基于大數(shù)據(jù)技術的統(tǒng)一防病毒系統(tǒng)的設計與應用

吳智廣 王海波 陳學輝 張鳳芝 山東黃金礦業(yè)（萊州）有限公司焦家金礦

1 引言

近年來，隨著網絡及移動互聯(lián)網的快速發(fā)展，企業(yè)越來越多的通過網絡信息系統(tǒng)提供服務，這些信息系統(tǒng)為企業(yè)帶來便利的同時也成為了國際國內各種黑客組織實施攻擊的目標。與傳統(tǒng)類型的病毒相比,新型病毒的傳播途徑多樣化,傳播速度快,更加隱蔽,影響面積廣,危害性更大。一旦網絡系統(tǒng)安全受到嚴重威脅,甚至處于癱瘓狀態(tài),將會給企業(yè)、社會、乃至整個國家?guī)砭薮蟮慕洕鷵p失。某集團企業(yè)不斷發(fā)展的同時其網絡規(guī)模也在不斷的擴大,隨著廣域網建設項目的深入，對公司層面統(tǒng)一的網絡安全要求與日俱增?！吨腥A人民共和國網絡安全法》及《網絡安全等級保護條例》都對網絡安全病毒防御提出了明確要求。因此需要構建高效的安全體系來保護整個集團信息網絡不受病毒的侵害。

2 需求分析

經調研發(fā)現(xiàn)，該集團無統(tǒng)一的防病毒軟件，無整體病毒防范體系。集團無法集中管理各分支安全設備。傳統(tǒng)安全技術對高級持續(xù)性威脅無能為力,無法及時發(fā)現(xiàn)未知威脅。對于APT缺乏有效的追蹤和取證工具。網絡中部署了一些安全設備和系統(tǒng)，但這些設備和系統(tǒng)基本都是各自獨立的，形成了一個個安全孤島。對于一些復雜的攻擊行為，依靠單一的安全設備往往不是難以發(fā)現(xiàn)問題就是產生過多誤報。網絡中無統(tǒng)一終端管理系統(tǒng)已經過期,無法做到統(tǒng)一查殺病毒,統(tǒng)一升級病毒庫,給系統(tǒng)打補丁等,遠程運維等,造成很多PC很容易被黑客入侵。網絡中沒有可以有效抵御勒索病毒等攻擊的防護設備。

3 系統(tǒng)設計

3.1 系統(tǒng)總體設計

根據(jù)實際網絡拓撲環(huán)境和實現(xiàn)需求,設計在集團總部網絡集團總部用戶接入?yún)^(qū)域位置以及分支結構接入?yún)^(qū)域分別透明串接部署兩臺下一代智慧防火墻,用于提高出口安全性能,和未知威脅發(fā)現(xiàn)能力,在每個分支機構部署下一代智慧防火墻,用于發(fā)現(xiàn)并阻斷包括未知威脅在內的各種網絡威脅,并且把數(shù)據(jù)實時上報到集團總部智慧管理分析系統(tǒng)進行匯總分析處理.在集團總部核心區(qū)域部署新一代威脅感知系統(tǒng),對網絡中的流量進行全量檢測和記錄，所有網絡行為都將以標準化的格式保存于數(shù)據(jù)平臺中，云端威脅情報和本地沙箱分析結果與本地分析平臺進行對接，為集團提供基于情報和沙箱檢測的威脅發(fā)現(xiàn)與溯源的能力；在集團全網部署防病毒終端管理系統(tǒng),在集團部署一級管理中心,在每個分支機構分別部署各自分支管理中心。

3.2 設計原則

該系統(tǒng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行，避免重復投入、重復建設，充分考慮整體和局部的利益。設計原則：長遠粗，近期細。先進性與實用性相結合，既考慮企業(yè)未來發(fā)展戰(zhàn)略目標的需要，又兼顧企業(yè)當前安全管理的需要。

3.3 系統(tǒng)功能設計

(1）集中管控功能

主要實現(xiàn)統(tǒng)一管理、分級管理、虛擬二級管理服務器、策略管理、分布式部署。具備對整體的管控，統(tǒng)一配置防毒策略、統(tǒng)一監(jiān)控終端安全狀態(tài)、統(tǒng)一更新病毒庫、集中分析整體病毒日志、全網掃描病毒，并及時掌握全部控制中心的客戶端狀況及病毒處理情況。具有集中式授權管理、統(tǒng)一的管理界面，支持大型網絡統(tǒng)一防病毒管理要求。支持2級以上的分級管理部署，各級管理中心可執(zhí)行本中心的管理功能，總部管理中心可管理分支管理中心及其所屬客戶端，實現(xiàn)大型網絡的分層次的管理。支持在總管理中心設置虛擬二級管理服務器，通過賬戶管理的方式，實現(xiàn)與二級從屬管理服務器完全一樣的功能，無需再另外提供虛擬機或物理機。支持網絡安全管控策略的管理、制定與分發(fā)，能夠根據(jù)需要預先設定多個安全策略。達到一定規(guī)模的分支企業(yè)可以部署分支管理中心實現(xiàn)本地化管理。

(2）病毒查殺功能

主要實現(xiàn)實時監(jiān)控、手工查殺、定時查殺、文件隔離、黑白名單、未知病毒查殺及防御功能。支持實時防護，支持對病毒的實時監(jiān)控、清除和掃描。支持按需掃描，防病毒客戶端可執(zhí)行快速掃描、全盤掃描、定制掃描，支持按訪問掃描。支持自定義時間、自定義掃描頻率，自定義掃描類型，對終端進行定時查毒，并且可以自定義查殺病毒后的處理方式自定義。支持對各種文件類型的查殺。支持黑白名單維護，支持病毒查殺時目錄或文件排除功能。支持多種惡意威脅的查殺

(3）邊界安全設計

在強勁性能與更先進架構的支撐下，集成了防火墻、VPN、應用與身份識別、等綜合安全防御功能，并完成了與態(tài)勢感知、防病毒終端及病毒云、云沙箱、情報云等多項系統(tǒng)的協(xié)同防御功能，在擴展了協(xié)同防御能力的基礎上，由防火墻的分析中心、數(shù)據(jù)中心、處置中心三大中心實現(xiàn)對威脅的分析、定位、處置一體化過程。

(4）大數(shù)據(jù)安全設計

新一代威脅感知系統(tǒng)可基于自有的多維度海量互聯(lián)網數(shù)據(jù)，進行自動化挖掘與云端關聯(lián)分析，提前洞悉各種安全威脅，并向客戶推送定制的專屬威脅情報。同時結合部署在客戶本地的軟、硬件設備，態(tài)勢感知平臺能夠對未知威脅的惡意行為實現(xiàn)早期的快速發(fā)現(xiàn)，并可對受害目標及攻擊源頭進行精準定位，最終達到對入侵途徑及攻擊者背景的研判與溯源。態(tài)勢感知平臺主要包括威脅情報、分析平臺、傳感器和文件威脅鑒定器四個模塊。

(5）云安全設計

虛擬化安全管理系統(tǒng)旨在解決企業(yè)虛擬化環(huán)境下的安全問題，實現(xiàn)APT攻擊防護、全網態(tài)勢監(jiān)控功能。虛擬化安全管理系統(tǒng)基于特征掃描技術的升級，根據(jù)反編譯后的程序來判斷程序是否為病毒，以達到對未知病毒、惡意軟件、變形木馬的防御目的。虛擬化安全管理系統(tǒng)是一款針對于云數(shù)據(jù)中心的虛擬化安全管理系統(tǒng)，可對物理資源池、虛擬資源池進行統(tǒng)一的安全防護與集中管理，對宿主機、虛擬機、虛擬機應用提供三層防護安全架構。面對復雜的企業(yè)環(huán)境，運維人員所有的操作只需要在管理控制中心上進行，時刻了解全網安全態(tài)勢。

4 結論

通過基于大數(shù)據(jù)技術的統(tǒng)一防病毒系統(tǒng)的設計與應用，從該企業(yè)集團層面統(tǒng)一開展防病毒軟件部署，依據(jù)分級部署、集中管理、統(tǒng)一配置的基本原則，構建多層次、全方位的企業(yè)級病毒防御體系，形成集團防控病毒一張網。結合集團及所屬單位分布特點，打造“統(tǒng)一控制、分級管理”的功能，構筑由總部控制中心、所屬單位分布系統(tǒng)、計算機終端組成的立體病毒防御體系，實現(xiàn)跨地區(qū)、跨平臺的網絡防毒系統(tǒng)的統(tǒng)一管理與監(jiān)控。構建對以未知漏洞利用、未知惡意代碼植入為核心的APT攻擊過程從精確檢測到深度防御的縱深防范閉環(huán)體系。不但提升了集團整體應對網絡病毒和惡意軟件的防范能力，同時也規(guī)避了很多網絡安全風險，有效避免了因計算機病毒可能會造成的嚴重經濟損失。具備應對突發(fā)網絡病毒攻擊事件的應急防范能力，使網絡安全防護水平提升到了一個全新的高度，保護了數(shù)據(jù)資產不被破壞，業(yè)務系統(tǒng)的安全平穩(wěn)運行。