單琳 孫博雅 張曉桐

【摘 ?要】近年來，計(jì)算機(jī)病毒的防治難度不斷加大，已成為威脅現(xiàn)代企業(yè)網(wǎng)絡(luò)安全的最主要因素。論文在分析現(xiàn)代企業(yè)網(wǎng)絡(luò)特點(diǎn)和病毒防護(hù)難點(diǎn)的基礎(chǔ)上，遵循整體性、一致性、適應(yīng)性原則，從廣度、深度、高度入手，設(shè)計(jì)出一套立體縱深的現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系，為各單位做好當(dāng)前網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)病毒防治工作提供新的思路和參考。

【Abstract】In recent years， it is increasingly difficult to prevent and control computer viruses， which has become the main factor threatening the network security of modern enterprises. On the basis of analyzing the characteristics of modern enterprise network and the difficulty of virus protection， following the principles of integrity， consistency and adaptability， this paper designs a set of modern enterprise network virus protection system with three-dimensional depth from the perspective of breadth， depth and height， which provides new ideas and references for each unit to do well the computer virus prevention and control work in the current network environment.

【關(guān)鍵詞】現(xiàn)代企業(yè);網(wǎng)絡(luò);病毒防護(hù)體系;信息安全

【Keywords】modern enterprise; network; virus protection system; information security

【中圖分類號(hào)】TP393.0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文獻(xiàn)標(biāo)志碼】A ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文章編號(hào)】1673-1069（2022）02-0153-03

1 引言

當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為人們工作和生活中不可缺少的組成部分，也是現(xiàn)代企業(yè)的重要信息化基礎(chǔ)設(shè)施。近年來隨著技術(shù)的進(jìn)步和網(wǎng)絡(luò)的變化，計(jì)算機(jī)病毒的防治難度不斷加大，已成為威脅現(xiàn)代企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全的最主要因素，傳統(tǒng)防護(hù)手段已無法滿足當(dāng)前病毒防治的需求。建設(shè)現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系，做好計(jì)算機(jī)病毒防治，已成為現(xiàn)代企業(yè)信息安全工作的重中之重。

2 現(xiàn)代企業(yè)網(wǎng)絡(luò)的特點(diǎn)

現(xiàn)代企業(yè)網(wǎng)絡(luò)相比早期計(jì)算機(jī)網(wǎng)絡(luò)，具有規(guī)模復(fù)雜化、業(yè)務(wù)多樣化、硬件虛擬化等特點(diǎn)，給計(jì)算機(jī)病毒防治造成了較大的困難。

2.1 規(guī)模復(fù)雜化

現(xiàn)代企業(yè)網(wǎng)絡(luò)在結(jié)構(gòu)上往往是星形、環(huán)形、總線型等不同類型的混合體，網(wǎng)絡(luò)類型以城域網(wǎng)、廣域網(wǎng)為主。網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜化，意味著網(wǎng)絡(luò)管理很難照顧到網(wǎng)絡(luò)中的每一個(gè)節(jié)點(diǎn)。網(wǎng)絡(luò)中某個(gè)節(jié)點(diǎn)出現(xiàn)的問題，在蔓延擴(kuò)大之前，很難被及時(shí)發(fā)現(xiàn)[1]。

2.2 業(yè)務(wù)多樣化

現(xiàn)代企業(yè)網(wǎng)絡(luò)主要以業(yè)務(wù)為中心，依托網(wǎng)絡(luò)這一信息化基礎(chǔ)平臺(tái)，部署有OA、郵件系統(tǒng)等各種各樣的業(yè)務(wù)系統(tǒng)，用戶幾乎所有的日常辦公，都需要依賴于計(jì)算機(jī)網(wǎng)絡(luò)開展。一旦業(yè)務(wù)系統(tǒng)被攻擊或出現(xiàn)問題，將會(huì)影響整個(gè)網(wǎng)絡(luò)和用戶群。

2.3 硬件虛擬化

為緩解日益增長的數(shù)據(jù)中心空間、能耗、運(yùn)維等業(yè)務(wù)、管理壓力，很多企業(yè)開始借助虛擬化技術(shù)，使原有或者新增資源得到更高效的利用，但同時(shí)也帶來了虛擬化環(huán)境下網(wǎng)絡(luò)安全管理新的風(fēng)險(xiǎn)。

3 病毒防治的主要難點(diǎn)

對(duì)于現(xiàn)代企業(yè)網(wǎng)絡(luò)，盡管市面上防病毒軟件種類眾多，但綜合防范病毒的效果并不明顯，難點(diǎn)主要在于以下方面。

3.1 病毒種類的多樣性

目前計(jì)算機(jī)病毒及其變種形態(tài)在呈現(xiàn)快速發(fā)展趨勢(shì)，新型病毒樣本成倍增長，攻擊手段不斷進(jìn)化，傳統(tǒng)殺毒引擎已無法應(yīng)對(duì)百億級(jí)別的樣本增量，迫切需要有強(qiáng)大殺毒能力和多種不同類型病毒識(shí)別能力的殺毒引擎，以實(shí)現(xiàn)對(duì)各種新型變種病毒的識(shí)別與管控。

3.2 虛擬化平臺(tái)病毒防護(hù)的特殊性

虛擬化的特殊性導(dǎo)致潛伏在虛擬化數(shù)據(jù)平臺(tái)中的病毒很難被徹底查殺，針對(duì)虛擬化環(huán)境特有的“防病毒風(fēng)暴”等問題，傳統(tǒng)的安全設(shè)計(jì)思想已經(jīng)無法解決。設(shè)計(jì)和規(guī)劃適應(yīng)虛擬化環(huán)境的病毒防護(hù)方案成為當(dāng)前病毒防治中需重點(diǎn)考慮的內(nèi)容。

3.3 應(yīng)用系統(tǒng)病毒防護(hù)的復(fù)雜性

OA、郵件等是計(jì)算機(jī)網(wǎng)絡(luò)上最為普遍的業(yè)務(wù)系統(tǒng)，也成為病毒傳播的重要渠道，在實(shí)際工作中往往出現(xiàn)完成殺毒后，由于應(yīng)用系統(tǒng)文件傳輸而反復(fù)感染病毒的情況，導(dǎo)致病毒防治工作效率低下。應(yīng)用系統(tǒng)的防病毒能力，是病毒防治體系設(shè)計(jì)中極其重要的方面。

4 現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防治體系設(shè)計(jì)的原則

現(xiàn)代企業(yè)網(wǎng)絡(luò)防病毒體系設(shè)計(jì)必須以實(shí)際業(yè)務(wù)安全需求為主導(dǎo)[2]，針對(duì)目前主流網(wǎng)絡(luò)技術(shù)，構(gòu)建基于物理主機(jī)和虛擬化環(huán)境的立體縱深病毒防治體系，在設(shè)計(jì)過程中注重整體性、一致性、適應(yīng)性原則。

4.1 整體性原則

現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系應(yīng)是一個(gè)完整、可靠的有機(jī)整體，重點(diǎn)在病毒特征分析、病毒庫升級(jí)等方面進(jìn)行整體性設(shè)計(jì)，以適應(yīng)目前以及未來業(yè)務(wù)發(fā)展的需要，為業(yè)務(wù)系統(tǒng)提供可靠的安全保障。

4.2 一致性原則

現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程，不同操作系統(tǒng)、不同終端、不同平臺(tái)下具有不同的脆弱性。針對(duì)這些不同環(huán)境，應(yīng)能實(shí)現(xiàn)病毒防護(hù)能力的一致性，從而達(dá)到統(tǒng)一立體的防護(hù)效果。

4.3 適應(yīng)性原則

現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系必須具備一定的冗余和前瞻性，能隨著網(wǎng)絡(luò)安全需求的變化而變化，具有更多的靈活自適應(yīng)的因素和良好的擴(kuò)展性，為未來業(yè)務(wù)擴(kuò)展提供足夠的安全擴(kuò)展能力。

5 立體縱深的現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系設(shè)計(jì)

構(gòu)建立體縱深的現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系必須從廣度、高度、深度等方面開展設(shè)計(jì)。廣度方面，在實(shí)體終端和服務(wù)器、虛擬化環(huán)境、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)等層面進(jìn)行防病毒系統(tǒng)建設(shè);高度方面，建設(shè)云查殺平臺(tái)，實(shí)現(xiàn)系統(tǒng)統(tǒng)一升級(jí)、統(tǒng)一展現(xiàn);深度方面，對(duì)終端和服務(wù)器的安全防護(hù)能力進(jìn)行深挖[3]。設(shè)計(jì)思路如圖1所示。

立體縱深的現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系至少應(yīng)包括終端殺毒系統(tǒng)、病毒分析中心、虛擬化環(huán)境病毒防護(hù)系統(tǒng)、應(yīng)用系統(tǒng)防病毒模塊。終端殺毒系統(tǒng)提供對(duì)物理主機(jī)的病毒防護(hù)和安全管理;病毒分析中心提供云查殺功能和樣本安全級(jí)別鑒定;虛擬化環(huán)境病毒防護(hù)系統(tǒng)提供對(duì)虛擬機(jī)的病毒防護(hù)等功能[4];應(yīng)用系統(tǒng)防病毒模塊提供0A、郵件等業(yè)務(wù)系統(tǒng)的病毒防護(hù)和攔截能力。

立體縱深的現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系總體架構(gòu)如圖2所示。

5.1 終端殺毒系統(tǒng)設(shè)計(jì)

終端殺毒系統(tǒng)應(yīng)具有全面掃描、實(shí)時(shí)防護(hù)、主動(dòng)防御、黑白名單管理等多樣化的防護(hù)手段[5]，從多個(gè)層次為用戶構(gòu)建病毒立體防護(hù)網(wǎng)，確保企業(yè)終端安全，主要功能如下。

①全面掃描。通過客戶端程序進(jìn)行全方位文件掃描和威脅文件識(shí)別，支持快速掃描、全盤掃描，支持自定義掃描、定時(shí)查殺，支持掃描到感染型病毒時(shí)，自動(dòng)進(jìn)入防感染模式，重新開始全盤掃描并阻止惡意樣本反復(fù)感染文件，支持對(duì)數(shù)據(jù)加密攻擊為主的惡意病毒防護(hù)。②實(shí)時(shí)防護(hù)。在文件被訪問時(shí)對(duì)文件進(jìn)行掃描，實(shí)時(shí)監(jiān)控操作系統(tǒng)文件的創(chuàng)建、執(zhí)行、修改等操作，及時(shí)攔截活動(dòng)病毒，對(duì)病毒進(jìn)行免疫，防止系統(tǒng)敏感區(qū)域被病毒利用，在發(fā)現(xiàn)病毒時(shí)能夠及時(shí)通過提示窗口警告用戶。③主動(dòng)防御。跟蹤分析病毒入侵系統(tǒng)的鏈路，鎖定病毒最常利用的目錄、文件、注冊(cè)表位置，阻止病毒、木馬和可疑程序入侵，實(shí)現(xiàn)對(duì)動(dòng)態(tài)鏈接庫劫持的免疫，以及對(duì)流行木馬的免疫。④協(xié)同工作。終端殺毒系統(tǒng)應(yīng)支持人工智能引擎、可執(zhí)行文件查殺引擎、腳本文件和Office文件查殺引擎等多引擎的協(xié)同工作，實(shí)現(xiàn)對(duì)蠕蟲病毒、惡意軟件、廣告軟件、勒索軟件、引導(dǎo)區(qū)病毒的全面查殺。

5.2 病毒分析中心設(shè)計(jì)

病毒分析中心應(yīng)能夠在收集到病毒與惡意代碼樣本之后，通過分析引擎進(jìn)行文件安全性的實(shí)時(shí)分析，并返回分析結(jié)果，主要功能如下。

①黑白名單管理。病毒分析中心應(yīng)具備自定義文件黑白名單功能，支持黑白名單特征值管理，從目錄、文件、擴(kuò)展名等維度將病毒文件加入自定義黑名單，將誤殺的正常文件加入自定義白名單，以提升查殺效率和降低誤殺率。②云查殺引擎。病毒分析中心應(yīng)支持云查殺引擎，通過計(jì)算終端文件特征值并提交給云查殺中心進(jìn)行文件染毒鑒定，提升病毒查殺效率，減輕由于終端查殺調(diào)用本地病毒庫而帶來的資源消耗，降低系統(tǒng)資源占用率。③智能學(xué)習(xí)算法。病毒分析中心應(yīng)引入基于病毒與惡意代碼靜態(tài)樣本共性特征的機(jī)器智能學(xué)習(xí)算法，依托機(jī)器學(xué)習(xí)模型庫，對(duì)目前已經(jīng)積累的病毒樣本進(jìn)行多次切片學(xué)習(xí)，抽取出病毒與惡意代碼的共性特征，建立惡意代碼的不同族系模型，有效準(zhǔn)確識(shí)別未知惡意軟件。

病毒分析中心功能如圖3所示。

5.3 虛擬化環(huán)境病毒防護(hù)系統(tǒng)設(shè)計(jì)

虛擬化環(huán)境病毒防護(hù)系統(tǒng)專門針對(duì)虛擬化環(huán)境設(shè)計(jì)，除同樣應(yīng)具有全面掃描、主動(dòng)防御、黑白名單管理[6]、多引擎協(xié)同等功能之外，還應(yīng)具有如下功能。

①查殺調(diào)度功能。虛擬化環(huán)境病毒防護(hù)系統(tǒng)應(yīng)具有查殺調(diào)度功能，能夠感知物理主機(jī)的任務(wù)狀態(tài)，智能調(diào)度任務(wù)執(zhí)行，以避免全系統(tǒng)掃描時(shí)出現(xiàn)常見的“防病毒風(fēng)暴”，支持病毒查殺緩存機(jī)制，能夠避免重復(fù)掃描虛擬機(jī)的相同文件，減少病毒掃描消耗的系統(tǒng)資源。②虛擬化管理中心。虛擬化環(huán)境病毒防護(hù)系統(tǒng)應(yīng)單獨(dú)配備管理控制中心，對(duì)虛擬化環(huán)境進(jìn)行統(tǒng)一安全管理，配置每個(gè)虛擬機(jī)的安全策略，接收安全組件上傳的安全日志，通過多維度、細(xì)粒度的分析，以可視化的形式展現(xiàn)給用戶，對(duì)已知威脅進(jìn)行溯源，并對(duì)未知威脅進(jìn)行預(yù)警。③無代理防護(hù)模式。虛擬化環(huán)境病毒防護(hù)系統(tǒng)應(yīng)支持無代理防護(hù)模式，即在宿主機(jī)的虛擬化層對(duì)文件、網(wǎng)絡(luò)和系統(tǒng)數(shù)據(jù)進(jìn)行檢測(cè)，所有的安全功能包括病毒防護(hù)都在虛擬化層中進(jìn)行，降低病毒防護(hù)系統(tǒng)對(duì)資源的占用。虛擬機(jī)關(guān)閉、休眠或遷移時(shí)，安全防護(hù)能力不受影響。

5.4 應(yīng)用系統(tǒng)防病毒功能設(shè)計(jì)

在0A辦公系統(tǒng)、郵件系統(tǒng)等業(yè)務(wù)系統(tǒng)中引入防病毒中間件和特征庫，應(yīng)用系統(tǒng)將文件提供給防病毒中間件進(jìn)行病毒檢測(cè)，中間件將病毒檢測(cè)結(jié)果反饋給應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)根據(jù)策略執(zhí)行阻斷或放行等操作，防止病毒通過應(yīng)用系統(tǒng)進(jìn)行傳播。應(yīng)用系統(tǒng)防病毒功能模塊架構(gòu)如圖4所示。

5.5 運(yùn)維管理功能設(shè)計(jì)

除去安全系統(tǒng)本身的功能之外，管理人員的運(yùn)維管理也是決定安全系統(tǒng)是否能夠真正發(fā)揮作用的重要因素。運(yùn)維管理功能主要包括以下兩部分：

①日志分析。系統(tǒng)應(yīng)能夠收集終端上的各種安全狀態(tài)信息，包括病毒木馬情況、危險(xiǎn)項(xiàng)情況、安全配置等，統(tǒng)一上報(bào)到控制中心，并支持染毒情況統(tǒng)計(jì)分析、圖例展現(xiàn)、報(bào)表導(dǎo)出等功能，幫助管理員全面掌握網(wǎng)內(nèi)的安全情況和安全態(tài)勢(shì)。②聯(lián)動(dòng)與擴(kuò)展。系統(tǒng)應(yīng)預(yù)留相關(guān)接口，支持與網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)聯(lián)動(dòng)，支撐網(wǎng)絡(luò)接入控制系統(tǒng)實(shí)現(xiàn)終端接入發(fā)現(xiàn)、用戶注冊(cè)、認(rèn)證授權(quán)、安全檢查、隔離修復(fù)、訪問控制的全部入網(wǎng)控制流程。

5.6 部署方式設(shè)計(jì)

立體縱深的現(xiàn)代企業(yè)病毒防護(hù)體系應(yīng)支持多級(jí)部署，如部署單位有下級(jí)單位，將輻射所有下級(jí)單位，后續(xù)下級(jí)單位的控制中心部署完成后，下級(jí)控制中心支持與上級(jí)單位的控制中心進(jìn)行級(jí)聯(lián)，從而實(shí)現(xiàn)病毒特征庫通過上級(jí)單位獲取。部署示意圖如圖5所示。

6 結(jié)語

病毒防護(hù)系統(tǒng)是信息安全體系的重要組成部分，立體縱深的現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系能夠滿足虛擬化、應(yīng)用系統(tǒng)深度融合等不同信息化場(chǎng)景下的病毒防護(hù)需求，對(duì)于探索做好現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)工作具有積極意義。病毒防護(hù)是一項(xiàng)長期工作，只有不斷創(chuàng)新升級(jí)系統(tǒng)功能，不斷優(yōu)化完善系統(tǒng)架構(gòu)，才能應(yīng)對(duì)當(dāng)今層出不窮的計(jì)算機(jī)病毒威脅，確?，F(xiàn)代企業(yè)信息安全。

【參考文獻(xiàn)】

【1】單琳.主流信息安全技術(shù)在提升網(wǎng)絡(luò)安全運(yùn)維管理水平中的作用分析[J].大眾標(biāo)準(zhǔn)化，2021（18）：223-225.

【2】單琳.網(wǎng)絡(luò)威脅情報(bào)發(fā)展現(xiàn)狀綜述[J].保密科學(xué)技術(shù)，2016（8）：28-33.

【3】瑞星.瑞星虛擬化惡意代碼防護(hù)系統(tǒng)[EB/OL].http：//ep.rising.com.cn/yun/19019.html，2022-03-24/2022-03-24.

【4】于鋒.無代理安全防護(hù)模式——虛擬化安全的必然趨勢(shì)[J].信息安全與技術(shù)，2012（12）：58-61.

【5】劉瑩，周承敏，張曉桐.基于大數(shù)據(jù)多源安全日志的設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)空間安全，2021，12（Z2）：28-33.

【6】代超.基于數(shù)字圖像的信息安全加密軟件的設(shè)計(jì)與實(shí)現(xiàn)[J].電子技術(shù)與軟件工程，2021（17）：53-54.