V8+终端安全系统.技术白皮书-V1.0Word文件下载.doc
《V8+终端安全系统.技术白皮书-V1.0Word文件下载.doc》由会员分享,可在线阅读,更多相关《V8+终端安全系统.技术白皮书-V1.0Word文件下载.doc(20页珍藏版)》请在冰点文库上搜索。
2.5终端 9
第三章工作方式 10
3.1管理控制通信方式 10
3.2边界防护工作方式 10
3.3动态行为分析工作方式 10
3.4升级工作方式 11
3.5漏洞扫描工作方式 11
3.6虚拟化工作方式 11
第四章安全管理 14
4.1登录管理限制 14
4.2下级系统中心集中管理 14
4.3终端集中管理 15
4.4管理针对性细化(组策略) 16
4.5安全日志集中获取、统计及管理 16
第五章终端安全 17
附录 20
第一章主要功能特点
领先的云引擎
金山V8+终端安全系统将金山安全多年运营与积累的核心云安全技术全面整合到产品当中,依托金山公有云的业内领先优势,为企业提供数倍于传统企业杀毒软件的能力的同时,终端资源占用相对于传统本地库的杀毒软件大为降低。
边界联动防御
通过对外界程序进入电脑的监控,与云端及动态行为分析系统联动,阻止威胁于入口之外,拦截私有敏感行为,迅速发现未知新威胁,使其在尚未被运行时即可被判定为安全或不安全,上报至信息管理中心,便于追溯恶意程序的来源、感染路径。
这样管理员清晰找出企业内部边防的薄弱地带,最大限度地保障对企业内部计算机的安全防护。
动态行为分析
对通过边界联动防御上报来的未知文件,进行全生命周期内的行为分析。
在规模化的虚拟机中分析文件的进程操作行为、文件操作行为、系统配置操作行为、网络通信行为等关键行为,提供系统运行过程中的截图;
通过这些行为组合综合判断是否为安全的文件。
铠甲防御系统
铠甲防御技术是一款完美的结合金山云引擎的终端云主动防御技术,
铠甲防御技术中的行为拦截模式,是基于多步行为的综合判定,是拥有广谱特征匹配的启发式行为判定。
拥有广谱特征匹配的启发式行为判定就是指一个规则可以对应很多种的行为和一些行为的变种。
集合的“蓝芯III”引擎金山智能数学算法(KingsoftantiVirusMathematicalalgorithmEngine)包括熵,SVM,人脸识别算法等铠甲防御是全新架构的防御体系,拥有超强抽象能力的本地行为启发引擎,拥有很强的自我学习能力,无需频繁升级病毒特征库,就能直接查杀未知新病毒,尤其是在流行病毒的变种分析上,结合火眼行为分析,大幅度提升防御与病毒检出能力。
虚拟化支持
金山V8+虚拟化解决方案采用的是“虚拟环境轻客户端模式”,结合了无代理模式的性能优势和基于代理的多重安全保护手段。
同无代理保护一样,轻客户端模式在系统中心也集成一个任务调度系统,负责所有高性能消耗的工作调度。
安装在虚拟机上的“轻终端”将快速响应调度器的统一指令,使得服务器整体时时刻刻保持很低的负载,从而将其对机器性能的影响降到最低。
智能漏洞修复
针对病毒利用系统漏洞传播的新趋势,金山V8+终端安全系统率先采用了分布式的漏洞扫描及修复技术。
管理员通过管理节点获取终端主动智能上报的漏洞信息,再精确部署漏洞修复程序;
其通过代理下载修复程序的方式,极大地降低了网络对外带宽的占用。
全网漏洞扫描及修复过程无需人工参与,且能够在终端用户未登录或以受限用户登录情况下进行。
并且提供了对终端系统漏洞管理功能,可以精确的了解全网终端的系统漏洞情况。
软件管理
为便于管理员集中管理全网软件资产,V8+终端安全系统提供软件统计、软件禁用管理、软件卸载管理、软件分发管理功能,构建由软资产采集到软件行为监控再到软件行为管理的立体式软资产管理模型。
大幅度提高工作效率降低管理成本。
系统优化
金山V8+终端安全系统提供了系统优化功能,有效的帮助用户对开机启动项目进行管理,找到影响开机速度、影响电脑运行效率的软件,通过系统优化功能提升系统的运行效率,降低不必要的资源消耗。
垃圾清理
金山V8+终端安全系统系统的垃圾清理新增52项清理垃圾规则和21项痕迹清理规则,提供的垃圾清理功能,能够协助终端用户对上网产生的垃圾文件、看视频和听音乐产生的缓存以及Windows系统产生的垃圾文件进行有效的清除;
清除使用计算机时留下的各种痕迹,有效保护个人隐私;
清理注册表可以加快系统速度。
保证电脑快速健康的运转。
灵活的部署及管理
n可移动的Web管理控制台
控制台基于WEB结构开发,管理员无需安装额外的控制软件,就可以在任意一台计算机上轻松管理整个防毒体系,真正实现了“管理无处不在”。
n可扩展的无限分级管理架构
金山V8+终端安全系统使用主系统中心来集中管理数据,以实现以单个系统中心对多个系统中心、升级服务器及其他特殊防毒节点的集中管理。
这个架构借鉴了业内比较优秀的网络管理的设计案例,具有良好的可扩展性和可伸缩性,对于网络规模扩大或新增节点都可以很容易地实现集中管理。
这种架构使得金山V8+终端安全系统可以稳定地工作在跨地域的大型网络上。
n高效的安装部署方式
管理员可以根据企业网络环境采用WEB安装、远程安装、域脚本安装等方式,在较短的时间内完成网络内大量终端的安装,简单快速地实现整个网络反病毒体系的部署,最大限度贴合网络实际环境。
n灵活定制企业级安全策略
通过金山V8+终端安全系统的管理节点,既可以配置全网统一的安全策略,又可以将具有不同需求的终端分配到特定的组,配置具有针对性的组策略。
通过这种灵活的配置方式,管理员可以轻松地定制企业级安全策略。
n多样式的帐户管理设置
默认可分配三种管理员权限,普通管理员、配置管理员、审计管理员,并可以按实际需求,支持手动修改具体权限,可适应企业不同人员权限的划分设置,以保证灵活与安全。
n自主授权分割功能
管理员可以从主系统中心分割授权数量给下级系统中心,限制下级系统中心对终端的管理数量,阻止非法终端注册。
n高效分组管理功能
支持多种分组规则,如IP分组以及支持与AD和LDAP同步功能,可将用户组织架构同步到终端安全管理系统中,依照用户现有架构进行管理。
分组支持多层分组,支持分组与账号绑定,有效减少服务器资源投入,并降低维护成本。
n白名单功能
启动白名单功能之后,只允许白名单列表范围内的IP连接到本系统中心,在白名单列表范围之外的IP地址都视其为黑名单,拒绝其连接。
n图形化统计病毒信息
图形化的统计页面可以将网络内的病毒分布状况直观地呈现出来,以便于管理员分析网内病毒发展趋势,并采取针对性的措施。
金山V8+终端安全系统强化了首页整体概况以及多级中心的图示显示。
跨平台
支持Windows、Linux等多种平台操作系统,彻底扫除网络反病毒盲点。
第二章体系结构
金山V8+终端安全系统是一套专为企业级网络环境设计的反病毒安全解决方案,它能够为企事业单位网络范围内的工作站和网络服务器提供可伸缩的跨平台病毒防护。
金山V8+终端安全系统实现了集中式配置、部署、策略管理和报告,并支持管理员对网络安全进行实时审核,以确定哪些节点易于受到病毒的攻击,以及在出现紧急病毒情况时采取何种应急处理措施。
网络管理员可以通过逻辑分组的方式管理终端和服务器的反病毒相关工作,并可以创建、部署和锁定安全策略和设置,从而使得网络系统保持最新状态和良好的配置。
金山V8+终端安全系统采用了业界主流的B/S开发模式,由系统中心(拥有基于WEB的系统中心控制台)、升级服务器、终端、服务器端组成了反病毒安全保障体系。
系统中心可通过简单的设置为主系统中心或下级系统中心,并可以同时扮演主系统中心与下级系统中心角色,实现了针对复杂网络环境的无限扩展性安全体系。
图2-1金山V8+终端安全系统系统结构图
2.1系统中心
系统中心是金山V8+终端安全系统进行信息管理和病毒防护的控制核心。
系统中心基于Corba与其它子系统(服务器端和终端)连接,其它子系统在系统中心控制下完成协同工作。
通过数据库技术,系统中心可以实时记录网络防护体系内每台计算机上的病毒防护信息、防毒设置信息和终端资源信息。
系统中心分为主系统中心和下级系统中心,主系统中心具有管理配制所有下级系统中心,升级服务器,云引擎服务器、终端和服务器端的权限,下级系统中心具有管理和配制注册到本系统中心的下下级系统中心、升级服务器,终端和服务器端的权限,并向主系统中心汇报数据。
同时,系统中心集成了基于WEB方式的控制台,能够集中管理网络上所有已安装过金山V8+终端安全系统终端的计算机,保障每个纳入金山毒霸反病毒体系的计算机时刻处于最佳的防病毒状态。
系统中心控制台
系统中心控制台是整个金山V8+终端安全系统系统设置、使用和控制的操作平台。
它的界面结构友好、直观,符合用户的使用与操作习惯。
系统中心控制台基于WEB结构开发,管理员无需安装额外的控制软件,网络内任何一台装有IE6.0及其以上浏览器的终端都能用来实现对整个网络的管理,真正实现了“管理无处不在”。
2.2升级服务器
升级服务器负责升级文件的更新与传递,还提供MS漏洞修补程序(Hotfix)下载代理。
升级服务器分两种类型:
主升级服务器直接从外网更新升级文件,并负责向二级升级服务器分发(也可以向终端及服务器端分发),一般主升级服务器与主系统中心绑定。
二级升级服务器从主升级服务器(也可以是其它二级升级服务器)更新升级文件,并负责向终端及服务器端分发,二级升级服务器一般与下级系统中心绑定。
2.3云引擎服务器
金山V8+终端安全系统所使用的云引擎服务器主要将传统杀毒软件所使用的病毒库特征集中在企业云端服务器上来统一处理,通过云引擎服务器快速响应终端的文件特征查询请求,实现终端对文件安全性的鉴定,在降低传统终端对系统资源占用比较高的同时,系统防护能力因为云引擎服务器的存在得到更快的响应,从云引擎服务器到金山云的实时同步响应,也让新威胁特征的鉴定达到一个非常快的速度。
2.4动态行为分析器
动态行为分析系统是以未知文件动态行为分析为核心,以特征匹配为辅助,依托海量的金山特征库以及用户自定义的专属特征库,可帮助用户识别内部网络中的高级威胁,并能有效抵御已知/未知病毒木马、0day漏洞及未知恶意代码,可协助用户达成终端的全方位安全防护与威胁处理。
基于金山安全成熟的“可信云查杀”、国内领先的多核引擎技术、KVM云启发引擎技术,V8+拥有超强自我学习及不断进化的能力,它无需频繁升级,可直接查杀未知新病毒。
V8+让杀毒从非黑即白迈入黑白双控的全新阶段,实现了从多层防御到有防御纵深的持续对抗的安全模型跨越。
2.5终端
终端面向网络中的终端群提供反病毒安全防护,是金山V8+终端安全系统反病毒体系的执行终端。
它能够实时监控系统的运行与操作,先进的多引擎“云引擎3”、“蓝芯III”、“KSC云启发引擎”、“小U本地引擎”集合云引擎的快速的极速鉴定,蓝芯III引擎采用金山智能数学算法基于病毒行为检测的启发式查杀技术确保您能及时发现出潜在的未知威胁并采取相应安全措施,基于传统的静态磁盘文件和狭义匹配技术,更进一步从网络和数据流入手,极大地提高了查杀木马及其变种的能力。
新增的U盘监控功能,更有效地防止病毒通过U盘入侵系统。
更有效的病毒隔离系统可以将所有不可修复的受病毒感染文件置于受金山毒霸控制的安全区域内,以便您采取数据过滤等进一步处理措施。
邮件防护能够自动监测收发邮件过程,及时发现隐藏其中的病毒。
漏洞扫描技术能够使您的系统彻底杜绝利用漏洞传播攻击的病毒危害,这其中就包括冲击波、振荡波、红色代码等极其严重的威胁。
隐蔽软件扫描技术能够全面侦测计算机中未经用户许可隐蔽安装的软件,包括恶意程序、间谍软件、木马、广告软件等。
侦测结果第一时间向用户反馈报告,提供快捷清除修复操作。
金山V8+终端安全系统终端,在功能上,把清理专家,替换为功能更加强大的金山卫士;
在性能上提升了终端的负载能力,以及注册速度;
新版的漏洞扫描机制,来实现全方位的防护。
结合金山毒霸多项屡获殊荣的反病毒技术,金山V8+终端安全系统终端能有效防范来自软盘、光盘、网络共享及邮件、网络下载等各种途径的病毒入侵,实现全方位的病毒防护。
并且,终端的相关安全信息会及时反馈给系统中心,管理员能在最短时间内了解网络内安全状况,并通过系统中心向终端发出指令,远程控制其操作及安全策略设置。
终端的升级过程无需人工参与,系统中心在获得最新更新后将向终端自动分发。
第三章工作方式
3.1管理控制通信方式
金山V8+终端安全系统的整体控制通信方式是采用以系统中心为消息处理、转发中心及具体功能节点,终端和服务器端为具体防毒节点的整体反病毒解决方案。
管理员通过控制台向系统中心发出具体的操作命令,查看和管理下级系统中心及其下面的终端,系统中心解析具体的命令目的地,按需转发或者处理。
终端或者服务器端每次启动都会登录到指定的系统中心及定时汇报自己的状态,并且将发现的病毒信息反馈到系统中心。
3.2边界防护工作方式
金山V8+终端安全系统的客户端会自动捕获通过边界进入到系统中的文件,并通过云引擎对这些文件进行检测。
对于云引擎能够识别的文件,则按照预设好的处理方法进行处理“抓黑放白”;
对于云引擎不能识别的文件,则按照“分析灰”进行处理,将该文件上报给动态行为分析系统。
3.3动态行为分析工作方式
对包括PDF、MSword、xls、ppt、rtf、wps等常见格式进行监控,无论是未知漏洞还是已知漏洞都会使用一段代码,跳转到攻击者精心构造的可执行代码中;
动态行为分析不仅能够监视文档的加载进程,并且能够全面的监视系统中的所有进程的活动,敏锐的捕获溢出行为,检测出已知和未知的漏洞利用代码,对于特定漏洞可以给出相关的漏洞编号(例如CVE编号)。
通过精细化的感知能力在虚拟机环境中检测的程序动态行为包括远程程序连接、自删除(主体进程镜像被删除)、自复制、自启动、注册表敏感位置(劫持)、恶意URL访问(恶意的域名,放马地址等)、恶意IP访问、映像劫持、终止杀软进程、释放驱动、反主动防御。
分析的结果可以判断一个文件程序是否是恶意的,并对该文件程序相关联的网址包括、来源和试图连接的一些恶意网址反馈给管理员。
强大的自我学习能力依据企业网络以往的检测分析历史记录,结合历史统计的威胁类别、威胁来源、威胁操作行为等能够在不更新特征库的情况下获得不断增强的检测能力。
3.4升级工作方式
在金山V8+终端安全系统中,升级服务器负责升级文件的获取、更新及分发。
同时,将更新信息反溃给系统中心,让其发布升级消息,终端及服务器端将在接到升级通知后连接系统中心执行升级。
其具体升级流程如下:
n系统中心按管理员的预定义设置或手动升级命令升级服务器连接到Internet更新升级文件;
n升级服务器下载升级程序完成后通知终端及服务器端升级;
n终端及服务器端收到消息后连接到升级服务器执行升级。
3.5漏洞扫描工作方式
金山V8+终端安全系统漏洞扫描分为主动智能上报和终端独立扫描两种方式。
普通用户可以通过本机的终端手动进行漏洞扫描和安装修补程序。
管理员可以通过系统中心控制台来查看局域网内所有的终端主动智能上报的漏洞信息,再根据漏洞补丁信息选择需要安装的终端,并通知其下载和安装修补程序。
终端下载和安装修补程序是通过系统中心的下载代理功能来实现的,对于同一个修补程序,当第一个终端请求之后,系统中心连接到微软升级网站下载相应的修补程序,完成之后,所有的终端都可以直接在系统中心漏洞修复下载代理的缓存(Cache)中直接下载安装此修补程序,这种方式不但使得不能上网的终端可以下载修补程序,而且还大幅加快了下载的进程,
减少了对网络资源的占用。
经过改进的漏洞扫描程序,使得管理员可以集中扫描所有已启动的终端,既使终端无用户登录或以受限用户登录,均可以实现无人参与的智能漏洞修复。
3.6虚拟化工作方式
金山V8+虚拟化解决方案创新性的提出了“虚拟环境轻客户端模式”,结合了无代理模式的性能优势和基于代理的多重安全保护手段。
金山V8+终端安全系统虚拟化安全解决方案模型示意图:
图3.1虚拟化环境中的轻客户端模式
该功能分为如下两个主要部件:
1)虚拟机云端安全中心:
金山V8+终端安全系统虚拟云安全中心,承载了整个金山V8+终端安全系统虚拟化平台解决方案的核心功能,负责:
l对所有虚拟化客户端提交的未知特征请求进行匹配,返回文件的安全属性;
l负责所有高性能消耗的工作调度,使得服务器整体时时刻刻保持很低的负载,从而将其对机器性能的影响降到最低。
l收集整个系统中各个虚拟主机环境中从边界进来的未知文件(灰文件);
l收集系统各虚拟主机发送的安全日志,并进行审计和安全报警;
2)虚拟机轻客户端软件:
在虚拟化环境中,部署虚拟机环境下的轻客户端软件,该客户端软件可以使用虚拟机模板进行批量部署,不会导致部署任务增加。
轻客户端软件在本地负责对OS本身事件进行精细化监控,但并不加载大型病毒库或者执行复杂病毒查杀操作。
l弱化传统查杀功能,终端大规模查杀操作是由服务端统一管控,减少各项功能对服务器性能的占用。
l加强边界监控,对从边界(例如U盘,共享,ie下载,IM聊天工具)进入终端的未知文件进行记录,扫描,跟踪等。
l系统防御,监控终端进程行为,实现实时防毒功能。
轻终端功能以及工作流程介绍
图3.2金山“轻终端”功能示意图
流程说明:
1)在虚拟化平台内部建立金山V8+终端安全系统安全虚拟云安全中心。
2)在虚拟主机操作系统环境中,安装金山V8+终端安全系统虚拟终端,负责对所有主机中产生的新可执行体进行监控和扫描。
3)当虚拟主机端监控程序被执行体尝试执行事件触发时,客户端监控程序会将该执行体提取特征,并送入设定好的云端进行查询。
4)后台高性能并发查询服务器,会迅速给出该执行体在当前知识库中的黑白灰三色定义。
5)客户端监控程序根据收到的服务器回应,执行相应的处理动作:
l如果返回结果是黑(威胁文件),则禁止执行,并隔离执行体。
l如果返回结果是白(可信文件),则通过审查,继续执行。
l如果返回结果是灰(未知文件),将灰文件送入云端收集服务器。
并转入步骤4)
第四章安全管理
系统中心控制台是可移动的操作平台(基于WEB服务架构),它支持您在任何一台安装有IE6.0及以上浏览器的Windows计算机上,通过可移动的方式对系统中心进行管理、操作和设置,进而能够实现对网络中系统中心所辖终端群的管理、操作和设置。
基于系统中心的后台架构服务,系统中心控制台为您提供了简洁、易用的交互界面,让您的管理控制更加高效有序。
通过有效的账户及密码保护,系统中心控制台只允许经过特别授权的管理人员查看、或执行与维护反病毒安全保障体系的各项任务,以确保您的网络体系安全。
控制台可以针对网络系统的特点灵活配置,能设置不同的任务对不同的终端进行管理,实现网络内的自动化防毒操作。
4.1登录管理限制
为了防止未经授权的非安全登录,系统中心控制台的登录需要提供登录账户及密码。
并且管理员可以随时修改登录控制台的密码。
按职能权限,默认有三类管理员:
超级管理员、普通管理员,只读管理员,超级管理员可自定设置相应管理员的各个权限。
图5-1系统中心控制台用户管理界面
4.2下级系统中心集中管理
金山V8+终端安全系统的主系统中心具有查看和管理下级系统中心的所有权限,并可以同时管理注册到下级系统中心的所有终端。
另外,下级系统中心也具有管理其下下级系统中心的所以权限。
4.3终端集中管理
金山V8+终端安全系统支持管理员通过系统中心控制台对全网终端实施病毒查杀、升级、文件实时监控、安全日志审查及邮件监控的操控、终端管理等。
终端管理:
支持管理员对所选终端进行终端信息查看、改变所在分组、卸载、删除终端记录等操作。
终端设置:
支持管理员对选定分组进行整体安全策略配置,包括查毒设置、文件实时监控设置、邮件监控设置、任务调度设置、权限设置。
一键云查杀:
选定需要进行操作的终端后,单击相应按钮即可开始对所选终端进行病毒查杀,查杀过程完全由管理员通过系统中心控制台控制,可随意启动、停止,并可自定义所选终端的查杀路径。
漏洞修复:
管理员可集中全网还有哪些漏洞没有被修复,对高危补丁可立即选定终端范围进行漏洞修复。
软件管理:
升级终端:
通常情况下,已部署完毕并设置好的金山V8+终端安全系统反病毒体系无需手动升级终端。
但在某些特殊需求下,管理员仍可手动对所选终端进行升级。
U盘监控:
管理员可以根据需求所选终端的U盘实时监控实施开启及关闭操作。
铠甲防御:
管理员可以根据需求所选终端的文件铠甲防御实施开启及关闭操作。
邮件监控:
管理员可以根据需求所选终端的邮件监控实施开启及关闭操作。
4.4管理针对性细化(组策略)
金山V8+终端安全系统支持您对终端(或服务器端)进行逻辑分组管理及配置,从而更符合终端的具体防毒需求差异。
归属到一个组中的终端可以按照统一的方式进行管理,可以通过设置组选项来统一同一组内所有终端的行为和权限等。
您可以通过组策略实现:
全网统一的病毒防护策略,执行统一的组策略配置;
基于需求的自定义分组;
针对不同的组实施不同病毒防护策略;
准确定位,只对特定组发出指令,避免影响网络全局。
金山V8+终端安全系统支持用户对逻辑分组内的终端进行统一的安全策略设置,这些设置能够帮助用户更好的针对网络内的安全需求制定措施,用户可以进行:
终端的查毒设置、文件铠甲防御设置、邮件监控设置、任务调度设置、权限设置。
4.5安全日志集中获取、统计及管理
金山V8+终端安全系统安全日志信息记录了全网反病毒体系的安全状态及历史。
面对病毒威胁,网络管理员需要快速制定有针对性的
升级会员 