一、概述

 FVM 是一种基于操作系统内核的资源隔离机制构建的轻量级虚拟化技术。与传统硬件虚拟化架构不同，FVM无需模拟完整的硬件堆栈，能够在单一物理主机上创建多个相互隔离的执行环境，实现资源高效利用与安全隔离的平衡。

二、功能和术语

• 宿主分区：真实的、拥有完整系统权限的物理操作系统环境。

• 客户分区：在一个受限制、被隔离的虚拟环境中运行的应用程序或进程组，他不是一个完整的操作系统。

• 名字空间隔离：客户分区使用私有命名空间来隔离与宿主分区、客户分区之间的隔离。

• 写时复制：一种资源管理技术，宿主分区、客户分区进程共享同一资源的只读副本，只有当客户分区的某个进程需要修改该资源时，才为它创建该资源的私有副本。

• 虚拟磁盘：一种软件模拟的磁盘设备，以文件的形式存储在物理存储介质上，为分区提供完整的块设备接口。

• 虚拟网络适配器：一种软件模拟的网络接口卡，它在分区中呈现为标准的网络设备，但实际通过虚拟化层与物理网络通信。

• 云桌面虚拟应用： 在一台宿主机上虚拟多个共享桌面分区环境，供多个FVM客户分区同时远程连接和操作。

三、架构设计

FVM在操作系统内核与应用程序层之间构建虚拟化层，采用名字空间隔离与写时复制（Copy-on-Write） 机制。该设计使分区进程能够直接共享宿主机系统资源，同时确保运行时环境的完全隔离。每个客户分区仅需记录与宿主机环境的差异状态，无需复制完整的操作系统镜像，大幅降低了存储与运行开销。

四、体系结构

下图简要概述了 FVM 环境的体系结构

宿主分区(Host)和客户分区(Guest)

FVM 通过分区实现隔离。分区是由虚拟机管理器提供的逻辑隔离单元，每个分区内运行一个进程组，并由FVM筛选平台统一管控。进程可加入指定分区，也可在不同分区之间迁移。分区具备资源限制、名字空间隔离、策略仲裁、监控与审计等能力。FVM虚拟化程序必须至少有一个运行在宿主分区。虚拟化管理堆栈在宿主分区中运行，并可直接访问系统资源。

宿主分区默认不经过虚拟层处理，可直接访问系统资源。而客户分区默认受FVM虚拟层管控。客户分区可以读取宿主分区的资源，但无法直接写入，所有写请求均由FVM虚拟层重定向到虚拟设备进行处理。同时，基于FVM的名字空间隔离机制，宿主分区无法访问客户分区资源，客户分区之间亦相互隔离。

FVM 筛选平台(FVM Filtering Platform)

FVM 筛选平台是管控各分区应用程序访问系统资源的处理平台，由筛选层、虚拟机管理器、策略引擎和虚拟层组成。

筛选层(Filter Layer)

筛选层是一组连接到系统资源堆栈的策略挂钩，负责在资源访问请求抵达原始目标前进行监控、拦截与修改，实现对原始目标功能的扩展或替换，为虚拟层与策略引擎提供指令传导与执行能力。

筛选层由以下核心组件构成：

• 进程筛选器(Process Filter)：监控、拦截、允许进程创建与终止行为，判定进程所属虚拟机分区，实现进程粒度的隔离管控。

• 文件筛选器(File Filter)：监控、拦截、允许文件访问操作，重定向文件访问路径，为分区提供虚拟化文件视图。

• 注册表筛选器(Registry Filter)：监控、拦截、允许注册表访问操作，重定向注册表访问路径，为分区提供虚拟化注册表视图。

• 网络筛选器(Network Filter)：监控、拦截、允许网络连接、数据收发等行为，支持流量镜像、访问阻断、透明代理等管控动作。

• 内核对象筛选器(Kernel object Filter)：监控、拦截、允许进程间通信、同步对象、句柄操作等内核资源访问，重定向内核资源访问路径，为分区提供虚拟化内核资源视图。

• 杂项筛选器(MISC Filter)：监控、拦截和修改服务、桌面、内存等系统资源的访问行为，补全资源管控的最后一块拼图。

虚拟机管理器(VM Manager)

虚拟机管理器是FVM 筛选平台的核心管理中心，主要职责包括：

• 实例生命周期管理：负责分区实例的创建、销毁及运行状态维持，确保实例从启动到终止的完整流程可控、可追踪。

• 资源分配与限制：为分区分配计算、存储、网络等资源，并实施相应的资源配额限制。

• 策略管控与执行：部署并强制实施各类隔离策略、安全策略及访问控制规则。

策略引擎(Strategy Engine)

策略引擎是FVM 筛选平台的核心决策中枢，负责进程所属分区的实时判定，并对分区进程的资源访问行为进行精细化管控。其核心职责包括：

• 执行策略判断：基于预设规则与实时上下文，对进程行为进行评估与决策。

• 输出决策结果：生成允许、拒绝、重定向等明确指令，指导底层执行单元。

• 安全能力抽离：将访问控制、权限校验等安全逻辑从业务代码中剥离，集中托管至策略引擎。

• 策略快速迭代：通过规则热加载、灰度发布等机制，使策略更新速度匹配风险演变节奏。

通过策略与业务的完全解耦，FVM筛选平台得以在复杂动态的环境中，实现安全响应的敏捷化与确定性。

虚拟层(Virtual Layer)

虚拟层是FVM 筛选平台的资源代理层，依赖名字空间隔离、写时复制等机制，实现各分区之间的相互隔离。其核心职责包括：

• 资源抽象与供给：为分区实例提供虚拟化的计算、存储、网络资源视图，屏蔽底层物理拓扑差异，实现资源的按需分配与动态调整。

• 隔离边界构建：基于名字空间隔离进程视图，维护分区边界完整性，防止权限逃逸与跨边界非法访问。

• 高效存储与访问重定向：通过写时复制技术构建分区根文件系统及注册表视图，将文件、注册表等资源访问路径重定向至分区专属存储域，实现秒级部署与存储高效复用。

• 数据路径改造：支持透明代理、流量镜像、数据加密等高级数据平面能力，为安全管控与策略执行提供底层支撑。  

FVM 虚拟设备层(FVM Virtual Device Layer)

FVM虚拟设备层是构建于物理硬件之上的虚拟化资源单元，通过对磁盘、网络等物理资源进行抽象与模拟，为每个分区实例提供独立、隔离的设备视图。其核心职责包括：

• 磁盘虚拟设备：FVM存储虚拟化的核心实现单元，负责将物理磁盘资源抽象为多个独立、隔离的虚拟存储视图，并为每个分区实例提供专属的磁盘访问接口。

• 网络虚拟设备：FVM网络虚拟化的核心实现单元，负责将物理网络资源抽象为多个独立、隔离的虚拟网络视图，并为每个分区实例提供专属的网络接入接口与通信管控能力

FVM虚拟设备层是资源抽象与隔离管控的底层执行单元，将物理资源的安全边界从“内核层”延伸至“设备层”，为分区实例提供可信任、可管控、可计量的虚拟化基础设施。

五、逻辑架构

下图简要概述了 FVM 环境的逻辑架构

FVM的体系结构基于分层解耦与策略驱动范式，构建了从访问触发到资源执行的完整管控闭环。其核心逻辑关系可形式化描述为：以分区为隔离边界，以筛选层为感知触点，以策略引擎为决策中枢，以虚拟层为执行代理，以虚拟设备为资源抽象载体，以虚拟机管理器为全局管控实体。各组件间的协同关系与数据流转路径如下：

1. 分区归属与进程绑定机制

• 分区实例化：虚拟机管理器作为全局管控实体，负责创建并维护分区实例的逻辑边界，确立资源隔离的基础单元。

• 动态隶属关系建立：进程筛选器实时监控进程创建事件，通过向策略引擎发起归属查询，依据预定义规则将进程动态绑定至指定分区（宿主分区或客户分区）。该隶属关系一经确立，即成为后续所有访问控制判定的基准上下文，贯穿进程完整生命周期。

• 生命周期维持：虚拟机管理器持续跟踪分区状态，确保实例从启动至终止的完整流程可控、可追踪，并在进程迁移时维护其归属关系的连续性。

2. 访问请求的拦截-决策-执行语义

当分区内进程发起资源访问系统调用时，触发如下标准化处理流水线：

• 拦截层：对应的功能筛选器（文件、网络、注册表等）在请求抵达原始系统资源堆栈前实施截获，暂停执行流并将请求上下文上报至策略引擎。

• 仲裁层：策略引擎基于分区标识、资源类型、安全策略及实时状态进行多维评估，输出明确的处置语义——允许（直通宿主）、拒绝（终止访问并返回错误）或重定向（移交虚拟层处理）。

• 执行层：依据策略引擎的裁决结果执行相应操作。对于“重定向”语义，虚拟层激活名字空间隔离与写时复制机制，重构资源访问路径。

3. 资源视图的虚拟化映射关系

• 读操作语义：虚拟层通过共享映射机制，将宿主分区的公共资源（如只读系统文件）以只读方式暴露给客户分区。当客户分区首次访问某共享资源时，虚拟层建立宿主物理页至客户虚拟地址空间的映射，实现零拷贝资源共享。

• 写操作语义：写操作触发写时复制机制。虚拟层拦截写入请求，在分区专属存储域（由虚拟磁盘设备提供）中即时创建目标资源的私有副本，并将后续写入操作重定向至该副本。此机制确保宿主原始资源的不可变性，同时实现存储空间的按需分配。

• 元数据操作语义：针对内核对象等非文件类资源，虚拟层通过重定向技术，维护分区独立的虚拟化视图，所有修改操作均被隔离在分区边界内。

4. 虚拟设备层的资源抽象与代理关系

• 物理资源的逻辑抽象：磁盘虚拟设备与网络虚拟设备作为底层硬件资源的逻辑代理，将物理存储介质与网络接口抽象为多个独立、隔离的虚拟设备实例，供各分区独占使用。

• 数据路径的透明改造：虚拟设备层在完成资源抽象的同时，实现对数据平面的透明改造，支持流量镜像、访问阻断、加密传输等高级管控能力，将安全边界从内核层延伸至设备层。

• 资源计量接口：虚拟设备层向虚拟机管理器上报资源消耗数据，为配额校验、计费审计提供底层支撑。

5. 管控平面的闭环协同关系

• 静态配额与动态策略的互补：虚拟机管理器负责分区的静态资源配置（如CPU配额、存储上限），而策略引擎负责运行时行为的动态管控。二者形成“资源定义”与“行为约束”的双重管控机制。

• 策略部署与强制的一致性：虚拟机管理器将隔离策略统一部署至策略引擎，策略引擎在运行时依据这些规则进行实时仲裁，确保管控意图在系统各层得到一致贯彻。

• 全维度覆盖的审计一致性：杂项筛选器等组件补全了最后的管理维度，确保对桌面对象、系统服务等资源的管控语义与文件、网络等资源的管控语义完全一致，在FVM筛选平台内部构建覆盖进程、存储、网络等资源的全方位逻辑闭环。

• 可观测性与反馈机制：各执行层（筛选层、虚拟层、虚拟设备）向虚拟机管理器上报运行状态与资源消耗数据，形成从管控指令下发至执行效果反馈的完整可观测性闭环，支撑动态调优与异常诊断。

FVM的逻辑架构本质上是一种基于归属判定的全路径管控模型，由虚拟机管理器作为全局管控实体统一编排。进程自诞生时刻起即被标记分区身份，其后每一次资源访问均遵循“筛选层感知 -> 策略层裁决 -> 虚拟层重定向-> 设备层执行”的标准语义流水线，最终在写时复制与名字空间隔离机制的保障下，实现资源的高效复用与运行时的强隔离约束。虚拟机管理器贯穿始终的编排、部署、监控、调整职能，确保了整个系统的可控性、可观测性与一致性。

六、FVM筛选平台SDK概述

下图简要概述了调用方通过 FVM 筛选平台SDK与底层组件交互的流程

FVM筛选平台对外暴露一组层次化、功能完备的应用程序编程接口，供上层管理工具、第三方安全产品及业务系统调用，实现对虚拟化环境的精细化管控与深度集成。SDK设计遵循职责分离与可扩展性原则，将底层虚拟化能力封装为标准化服务接口。

1. 核心服务层 SDK

核心服务层SDK提供对FVM筛选平台基础能力的直接管控接口，是上层功能的基础构建块

• 进程管控接口：管控进程粒度的隔离行为，配置进程监控/拦截/允许规则、查询进程归属分区、迁移进程至指定分区。

• 文件管控接口：管控文件系统访问与虚拟化，配置文件监控/拦截/允许访问规则、设置虚拟文件视图。

• 注册表管控接口：管控注册表访问与虚拟化，配置注册表监控/拦截/允许访问规则、设置虚拟注册表视图。

• 网络管控接口：管控网络访问与流量处理，配置网络监控/拦截/允许访问规则、配置DNS访问规则、控制透明代理行为。

• 内核对象管控接口：管控内核资源访问与虚拟化，配置内核对象拦截/允许访问规则、设置虚拟内核对象视图。

• 杂项管控接口：管控服务/桌面等资源访问，配置服务虚拟化规则、设置桌面对象隔离策略等。

2. 管理编排层 SDK

管理编排层SDK面向上层编排系统，提供对虚拟化环境的统一管控能力。

• 分区生命周期管理接口：管理分区实例，创建/启动/停止/销毁分区、查询分区状态。

• 监控与审计数据接口：获取系统资源访问运行数据,查询资源使用统计、导出审计日志、获取实时性能指标、监控进程资源访问行为。

FVM筛选平台SDK通过层次化设计、功能化分类、标准化接口，将系统资源访问管控和虚拟化能力封装为易于集成和调用的服务，实现了从封闭的资源访问管控引擎到开放的可编程隔离平台的演进。

七、基于FVM筛选平台的主机安全防护体系

下图简要概述了FVM 筛选平台的主机安全防护结构图

FVM筛选平台在于构建覆盖所有分区的统一资源访问控制框架。基于FVM筛选平台SDK，可将防护边界从客户分区延伸至宿主分区，实现对物理主机的纵深防御。本章阐述如何利用平台能力构建主机安全防护体系，通过角色定义、策略定制、行为监控与威胁拦截，形成覆盖主机集群的整体防护网络。

1. 防护体系设计理念

传统主机安全防护依赖终端安全软件，存在防护滞后、策略僵化、孤立运行等局限。FVM筛选平台通过内置于操作系统内核层的管控能力，重新定义了主机安全防护的范式:

• 默认安全：所有资源访问均经过筛选层管控，无默认信任。每一次文件、注册表、网络等资源访问都必须经过策略引擎严格仲裁，将安全防线前移至每一次系统调用。

• 角色分化：每台主机承担特定功能角色，配置专属安全策略。文件服务器关注文件访问控制，Web服务器聚焦进程完整性保护，数据库服务器侧重数据文件防篡改，域控服务器强调关键系统资源保护，实现安全策略与业务特征深度融合。

• 集中管控：通过SDK将分散主机连接成统一管控平面，策略集中定义并批量下发，行为数据汇聚分析，威胁情报实时共享，形成集群级协同防护能力。

• 动态响应：基于持续行为监控，实现对未知威胁的实时发现与快速拦截。异常行为检测后，迅速制定针对性策略并秒级下发，将攻击阻断在早期阶段。

2. 主机角色定义与策略定制

在集群环境中，每台主机承担不同的功能角色。FVM筛选平台允许为每台主机定义专属角色，并基于角色定制精细化的资源访问策略。

• 文件服务器：承担文件共享职能，核心业务围绕文件读写展开。面临勒索软件加密、未授权访问等威胁。安全策略聚焦文件访问控制与进程白名单机制，确保仅可信进程能够运行，仅可信进程对共享目录执行写操作，仅开放139、445端口，并对访问来源IP实施控制等。

• 互联网隔离型终端：此类终端主要针对资源消耗型软件（如集成开发环境、编译工具、大型设计软件等）。用户需要在终端上进行开发、测试、研究、设计等工作，但直接暴露于互联网环境将带来恶意代码引入、横向移动等风险。安全策略的核心在于网络隔离与访问代理相结合：终端默认禁止直接访问互联网，所有外部网络请求均通过互联网客户机连接至FVM云桌面虚拟应用进行处理，外部流量在隔离环境中完成获取后仅将必要内容回传，使外部威胁无法直接触及终端本地环境。同时，对于内部资源的访问采用网络白名单机制，仅允许连接指定的代码仓库、依赖镜像站、测试环境服务器等必要资源，大幅缩减网络攻击面。管控外设的接入权限，防止通过物理介质引入恶意软件或将敏感代码带离环境。

• 业务迁移型终端：此类终端主要用于处理企业内部业务，如邮件收发、文档处理、外包业务系统访问、软件开发等。用户需要频繁接触敏感业务数据，面临钓鱼邮件、恶意软件感染、数据泄露等威胁。安全策略的核心在于业务数据隔离运行，通过FVM平台将企业业务应用迁移至独立的客户分区中，使业务数据与个人环境彻底隔离。通过应用分区将整个业务应用运行环境与宿主主机隔离。业务数据全部存储于分区内部，与宿主主机的个人文件、浏览记录、临时文件互不可见。当终端不慎感染恶意软件时，攻击者被限制在宿主环境无法触及分区内的业务数据；当设备回收或人员离职时，仅需销毁客户分区即可确保企业数据不残留，防止业务数据外泄。

3. 基于行为监控的威胁发现

• 全维度数据采集：持续采集进程创建与终止、文件操作、注册表操作、网络连接建立、内核对象访问、外设接入等行为数据，还原完整执行链条。

• 异常行为检测模型：构建批量文件修改模型识别勒索软件加密；异常进程链模型检测钓鱼攻击特征；罕见域名解析模型发现C2通信；敏感文件读取模型监控数据泄露企图；异常端口连接模型识别反弹Shell；注册表持久化模型发现后门设置；外设接入模型监控非授权存储设备的使用行为；跨分区访问模型检测异常的分区边界突破尝试；网络白名单偏离模型监控终端试图连接非授权内部资源的行为；流量代理偏离模型监控本应经过代理的进程试图直连互联网的行为。

• 监控告警闭环：行为数据实时上报至安全管控中心，分析引擎并行执行规则匹配与基线对比，命中威胁或发现偏离时触发告警，推送至安全分析师研判。

4. 基于策略下发的威胁拦截

• 快速响应流程：威胁研判后制定基于拦截、允许、重定向三大语义的策略，模拟验证后秒级批量下发至受影响主机，实时阻断威胁，评估效果并优化调整。

• 典型拦截场景：勒索软件爆发时拦截未知进程写共享目录；挖矿病毒传播时拦截进程连接矿池域名；数据泄露企图时拦截非授权进程读敏感文件；横向移动攻击时拦截异常IP连接请求；非授权外设接入时立即阻断设备挂载并触发告警；互联网隔离型终端上配置为代理访问的进程试图直接连接互联网时立即拦截并告警；业务迁移型终端感染恶意软件时，由于业务应用运行于隔离分区，攻击者无法触及业务数据。

5. 形成整体防护网络

• 三层防护架构：上层安全管控中心为决策中枢，中层管控集群为神经传导系统，下层主机节点为执行单元，每台主机运行完整的FVM筛选平台，包括进程、文件、网络、注册表等各类筛选器。

• 协同防护能力：策略集中下发实现秒级批量生效；威胁情报实时共享阻断横向扩散；行为数据汇聚分析发现隐蔽攻击；跨主机关联还原完整攻击链；响应编排自动化缩短处置时间；外设管控策略统一部署，防止通过物理介质跨主机传播恶意软件；网络白名单集中管理，确保终端访问内部资源的规范性；分区策略集中管理，确保业务数据隔离运行规范统一落地。

• 协同工作流程：主机A发现异常上报管控中心，分析确认为病毒，管控中心生成拦截策略批量下发至所有主机，全网同步具备拦截能力，阻断病毒传播。

基于FVM筛选平台的主机安全防护体系，通过默认安全、角色分化、集中管控、动态响应四大理念，将主机安全从被动防御演进为主动防护，为企业构建覆盖全集群的纵深防御体系。其中，服务节点的进程白名单与隔离运行机制、终端节点的互联网隔离型与业务迁移型分类防护、外设管控机制的精细化控制相互协同，既从源头上遏制了恶意代码的执行可能，为终端节点构建了与使用场景深度适配的安全防护模式，形成完整的、多层级的主动防御体系，在日益复杂的威胁环境下保障企业业务的安全稳定运行。

八、FVM云桌面虚拟应用

下图简要概述了客户机与云桌面虚拟应用交互图

FVM云桌面虚拟应用是基于FVM轻量级虚拟化技术构建的多用户桌面共享解决方案。该方案在单一物理宿主机上创建多个相互隔离的虚拟桌面环境，通过远程连接协议向终端用户交付完整的桌面体验。与传统虚拟桌面基础架构不同，FVM云桌面采用进程级虚拟化与写时复制技术，无需为每个用户加载完整操作系统镜像，实现桌面环境的秒级部署、资源高效复用与数据集中管控。所有用户应用程序均在宿主机端的FVM客户分区中运行，终端设备仅作为显示输出与输入采集的交互界面，业务数据全程驻留于云端服务器，从根本上杜绝终端侧的数据泄露风险。

• 数据云端驻留：所有业务数据、用户配置文件、应用程序数据均存储于云端服务器，终端设备不保留任何业务数据副本。即使终端设备丢失、被盗或感染恶意软件，企业敏感数据依然安全存储在数据中心内部。

• 资源高效复用：基于写时复制技术，多用户共享同一份只读操作系统与应用模板，仅记录每个用户的个性化增量数据。内存与CPU利用率大幅提升。

• 隔离与共享平衡：每个用户运行于独立的FVM客户分区中，通过名字空间隔离实现进程、文件、注册表、网络的完全隔离，同时通过写时复制共享只读资源，在保障安全的前提下实现资源最大化利用。

• 访问代理能力：云桌面虚拟应用可作为终端访问互联网的安全代理，终端默认禁止直接访问外部网络，所有互联网流量通过云桌面客户分区转发，在云端完成内容获取与威胁过滤后仅将必要画面回传，使外部威胁无法直接触及终端本地环境。

九、FVM企业及个人数据保护能力

下图简要概述了 FVM数据保护能力全景图

FVM数据保护体系基于分区隔离、资源管控与数据溯源三大核心机制，为企业及个人用户构建全方位的数据安全防线。企业数据仅在FVM管控环境下可用，脱离管控环境即无法访问；当数据需要对外流转时，通过PDF或FVM专用格式导出，分别满足只读分发与安全协作需求，明暗水印双重保障实现全生命周期可追溯。

1. 数据保护核心机制

• 客户分区业务数据隔离：所有企业业务应用运行于独立的FVM客户分区中，业务数据仅存在于分区内部，与宿主主机的个人环境彻底隔离。当办公终端感染恶意软件时，攻击者被限制在宿主环境，无法触及客户分区内的业务数据。当设备回收或人员离职时，仅需销毁客户分区即可确保企业数据不残留，从根本上解决终端数据泄露难题。

• 宿主分区安全管控：宿主主机作为基础运行环境，通过FVM筛选平台实施严格的资源访问控制。确保仅可信进程能够运行；保护系统关键文件、注册表免受篡改；限制宿主主机网络访问权限，防止其成为攻击跳板。宿主分区的安全管控为上层客户分区提供可信的运行基石。

• 云桌面虚拟应用数据不落地：通过FVM云桌面虚拟应用，用户可在终端上远程访问企业业务系统，所有业务数据全程驻留云端，终端设备仅接收经过加密的屏幕图像数据。即使终端设备丢失或被盗，企业敏感数据依然安全存储在数据中心内部，实现真正的数据不落地。

• 受控导出与安全流转：企业数据仅在FVM管控环境下可用，任何试图将数据带出管控环境的行为均需通过受控导出机制。支持导出格式：PDF格式适用于外部只读分发，自动添加明水印与暗水印；图片/视频格式适用资料分享，自动添加明水印与暗水印；FVM专用格式适用于内部安全协作，文件加密保护并携带暗水印，仅授权分区可解密访问。

2. 客户分区业务数据隔离

• 业务应用分区运行：通过FVM平台将企业业务应用迁移至独立的客户分区中运行，业务数据仅存在于分区内部，实现业务数据与个人环境的彻底隔离。

• 分区数据生命周期管理：客户分区内的业务数据与分区生命周期绑定。用户登录时，分区使用用户专属加密磁盘；当用户注销时，增量数据保至加密磁盘，分区资源回收。对于临时任务或外部人员访问，可配置为会话结束后自动销毁分区及所有数据，确保数据不残留。

• 跨分区访问控制：FVM默认禁止分区间的直接数据访问，确保各分区数据独立。对于需要跨分区交换数据的场景，通过加密FVM文件格式实现受控流转，杜绝未经授权的数据访问。

3. 分区安全管控

• 可信进程白名单：通过FVM筛选平台在分区实施严格的进程白名单机制，仅允许经批准的进程运行。任何未经授权的进程启动尝试均被拦截，从根本上阻断恶意代码在宿主环境执行的可能。

• 系统关键资源保护：通过FVM筛选平台保护宿主分区关键资源。系统目录、注册表配置项、启动项等关键位置，仅允许可信进程访问修改。未授权进程尝试修改系统文件或写入自启动注册表项时，立即拦截并触发告警。

• 屏幕水印与防截屏能力：通过FVM筛选平台为所有分区提供可配置的屏幕水印和防截屏能力。

• 网络访问限制：通过FVM筛选平台对所有分区的网络访问权限实施精细化管控。可为每个分区独立配置网络策略：宿主分区默认仅能访问必要的管理通道、更新服务器、安全管控中心等；客户分区根据业务需求，可配置仅能访问特定的内部服务器或经过代理访问互联网。网络策略与分区身份绑定，确保分区迁移或重建后仍维持一致的访问权限。

4. 云桌面虚拟应用数据不落地

• 终端零数据缓存：云桌面会话期间，终端设备不存储任何业务数据副本。即使会话过程中产生临时文件、缓存数据，也全部保存在云端会话中。终端本地磁盘、内存中均无业务数据残留。

• 云桌面作为安全互联网代理：云桌面本身运行于FVM客户分区中，受FVM筛选平台统一管控，天然具备与本地客户分区同等级别的安全防护能力。当终端需要访问互联网时，可通过云桌面作为安全代理，构建完整的端到端防护体系。终端本地客户分区默认禁止直接访问互联网，所有互联网请求通过转发至云桌面。云桌面内的浏览器或应用发起实际互联网访问请求，流量经过云桌面所在分区的网络筛选器检查，符合策略后方可通过互联网出口转发。

终端本地客户分区受FVM筛选平台保护，与云桌面之间的远程连接通道加密传输，云桌面分区再次受FVM筛选平台保护并对互联网流量进行深度检查。外部威胁既无法直接触及终端本地环境，也难以穿透云桌面的多层防护；同时，即使终端本地感染恶意软件，由于互联网访问必须通过云桌面代理，恶意软件也无法绕过管控直接向外传输数据。

5. 受控导出与安全流转

企业数据仅在FVM管控环境下可用，任何试图将数据带出管控环境的行为均需通过受控导出机制。

• PDF格式导出——外部只读分发：将数据分享给外部合作伙伴、客户或监管机构时，支持将文档导出为PDF格式。导出的PDF文件强制为只读模式。接收方仅能查看内容，无法对文件进行任何修改或二次分发。自动叠加可见的明水印,以及嵌入不可见的暗水印溯源信息。

• 图片/视频格式导出——外部分发：将数据分享给外部合作伙伴、客户或监管机构时，支持图片或视频导出。导出的文件自动叠加可见的明水印,以及嵌入不可见的暗水印溯源信息。

• FVM文件格式导出——内部安全协作：在企业内部不同部门、不同主机、不同分区之间流转数据时，支持导出为FVM专用加密文件格式。在保障安全的前提下实现数据的高效流转。

6. 企业数据保护场景

• 办公终端数据保护：在办公终端上通过客户分区访问业务系统，业务数据与个人环境隔离。当需要将工作文档共享时，通过PDF格式导出，接收方仅能查看无法修改或复制。当将文件进行内部协作时，通过FVM文件格式   导出，仅授权分区能够解密打开。当需要访问互联网查阅资料时，通过云桌面代理进行，所有流量经过云端安全检查，终端本地无需直接连接互联网，减少攻击面。

• 研发源代码保护：研发源代码存储在客户分区，通过PDF格式导出设计文档，进行外部评审。通过FVM文件格式导出，进行跨部门合作。

• 合规审计场景：企业需向监管机构提交审计报告，通过PDF格式导出，文件自动添加接收方信息的明暗水印，设置只读保护。监管机构查阅后，文件即使被二次传播，也可通过暗水印追溯至初始接收方，明确泄露责任。

7. 个人数据保护场景

• 个人隐私隔离：个人用户可在同一台设备上创建多个客户分区，分别用于工作、生活、金融等不同场景，各分区数据完全隔离。工作分区内的文档、邮件与生活分区内的照片、聊天记录互不可见，防止交叉泄露。

• 敏感信息加密存储：个人用户可将银行账单、身份证照片、密码文件等高敏感信息存储于加密客户分区内。即使设备被盗，攻击者也无法解密访问分区内数据。

• 安全文件分享：个人用户需要向亲友发送敏感文件时，可选择导出为PDF格式，添加接收方信息的明暗水印；或导出为FVM文件格式，设置接收者能够解密的密码或时间窗口。文件携带的水印可记录接收者信息，一旦文件被二次传播，可通过水印追溯源头。

8. 数据保护审计与追溯

• 全链路审计日志：FVM筛选平台对所有分区的数据访问行为生成详细审计日志，包括文件访问日志、分区创建销毁日志、导出操作日志、解密尝试日志、暗水印嵌入记录、网络连接日志等。日志包含时间戳、主机信息、用户身份、分区标识、进程信息、操作类型、操作对象等完整上下文。

• 异常行为检测：基于审计日志，安全管控中心可构建异常行为检测模型，识别潜在的数据泄露风险。例如，检测某用户在短时间内大量导出PDF或FVM文件的行为；检测某用户频繁尝试解密无权限的FVM文件的行为；检测导出文件接收方为异常外部邮箱的行为；检测某分区突然向未知目标发起大量网络连接的行为。检测到异常时自动触发告警并可联动拦截。

• 数据泄露追溯：当数据泄露事件发生时，审计日志与暗水印技术协同工作，实现精准追溯。安全团队获取泄露文件后，提取暗水印获取导出时间、操作人员、接收方信息；结合审计日志，还原文件从导出到泄露的完整路径，确定泄露环节与责任人，为事件处置与法律追责提供依据。

FVM为企业构建了从终端到云端、从存储到传输、从内部到外部的全方位数据保护体系，同时为个人用户提供了隐私隔离与敏感信息保护能力。企业数据仅在FVM管控环境下可用，脱离管控即无法访问；对外流转时通过受控导出与暗水印技术实现精准溯源，在保障数据高效流通的同时，确保数据安全始终可控。

十、FVM软件多开与病毒隔离能力

下图简要概述了 FVM软件多开与病毒隔离能力全景图

FVM筛选平台基于分区隔离与资源管控机制，为同一台物理主机上的软件多开与病毒隔离提供了轻量级、高安全的解决方案。无论是需要同时运行多个相同应用实例，还是希望将未知程序与系统环境隔离运行，FVM均能通过独立的客户分区实现进程级隔离，确保应用之间互不干扰、病毒无法扩散。

1. 软件多开能力

传统软件多开面临诸多挑战：许多应用通过互斥体、注册表键值等方式限制同一用户只能运行单个实例；多个实例同时运行时，配置文件、缓存数据相互覆盖导致冲突等。FVM通过分区隔离机制，为每个应用实例创建独立的运行环境，从根本上解决上述问题。

• 多开场景应用：在游戏多开场景中，用户需同时运行多个游戏账号时，可为每个账号创建独立客户分区。在IM多开场景中，为每个账号创建独立分区，同时登录微信、QQ等。各分区内进程独立运行，聊天记录、缓存文件隔离存储，工作与个人数据互不干扰，满足多身份管理需求。在开发测试多环境场景中，开发人员需同时测试同一应用在不同配置下的行为时，为每个测试环境创建独立分区。各分区拥有独立的配置文件视图和环境变量，测试结果互不影响，可并行验证多种配置组合。

• 资源优化与共享：虽然各分区独立运行，但通过写时复制技术实现资源高效共享。操作系统核心文件、公共DLL、应用可执行文件等只读资源在所有分区间共享物理内存，几乎不增加额外开销。仅每个分区的配置文件、缓存数据等增量内容独立存储, 按需占用磁盘空间。这种设计使得在一台物理主机上运行数十个应用实例成为可能，资源占用远低于传统虚拟机方案。

2. 病毒隔离能力

传统安全模式下，用户运行未知程序时面临系统被感染的风险。FVM通过分区隔离机制，可将未知程序、可疑文件、高风险操作隔离在独立环境中运行，即使程序包含恶意代码，也无法突破分区边界威胁宿主系统。

• 沙箱分区隔离运行：当需要运行来源不明的程序、打开可疑附件、访问高风险网站时，可将其隔离在沙箱分区中执行。沙箱分区与宿主分区及业务分区完全隔离，恶意行为被限制在分区内部。沙箱分区具有临时性特征，可随用随建，会话结束后自动销毁，使恶意软件无法在系统中持久化驻留。沙箱分区共享宿主只读系统文件，通过写时复制机制将所有写入操作重定向至临时存储，确保宿主系统不受任何修改影响。网络层面可限制沙箱分区的访问权限，阻断恶意程序与命令控制服务器的通信；外设层面默认禁止访问外设等物理设备，防止恶意软件通过外设传播。

• 病毒行为拦截：即使恶意程序在沙箱分区内运行，FVM筛选平台仍对其行为进行全程监控与拦截。当勒索软件尝试批量修改文件时，文件筛选器可拦截其加密行为，沙箱分区内文件被加密但不会影响外部真实数据。当挖矿程序尝试连接矿池时，网络筛选器可拦截其网络通信，挖矿进程虽在运行但无法产生实际收益。当后门程序试图写入自启动注册表项时，注册表筛选器拦截其写入操作，沙箱销毁后后门随之消失。当恶意软件尝试扫描内网进行横向移动时，网络筛选器可限制其内网访问权限，阻断扩散路径。

• 病毒分析环境：安全分析师可将疑似恶意样本在隔离分区中运行，观察其行为而不危及分析环境。FVM筛选平台详细记录样本的所有行为，包括文件、注册表操作、网络连接、进程创建、内存访问等，生成完整的行为分析报告。分析师可根据报告判断样本性质，制定相应的防御策略。这种分析环境可反复使用，每次分析后销毁分区即可恢复纯净状态，无需重装系统或虚拟机。

• 浏览器隔离：针对网页浏览这一高风险场景，FVM提供浏览器隔离能力。用户通过隔离分区运行浏览器，所有网页内容在分区内渲染，即使访问包含漏洞利用代码的恶意网站，攻击也无法突破分区边界。普通隔离模式下，浏览器运行于独立分区，网页无法访问宿主文件系统；深度隔离模式下，可进一步禁用下载、剪贴板、插件等功能，防止通过浏览器下载恶意软件；一次性隔离模式下，会话结束自动销毁分区，恶意Cookie、缓存数据不留存；网络隔离模式下，可限制浏览器仅能访问特定站点，防范钓鱼网站访问。

• 文档隔离打开：针对邮件附件、即时通讯接收的文档，FVM支持文档隔离打开。当用户打开可疑文档时，文档阅读器或编辑器在隔离分区中启动，文档内的恶意宏、漏洞利用代码被限制在分区内，无法感染宿主环境。即使文档携带勒索软件，其加密行为也仅影响分区内的临时文件，关闭分区后所有影响随之清除。

分区隔离、资源高效共享、行为全程监控三大机制相互协同，使FVM实现了同一物理主机上的安全多开与隔离运行，既满足用户对多实例并行的需求，又保障了系统在面对未知威胁时的绝对安全。

十、FVM展示与下载

下图是 FVM 展示图

下载链接：

github链接: 265K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6m8f1%4m8W2j5$3E0a6k6V1c8#2M7%4b7&6x3U0m8Q4x3V1k6r3g2V1@1`.

gitee链接: e67K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8W2k6g2)9J5k6h3y4G2L8g2)9J5c8V1q4e0M7r3g2U0K9@1!0X3c8s2g2K6N6q4)9J5c8V1k6h3e0b7`.`.

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！