V8+終端安全系統(tǒng)技術(shù)白皮書 V10

金山毒霸網(wǎng)絡版技術(shù)白皮書 技術(shù)白皮書第2頁共19頁第20頁，共20頁技術(shù)白皮書

版權(quán)聲明本文件所有內(nèi)容受版權(quán)受中國著作權(quán)法等有關(guān)知識產(chǎn)權(quán)法保護，為北京金山安全軟件有限公司（以下簡稱“金山安全軟件”）所有。、是金山安全軟件享有權(quán)利的注冊商標，本文中涉及到的其它產(chǎn)品名稱和品牌為其相關(guān)公司或組織的商標或注冊商標，特此鳴謝。金山安全軟件不對本文件的內(nèi)容、使用，或本文件中說明的產(chǎn)品負擔任何責任或保證，特別對有關(guān)商業(yè)機能和適用任何特殊目的的隱含性保證不負擔任何責任。另外，金山安全軟件保留修改本文件和本文件中所描述產(chǎn)品的權(quán)力。如有修改，恕不另行通知。 北京金山安全管理系統(tǒng)技術(shù)有限公司400-033-9009地址：北京市海淀區(qū)中關(guān)村大街1號海龍大廈14層網(wǎng)址：技術(shù)支持：kss_fankui@

目錄TOC\o"1-2"\h\u版權(quán)聲明 1目錄 3第一章主要功能特點 4第二章體系結(jié)構(gòu) 72.1系統(tǒng)中心 72.2升級服務器 82.3云引擎服務器 82.4動態(tài)行為分析器 82.5終端 9第三章工作方式 103.1管理控制通信方式 103.2邊界防護工作方式 103.3動態(tài)行為分析工作方式 103.4升級工作方式 113.5漏洞掃描工作方式 113.6虛擬化工作方式 11第四章安全管理 144.1登錄管理限制 144.2下級系統(tǒng)中心集中管理 144.3終端集中管理 154.4管理針對性細化（組策略） 164.5安全日志集中獲取、統(tǒng)計及管理 16第五章終端安全 17附錄 20

第一章主要功能特點領(lǐng)先的云引擎金山V8+終端安全系統(tǒng)將金山安全多年運營與積累的核心云安全技術(shù)全面整合到產(chǎn)品當中，依托金山公有云的業(yè)內(nèi)領(lǐng)先優(yōu)勢，為企業(yè)提供數(shù)倍于傳統(tǒng)企業(yè)殺毒軟件的能力的同時，終端資源占用相對于傳統(tǒng)本地庫的殺毒軟件大為降低。邊界聯(lián)動防御通過對外界程序進入電腦的監(jiān)控，與云端及動態(tài)行為分析系統(tǒng)聯(lián)動，阻止威脅于入口之外，攔截私有敏感行為，迅速發(fā)現(xiàn)未知新威脅,使其在尚未被運行時即可被判定為安全或不安全，上報至信息管理中心，便于追溯惡意程序的來源、感染路徑。這樣管理員清晰找出企業(yè)內(nèi)部邊防的薄弱地帶，最大限度地保障對企業(yè)內(nèi)部計算機的安全防護。動態(tài)行為分析對通過邊界聯(lián)動防御上報來的未知文件，進行全生命周期內(nèi)的行為分析。在規(guī)模化的虛擬機中分析文件的進程操作行為、文件操作行為、系統(tǒng)配置操作行為、網(wǎng)絡通信行為等關(guān)鍵行為，提供系統(tǒng)運行過程中的截圖；通過這些行為組合綜合判斷是否為安全的文件。鎧甲防御系統(tǒng)鎧甲防御技術(shù)是一款完美的結(jié)合金山云引擎的終端云主動防御技術(shù)，鎧甲防御技術(shù)中的行為攔截模式，是基于多步行為的綜合判定，是擁有廣譜特征匹配的啟發(fā)式行為判定。擁有廣譜特征匹配的啟發(fā)式行為判定就是指一個規(guī)則可以對應很多種的行為和一些行為的變種。集合的“藍芯III”引擎金山智能數(shù)學算法（KingsoftantiVirusMathematicalalgorithmEngine）包括熵，SVM，人臉識別算法等鎧甲防御是全新架構(gòu)的防御體系，擁有超強抽象能力的本地行為啟發(fā)引擎，擁有很強的自我學習能力，無需頻繁升級病毒特征庫，就能直接查殺未知新病毒，尤其是在流行病毒的變種分析上，結(jié)合火眼行為分析，大幅度提升防御與病毒檢出能力。虛擬化支持金山V8+虛擬化解決方案采用的是“虛擬環(huán)境輕客戶端模式”，結(jié)合了無代理模式的性能優(yōu)勢和基于代理的多重安全保護手段。同無代理保護一樣，輕客戶端模式在系統(tǒng)中心也集成一個任務調(diào)度系統(tǒng)，負責所有高性能消耗的工作調(diào)度。安裝在虛擬機上的“輕終端”將快速響應調(diào)度器的統(tǒng)一指令，使得服務器整體時時刻刻保持很低的負載，從而將其對機器性能的影響降到最低。智能漏洞修復針對病毒利用系統(tǒng)漏洞傳播的新趨勢，金山V8+終端安全系統(tǒng)率先采用了分布式的漏洞掃描及修復技術(shù)。管理員通過管理節(jié)點獲取終端主動智能上報的漏洞信息，再精確部署漏洞修復程序；其通過代理下載修復程序的方式，極大地降低了網(wǎng)絡對外帶寬的占用。全網(wǎng)漏洞掃描及修復過程無需人工參與，且能夠在終端用戶未登錄或以受限用戶登錄情況下進行。并且提供了對終端系統(tǒng)漏洞管理功能，可以精確的了解全網(wǎng)終端的系統(tǒng)漏洞情況。軟件管理為便于管理員集中管理全網(wǎng)軟件資產(chǎn)，V8+終端安全系統(tǒng)提供軟件統(tǒng)計、軟件禁用管理、軟件卸載管理、軟件分發(fā)管理功能，構(gòu)建由軟資產(chǎn)采集到軟件行為監(jiān)控再到軟件行為管理的立體式軟資產(chǎn)管理模型。大幅度提高工作效率降低管理成本。系統(tǒng)優(yōu)化金山V8+終端安全系統(tǒng)提供了系統(tǒng)優(yōu)化功能，有效的幫助用戶對開機啟動項目進行管理，找到影響開機速度、影響電腦運行效率的軟件，通過系統(tǒng)優(yōu)化功能提升系統(tǒng)的運行效率，降低不必要的資源消耗。垃圾清理金山V8+終端安全系統(tǒng)系統(tǒng)的垃圾清理新增52項清理垃圾規(guī)則和21項痕跡清理規(guī)則，提供的垃圾清理功能，能夠協(xié)助終端用戶對上網(wǎng)產(chǎn)生的垃圾文件、看視頻和聽音樂產(chǎn)生的緩存以及Windows系統(tǒng)產(chǎn)生的垃圾文件進行有效的清除；清除使用計算機時留下的各種痕跡，有效保護個人隱私；清理注冊表可以加快系統(tǒng)速度。保證電腦快速健康的運轉(zhuǎn)。靈活的部署及管理可移動的Web管理控制臺控制臺基于WEB結(jié)構(gòu)開發(fā)，管理員無需安裝額外的控制軟件，就可以在任意一臺計算機上輕松管理整個防毒體系，真正實現(xiàn)了“管理無處不在”?？蓴U展的無限分級管理架構(gòu)金山V8+終端安全系統(tǒng)使用主系統(tǒng)中心來集中管理數(shù)據(jù)，以實現(xiàn)以單個系統(tǒng)中心對多個系統(tǒng)中心、升級服務器及其他特殊防毒節(jié)點的集中管理。這個架構(gòu)借鑒了業(yè)內(nèi)比較優(yōu)秀的網(wǎng)絡管理的設計案例，具有良好的可擴展性和可伸縮性，對于網(wǎng)絡規(guī)模擴大或新增節(jié)點都可以很容易地實現(xiàn)集中管理。這種架構(gòu)使得金山V8+終端安全系統(tǒng)可以穩(wěn)定地工作在跨地域的大型網(wǎng)絡上。高效的安裝部署方式管理員可以根據(jù)企業(yè)網(wǎng)絡環(huán)境采用WEB安裝、遠程安裝、域腳本安裝等方式，在較短的時間內(nèi)完成網(wǎng)絡內(nèi)大量終端的安裝，簡單快速地實現(xiàn)整個網(wǎng)絡反病毒體系的部署，最大限度貼合網(wǎng)絡實際環(huán)境。靈活定制企業(yè)級安全策略通過金山V8+終端安全系統(tǒng)的管理節(jié)點，既可以配置全網(wǎng)統(tǒng)一的安全策略，又可以將具有不同需求的終端分配到特定的組，配置具有針對性的組策略。通過這種靈活的配置方式，管理員可以輕松地定制企業(yè)級安全策略。多樣式的帳戶管理設置默認可分配三種管理員權(quán)限，普通管理員、配置管理員、審計管理員，并可以按實際需求，支持手動修改具體權(quán)限，可適應企業(yè)不同人員權(quán)限的劃分設置，以保證靈活與安全。自主授權(quán)分割功能管理員可以從主系統(tǒng)中心分割授權(quán)數(shù)量給下級系統(tǒng)中心，限制下級系統(tǒng)中心對終端的管理數(shù)量，阻止非法終端注冊。高效分組管理功能支持多種分組規(guī)則，如IP分組以及支持與AD和LDAP同步功能，可將用戶組織架構(gòu)同步到終端安全管理系統(tǒng)中，依照用戶現(xiàn)有架構(gòu)進行管理。分組支持多層分組，支持分組與賬號綁定，有效減少服務器資源投入，并降低維護成本。白名單功能啟動白名單功能之后，只允許白名單列表范圍內(nèi)的IP連接到本系統(tǒng)中心，在白名單列表范圍之外的IP地址都視其為黑名單，拒絕其連接。圖形化統(tǒng)計病毒信息圖形化的統(tǒng)計頁面可以將網(wǎng)絡內(nèi)的病毒分布狀況直觀地呈現(xiàn)出來，以便于管理員分析網(wǎng)內(nèi)病毒發(fā)展趨勢，并采取針對性的措施。金山V8+終端安全系統(tǒng)強化了首頁整體概況以及多級中心的圖示顯示?？缙脚_支持Windows、Linux等多種平臺操作系統(tǒng)，徹底掃除網(wǎng)絡反病毒盲點。

第二章體系結(jié)構(gòu)金山V8+終端安全系統(tǒng)是一套專為企業(yè)級網(wǎng)絡環(huán)境設計的反病毒安全解決方案，它能夠為企事業(yè)單位網(wǎng)絡范圍內(nèi)的工作站和網(wǎng)絡服務器提供可伸縮的跨平臺病毒防護。金山V8+終端安全系統(tǒng)實現(xiàn)了集中式配置、部署、策略管理和報告，并支持管理員對網(wǎng)絡安全進行實時審核，以確定哪些節(jié)點易于受到病毒的攻擊，以及在出現(xiàn)緊急病毒情況時采取何種應急處理措施。網(wǎng)絡管理員可以通過邏輯分組的方式管理終端和服務器的反病毒相關(guān)工作，并可以創(chuàng)建、部署和鎖定安全策略和設置，從而使得網(wǎng)絡系統(tǒng)保持最新狀態(tài)和良好的配置。金山V8+終端安全系統(tǒng)采用了業(yè)界主流的B/S開發(fā)模式，由系統(tǒng)中心（擁有基于WEB的系統(tǒng)中心控制臺）、升級服務器、終端、服務器端組成了反病毒安全保障體系。系統(tǒng)中心可通過簡單的設置為主系統(tǒng)中心或下級系統(tǒng)中心，并可以同時扮演主系統(tǒng)中心與下級系統(tǒng)中心角色，實現(xiàn)了針對復雜網(wǎng)絡環(huán)境的無限擴展性安全體系。圖2-1金山V8+終端安全系統(tǒng)系統(tǒng)結(jié)構(gòu)圖2.1系統(tǒng)中心系統(tǒng)中心是金山V8+終端安全系統(tǒng)進行信息管理和病毒防護的控制核心。系統(tǒng)中心基于Corba與其它子系統(tǒng)（服務器端和終端）連接，其它子系統(tǒng)在系統(tǒng)中心控制下完成協(xié)同工作。通過數(shù)據(jù)庫技術(shù)，系統(tǒng)中心可以實時記錄網(wǎng)絡防護體系內(nèi)每臺計算機上的病毒防護信息、防毒設置信息和終端資源信息。系統(tǒng)中心分為主系統(tǒng)中心和下級系統(tǒng)中心，主系統(tǒng)中心具有管理配制所有下級系統(tǒng)中心，升級服務器，云引擎服務器、終端和服務器端的權(quán)限，下級系統(tǒng)中心具有管理和配制注冊到本系統(tǒng)中心的下下級系統(tǒng)中心、升級服務器，終端和服務器端的權(quán)限，并向主系統(tǒng)中心匯報數(shù)據(jù)。同時，系統(tǒng)中心集成了基于WEB方式的控制臺，能夠集中管理網(wǎng)絡上所有已安裝過金山V8+終端安全系統(tǒng)終端的計算機，保障每個納入金山毒霸反病毒體系的計算機時刻處于最佳的防病毒狀態(tài)。系統(tǒng)中心控制臺系統(tǒng)中心控制臺是整個金山V8+終端安全系統(tǒng)系統(tǒng)設置、使用和控制的操作平臺。它的界面結(jié)構(gòu)友好、直觀，符合用戶的使用與操作習慣。系統(tǒng)中心控制臺基于WEB結(jié)構(gòu)開發(fā)，管理員無需安裝額外的控制軟件，網(wǎng)絡內(nèi)任何一臺裝有IE6.0及其以上瀏覽器的終端都能用來實現(xiàn)對整個網(wǎng)絡的管理，真正實現(xiàn)了“管理無處不在”。2.2升級服務器升級服務器負責升級文件的更新與傳遞，還提供MS漏洞修補程序（Hotfix）下載代理。升級服務器分兩種類型：主升級服務器直接從外網(wǎng)更新升級文件，并負責向二級升級服務器分發(fā)（也可以向終端及服務器端分發(fā)），一般主升級服務器與主系統(tǒng)中心綁定。二級升級服務器從主升級服務器（也可以是其它二級升級服務器）更新升級文件，并負責向終端及服務器端分發(fā)，二級升級服務器一般與下級系統(tǒng)中心綁定。2.3云引擎服務器金山V8+終端安全系統(tǒng)所使用的云引擎服務器主要將傳統(tǒng)殺毒軟件所使用的病毒庫特征集中在企業(yè)云端服務器上來統(tǒng)一處理，通過云引擎服務器快速響應終端的文件特征查詢請求，實現(xiàn)終端對文件安全性的鑒定，在降低傳統(tǒng)終端對系統(tǒng)資源占用比較高的同時，系統(tǒng)防護能力因為云引擎服務器的存在得到更快的響應，從云引擎服務器到金山云的實時同步響應，也讓新威脅特征的鑒定達到一個非?？斓乃俣取?.4動態(tài)行為分析器動態(tài)行為分析系統(tǒng)是以未知文件動態(tài)行為分析為核心，以特征匹配為輔助，依托海量的金山特征庫以及用戶自定義的專屬特征庫，可幫助用戶識別內(nèi)部網(wǎng)絡中的高級威脅，并能有效抵御已知/未知病毒木馬、0day漏洞及未知惡意代碼，可協(xié)助用戶達成終端的全方位安全防護與威脅處理。基于金山安全成熟的“可信云查殺”、國內(nèi)領(lǐng)先的多核引擎技術(shù)、KVM云啟發(fā)引擎技術(shù)，V8+擁有超強自我學習及不斷進化的能力，它無需頻繁升級，可直接查殺未知新病毒。V8+讓殺毒從非黑即白邁入黑白雙控的全新階段，實現(xiàn)了從多層防御到有防御縱深的持續(xù)對抗的安全模型跨越。2.5終端終端面向網(wǎng)絡中的終端群提供反病毒安全防護，是金山V8+終端安全系統(tǒng)反病毒體系的執(zhí)行終端。它能夠?qū)崟r監(jiān)控系統(tǒng)的運行與操作，先進的多引擎“云引擎3”、“藍芯III”、“KSC云啟發(fā)引擎”、“小U本地引擎”集合云引擎的快速的極速鑒定，藍芯III引擎采用金山智能數(shù)學算法基于病毒行為檢測的啟發(fā)式查殺技術(shù)確保您能及時發(fā)現(xiàn)出潛在的未知威脅并采取相應安全措施，基于傳統(tǒng)的靜態(tài)磁盤文件和狹義匹配技術(shù)，更進一步從網(wǎng)絡和數(shù)據(jù)流入手，極大地提高了查殺木馬及其變種的能力。新增的U盤監(jiān)控功能，更有效地防止病毒通過U盤入侵系統(tǒng)。更有效的病毒隔離系統(tǒng)可以將所有不可修復的受病毒感染文件置于受金山毒霸控制的安全區(qū)域內(nèi)，以便您采取數(shù)據(jù)過濾等進一步處理措施。郵件防護能夠自動監(jiān)測收發(fā)郵件過程，及時發(fā)現(xiàn)隱藏其中的病毒。漏洞掃描技術(shù)能夠使您的系統(tǒng)徹底杜絕利用漏洞傳播攻擊的病毒危害，這其中就包括沖擊波、振蕩波、紅色代碼等極其嚴重的威脅。隱蔽軟件掃描技術(shù)能夠全面?zhèn)蓽y計算機中未經(jīng)用戶許可隱蔽安裝的軟件，包括惡意程序、間諜軟件、木馬、廣告軟件等。偵測結(jié)果第一時間向用戶反饋報告，提供快捷清除修復操作。金山V8+終端安全系統(tǒng)終端，在功能上，把清理專家，替換為功能更加強大的金山衛(wèi)士；在性能上提升了終端的負載能力，以及注冊速度；新版的漏洞掃描機制，來實現(xiàn)全方位的防護。結(jié)合金山毒霸多項屢獲殊榮的反病毒技術(shù)，金山V8+終端安全系統(tǒng)終端能有效防范來自軟盤、光盤、網(wǎng)絡共享及郵件、網(wǎng)絡下載等各種途徑的病毒入侵，實現(xiàn)全方位的病毒防護。并且，終端的相關(guān)安全信息會及時反饋給系統(tǒng)中心，管理員能在最短時間內(nèi)了解網(wǎng)絡內(nèi)安全狀況，并通過系統(tǒng)中心向終端發(fā)出指令，遠程控制其操作及安全策略設置。終端的升級過程無需人工參與，系統(tǒng)中心在獲得最新更新后將向終端自動分發(fā)。第三章工作方式3.1管理控制通信方式金山V8+終端安全系統(tǒng)的整體控制通信方式是采用以系統(tǒng)中心為消息處理、轉(zhuǎn)發(fā)中心及具體功能節(jié)點，終端和服務器端為具體防毒節(jié)點的整體反病毒解決方案。管理員通過控制臺向系統(tǒng)中心發(fā)出具體的操作命令，查看和管理下級系統(tǒng)中心及其下面的終端，系統(tǒng)中心解析具體的命令目的地，按需轉(zhuǎn)發(fā)或者處理。終端或者服務器端每次啟動都會登錄到指定的系統(tǒng)中心及定時匯報自己的狀態(tài)，并且將發(fā)現(xiàn)的病毒信息反饋到系統(tǒng)中心。3.2邊界防護工作方式金山V8+終端安全系統(tǒng)的客戶端會自動捕獲通過邊界進入到系統(tǒng)中的文件，并通過云引擎對這些文件進行檢測。對于云引擎能夠識別的文件，則按照預設好的處理方法進行處理“抓黑放白”；對于云引擎不能識別的文件，則按照“分析灰”進行處理，將該文件上報給動態(tài)行為分析系統(tǒng)。3.3動態(tài)行為分析工作方式對包括PDF、MSword、xls、ppt、rtf、wps等常見格式進行監(jiān)控，無論是未知漏洞還是已知漏洞都會使用一段代碼，跳轉(zhuǎn)到攻擊者精心構(gòu)造的可執(zhí)行代碼中；動態(tài)行為分析不僅能夠監(jiān)視文檔的加載進程，并且能夠全面的監(jiān)視系統(tǒng)中的所有進程的活動，敏銳的捕獲溢出行為，檢測出已知和未知的漏洞利用代碼，對于特定漏洞可以給出相關(guān)的漏洞編號（例如CVE編號）。通過精細化的感知能力在虛擬機環(huán)境中檢測的程序動態(tài)行為包括遠程程序連接、自刪除（主體進程鏡像被刪除）、自復制、自啟動、注冊表敏感位置（劫持）、惡意URL訪問(惡意的域名，放馬地址等)、惡意IP訪問、映像劫持、終止殺軟進程、釋放驅(qū)動、反主動防御。分析的結(jié)果可以判斷一個文件程序是否是惡意的，并對該文件程序相關(guān)聯(lián)的網(wǎng)址包括、來源和試圖連接的一些惡意網(wǎng)址反饋給管理員。強大的自我學習能力依據(jù)企業(yè)網(wǎng)絡以往的檢測分析歷史記錄，結(jié)合歷史統(tǒng)計的威脅類別、威脅來源、威脅操作行為等能夠在不更新特征庫的情況下獲得不斷增強的檢測能力。3.4升級工作方式在金山V8+終端安全系統(tǒng)中，升級服務器負責升級文件的獲取、更新及分發(fā)。同時，將更新信息反潰給系統(tǒng)中心，讓其發(fā)布升級消息，終端及服務器端將在接到升級通知后連接系統(tǒng)中心執(zhí)行升級。其具體升級流程如下：系統(tǒng)中心按管理員的預定義設置或手動升級命令升級服務器連接到Internet更新升級文件；升級服務器下載升級程序完成后通知終端及服務器端升級；終端及服務器端收到消息后連接到升級服務器執(zhí)行升級。3.5漏洞掃描工作方式金山V8+終端安全系統(tǒng)漏洞掃描分為主動智能上報和終端獨立掃描兩種方式。普通用戶可以通過本機的終端手動進行漏洞掃描和安裝修補程序。管理員可以通過系統(tǒng)中心控制臺來查看局域網(wǎng)內(nèi)所有的終端主動智能上報的漏洞信息，再根據(jù)漏洞補丁信息選擇需要安裝的終端，并通知其下載和安裝修補程序。

終端下載和安裝修補程序是通過系統(tǒng)中心的下載代理功能來實現(xiàn)的，對于同一個修補程序，當?shù)谝粋€終端請求之后，系統(tǒng)中心連接到微軟升級網(wǎng)站下載相應的修補程序，完成之后，所有的終端都可以直接在系統(tǒng)中心漏洞修復下載代理的緩存（Cache）中直接下載安裝此修補程序，這種方式不但使得不能上網(wǎng)的終端可以下載修補程序，而且還大幅加快了下載的進程，減少了對網(wǎng)絡資源的占用。

經(jīng)過改進的漏洞掃描程序，使得管理員可以集中掃描所有已啟動的終端，既使終端無用戶登錄或以受限用戶登錄，均可以實現(xiàn)無人參與的智能漏洞修復。3.6虛擬化工作方式金山V8+虛擬化解決方案創(chuàng)新性的提出了“虛擬環(huán)境輕客戶端模式”，結(jié)合了無代理模式的性能優(yōu)勢和基于代理的多重安全保護手段。同無代理保護一樣，輕客戶端模式在系統(tǒng)中心也集成一個任務調(diào)度系統(tǒng)，負責所有高性能消耗的工作調(diào)度。安裝在虛擬機上的“輕終端”將快速響應調(diào)度器的統(tǒng)一指令，使得服務器整體時時刻刻保持很低的負載，從而將其對機器性能的影響降到最低。金山V8+終端安全系統(tǒng)虛擬化安全解決方案模型示意圖：圖3.1虛擬化環(huán)境中的輕客戶端模式該功能分為如下兩個主要部件：1）虛擬機云端安全中心：金山V8+終端安全系統(tǒng)虛擬云安全中心，承載了整個金山V8+終端安全系統(tǒng)虛擬化平臺解決方案的核心功能，負責：對所有虛擬化客戶端提交的未知特征請求進行匹配，返回文件的安全屬性；負責所有高性能消耗的工作調(diào)度，使得服務器整體時時刻刻保持很低的負載，從而將其對機器性能的影響降到最低。收集整個系統(tǒng)中各個虛擬主機環(huán)境中從邊界進來的未知文件（灰文件）；收集系統(tǒng)各虛擬主機發(fā)送的安全日志，并進行審計和安全報警；2）虛擬機輕客戶端軟件：在虛擬化環(huán)境中，部署虛擬機環(huán)境下的輕客戶端軟件，該客戶端軟件可以使用虛擬機模板進行批量部署，不會導致部署任務增加。輕客戶端軟件在本地負責對OS本身事件進行精細化監(jiān)控，但并不加載大型病毒庫或者執(zhí)行復雜病毒查殺操作。弱化傳統(tǒng)查殺功能，終端大規(guī)模查殺操作是由服務端統(tǒng)一管控，減少各項功能對服務器性能的占用。加強邊界監(jiān)控，對從邊界（例如U盤，共享，ie下載，IM聊天工具）進入終端的未知文件進行記錄，掃描，跟蹤等。系統(tǒng)防御，監(jiān)控終端進程行為，實現(xiàn)實時防毒功能。輕終端功能以及工作流程介紹圖3.2金山“輕終端”功能示意圖流程說明：1）在虛擬化平臺內(nèi)部建立金山V8+終端安全系統(tǒng)安全虛擬云安全中心。2）在虛擬主機操作系統(tǒng)環(huán)境中，安裝金山V8+終端安全系統(tǒng)虛擬終端，負責對所有主機中產(chǎn)生的新可執(zhí)行體進行監(jiān)控和掃描。3）當虛擬主機端監(jiān)控程序被執(zhí)行體嘗試執(zhí)行事件觸發(fā)時，客戶端監(jiān)控程序會將該執(zhí)行體提取特征，并送入設定好的云端進行查詢。4）后臺高性能并發(fā)查詢服務器，會迅速給出該執(zhí)行體在當前知識庫中的黑白灰三色定義。5）客戶端監(jiān)控程序根據(jù)收到的服務器回應，執(zhí)行相應的處理動作：如果返回結(jié)果是黑（威脅文件），則禁止執(zhí)行，并隔離執(zhí)行體。如果返回結(jié)果是白（可信文件），則通過審查，繼續(xù)執(zhí)行。如果返回結(jié)果是灰（未知文件），將灰文件送入云端收集服務器。并轉(zhuǎn)入步驟4）第四章安全管理系統(tǒng)中心控制臺是可移動的操作平臺（基于WEB服務架構(gòu)），它支持您在任何一臺安裝有IE6.0及以上瀏覽器的Windows計算機上，通過可移動的方式對系統(tǒng)中心進行管理、操作和設置，進而能夠?qū)崿F(xiàn)對網(wǎng)絡中系統(tǒng)中心所轄終端群的管理、操作和設置?；谙到y(tǒng)中心的后臺架構(gòu)服務，系統(tǒng)中心控制臺為您提供了簡潔、易用的交互界面，讓您的管理控制更加高效有序。通過有效的賬戶及密碼保護，系統(tǒng)中心控制臺只允許經(jīng)過特別授權(quán)的管理人員查看、或執(zhí)行與維護反病毒安全保障體系的各項任務，以確保您的網(wǎng)絡體系安全。控制臺可以針對網(wǎng)絡系統(tǒng)的特點靈活配置，能設置不同的任務對不同的終端進行管理，實現(xiàn)網(wǎng)絡內(nèi)的自動化防毒操作。4.1登錄管理限制為了防止未經(jīng)授權(quán)的非安全登錄，系統(tǒng)中心控制臺的登錄需要提供登錄賬戶及密碼。并且管理員可以隨時修改登錄控制臺的密碼。按職能權(quán)限，默認有三類管理員：超級管理員、普通管理員，只讀管理員，超級管理員可自定設置相應管理員的各個權(quán)限。圖5-1系統(tǒng)中心控制臺用戶管理界面4.2下級系統(tǒng)中心集中管理金山V8+終端安全系統(tǒng)的主系統(tǒng)中心具有查看和管理下級系統(tǒng)中心的所有權(quán)限，并可以同時管理注冊到下級系統(tǒng)中心的所有終端。另外，下級系統(tǒng)中心也具有管理其下下級系統(tǒng)中心的所以權(quán)限。4.3終端集中管理金山V8+終端安全系統(tǒng)支持管理員通過系統(tǒng)中心控制臺對全網(wǎng)終端實施病毒查殺、升級、文件實時監(jiān)控、安全日志審查及郵件監(jiān)控的操控、終端管理等。終端管理：支持管理員對所選終端進行終端信息查看、改變所在分組、卸載、刪除終端記錄等操作。終端設置：支持管理員對選定分組進行整體安全策略配置，包括查毒設置、文件實時監(jiān)控設置、郵件監(jiān)控設置、任務調(diào)度設置、權(quán)限設置。一鍵云查殺：選定需要進行操作的終端后，單擊相應按鈕即可開始對所選終端進行病毒查殺，查殺過程完全由管理員通過系統(tǒng)中心控制臺控制，可隨意啟動、停止，并可自定義所選終端的查殺路徑。漏洞修復：管理員可集中全網(wǎng)還有哪些漏洞沒有被修復，對高危補丁可立即選定終端范圍進行漏洞修復。軟件管理：為便于管理員集中管理全網(wǎng)軟件資產(chǎn)，V8+終端安全系統(tǒng)提供軟件統(tǒng)計、軟件禁用管理、軟件卸載管理、軟件分發(fā)管理功能，構(gòu)建由軟資產(chǎn)采集到軟件行為監(jiān)控再到軟件行為管理的立體式軟資產(chǎn)管理模型。大幅度提高工作效率降低管理成本。升級終端：通常情況下，已部署完畢并設置好的金山V8+終端安全系統(tǒng)反病毒體系無需手動升級終端。但在某些特殊需求下，管理員仍可手動對所選終端進行升級。U盤監(jiān)控：管理員可以根據(jù)需求所選終端的U盤實時監(jiān)控實施開啟及關(guān)閉操作。鎧甲防御：管理員可以根據(jù)需求所選終端的文件鎧甲防御實施開啟及關(guān)閉操作。郵件監(jiān)控：管理員可以根據(jù)需求所選終端的郵件監(jiān)控實施開啟及關(guān)閉操作。4.4管理針對性細化（組策略）金山V8+終端安全系統(tǒng)支持您對終端（或服務器端）進行邏輯分組管理及配置，從而更符合終端的具體防毒需求差異。歸屬到一個組中的終端可以按照統(tǒng)一的方式進行管理，可以通過設置組選項來統(tǒng)一同一組內(nèi)所有終端的行為和權(quán)限等。您可以通過組策略實現(xiàn)：全網(wǎng)統(tǒng)一的病毒防護策略，執(zhí)行統(tǒng)一的組策略配置；基于需求的自定義分組；針對不同的組實施不同病毒防護策略；準確定位，只對特定組發(fā)出指令，避免影響網(wǎng)絡全局。金山V8+終端安全系統(tǒng)支持用戶對邏輯分組內(nèi)的終端進行統(tǒng)一的安全策略設置，這些設置能夠幫助用戶更好的針對網(wǎng)絡內(nèi)的安全需求制定措施，用戶可以進行：終端的查毒設置、文件鎧甲防御設置、郵件監(jiān)控設置、任務調(diào)度設置、權(quán)限設置。4.5安全日志集中獲取、統(tǒng)計及管理金山V8+終端安全系統(tǒng)安全日志信息記錄了全網(wǎng)反病毒體系的安全狀態(tài)及歷史。面對病毒威脅，網(wǎng)絡管理員需要快速制定有針對性的安全措施，這需要大量詳實準確的網(wǎng)絡安全信息作為依據(jù)。金山V8+終端安全系統(tǒng)具有強大快捷的安全日志功能，能夠?qū)W(wǎng)絡內(nèi)的病毒信息、終端升級信息、終端安全信息進行統(tǒng)一的收集、統(tǒng)計并有效管理，形成圖形化的日志匯總。病毒日志記錄了感染病毒的計算機詳細信息，同時也記錄了金山毒霸發(fā)現(xiàn)】=的狀態(tài)信息充分了解整個網(wǎng)絡內(nèi)感染病毒的范圍和幾率，獲知病毒的類型和危害，掌握病毒的清除結(jié)果，從而可以正確并迅速的做出決策——若是利用漏洞攻擊的病毒爆發(fā)，則立即為局域網(wǎng)中存在此漏洞的計算機打上補丁；若是蠕蟲病毒在網(wǎng)絡內(nèi)肆虐，暫時切斷病毒源的網(wǎng)絡連接，重新啟動計算機；若是文件形病毒作怪，則確定感染病毒的計算機，立即重啟進入安全模式或DOS環(huán)境，然后采用全面查毒方式，徹底清除病毒。一旦發(fā)生病毒疫情，管理員可通過系統(tǒng)中心控制臺查看網(wǎng)絡中任意一臺納入金山毒霸反病毒體系計算機的受感染文件、感染的病毒信息、感染時間、清除結(jié)果。并且，可以對網(wǎng)絡內(nèi)桌面系統(tǒng)遭受郵件病毒危害的信息進行查看，包括受郵件病毒危害的終端名、受感染文件名、危害的病毒名稱、危害發(fā)現(xiàn)時間、附帶該病毒的郵件名稱、發(fā)件人、收件人、清除結(jié)果等。升級日志記錄了金山V8+終端安全系統(tǒng)系統(tǒng)中心從外網(wǎng)升級的狀態(tài)及歷史。通過察看升級日志，可以獲取升級類型、升級開始時間、升級結(jié)束時間、升級結(jié)果等信息。管理員可以及時發(fā)現(xiàn)出現(xiàn)的升級異常情況。第五章終端安全在金山V8+終端安全系統(tǒng)中，終端是面向網(wǎng)絡中的終端設備而設計的病毒防護執(zhí)行終端。根據(jù)具體保護對象的不同，分為終端和服務器端。它提供了系統(tǒng)保護、邊界防御、全面查殺、一鍵云查殺、病毒隔離、郵件防護及漏洞掃描、軟件資產(chǎn)管理等多種功能，針對可能來自軟盤、光盤、網(wǎng)絡共享及郵件、網(wǎng)絡下載等各種途徑的病毒入侵，實現(xiàn)全方位的病毒防護。終端還能接收并執(zhí)行系統(tǒng)中心發(fā)出的指令，按系統(tǒng)中心設定的策略配置選項。終端通過系統(tǒng)中心指定的服務器升級，升級過程無需人工參與。金山V8+終端安全系統(tǒng)的終端，擁有30核查殺引擎意味著查殺能力數(shù)十倍于傳統(tǒng)殺毒軟件，率先采用云查詢的模式，當發(fā)現(xiàn)病毒時，終端會及時將病毒信息反饋給系統(tǒng)中心。即使是未知病毒，終端會通過云引擎服務器快速向金山公有云得到鑒定結(jié)果，并不采用傳統(tǒng)殺毒軟件依賴龐大的病毒庫殺毒的方式，解決了終端占用資源的技術(shù)難題，提升了終端的負載能力，以及