管理员可实时跟踪到每一个客户端的防毒状况，以便做出应对措施。3.6 漏洞检测与补丁分发现在的病毒越来越多地利用Windows系统或应用软件的漏洞进行传播和感染，如2003年广泛发作的SQLServer Slammer和冲击波等病毒。这样的病毒使得单纯的杀毒软件无能为力，只有安装相应的补丁包才能彻底避免这些病毒的感染。瑞星紧跟市场需求，提出了“立体安全防御系统”的

14、安全理念，开发出漏洞检测与补丁分发系统。该功能可以提供检测运行Windows平台的安全漏洞，并检测用户的设置（包括共享目录，用户信息等）是否安全。通过此项功能管理员即可及时获取系统的安全漏洞信息，扫描局域网中是否存在这些安全漏洞，如果存在安全漏洞，及时下载漏洞补丁并通知客户端安装漏洞补丁程序或采取相应的防范措施，即可安全高效地预防安全漏洞给企业信息安全造成的影响。图6漏洞扫描后安装补丁程序3.7集成对客户端防火墙的管理管理控制台提供对瑞星客户端防火墙的集中管理，监控客户端防火墙状态，读取和设置客户端防火墙的配置。客户端防火墙的攻击事件能实时/定时报告到系统中心。日志查询统计工具可对全网的防火墙

15、攻击事件进行查询和统计。3.8远程提取客户端诊断信息当客户端存在安全问题或防病毒软件运行不正常时，管理员能远程提取到一些信息以便分析客户端的安全情况或防病毒系统不正常工作的原因。并远程解除客户端的一些安全威胁。提取的客户端信息包括：当前运行进程/模块列表普通自启动项（注册表Run）AppInit_DLLs系统文件关联（.exe .com .cmd .bat .txt .log .scr .reg .doc .htm .html .pif）其它启动项（Win.ini,System.ini等）Winlogon 启动项IE资源插件IE 工具条Winsock SPI系统服务文件驱动系统驱动项已安装软件

16、列表图7客户端诊断信息3.9 病毒与事件报警瑞星杀毒软件网络版系统中心记录了整个网络中任意服务器端/客户端计算机上发现的病毒信息和异常事件。以便管理员能及时发现染毒的计算机和系统运行的异常*+并做出及时反应。瑞星杀毒软件网络版系统中心对病毒信息和事件的处理采用插件方式，支持多种报警方式：发送到瑞星管理控制台，发送邮件（SMTP），发送SNMP陷阱（SNMP Trap），显示消息框（Message），保存NT事件日志（NT Log）等，并可根据用户的实际需要定制报警方式。整个网络的病毒报警信息是由系统中心来统一维护的，因此管理员通过控制台能够查询和管理之前的病毒历史记录。对病毒的传播途径进行有效

17、的跟踪，做到了层层防护。3.10 病毒日志查询与统计对于防病毒系统来讲，病毒日志的统计分析是非常重要的。通过统计确定病毒发作次数最多排行榜、病毒爆发最多主机排行榜等分析数据和图表，并结合病毒发作原理，进一步分析病毒爆发的原因，进而调整防病毒策略，甚至网络结构，确保网络数据的安全性与完整性。瑞星杀毒软件网络版提供了丰富的病毒日志统计与分析功能，能够统计病毒发作次数最多排行榜、病毒爆发最多主机排行榜、某客户端在一段时间范围内的病毒发作趋势、某病毒在一段时间范围内的发作趋势、组/中心间的病毒发作趋势比较等诸多病毒日志分析数据和图表，便于网络管理员直观地掌握网络内病毒感染情况和发作趋势。图8客户端染毒

18、趋势分析3.11客户端分组管理瑞星杀毒软件网络版可使用户在控制台上，按照自己的需要对所有的网络终端结点进行任意分组。分组管理遵循排他性原则，即一个客户端只允许存在同一组中。如此一来，管理员就不仅可以对全网所有的客户端进行统一管理，也可以根据分组，对某个组中成员进行特别管理。 同时为了方便分组，支持将网络邻居工作组和域中的分组信息自动导入到瑞星系统中心的分组中，并支持按IP地址范围、客户端操作系统类型、客户端名称建立自动分组规则。3.12管理员分级管理对于人员较多、结构复杂或者异地办公的企业，仅设置一个管理员是远远不够的。瑞星杀毒软件网络版考虑到了企业的这种需求，独创“分级管理”功能。它将信息安

19、全的管理权限分为三个级别：超级管理员、操作管理员和审计管理员。超级管理员具有对管辖范围内客户端和下级中心的所有操作权限；操作管理员仅能管理超级管理员为其分配的客户端。审计管理员支持查看管辖范围内客户端的状态和日志。在这种分级管理模式下，各级管理员的权限设计和职能分工是非常明确的。这种分级管理的模式使信息安全管理员的工作变得更加明确和轻松。3.13 集中式授权管理瑞星杀毒软件网络版的授权管理由系统中心集中统一管理，系统中心自动维护整个网络的授权计数，客户端完全不用关心授权问题，只有在超出授权计数时才会提醒用户。此外，瑞星授权计数是可以累加的，客户端增加时，只需在系统中心增加授权计数即可。集中管理

20、的好处在于只有在安装系统中心时才需要输入序列号，而且可以根据需要随时购买新的授权计数加入系统中心，而对客户端没有任何影响。3.14 全面监控主流邮件服务器瑞星杀毒软件网络版中集成了针对流行的邮件服务器Exchange Server（包括Exchange 5.5/2000），Lotus Domino（包括Domino 4.6/5.0/6.0/6.5）的病毒防护产品，不仅有实时邮件病毒监控，而且有手动的邮件数据库扫描，功能强大，性能稳定，从根本上杜绝了病毒通过邮件方式的传入和传出。在瑞星杀毒软件网络版中，管理员可以通过管理员控制台直接对邮件防护产品进行监控设置和对邮件数据库进行病毒扫描，染毒邮件信

21、息直接在控制台中显示。3.15 全面监控邮件客户端瑞星杀毒软件网络版提供了几乎针对所有流行邮件客户端产品的实时病毒监控和手动病毒扫描功能，瑞星杀毒软件网络版支持的邮件客户端产品包括：Outlook，Outlook Express，Lotus Notes，FoxMail，Netscape等，最大程度的防止了病毒通过邮件方式的扩散。3.16第三方合作接口根据网络安全的发展形势，单一的安全产品不可能解决企业中的所有网络安全问题，各个厂商在专注自身产品的同时，也在寻求与其他安全厂商的合作，以期为用户提供合适的安全解决方案。瑞星杀毒软件网络版积极地与国内外安全领域的厂商形成合作，并为国内的军队、政府、学

22、校等提供了相应的AV接口和二次开发接口。第四章 瑞星杀毒软件网络版的升级管理对新病毒的快速反应能力和快速升级能力是衡量一个杀毒软件优劣的重要指标，瑞星现在已经向用户承诺每天升级病毒库（相邻版本升级网络流量总大小约为28K），并定期进行功能性升级。网络管理员可以根据实际情况选择直接从瑞星网站升级，从上级中心升级或通过手动升级包升级，并可设定自动定时升级。客户端根据设置实时或定时地从系统中心升级。4.1 多种升级方式瑞星杀毒软件网络版提供了多种升级方式以及自动分发的功能，而且支持多种网络连接方式，具有升级方便、更新及时的特点，网络管理员可以十分轻松地按照预先设定的升级方式实现全网内的统一升级。瑞星

23、杀毒软件网络版的升级过程为系统中心先进行升级，然后各个客户端和服务器端从系统中心进行升级，对于当前没有开机的计算机，将在下一次开机时进行升级，采用均衡流量的策略，尽快将新版本部署到全部计算机上，保证瑞星杀毒软件网络版时刻都是最新的，而且版本一致，完全杜绝了由于版本不一致而可能造成的安全漏洞和安全隐患。由于客户端和服务器端的升级完全是自动的，一旦系统中心升级完毕，所有的服务器端和客户端将自动进行升级，所以管理员只需关心系统中心的升级问题，这样便最大程度地减少了管理员的参与。瑞星杀毒软件网络版全面支持增量升级（包括系统中心从网站升级，客户端从系统中心升级，下级中心从上级中心升级），以减少升级时带来

24、的网络流量；可设置升级周期和升级时间范围，保证及时升级并避免升级时占用网络带宽影响用户正常业务的通讯；可任意调整升级时的数据包大小，解决在带宽较窄的网络内能顺利升级。具体地讲，瑞星杀毒软件网络版的升级模块有如下特点：对于系统中心：立即升级功能：管理员在控制台使用立即升级功能，将根据管理员的升级和网络配置，立即启动系统中心的升级进程。多种升级途径：可以通过网站升级，也可以通过上级系统中心或者下载的手动升级包升级，也可以由系统中心自动选择升级途径。多种升级方式：用户可以选择自动升级全部文件，也可以选择下载手动升级包保存到指定的位置，以便管理员在合适的时间通过手动升级包进行升级。手动升级包可以保存在

25、指定的位置用来共享给其他计算机。定时升级：可以设置定时升级，使得防病毒系统在预先设定的时间升级。无需管理员手工干涉，自动完成全部工作。也可以设置不自动升级，由管理员在适合的时间手工启动升级。支持多种网络连接方式：局域网或专线上网、代理方式上网。断点续传：下载过程采用了断点续传技术，使得下载更迅速及时和安全可靠。对于客户端和服务器端：管理员可以强制某个或某些客户端立即升级。可以设置定时升级，每月每周每天的固定时间进行升级。使用定时升级可以避免在工作时间或者其他客户不希望升级的时间升级，有效控制网络流量。随时升级：客户端一旦发现系统中心存在新版本，就尝试下载更新本地程序。以便尽快将最新的程序部署到

26、各个计算机。自定义升级代理：在一个组里可以设置某个客户端为升级代理，让其它客户端均从这个代理升级。这样可以在某些网络条件比较恶劣的环境中使升级顺利进行。第五章 瑞星杀毒软件网络版客户端的技术特点5.1空闲时段查杀瑞星全功能安全软件的查杀病毒的方式结合了最新的技术，包括后台查杀、断点续杀、异步杀毒处理和空闲时段查杀：5. 2后台查杀在瑞星全功能安全软件中，所有查杀任务都转入后台执行，前台仅显示查杀的状态和结果。即用户通过手动查杀、空闲时段查杀等方式开始查杀病毒后，即使用户关闭了软件主程序，查杀任务仍在继续执行。5.3断点续杀在瑞星全功能安全软件中，手动查杀、空闲时段查杀包含了断点续杀的功能。当查

27、杀任务正在执行时用户选择停止查杀，在下次启动查杀任务的时候，能够从上次停止的地方继续查杀。节省了用户的时间，提高了工作效率。5. 4异步杀毒处理瑞星全功能安全软件集成了异步杀毒处理，即病毒查杀和病毒处理是完全分开的，在查杀的过程中如果发现病毒，会提示用户进行处理。同时，在用户处理过程中查杀过程仍然在继续，不会中断，不会耽误查杀时间，查杀和处理可以异步完成。用户可以在查杀完成后，再选择如何处理病毒。5. 5空闲时段查杀空闲时段查杀以任务为导向进行病毒查杀，可以多个任务同时执行并且根据各个任务的优先级执行。在任务开始时（如：到达设定时的时间或进入屏幕保护模式）自动执行后台查杀，在电脑右下角会出现狮

28、子头，双击此狮子头可查看详细信息。空闲时段查杀根据用户建立的查杀任务及查杀对象进行循环查杀，并且支持异步杀毒处理，用户可以在方便的时候选择如何处理病毒。5.6智能启发式检测技术智能启发式检测是一种检测系统中可疑病毒程序的技术。瑞星通过对恶意程序进行分析，总结了大量恶意程序数据特征代码，从而开发了启发式检测技术。用户可以根据自己对信息安全的不同需要，设置启发式检测的敏感度。使用启发式检测功能能够主动且快速检测出用户系统中可能危害用户信息安全的恶意程序，从而提高用户系统的安全性。 5.7瑞星的智能主动防御技术智能主动防御是一种阻止恶意程序执行的技术。瑞星的智能主动防御技术提供了更开放的用户自定义规则的功能，用户可以根据自己系统的特殊情况，制定独特的防御规则，使智能主动防御可以最大限度的保护系统。5.8恶意程序行为分析通过监控程序的行为，