構建立體縱深的現代企業網絡病毒防護體系

單琳 孫博雅 張曉桐

【摘 ?要】近年來，計算機病毒的防治難度不斷加大，已成為威脅現代企業網絡安全的最主要因素。論文在分析現代企業網絡特點和病毒防護難點的基礎上，遵循整體性、一致性、適應性原則，從廣度、深度、高度入手，設計出一套立體縱深的現代企業網絡病毒防護體系，為各單位做好當前網絡環境下計算機病毒防治工作提供新的思路和參考。

【Abstract】In recent years， it is increasingly difficult to prevent and control computer viruses， which has become the main factor threatening the network security of modern enterprises. On the basis of analyzing the characteristics of modern enterprise network and the difficulty of virus protection， following the principles of integrity， consistency and adaptability， this paper designs a set of modern enterprise network virus protection system with three-dimensional depth from the perspective of breadth， depth and height， which provides new ideas and references for each unit to do well the computer virus prevention and control work in the current network environment.

【關鍵詞】現代企業;網絡;病毒防護體系;信息安全

【Keywords】modern enterprise; network; virus protection system; information security

【中圖分類號】TP393.0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文獻標志碼】A ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文章編號】1673-1069（2022）02-0153-03

1 引言

當前計算機網絡已經成為人們工作和生活中不可缺少的組成部分，也是現代企業的重要信息化基礎設施。近年來隨著技術的進步和網絡的變化，計算機病毒的防治難度不斷加大，已成為威脅現代企業計算機網絡安全的最主要因素，傳統防護手段已無法滿足當前病毒防治的需求。建設現代企業網絡病毒防護體系，做好計算機病毒防治，已成為現代企業信息安全工作的重中之重。

2 現代企業網絡的特點

現代企業網絡相比早期計算機網絡，具有規模復雜化、業務多樣化、硬件虛擬化等特點，給計算機病毒防治造成了較大的困難。

2.1 規模復雜化

現代企業網絡在結構上往往是星形、環形、總線型等不同類型的混合體，網絡類型以城域網、廣域網為主。網絡結構的復雜化，意味著網絡管理很難照顧到網絡中的每一個節點。網絡中某個節點出現的問題，在蔓延擴大之前，很難被及時發現[1]。

2.2 業務多樣化

現代企業網絡主要以業務為中心，依托網絡這一信息化基礎平臺，部署有OA、郵件系統等各種各樣的業務系統，用戶幾乎所有的日常辦公，都需要依賴于計算機網絡開展。一旦業務系統被攻擊或出現問題，將會影響整個網絡和用戶群。

2.3 硬件虛擬化

為緩解日益增長的數據中心空間、能耗、運維等業務、管理壓力，很多企業開始借助虛擬化技術，使原有或者新增資源得到更高效的利用，但同時也帶來了虛擬化環境下網絡安全管理新的風險。

3 病毒防治的主要難點

對于現代企業網絡，盡管市面上防病毒軟件種類眾多，但綜合防范病毒的效果并不明顯，難點主要在于以下方面。

3.1 病毒種類的多樣性

目前計算機病毒及其變種形態在呈現快速發展趨勢，新型病毒樣本成倍增長，攻擊手段不斷進化，傳統殺毒引擎已無法應對百億級別的樣本增量，迫切需要有強大殺毒能力和多種不同類型病毒識別能力的殺毒引擎，以實現對各種新型變種病毒的識別與管控。

3.2 虛擬化平臺病毒防護的特殊性

虛擬化的特殊性導致潛伏在虛擬化數據平臺中的病毒很難被徹底查殺，針對虛擬化環境特有的“防病毒風暴”等問題，傳統的安全設計思想已經無法解決。設計和規劃適應虛擬化環境的病毒防護方案成為當前病毒防治中需重點考慮的內容。

3.3 應用系統病毒防護的復雜性

OA、郵件等是計算機網絡上最為普遍的業務系統，也成為病毒傳播的重要渠道，在實際工作中往往出現完成殺毒后，由于應用系統文件傳輸而反復感染病毒的情況，導致病毒防治工作效率低下。應用系統的防病毒能力，是病毒防治體系設計中極其重要的方面。

4 現代企業網絡病毒防治體系設計的原則

現代企業網絡防病毒體系設計必須以實際業務安全需求為主導[2]，針對目前主流網絡技術，構建基于物理主機和虛擬化環境的立體縱深病毒防治體系，在設計過程中注重整體性、一致性、適應性原則。

4.1 整體性原則

現代企業網絡病毒防護體系應是一個完整、可靠的有機整體，重點在病毒特征分析、病毒庫升級等方面進行整體性設計，以適應目前以及未來業務發展的需要，為業務系統提供可靠的安全保障。

4.2 一致性原則

現代企業網絡病毒防護體系建設是一個復雜的系統工程，不同操作系統、不同終端、不同平臺下具有不同的脆弱性。針對這些不同環境，應能實現病毒防護能力的一致性，從而達到統一立體的防護效果。

4.3 適應性原則

現代企業網絡病毒防護體系必須具備一定的冗余和前瞻性，能隨著網絡安全需求的變化而變化，具有更多的靈活自適應的因素和良好的擴展性，為未來業務擴展提供足夠的安全擴展能力。

5 立體縱深的現代企業網絡病毒防護體系設計

構建立體縱深的現代企業網絡病毒防護體系必須從廣度、高度、深度等方面開展設計。廣度方面，在實體終端和服務器、虛擬化環境、應用系統、網絡等層面進行防病毒系統建設;高度方面，建設云查殺平臺，實現系統統一升級、統一展現;深度方面，對終端和服務器的安全防護能力進行深挖[3]。設計思路如圖1所示。

立體縱深的現代企業網絡病毒防護體系至少應包括終端殺毒系統、病毒分析中心、虛擬化環境病毒防護系統、應用系統防病毒模塊。終端殺毒系統提供對物理主機的病毒防護和安全管理;病毒分析中心提供云查殺功能和樣本安全級別鑒定;虛擬化環境病毒防護系統提供對虛擬機的病毒防護等功能[4];應用系統防病毒模塊提供0A、郵件等業務系統的病毒防護和攔截能力。

立體縱深的現代企業網絡病毒防護體系總體架構如圖2所示。

5.1 終端殺毒系統設計

終端殺毒系統應具有全面掃描、實時防護、主動防御、黑白名單管理等多樣化的防護手段[5]，從多個層次為用戶構建病毒立體防護網，確保企業終端安全，主要功能如下。

①全面掃描。通過客戶端程序進行全方位文件掃描和威脅文件識別，支持快速掃描、全盤掃描，支持自定義掃描、定時查殺，支持掃描到感染型病毒時，自動進入防感染模式，重新開始全盤掃描并阻止惡意樣本反復感染文件，支持對數據加密攻擊為主的惡意病毒防護。②實時防護。在文件被訪問時對文件進行掃描，實時監控操作系統文件的創建、執行、修改等操作，及時攔截活動病毒，對病毒進行免疫，防止系統敏感區域被病毒利用，在發現病毒時能夠及時通過提示窗口警告用戶。③主動防御。跟蹤分析病毒入侵系統的鏈路，鎖定病毒最常利用的目錄、文件、注冊表位置，阻止病毒、木馬和可疑程序入侵，實現對動態鏈接庫劫持的免疫，以及對流行木馬的免疫。④協同工作。終端殺毒系統應支持人工智能引擎、可執行文件查殺引擎、腳本文件和Office文件查殺引擎等多引擎的協同工作，實現對蠕蟲病毒、惡意軟件、廣告軟件、勒索軟件、引導區病毒的全面查殺。

5.2 病毒分析中心設計

病毒分析中心應能夠在收集到病毒與惡意代碼樣本之后，通過分析引擎進行文件安全性的實時分析，并返回分析結果，主要功能如下。

①黑白名單管理。病毒分析中心應具備自定義文件黑白名單功能，支持黑白名單特征值管理，從目錄、文件、擴展名等維度將病毒文件加入自定義黑名單，將誤殺的正常文件加入自定義白名單，以提升查殺效率和降低誤殺率。②云查殺引擎。病毒分析中心應支持云查殺引擎，通過計算終端文件特征值并提交給云查殺中心進行文件染毒鑒定，提升病毒查殺效率，減輕由于終端查殺調用本地病毒庫而帶來的資源消耗，降低系統資源占用率。③智能學習算法。病毒分析中心應引入基于病毒與惡意代碼靜態樣本共性特征的機器智能學習算法，依托機器學習模型庫，對目前已經積累的病毒樣本進行多次切片學習，抽取出病毒與惡意代碼的共性特征，建立惡意代碼的不同族系模型，有效準確識別未知惡意軟件。

病毒分析中心功能如圖3所示。

5.3 虛擬化環境病毒防護系統設計

虛擬化環境病毒防護系統專門針對虛擬化環境設計，除同樣應具有全面掃描、主動防御、黑白名單管理[6]、多引擎協同等功能之外，還應具有如下功能。

①查殺調度功能。虛擬化環境病毒防護系統應具有查殺調度功能，能夠感知物理主機的任務狀態，智能調度任務執行，以避免全系統掃描時出現常見的“防病毒風暴”，支持病毒查殺緩存機制，能夠避免重復掃描虛擬機的相同文件，減少病毒掃描消耗的系統資源。②虛擬化管理中心。虛擬化環境病毒防護系統應單獨配備管理控制中心，對虛擬化環境進行統一安全管理，配置每個虛擬機的安全策略，接收安全組件上傳的安全日志，通過多維度、細粒度的分析，以可視化的形式展現給用戶，對已知威脅進行溯源，并對未知威脅進行預警。③無代理防護模式。虛擬化環境病毒防護系統應支持無代理防護模式，即在宿主機的虛擬化層對文件、網絡和系統數據進行檢測，所有的安全功能包括病毒防護都在虛擬化層中進行，降低病毒防護系統對資源的占用。虛擬機關閉、休眠或遷移時，安全防護能力不受影響。

5.4 應用系統防病毒功能設計

在0A辦公系統、郵件系統等業務系統中引入防病毒中間件和特征庫，應用系統將文件提供給防病毒中間件進行病毒檢測，中間件將病毒檢測結果反饋給應用系統，應用系統根據策略執行阻斷或放行等操作，防止病毒通過應用系統進行傳播。應用系統防病毒功能模塊架構如圖4所示。

5.5 運維管理功能設計

除去安全系統本身的功能之外，管理人員的運維管理也是決定安全系統是否能夠真正發揮作用的重要因素。運維管理功能主要包括以下兩部分：

①日志分析。系統應能夠收集終端上的各種安全狀態信息，包括病毒木馬情況、危險項情況、安全配置等，統一上報到控制中心，并支持染毒情況統計分析、圖例展現、報表導出等功能，幫助管理員全面掌握網內的安全情況和安全態勢。②聯動與擴展。系統應預留相關接口，支持與網絡安全準入系統聯動，支撐網絡接入控制系統實現終端接入發現、用戶注冊、認證授權、安全檢查、隔離修復、訪問控制的全部入網控制流程。

5.6 部署方式設計

立體縱深的現代企業病毒防護體系應支持多級部署，如部署單位有下級單位，將輻射所有下級單位，后續下級單位的控制中心部署完成后，下級控制中心支持與上級單位的控制中心進行級聯，從而實現病毒特征庫通過上級單位獲取。部署示意圖如圖5所示。

6 結語

病毒防護系統是信息安全體系的重要組成部分，立體縱深的現代企業網絡病毒防護體系能夠滿足虛擬化、應用系統深度融合等不同信息化場景下的病毒防護需求，對于探索做好現代企業網絡病毒防護工作具有積極意義。病毒防護是一項長期工作，只有不斷創新升級系統功能，不斷優化完善系統架構，才能應對當今層出不窮的計算機病毒威脅，確?，F代企業信息安全。

【參考文獻】

【1】單琳.主流信息安全技術在提升網絡安全運維管理水平中的作用分析[J].大眾標準化，2021（18）：223-225.

【2】單琳.網絡威脅情報發展現狀綜述[J].保密科學技術，2016（8）：28-33.

【3】瑞星.瑞星虛擬化惡意代碼防護系統[EB/OL].http：//ep.rising.com.cn/yun/19019.html，2022-03-24/2022-03-24.

【4】于鋒.無代理安全防護模式——虛擬化安全的必然趨勢[J].信息安全與技術，2012（12）：58-61.

【5】劉瑩，周承敏，張曉桐.基于大數據多源安全日志的設計與實現[J].網絡空間安全，2021，12（Z2）：28-33.

【6】代超.基于數字圖像的信息安全加密軟件的設計與實現[J].電子技術與軟件工程，2021（17）：53-54.