构建立体纵深的现代企业网络病毒防护体系

单琳，孙博雅，张晓桐

（1.中核战略规划研究总院有限公司，北京100048；2.中国科学院软件研究所，北京100190；3.北京航天晨信科技有限责任公司，北京 102300）

1 引言

当前计算机网络已经成为人们工作和生活中不可缺少的组成部分，也是现代企业的重要信息化基础设施。近年来随着技术的进步和网络的变化，计算机病毒的防治难度不断加大，已成为威胁现代企业计算机网络安全的最主要因素，传统防护手段已无法满足当前病毒防治的需求。建设现代企业网络病毒防护体系，做好计算机病毒防治，已成为现代企业信息安全工作的重中之重。

2 现代企业网络的特点

现代企业网络相比早期计算机网络，具有规模复杂化、业务多样化、硬件虚拟化等特点，给计算机病毒防治造成了较大的困难。

2.1 规模复杂化

现代企业网络在结构上往往是星形、环形、总线型等不同类型的混合体，网络类型以城域网、广域网为主。网络结构的复杂化，意味着网络管理很难照顾到网络中的每一个节点。网络中某个节点出现的问题，在蔓延扩大之前，很难被及时发现[1]。

2.2 业务多样化

现代企业网络主要以业务为中心，依托网络这一信息化基础平台，部署有OA、邮件系统等各种各样的业务系统，用户几乎所有的日常办公，都需要依赖于计算机网络开展。一旦业务系统被攻击或出现问题，将会影响整个网络和用户群。

2.3 硬件虚拟化

为缓解日益增长的数据中心空间、能耗、运维等业务、管理压力，很多企业开始借助虚拟化技术，使原有或者新增资源得到更高效的利用，但同时也带来了虚拟化环境下网络安全管理新的风险。

3 病毒防治的主要难点

对于现代企业网络，尽管市面上防病毒软件种类众多，但综合防范病毒的效果并不明显，难点主要在于以下方面。

3.1 病毒种类的多样性

目前计算机病毒及其变种形态在呈现快速发展趋势，新型病毒样本成倍增长，攻击手段不断进化，传统杀毒引擎已无法应对百亿级别的样本增量，迫切需要有强大杀毒能力和多种不同类型病毒识别能力的杀毒引擎，以实现对各种新型变种病毒的识别与管控。

3.2 虚拟化平台病毒防护的特殊性

虚拟化的特殊性导致潜伏在虚拟化数据平台中的病毒很难被彻底查杀，针对虚拟化环境特有的“防病毒风暴”等问题，传统的安全设计思想已经无法解决。设计和规划适应虚拟化环境的病毒防护方案成为当前病毒防治中需重点考虑的内容。

3.3 应用系统病毒防护的复杂性

OA、邮件等是计算机网络上最为普遍的业务系统，也成为病毒传播的重要渠道，在实际工作中往往出现完成杀毒后，由于应用系统文件传输而反复感染病毒的情况，导致病毒防治工作效率低下。应用系统的防病毒能力，是病毒防治体系设计中极其重要的方面。

4 现代企业网络病毒防治体系设计的原则

现代企业网络防病毒体系设计必须以实际业务安全需求为主导[2]，针对目前主流网络技术，构建基于物理主机和虚拟化环境的立体纵深病毒防治体系，在设计过程中注重整体性、一致性、适应性原则。

4.1 整体性原则

现代企业网络病毒防护体系应是一个完整、可靠的有机整体，重点在病毒特征分析、病毒库升级等方面进行整体性设计，以适应目前以及未来业务发展的需要，为业务系统提供可靠的安全保障。

4.2 一致性原则

现代企业网络病毒防护体系建设是一个复杂的系统工程，不同操作系统、不同终端、不同平台下具有不同的脆弱性。针对这些不同环境，应能实现病毒防护能力的一致性，从而达到统一立体的防护效果。

4.3 适应性原则

现代企业网络病毒防护体系必须具备一定的冗余和前瞻性，能随着网络安全需求的变化而变化，具有更多的灵活自适应的因素和良好的扩展性，为未来业务扩展提供足够的安全扩展能力。

5 立体纵深的现代企业网络病毒防护体系设计

构建立体纵深的现代企业网络病毒防护体系必须从广度、高度、深度等方面开展设计。广度方面，在实体终端和服务器、虚拟化环境、应用系统、网络等层面进行防病毒系统建设；高度方面，建设云查杀平台，实现系统统一升级、统一展现；深度方面，对终端和服务器的安全防护能力进行深挖[3]。设计思路如图1 所示。

图1 现代企业网络病毒防护体系设计思路

立体纵深的现代企业网络病毒防护体系至少应包括终端杀毒系统、病毒分析中心、虚拟化环境病毒防护系统、应用系统防病毒模块。终端杀毒系统提供对物理主机的病毒防护和安全管理；病毒分析中心提供云查杀功能和样本安全级别鉴定；虚拟化环境病毒防护系统提供对虚拟机的病毒防护等功能[4]；应用系统防病毒模块提供0A、邮件等业务系统的病毒防护和拦截能力。

立体纵深的现代企业网络病毒防护体系总体架构如图2所示。

图2 立体纵深的现代企业网络病毒防护体系总体架构图

5.1 终端杀毒系统设计

终端杀毒系统应具有全面扫描、实时防护、主动防御、黑白名单管理等多样化的防护手段[5]，从多个层次为用户构建病毒立体防护网，确保企业终端安全，主要功能如下。

①全面扫描。通过客户端程序进行全方位文件扫描和威胁文件识别，支持快速扫描、全盘扫描，支持自定义扫描、定时查杀，支持扫描到感染型病毒时，自动进入防感染模式，重新开始全盘扫描并阻止恶意样本反复感染文件，支持对数据加密攻击为主的恶意病毒防护。②实时防护。在文件被访问时对文件进行扫描，实时监控操作系统文件的创建、执行、修改等操作，及时拦截活动病毒，对病毒进行免疫，防止系统敏感区域被病毒利用，在发现病毒时能够及时通过提示窗口警告用户。③主动防御。跟踪分析病毒入侵系统的链路，锁定病毒最常利用的目录、文件、注册表位置，阻止病毒、木马和可疑程序入侵，实现对动态链接库劫持的免疫，以及对流行木马的免疫。④协同工作。终端杀毒系统应支持人工智能引擎、可执行文件查杀引擎、脚本文件和Office 文件查杀引擎等多引擎的协同工作，实现对蠕虫病毒、恶意软件、广告软件、勒索软件、引导区病毒的全面查杀。

5.2 病毒分析中心设计

病毒分析中心应能够在收集到病毒与恶意代码样本之后，通过分析引擎进行文件安全性的实时分析，并返回分析结果，主要功能如下。

①黑白名单管理。病毒分析中心应具备自定义文件黑白名单功能，支持黑白名单特征值管理，从目录、文件、扩展名等维度将病毒文件加入自定义黑名单，将误杀的正常文件加入自定义白名单，以提升查杀效率和降低误杀率。②云查杀引擎。病毒分析中心应支持云查杀引擎，通过计算终端文件特征值并提交给云查杀中心进行文件染毒鉴定，提升病毒查杀效率，减轻由于终端查杀调用本地病毒库而带来的资源消耗，降低系统资源占用率。③智能学习算法。病毒分析中心应引入基于病毒与恶意代码静态样本共性特征的机器智能学习算法，依托机器学习模型库，对目前已经积累的病毒样本进行多次切片学习，抽取出病毒与恶意代码的共性特征，建立恶意代码的不同族系模型，有效准确识别未知恶意软件。

病毒分析中心功能如图3 所示。

图3 病毒分析中心功能示意图

5.3 虚拟化环境病毒防护系统设计

虚拟化环境病毒防护系统专门针对虚拟化环境设计，除同样应具有全面扫描、主动防御、黑白名单管理[6]、多引擎协同等功能之外，还应具有如下功能。

①查杀调度功能。虚拟化环境病毒防护系统应具有查杀调度功能，能够感知物理主机的任务状态，智能调度任务执行，以避免全系统扫描时出现常见的“防病毒风暴”，支持病毒查杀缓存机制，能够避免重复扫描虚拟机的相同文件，减少病毒扫描消耗的系统资源。②虚拟化管理中心。虚拟化环境病毒防护系统应单独配备管理控制中心，对虚拟化环境进行统一安全管理，配置每个虚拟机的安全策略，接收安全组件上传的安全日志，通过多维度、细粒度的分析，以可视化的形式展现给用户，对已知威胁进行溯源，并对未知威胁进行预警。③无代理防护模式。虚拟化环境病毒防护系统应支持无代理防护模式，即在宿主机的虚拟化层对文件、网络和系统数据进行检测，所有的安全功能包括病毒防护都在虚拟化层中进行，降低病毒防护系统对资源的占用。虚拟机关闭、休眠或迁移时，安全防护能力不受影响。

5.4 应用系统防病毒功能设计

在0A 办公系统、邮件系统等业务系统中引入防病毒中间件和特征库，应用系统将文件提供给防病毒中间件进行病毒检测，中间件将病毒检测结果反馈给应用系统，应用系统根据策略执行阻断或放行等操作，防止病毒通过应用系统进行传播。应用系统防病毒功能模块架构如图4 所示。

图4 应用系统防病毒功能模块架构

5.5 运维管理功能设计

除去安全系统本身的功能之外，管理人员的运维管理也是决定安全系统是否能够真正发挥作用的重要因素。运维管理功能主要包括以下两部分：

①日志分析。系统应能够收集终端上的各种安全状态信息，包括病毒木马情况、危险项情况、安全配置等，统一上报到控制中心，并支持染毒情况统计分析、图例展现、报表导出等功能，帮助管理员全面掌握网内的安全情况和安全态势。②联动与扩展。系统应预留相关接口，支持与网络安全准入系统联动，支撑网络接入控制系统实现终端接入发现、用户注册、认证授权、安全检查、隔离修复、访问控制的全部入网控制流程。

5.6 部署方式设计

立体纵深的现代企业病毒防护体系应支持多级部署，如部署单位有下级单位，将辐射所有下级单位，后续下级单位的控制中心部署完成后，下级控制中心支持与上级单位的控制中心进行级联，从而实现病毒特征库通过上级单位获取。部署示意图如图5 所示。

图5 部署示意图

6 结语

病毒防护系统是信息安全体系的重要组成部分，立体纵深的现代企业网络病毒防护体系能够满足虚拟化、应用系统深度融合等不同信息化场景下的病毒防护需求，对于探索做好现代企业网络病毒防护工作具有积极意义。病毒防护是一项长期工作，只有不断创新升级系统功能，不断优化完善系统架构，才能应对当今层出不穷的计算机病毒威胁，确保现代企业信息安全。