基于大數(shù)據(jù)技術(shù)的統(tǒng)一防病毒系統(tǒng)的設(shè)計(jì)與應(yīng)用

吳智廣 王海波 陳學(xué)輝 張鳳芝 山東黃金礦業(yè)（萊州）有限公司焦家金礦

1 引言

近年來，隨著網(wǎng)絡(luò)及移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，企業(yè)越來越多的通過網(wǎng)絡(luò)信息系統(tǒng)提供服務(wù)，這些信息系統(tǒng)為企業(yè)帶來便利的同時(shí)也成為了國際國內(nèi)各種黑客組織實(shí)施攻擊的目標(biāo)。與傳統(tǒng)類型的病毒相比,新型病毒的傳播途徑多樣化,傳播速度快,更加隱蔽,影響面積廣,危害性更大。一旦網(wǎng)絡(luò)系統(tǒng)安全受到嚴(yán)重威脅,甚至處于癱瘓狀態(tài),將會(huì)給企業(yè)、社會(huì)、乃至整個(gè)國家?guī)砭薮蟮慕?jīng)濟(jì)損失。某集團(tuán)企業(yè)不斷發(fā)展的同時(shí)其網(wǎng)絡(luò)規(guī)模也在不斷的擴(kuò)大,隨著廣域網(wǎng)建設(shè)項(xiàng)目的深入，對公司層面統(tǒng)一的網(wǎng)絡(luò)安全要求與日俱增。《中華人民共和國網(wǎng)絡(luò)安全法》及《網(wǎng)絡(luò)安全等級保護(hù)條例》都對網(wǎng)絡(luò)安全病毒防御提出了明確要求。因此需要構(gòu)建高效的安全體系來保護(hù)整個(gè)集團(tuán)信息網(wǎng)絡(luò)不受病毒的侵害。

2 需求分析

經(jīng)調(diào)研發(fā)現(xiàn)，該集團(tuán)無統(tǒng)一的防病毒軟件，無整體病毒防范體系。集團(tuán)無法集中管理各分支安全設(shè)備。傳統(tǒng)安全技術(shù)對高級持續(xù)性威脅無能為力,無法及時(shí)發(fā)現(xiàn)未知威脅。對于APT缺乏有效的追蹤和取證工具。網(wǎng)絡(luò)中部署了一些安全設(shè)備和系統(tǒng)，但這些設(shè)備和系統(tǒng)基本都是各自獨(dú)立的，形成了一個(gè)個(gè)安全孤島。對于一些復(fù)雜的攻擊行為，依靠單一的安全設(shè)備往往不是難以發(fā)現(xiàn)問題就是產(chǎn)生過多誤報(bào)。網(wǎng)絡(luò)中無統(tǒng)一終端管理系統(tǒng)已經(jīng)過期,無法做到統(tǒng)一查殺病毒,統(tǒng)一升級病毒庫,給系統(tǒng)打補(bǔ)丁等,遠(yuǎn)程運(yùn)維等,造成很多PC很容易被黑客入侵。網(wǎng)絡(luò)中沒有可以有效抵御勒索病毒等攻擊的防護(hù)設(shè)備。

3 系統(tǒng)設(shè)計(jì)

3.1 系統(tǒng)總體設(shè)計(jì)

根據(jù)實(shí)際網(wǎng)絡(luò)拓?fù)洵h(huán)境和實(shí)現(xiàn)需求,設(shè)計(jì)在集團(tuán)總部網(wǎng)絡(luò)集團(tuán)總部用戶接入?yún)^(qū)域位置以及分支結(jié)構(gòu)接入?yún)^(qū)域分別透明串接部署兩臺(tái)下一代智慧防火墻,用于提高出口安全性能,和未知威脅發(fā)現(xiàn)能力,在每個(gè)分支機(jī)構(gòu)部署下一代智慧防火墻,用于發(fā)現(xiàn)并阻斷包括未知威脅在內(nèi)的各種網(wǎng)絡(luò)威脅,并且把數(shù)據(jù)實(shí)時(shí)上報(bào)到集團(tuán)總部智慧管理分析系統(tǒng)進(jìn)行匯總分析處理.在集團(tuán)總部核心區(qū)域部署新一代威脅感知系統(tǒng),對網(wǎng)絡(luò)中的流量進(jìn)行全量檢測和記錄，所有網(wǎng)絡(luò)行為都將以標(biāo)準(zhǔn)化的格式保存于數(shù)據(jù)平臺(tái)中，云端威脅情報(bào)和本地沙箱分析結(jié)果與本地分析平臺(tái)進(jìn)行對接，為集團(tuán)提供基于情報(bào)和沙箱檢測的威脅發(fā)現(xiàn)與溯源的能力；在集團(tuán)全網(wǎng)部署防病毒終端管理系統(tǒng),在集團(tuán)部署一級管理中心,在每個(gè)分支機(jī)構(gòu)分別部署各自分支管理中心。

3.2 設(shè)計(jì)原則

該系統(tǒng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。設(shè)計(jì)原則：長遠(yuǎn)粗，近期細(xì)。先進(jìn)性與實(shí)用性相結(jié)合，既考慮企業(yè)未來發(fā)展戰(zhàn)略目標(biāo)的需要，又兼顧企業(yè)當(dāng)前安全管理的需要。

3.3 系統(tǒng)功能設(shè)計(jì)

(1）集中管控功能

主要實(shí)現(xiàn)統(tǒng)一管理、分級管理、虛擬二級管理服務(wù)器、策略管理、分布式部署。具備對整體的管控，統(tǒng)一配置防毒策略、統(tǒng)一監(jiān)控終端安全狀態(tài)、統(tǒng)一更新病毒庫、集中分析整體病毒日志、全網(wǎng)掃描病毒，并及時(shí)掌握全部控制中心的客戶端狀況及病毒處理情況。具有集中式授權(quán)管理、統(tǒng)一的管理界面，支持大型網(wǎng)絡(luò)統(tǒng)一防病毒管理要求。支持2級以上的分級管理部署，各級管理中心可執(zhí)行本中心的管理功能，總部管理中心可管理分支管理中心及其所屬客戶端，實(shí)現(xiàn)大型網(wǎng)絡(luò)的分層次的管理。支持在總管理中心設(shè)置虛擬二級管理服務(wù)器，通過賬戶管理的方式，實(shí)現(xiàn)與二級從屬管理服務(wù)器完全一樣的功能，無需再另外提供虛擬機(jī)或物理機(jī)。支持網(wǎng)絡(luò)安全管控策略的管理、制定與分發(fā)，能夠根據(jù)需要預(yù)先設(shè)定多個(gè)安全策略。達(dá)到一定規(guī)模的分支企業(yè)可以部署分支管理中心實(shí)現(xiàn)本地化管理。

(2）病毒查殺功能

主要實(shí)現(xiàn)實(shí)時(shí)監(jiān)控、手工查殺、定時(shí)查殺、文件隔離、黑白名單、未知病毒查殺及防御功能。支持實(shí)時(shí)防護(hù)，支持對病毒的實(shí)時(shí)監(jiān)控、清除和掃描。支持按需掃描，防病毒客戶端可執(zhí)行快速掃描、全盤掃描、定制掃描，支持按訪問掃描。支持自定義時(shí)間、自定義掃描頻率，自定義掃描類型，對終端進(jìn)行定時(shí)查毒，并且可以自定義查殺病毒后的處理方式自定義。支持對各種文件類型的查殺。支持黑白名單維護(hù)，支持病毒查殺時(shí)目錄或文件排除功能。支持多種惡意威脅的查殺

(3）邊界安全設(shè)計(jì)

在強(qiáng)勁性能與更先進(jìn)架構(gòu)的支撐下，集成了防火墻、VPN、應(yīng)用與身份識(shí)別、等綜合安全防御功能，并完成了與態(tài)勢感知、防病毒終端及病毒云、云沙箱、情報(bào)云等多項(xiàng)系統(tǒng)的協(xié)同防御功能，在擴(kuò)展了協(xié)同防御能力的基礎(chǔ)上，由防火墻的分析中心、數(shù)據(jù)中心、處置中心三大中心實(shí)現(xiàn)對威脅的分析、定位、處置一體化過程。

(4）大數(shù)據(jù)安全設(shè)計(jì)

新一代威脅感知系統(tǒng)可基于自有的多維度海量互聯(lián)網(wǎng)數(shù)據(jù)，進(jìn)行自動(dòng)化挖掘與云端關(guān)聯(lián)分析，提前洞悉各種安全威脅，并向客戶推送定制的專屬威脅情報(bào)。同時(shí)結(jié)合部署在客戶本地的軟、硬件設(shè)備，態(tài)勢感知平臺(tái)能夠?qū)ξ粗{的惡意行為實(shí)現(xiàn)早期的快速發(fā)現(xiàn)，并可對受害目標(biāo)及攻擊源頭進(jìn)行精準(zhǔn)定位，最終達(dá)到對入侵途徑及攻擊者背景的研判與溯源。態(tài)勢感知平臺(tái)主要包括威脅情報(bào)、分析平臺(tái)、傳感器和文件威脅鑒定器四個(gè)模塊。

(5）云安全設(shè)計(jì)

虛擬化安全管理系統(tǒng)旨在解決企業(yè)虛擬化環(huán)境下的安全問題，實(shí)現(xiàn)APT攻擊防護(hù)、全網(wǎng)態(tài)勢監(jiān)控功能。虛擬化安全管理系統(tǒng)基于特征掃描技術(shù)的升級，根據(jù)反編譯后的程序來判斷程序是否為病毒，以達(dá)到對未知病毒、惡意軟件、變形木馬的防御目的。虛擬化安全管理系統(tǒng)是一款針對于云數(shù)據(jù)中心的虛擬化安全管理系統(tǒng)，可對物理資源池、虛擬資源池進(jìn)行統(tǒng)一的安全防護(hù)與集中管理，對宿主機(jī)、虛擬機(jī)、虛擬機(jī)應(yīng)用提供三層防護(hù)安全架構(gòu)。面對復(fù)雜的企業(yè)環(huán)境，運(yùn)維人員所有的操作只需要在管理控制中心上進(jìn)行，時(shí)刻了解全網(wǎng)安全態(tài)勢。

4 結(jié)論

通過基于大數(shù)據(jù)技術(shù)的統(tǒng)一防病毒系統(tǒng)的設(shè)計(jì)與應(yīng)用，從該企業(yè)集團(tuán)層面統(tǒng)一開展防病毒軟件部署，依據(jù)分級部署、集中管理、統(tǒng)一配置的基本原則，構(gòu)建多層次、全方位的企業(yè)級病毒防御體系，形成集團(tuán)防控病毒一張網(wǎng)。結(jié)合集團(tuán)及所屬單位分布特點(diǎn)，打造“統(tǒng)一控制、分級管理”的功能，構(gòu)筑由總部控制中心、所屬單位分布系統(tǒng)、計(jì)算機(jī)終端組成的立體病毒防御體系，實(shí)現(xiàn)跨地區(qū)、跨平臺(tái)的網(wǎng)絡(luò)防毒系統(tǒng)的統(tǒng)一管理與監(jiān)控。構(gòu)建對以未知漏洞利用、未知惡意代碼植入為核心的APT攻擊過程從精確檢測到深度防御的縱深防范閉環(huán)體系。不但提升了集團(tuán)整體應(yīng)對網(wǎng)絡(luò)病毒和惡意軟件的防范能力，同時(shí)也規(guī)避了很多網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，有效避免了因計(jì)算機(jī)病毒可能會(huì)造成的嚴(yán)重經(jīng)濟(jì)損失。具備應(yīng)對突發(fā)網(wǎng)絡(luò)病毒攻擊事件的應(yīng)急防范能力，使網(wǎng)絡(luò)安全防護(hù)水平提升到了一個(gè)全新的高度，保護(hù)了數(shù)據(jù)資產(chǎn)不被破壞，業(yè)務(wù)系統(tǒng)的安全平穩(wěn)運(yùn)行。