吴智广 王海波 陈学辉 张凤芝 山东黄金矿业（莱州）有限公司焦家金矿

1 引言

近年来，随着网络及移动互联网的快速发展，企业越来越多的通过网络信息系统提供服务，这些信息系统为企业带来便利的同时也成为了国际国内各种黑客组织实施攻击的目标。与传统类型的病毒相比,新型病毒的传播途径多样化,传播速度快,更加隐蔽,影响面积广,危害性更大。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。某集团企业不断发展的同时其网络规模也在不断的扩大,随着广域网建设项目的深入，对公司层面统一的网络安全要求与日俱增。《中华人民共和国网络安全法》及《网络安全等级保护条例》都对网络安全病毒防御提出了明确要求。因此需要构建高效的安全体系来保护整个集团信息网络不受病毒的侵害。

2 需求分析

经调研发现，该集团无统一的防病毒软件，无整体病毒防范体系。集团无法集中管理各分支安全设备。传统安全技术对高级持续性威胁无能为力,无法及时发现未知威胁。对于APT缺乏有效的追踪和取证工具。网络中部署了一些安全设备和系统，但这些设备和系统基本都是各自独立的，形成了一个个安全孤岛。对于一些复杂的攻击行为，依靠单一的安全设备往往不是难以发现问题就是产生过多误报。网络中无统一终端管理系统已经过期,无法做到统一查杀病毒,统一升级病毒库,给系统打补丁等,远程运维等,造成很多PC很容易被黑客入侵。网络中没有可以有效抵御勒索病毒等攻击的防护设备。

3 系统设计

3.1 系统总体设计

根据实际网络拓扑环境和实现需求,设计在集团总部网络集团总部用户接入区域位置以及分支结构接入区域分别透明串接部署两台下一代智慧防火墙,用于提高出口安全性能,和未知威胁发现能力,在每个分支机构部署下一代智慧防火墙,用于发现并阻断包括未知威胁在内的各种网络威胁,并且把数据实时上报到集团总部智慧管理分析系统进行汇总分析处理.在集团总部核心区域部署新一代威胁感知系统,对网络中的流量进行全量检测和记录，所有网络行为都将以标准化的格式保存于数据平台中，云端威胁情报和本地沙箱分析结果与本地分析平台进行对接，为集团提供基于情报和沙箱检测的威胁发现与溯源的能力；在集团全网部署防病毒终端管理系统,在集团部署一级管理中心,在每个分支机构分别部署各自分支管理中心。

3.2 设计原则

该系统按照“统一规划、统筹安排、统一标准、分步实施”的原则进行，避免重复投入、重复建设，充分考虑整体和局部的利益。设计原则：长远粗，近期细。先进性与实用性相结合，既考虑企业未来发展战略目标的需要，又兼顾企业当前安全管理的需要。

3.3 系统功能设计

(1）集中管控功能

主要实现统一管理、分级管理、虚拟二级管理服务器、策略管理、分布式部署。具备对整体的管控，统一配置防毒策略、统一监控终端安全状态、统一更新病毒库、集中分析整体病毒日志、全网扫描病毒，并及时掌握全部控制中心的客户端状况及病毒处理情况。具有集中式授权管理、统一的管理界面，支持大型网络统一防病毒管理要求。支持2级以上的分级管理部署，各级管理中心可执行本中心的管理功能，总部管理中心可管理分支管理中心及其所属客户端，实现大型网络的分层次的管理。支持在总管理中心设置虚拟二级管理服务器，通过账户管理的方式，实现与二级从属管理服务器完全一样的功能，无需再另外提供虚拟机或物理机。支持网络安全管控策略的管理、制定与分发，能够根据需要预先设定多个安全策略。达到一定规模的分支企业可以部署分支管理中心实现本地化管理。

(2）病毒查杀功能

主要实现实时监控、手工查杀、定时查杀、文件隔离、黑白名单、未知病毒查杀及防御功能。支持实时防护，支持对病毒的实时监控、清除和扫描。支持按需扫描，防病毒客户端可执行快速扫描、全盘扫描、定制扫描，支持按访问扫描。支持自定义时间、自定义扫描频率，自定义扫描类型，对终端进行定时查毒，并且可以自定义查杀病毒后的处理方式自定义。支持对各种文件类型的查杀。支持黑白名单维护，支持病毒查杀时目录或文件排除功能。支持多种恶意威胁的查杀

(3）边界安全设计

在强劲性能与更先进架构的支撑下，集成了防火墙、VPN、应用与身份识别、等综合安全防御功能，并完成了与态势感知、防病毒终端及病毒云、云沙箱、情报云等多项系统的协同防御功能，在扩展了协同防御能力的基础上，由防火墙的分析中心、数据中心、处置中心三大中心实现对威胁的分析、定位、处置一体化过程。

(4）大数据安全设计

新一代威胁感知系统可基于自有的多维度海量互联网数据，进行自动化挖掘与云端关联分析，提前洞悉各种安全威胁，并向客户推送定制的专属威胁情报。同时结合部署在客户本地的软、硬件设备，态势感知平台能够对未知威胁的恶意行为实现早期的快速发现，并可对受害目标及攻击源头进行精准定位，最终达到对入侵途径及攻击者背景的研判与溯源。态势感知平台主要包括威胁情报、分析平台、传感器和文件威胁鉴定器四个模块。

(5）云安全设计

虚拟化安全管理系统旨在解决企业虚拟化环境下的安全问题，实现APT攻击防护、全网态势监控功能。虚拟化安全管理系统基于特征扫描技术的升级，根据反编译后的程序来判断程序是否为病毒，以达到对未知病毒、恶意软件、变形木马的防御目的。虚拟化安全管理系统是一款针对于云数据中心的虚拟化安全管理系统，可对物理资源池、虚拟资源池进行统一的安全防护与集中管理，对宿主机、虚拟机、虚拟机应用提供三层防护安全架构。面对复杂的企业环境，运维人员所有的操作只需要在管理控制中心上进行，时刻了解全网安全态势。

4 结论

通过基于大数据技术的统一防病毒系统的设计与应用，从该企业集团层面统一开展防病毒软件部署，依据分级部署、集中管理、统一配置的基本原则，构建多层次、全方位的企业级病毒防御体系，形成集团防控病毒一张网。结合集团及所属单位分布特点，打造“统一控制、分级管理”的功能，构筑由总部控制中心、所属单位分布系统、计算机终端组成的立体病毒防御体系，实现跨地区、跨平台的网络防毒系统的统一管理与监控。构建对以未知漏洞利用、未知恶意代码植入为核心的APT攻击过程从精确检测到深度防御的纵深防范闭环体系。不但提升了集团整体应对网络病毒和恶意软件的防范能力，同时也规避了很多网络安全风险，有效避免了因计算机病毒可能会造成的严重经济损失。具备应对突发网络病毒攻击事件的应急防范能力，使网络安全防护水平提升到了一个全新的高度，保护了数据资产不被破坏，业务系统的安全平稳运行。