構(gòu)建立體縱深的現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系

單琳，孫博雅，張曉桐

（1.中核戰(zhàn)略規(guī)劃研究總院有限公司，北京100048；2.中國科學(xué)院軟件研究所，北京100190；3.北京航天晨信科技有限責(zé)任公司，北京 102300）

1 引言

當(dāng)前計算機網(wǎng)絡(luò)已經(jīng)成為人們工作和生活中不可缺少的組成部分，也是現(xiàn)代企業(yè)的重要信息化基礎(chǔ)設(shè)施。近年來隨著技術(shù)的進(jìn)步和網(wǎng)絡(luò)的變化，計算機病毒的防治難度不斷加大，已成為威脅現(xiàn)代企業(yè)計算機網(wǎng)絡(luò)安全的最主要因素，傳統(tǒng)防護(hù)手段已無法滿足當(dāng)前病毒防治的需求。建設(shè)現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系，做好計算機病毒防治，已成為現(xiàn)代企業(yè)信息安全工作的重中之重。

2 現(xiàn)代企業(yè)網(wǎng)絡(luò)的特點

現(xiàn)代企業(yè)網(wǎng)絡(luò)相比早期計算機網(wǎng)絡(luò)，具有規(guī)模復(fù)雜化、業(yè)務(wù)多樣化、硬件虛擬化等特點，給計算機病毒防治造成了較大的困難。

2.1 規(guī)模復(fù)雜化

現(xiàn)代企業(yè)網(wǎng)絡(luò)在結(jié)構(gòu)上往往是星形、環(huán)形、總線型等不同類型的混合體，網(wǎng)絡(luò)類型以城域網(wǎng)、廣域網(wǎng)為主。網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜化，意味著網(wǎng)絡(luò)管理很難照顧到網(wǎng)絡(luò)中的每一個節(jié)點。網(wǎng)絡(luò)中某個節(jié)點出現(xiàn)的問題，在蔓延擴大之前，很難被及時發(fā)現(xiàn)[1]。

2.2 業(yè)務(wù)多樣化

現(xiàn)代企業(yè)網(wǎng)絡(luò)主要以業(yè)務(wù)為中心，依托網(wǎng)絡(luò)這一信息化基礎(chǔ)平臺，部署有OA、郵件系統(tǒng)等各種各樣的業(yè)務(wù)系統(tǒng)，用戶幾乎所有的日常辦公，都需要依賴于計算機網(wǎng)絡(luò)開展。一旦業(yè)務(wù)系統(tǒng)被攻擊或出現(xiàn)問題，將會影響整個網(wǎng)絡(luò)和用戶群。

2.3 硬件虛擬化

為緩解日益增長的數(shù)據(jù)中心空間、能耗、運維等業(yè)務(wù)、管理壓力，很多企業(yè)開始借助虛擬化技術(shù)，使原有或者新增資源得到更高效的利用，但同時也帶來了虛擬化環(huán)境下網(wǎng)絡(luò)安全管理新的風(fēng)險。

3 病毒防治的主要難點

對于現(xiàn)代企業(yè)網(wǎng)絡(luò)，盡管市面上防病毒軟件種類眾多，但綜合防范病毒的效果并不明顯，難點主要在于以下方面。

3.1 病毒種類的多樣性

目前計算機病毒及其變種形態(tài)在呈現(xiàn)快速發(fā)展趨勢，新型病毒樣本成倍增長，攻擊手段不斷進(jìn)化，傳統(tǒng)殺毒引擎已無法應(yīng)對百億級別的樣本增量，迫切需要有強大殺毒能力和多種不同類型病毒識別能力的殺毒引擎，以實現(xiàn)對各種新型變種病毒的識別與管控。

3.2 虛擬化平臺病毒防護(hù)的特殊性

虛擬化的特殊性導(dǎo)致潛伏在虛擬化數(shù)據(jù)平臺中的病毒很難被徹底查殺，針對虛擬化環(huán)境特有的“防病毒風(fēng)暴”等問題，傳統(tǒng)的安全設(shè)計思想已經(jīng)無法解決。設(shè)計和規(guī)劃適應(yīng)虛擬化環(huán)境的病毒防護(hù)方案成為當(dāng)前病毒防治中需重點考慮的內(nèi)容。

3.3 應(yīng)用系統(tǒng)病毒防護(hù)的復(fù)雜性

OA、郵件等是計算機網(wǎng)絡(luò)上最為普遍的業(yè)務(wù)系統(tǒng)，也成為病毒傳播的重要渠道，在實際工作中往往出現(xiàn)完成殺毒后，由于應(yīng)用系統(tǒng)文件傳輸而反復(fù)感染病毒的情況，導(dǎo)致病毒防治工作效率低下。應(yīng)用系統(tǒng)的防病毒能力，是病毒防治體系設(shè)計中極其重要的方面。

4 現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防治體系設(shè)計的原則

現(xiàn)代企業(yè)網(wǎng)絡(luò)防病毒體系設(shè)計必須以實際業(yè)務(wù)安全需求為主導(dǎo)[2]，針對目前主流網(wǎng)絡(luò)技術(shù)，構(gòu)建基于物理主機和虛擬化環(huán)境的立體縱深病毒防治體系，在設(shè)計過程中注重整體性、一致性、適應(yīng)性原則。

4.1 整體性原則

現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系應(yīng)是一個完整、可靠的有機整體，重點在病毒特征分析、病毒庫升級等方面進(jìn)行整體性設(shè)計，以適應(yīng)目前以及未來業(yè)務(wù)發(fā)展的需要，為業(yè)務(wù)系統(tǒng)提供可靠的安全保障。

4.2 一致性原則

現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系建設(shè)是一個復(fù)雜的系統(tǒng)工程，不同操作系統(tǒng)、不同終端、不同平臺下具有不同的脆弱性。針對這些不同環(huán)境，應(yīng)能實現(xiàn)病毒防護(hù)能力的一致性，從而達(dá)到統(tǒng)一立體的防護(hù)效果。

4.3 適應(yīng)性原則

現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系必須具備一定的冗余和前瞻性，能隨著網(wǎng)絡(luò)安全需求的變化而變化，具有更多的靈活自適應(yīng)的因素和良好的擴展性，為未來業(yè)務(wù)擴展提供足夠的安全擴展能力。

5 立體縱深的現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系設(shè)計

構(gòu)建立體縱深的現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系必須從廣度、高度、深度等方面開展設(shè)計。廣度方面，在實體終端和服務(wù)器、虛擬化環(huán)境、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)等層面進(jìn)行防病毒系統(tǒng)建設(shè)；高度方面，建設(shè)云查殺平臺，實現(xiàn)系統(tǒng)統(tǒng)一升級、統(tǒng)一展現(xiàn)；深度方面，對終端和服務(wù)器的安全防護(hù)能力進(jìn)行深挖[3]。設(shè)計思路如圖1 所示。

圖1 現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系設(shè)計思路

立體縱深的現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系至少應(yīng)包括終端殺毒系統(tǒng)、病毒分析中心、虛擬化環(huán)境病毒防護(hù)系統(tǒng)、應(yīng)用系統(tǒng)防病毒模塊。終端殺毒系統(tǒng)提供對物理主機的病毒防護(hù)和安全管理；病毒分析中心提供云查殺功能和樣本安全級別鑒定；虛擬化環(huán)境病毒防護(hù)系統(tǒng)提供對虛擬機的病毒防護(hù)等功能[4]；應(yīng)用系統(tǒng)防病毒模塊提供0A、郵件等業(yè)務(wù)系統(tǒng)的病毒防護(hù)和攔截能力。

立體縱深的現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系總體架構(gòu)如圖2所示。

圖2 立體縱深的現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系總體架構(gòu)圖

5.1 終端殺毒系統(tǒng)設(shè)計

終端殺毒系統(tǒng)應(yīng)具有全面掃描、實時防護(hù)、主動防御、黑白名單管理等多樣化的防護(hù)手段[5]，從多個層次為用戶構(gòu)建病毒立體防護(hù)網(wǎng)，確保企業(yè)終端安全，主要功能如下。

①全面掃描。通過客戶端程序進(jìn)行全方位文件掃描和威脅文件識別，支持快速掃描、全盤掃描，支持自定義掃描、定時查殺，支持掃描到感染型病毒時，自動進(jìn)入防感染模式，重新開始全盤掃描并阻止惡意樣本反復(fù)感染文件，支持對數(shù)據(jù)加密攻擊為主的惡意病毒防護(hù)。②實時防護(hù)。在文件被訪問時對文件進(jìn)行掃描，實時監(jiān)控操作系統(tǒng)文件的創(chuàng)建、執(zhí)行、修改等操作，及時攔截活動病毒，對病毒進(jìn)行免疫，防止系統(tǒng)敏感區(qū)域被病毒利用，在發(fā)現(xiàn)病毒時能夠及時通過提示窗口警告用戶。③主動防御。跟蹤分析病毒入侵系統(tǒng)的鏈路，鎖定病毒最常利用的目錄、文件、注冊表位置，阻止病毒、木馬和可疑程序入侵，實現(xiàn)對動態(tài)鏈接庫劫持的免疫，以及對流行木馬的免疫。④協(xié)同工作。終端殺毒系統(tǒng)應(yīng)支持人工智能引擎、可執(zhí)行文件查殺引擎、腳本文件和Office 文件查殺引擎等多引擎的協(xié)同工作，實現(xiàn)對蠕蟲病毒、惡意軟件、廣告軟件、勒索軟件、引導(dǎo)區(qū)病毒的全面查殺。

5.2 病毒分析中心設(shè)計

病毒分析中心應(yīng)能夠在收集到病毒與惡意代碼樣本之后，通過分析引擎進(jìn)行文件安全性的實時分析，并返回分析結(jié)果，主要功能如下。

①黑白名單管理。病毒分析中心應(yīng)具備自定義文件黑白名單功能，支持黑白名單特征值管理，從目錄、文件、擴展名等維度將病毒文件加入自定義黑名單，將誤殺的正常文件加入自定義白名單，以提升查殺效率和降低誤殺率。②云查殺引擎。病毒分析中心應(yīng)支持云查殺引擎，通過計算終端文件特征值并提交給云查殺中心進(jìn)行文件染毒鑒定，提升病毒查殺效率，減輕由于終端查殺調(diào)用本地病毒庫而帶來的資源消耗，降低系統(tǒng)資源占用率。③智能學(xué)習(xí)算法。病毒分析中心應(yīng)引入基于病毒與惡意代碼靜態(tài)樣本共性特征的機器智能學(xué)習(xí)算法，依托機器學(xué)習(xí)模型庫，對目前已經(jīng)積累的病毒樣本進(jìn)行多次切片學(xué)習(xí)，抽取出病毒與惡意代碼的共性特征，建立惡意代碼的不同族系模型，有效準(zhǔn)確識別未知惡意軟件。

病毒分析中心功能如圖3 所示。

圖3 病毒分析中心功能示意圖

5.3 虛擬化環(huán)境病毒防護(hù)系統(tǒng)設(shè)計

虛擬化環(huán)境病毒防護(hù)系統(tǒng)專門針對虛擬化環(huán)境設(shè)計，除同樣應(yīng)具有全面掃描、主動防御、黑白名單管理[6]、多引擎協(xié)同等功能之外，還應(yīng)具有如下功能。

①查殺調(diào)度功能。虛擬化環(huán)境病毒防護(hù)系統(tǒng)應(yīng)具有查殺調(diào)度功能，能夠感知物理主機的任務(wù)狀態(tài)，智能調(diào)度任務(wù)執(zhí)行，以避免全系統(tǒng)掃描時出現(xiàn)常見的“防病毒風(fēng)暴”，支持病毒查殺緩存機制，能夠避免重復(fù)掃描虛擬機的相同文件，減少病毒掃描消耗的系統(tǒng)資源。②虛擬化管理中心。虛擬化環(huán)境病毒防護(hù)系統(tǒng)應(yīng)單獨配備管理控制中心，對虛擬化環(huán)境進(jìn)行統(tǒng)一安全管理，配置每個虛擬機的安全策略，接收安全組件上傳的安全日志，通過多維度、細(xì)粒度的分析，以可視化的形式展現(xiàn)給用戶，對已知威脅進(jìn)行溯源，并對未知威脅進(jìn)行預(yù)警。③無代理防護(hù)模式。虛擬化環(huán)境病毒防護(hù)系統(tǒng)應(yīng)支持無代理防護(hù)模式，即在宿主機的虛擬化層對文件、網(wǎng)絡(luò)和系統(tǒng)數(shù)據(jù)進(jìn)行檢測，所有的安全功能包括病毒防護(hù)都在虛擬化層中進(jìn)行，降低病毒防護(hù)系統(tǒng)對資源的占用。虛擬機關(guān)閉、休眠或遷移時，安全防護(hù)能力不受影響。

5.4 應(yīng)用系統(tǒng)防病毒功能設(shè)計

在0A 辦公系統(tǒng)、郵件系統(tǒng)等業(yè)務(wù)系統(tǒng)中引入防病毒中間件和特征庫，應(yīng)用系統(tǒng)將文件提供給防病毒中間件進(jìn)行病毒檢測，中間件將病毒檢測結(jié)果反饋給應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)根據(jù)策略執(zhí)行阻斷或放行等操作，防止病毒通過應(yīng)用系統(tǒng)進(jìn)行傳播。應(yīng)用系統(tǒng)防病毒功能模塊架構(gòu)如圖4 所示。

圖4 應(yīng)用系統(tǒng)防病毒功能模塊架構(gòu)

5.5 運維管理功能設(shè)計

除去安全系統(tǒng)本身的功能之外，管理人員的運維管理也是決定安全系統(tǒng)是否能夠真正發(fā)揮作用的重要因素。運維管理功能主要包括以下兩部分：

①日志分析。系統(tǒng)應(yīng)能夠收集終端上的各種安全狀態(tài)信息，包括病毒木馬情況、危險項情況、安全配置等，統(tǒng)一上報到控制中心，并支持染毒情況統(tǒng)計分析、圖例展現(xiàn)、報表導(dǎo)出等功能，幫助管理員全面掌握網(wǎng)內(nèi)的安全情況和安全態(tài)勢。②聯(lián)動與擴展。系統(tǒng)應(yīng)預(yù)留相關(guān)接口，支持與網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)聯(lián)動，支撐網(wǎng)絡(luò)接入控制系統(tǒng)實現(xiàn)終端接入發(fā)現(xiàn)、用戶注冊、認(rèn)證授權(quán)、安全檢查、隔離修復(fù)、訪問控制的全部入網(wǎng)控制流程。

5.6 部署方式設(shè)計

立體縱深的現(xiàn)代企業(yè)病毒防護(hù)體系應(yīng)支持多級部署，如部署單位有下級單位，將輻射所有下級單位，后續(xù)下級單位的控制中心部署完成后，下級控制中心支持與上級單位的控制中心進(jìn)行級聯(lián)，從而實現(xiàn)病毒特征庫通過上級單位獲取。部署示意圖如圖5 所示。

圖5 部署示意圖

6 結(jié)語

病毒防護(hù)系統(tǒng)是信息安全體系的重要組成部分，立體縱深的現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)體系能夠滿足虛擬化、應(yīng)用系統(tǒng)深度融合等不同信息化場景下的病毒防護(hù)需求，對于探索做好現(xiàn)代企業(yè)網(wǎng)絡(luò)病毒防護(hù)工作具有積極意義。病毒防護(hù)是一項長期工作，只有不斷創(chuàng)新升級系統(tǒng)功能，不斷優(yōu)化完善系統(tǒng)架構(gòu)，才能應(yīng)對當(dāng)今層出不窮的計算機病毒威脅，確?，F(xiàn)代企業(yè)信息安全。