其实，我想说，金山2012的边界防御还有一个大口子没堵上

ZJUER

首先，边界防御的概念是什么，无非就是在安全威胁进入系统前或进入的过程中将其拦截，其实实现的原理、方法，就目前的金山毒霸2012版本来说，有是一次没有新意的名词替换，当然，硬要说有创新、有改进，那是肯定的。

但是，目前看来，金山的边界防御做得很不到位、很不成熟，有一个很好的愿景，但是产品架构的不成熟会导致整个愿景的破灭。

/*   边界防御+系统防御的工作流程
    A：一个文件通过下载/传输/复制粘贴/插件安装等方式进入个人电脑
    B：在进入电脑的过程中触发边界防御
    C：边界防御判断这个文件是否为白文件
    D：如果是白文件则通过边界   如果是黑文件则直接禁止文件运行 如果是未知文件则上传云端进行云鉴定  
    E：云鉴定中有强大的主动防御，高启发扫描，及多款鉴定器对文件进行扫描
    F：如无法判定则转人工
    G：最终返回鉴定结果为通过边界或者禁止运行
    如边界防御被冒充正常软件的病毒骗过，但是在系统运行时发现文件有病毒行为则启动系统防御：
    A：查杀病毒
    B：修复系统*/

通过上面一段内容，，我没有发现与现版本毒霸运作模式有何区别，只不过把扫描的时间点提前而已，而且并不能起到真正的边界检查目的，因为所描述的运作机理依然是基于扫描的后摄式防御，而所谓的云端主防，此时威胁已经进入系统，而且还存在离线这个巨大的问题（另外不要跟我扯大部分威胁要发挥作用都要联网，威胁可以在断网的时候入侵、联网发作，也可以只断你安全软件的网）。

另外，我们放眼世界，边界防御做到极致可以说公认的是Symantec的产品。我们看一下Symantec产品的防御流程

/*  1.文件通过网络途径进入计算机
     A::入侵检测反馈文件进入的通道是否合法，以及是否出现触发漏洞的行为，若有漏洞行为，直接拒绝。
     B::SafeWeb检查并反馈文件的来源信誉状况。
     C::下载智能分析检查文件70多项属性并连接Symantec Norton Community Network，反馈文件信誉级别，若信誉过低，直接删除。
     D::一套独立于扫描系统的高级启发式分析系统（结果不影响扫描结果，但是会触发上报机制）对文件进行分析，并决定是否上报。
     E::病毒及间谍软件扫描。
     F::Norton Protection System依据前五步的反馈给出一个文件安全评价，若评定为不安全会通知用户处理，若评定为不安全，则删除文件，同时这些数据会被记录，用于后续防御。
    2.文件通过执行进入计算机
     A::SONAR监视并记录程序的行为，若发现高危行为直接回滚并删除文件，同时会时刻回溯记录，依据多步行为组合判断文件的行为是否合法，并且会反馈给Norton Protection System。
        B::检索1中的数据、若没有，会触发信誉查询和高级启发式分析。
     C::出站防火墙时刻监视网络行为，发现异常时会终止连接并反馈信息。（此功能只出现在NIS及以上版本）
     D::Norton Protection System将数据整合返回给SONAR，SONAR通过内建的数百个分类器，依据预定义规则进行判定，判定文件的安全级别，若安全则放过，若危险，则回滚操作并删除文件。*/

而这套系统的实现是09年的事了……，06年则实现了除下载智能分析之外的所有功能，当然，当时的SONAR是在云端的监控体系，类似于云端行为监控+上报的机制……

对比两套系统，我们发现，金山现在提边界防御，为时尚早。边界防御实现的一个重要要求就是防御体系完善、而且组件之间密切整合。这里的密切整合并不是把多个组件放在一个界面之下就叫整合了，而是要像Symantec那样，整套防御体系可以说是只有一个组件——Norton Protection System，其余所有组件均可以视为这个组件的内部功能结构，而且密切程度甚至已经到了无法割裂的地步。同时，Norton拥有强大的双向防火墙（2009版之后使用的是Symantec收购过来的久负盛名的Sygate Firewall技术）、入侵检测系统和信誉分析系统，而这些系统全面整合，才可以做到网络层防护滴水不漏，而通过可移动存储媒介进入的文件，还拥有行为监控体系进行拦截。


至于金山，现在的产品架构松散混乱，各组件的完全没有整合，同时没有入侵检测系统以及防火墙的支持，网络层依然存在一个大口，尽管网盾的效果很好。另外，还是那个问题，金山本地防御的弱势、对云的过度依赖，依然是整个边界防御的薄弱环节，企图通过外接手段加强防御，不如从内部入手，加强本地的防御，才能有效实施边界防御战略。

期待金山在明年的新版本的表现。

特种部队

看看党，不说什么

360Tencent

等待某些人来“晓之以理，动之以情”痛陈楼主的不是。如有雷同，纯属巧合。路过

蓝芯云安全

哎，又一个半桶水侃侃其谈的，不过精神值得鼓励

文件通过网络途径进入计算机
     A::入侵检测反馈文件进入的通道是否合法，以及是否出现触发漏洞的行为，若有漏洞行为，直接拒绝。（对于毒霸来说，这个功能显然是从金山网盾时代就有了的，网页防钓鱼、防挂马、下载地址危害性识别、U盘禁止运行，未知文件运行前弹窗确认都是前摄性的）
     B::SafeWeb检查并反馈文件的来源信誉状况。（这和金山毒霸的云反馈有什么区别？区别是金山的云反馈更准确更快）
     C::下载智能分析检查文件70多项属性并连接Symantec Norton Community Network，反馈文件信誉级别，若信誉过低，直接删除。（这个也不过是文字的忽悠，金山毒霸直接判别黑白，是黑就删）
D::Norton Protection System将数据整合返回给SONAR，SONAR通过内建的数百个分类器，依据预定义规则进行判定，判定文件的安全级别，若安全则放过，若危险，则回滚操作并删除文件。*/（这一点，毒霸做得方式不一样，也就是不具备回滚，但毒霸有未知文件运行抑制机制，在数据反馈之前，未知文件被抑制运行，也就不存在需要回滚）

其实楼主说的东西毒霸都有，只是楼主想当然的忽略了而已。不过我承认，毒霸对防火墙一块不太重视，这和中国的网络环境黑客危害远远小于病毒木马流氓危害有关

yujiakun

蓝芯云安全 发表于 2011-7-10 13:46
哎，又一个半桶水侃侃其谈的，不过精神值得鼓励

文件通过网络途径进入计算机

一个文件抑制运行到放行要多久，用户受得了？？？

sfsren

诺顿没用过，不知道怎么样

蓝芯云安全

yujiakun 发表于 2011-7-10 13:50
一个文件抑制运行到放行要多久，用户受得了？？？

总比诺顿的那玩意快

yujiakun

蓝芯云安全 发表于 2011-7-10 13:52
总比诺顿的那玩意快

诺顿那玩意好像几秒钟的事，而金山的云响应快则几十秒，慢则一两天啊

WeeVee

蓝芯云安全 发表于 2011-7-10 13:52
总比诺顿的那玩意快

SONAR相当于行为分析，跟毒霸的这个云比不到一起呀

chongzifei

只看不说，但永远支持山山