火绒终端安全管理系统1.0技术白皮书

火绒终端安全管理系统1.0 技术白皮书总结

概述

《火绒终端安全管理系统1.0 技术白皮书》详细介绍了火绒终端安全管理系统1.0的理念、策略、核心技术、产品功能及系统架构。该产品秉承“情报驱动安全”理念，全面实施EDR（终端、检测和响应）运营体系，为企事业单位提供统一部署、全网管控的终端安全解决方案。

产品介绍与特点

• 产品介绍：火绒终端安全管理系统1.0是一款新一代企事业单位反病毒&终端安全软件，支持统一部署、集中管理，集强大终端防护能力和丰富全网管控功能于一体，性能卓越、轻巧干净。
• 产品特点：
  • 自主知识产权：完全自主的核心技术和知识产权，避免产品后门和用户信息外泄风险，及时响应本地安全问题，有效防范国内病毒产业链。
  • 全网威胁感知，EDR运营体系：基于数百万“火绒安全软件”用户，实时感知全网威胁信息，通过前端截获、预处理和后端深度分析，产出强大威胁情报，驱动产品研发和安全服务。
  • 成熟的终端，强悍轻巧干净：产品稳定成熟，安装后仅占用20M硬盘资源，病毒库3M大小，日常内存占用不到10M，无捆绑、弹窗等行为，确保系统干净清爽。
  • 高效的控制中心，可靠、易用：控制中心设计合理，界面友好，统计报表人性化，支持Web服务架构的可移动控制平台，支持域脚本安装等快速部署方式。

理念和策略

• 理念：“情报驱动安全”：以全面、真实、及时的互联网威胁情报为基础，驱动技术研发和产品开发，建立相应的安全服务运营体系，实现实时感知、精准处理、动态防御。
• 策略：EDR运营体系：通过数百万“火绒安全软件”终端作为探针，实时感知威胁信息，前端截获、预处理，后端深度分析，产出威胁情报，升级产品，提供高品质安全服务。

核心技术

• 自主知识产权的新一代反病毒引擎：基于虚拟沙盒技术，深度解析恶意代码，实时感知静态和动态威胁信息，具有强大的通用扫描、脱壳和代码行为分析能力，误报率低、查杀速度快、体积和资源占用小。
• 多层次主动防御系统：率先将单步防御和多步恶意监控相结合，不依赖白名单，在文件、注册表、进程、网络四个维度设计全面防护规则，有效针对操作系统脆弱点进行防护，支持自定义规则功能。

系统架构

• 系统中心：提供基于WEB方式的本地控制台，对已注册客户端进行分组管理，向客户端发出指令、配置选项并提供集中日志操作。
• 控制台：基于Web服务架构的可移动控制平台，通过WEB浏览器远程管理控制中心。
• 客户端：面向网络客户机的病毒防护执行端，提供实时监控、全面查杀、病毒隔离、邮件防护及漏洞扫描等功能，支持Windows和Linux操作系统。
• 升级服务：负责升级文件的更新与传递，客户端、控制台、系统中心均通过升级服务模块进行升级。

主要功能介绍

• 服务端功能：
  • 终端管理：了解所有终端安全情况，统一管理防护，下发查杀、升级等任务。
  • 文件管理：查看软件安装情况，要求终端卸载软件，文件下发功能。
  • 策略管理：查看终端分组策略，部署策略。
  • 漏洞管理：查看漏洞情况，统一漏洞扫描和修复。
  • 设备控制：禁用U盘、便携设备、网卡等，统一设备管控。
  • 多级中心：连接上级控制中心，管理下级控制中心，实现多层次、多管理员管理。
• 客户端功能：
  • Windows终端：
    • 病毒查杀：快速查杀、全盘查杀、自定义查杀。
    • 恶意行为分析：监控程序运行过程中的恶意操作。
    • 邮件监控：邮件收发过程中的快速扫描。
    • 黑客入侵拦截：检测网络传输数据包中的敏感入侵信息。
  • Linux终端：病毒扫描，结果自动上传至中心。

技术参数

• 服务端配置要求：
  • 硬件要求：Windows XP（SP3）、Vista、7、8、8.1、10，Windows Server 2003/2008/2012/2016（32位及64位），至少2GB内存，建议60GB以上硬盘，以太网兼容网卡，支持IE8及以上。
  • 虚拟机支持：支持。
• 客户端配置要求：
  • Windows终端：系统版本同服务端，至少1GB内存，建议40GB以上硬盘，以太网兼容网卡，支持虚拟机。
  • Linux终端：CentOS、Ubuntu、SUSE、Deepin等发行版（64位），GNU libc 2.12及以上，至少1GB内存，建议40GB以上硬盘，以太网兼容网卡，支持虚拟机。