引 言
根据保守统计,我国80%以上的电力企业网络系统都感染过病毒,在这些企业中,半数以上都曾因此而失去文件资料。计算机病毒已成为影响和破坏电力企业网络系统安全的最大威胁之一。当前大部分企业只是在局域网的桌面工作站上部署了反病毒软件,这种做法可以防止来自软盘、光盘的病毒源,却无法阻止来自网络的病 毒源。而今天网络已成为病毒传播感染的主要途径,因此,如何有效地防范病毒从网络入侵是一项具有实际意义的研究课题。
本文所设计的网关实时反病毒系统在网关对来往的数据包进行病毒检测,在病毒接触文件服务器、应用服务器等之前就将其消杀在萌芽状态,从而使防毒的范围扩大到企业网络内的每个系统。
一、电力企业网络系统中的病毒问题
1.1 电力企业网络系统中的病毒威胁
电力企业的网络系统通常拥有众多客户机或工作站,以及不同的应用服务器,如文件服务器、邮件服务器、Internet服务器等。电力企业网络系统中的病毒 威胁主要有4个方面,见图1。
a.电子邮件(E-mail):当收件人打开或运行已感染病毒的E-mail附件时,会使其计算机感染病毒,有些病毒通常还会把自身的拷贝发往 Microsoft Outlook地址簿中的其他电子邮件地址。
b.工作站:当用户从磁盘或其他主机的共享文件夹中复制或访问已感染病毒的文件时,工作站就会被感染病毒。
c.服务器:在电力企业网络环境中,设置一个服务器专门用于存储和共享文档是非常普遍的,如果一个网络用户的计算机被病毒感染(通过软盘或 Internet),那么这个用户建立并保存在服务器中的文档就会成为散播病毒的感染源,影响网络中的其他用户。
d.Internet交互:如果用户使用HTTP或FTP下载了含有病毒的文件,就会使其计算机受到感染。另外,Web网页上一些带有恶意的脚本程序、 Java小程序和ActiveX控件也会给计算机带来威胁。
1.2 电力企业网络系统的病毒防治现状
由于大部分电力企业网络系统都受到过病毒的侵害,因而人们对病毒已有了较深刻的认识。我国大部分电力企业都已在局域网的桌面工作站上安装了反病毒软件,也有少数电力企业安装了网络反病毒软件,这些反病毒系统在相当程度上保护了企业网络,但也存在一些值得注意的问题:
a.单机版病毒防治软件技术比较成熟,但它不能给网络系统提供完整的保护,疏忽了一个环节,病毒就会乘虚而人。另外,反病毒软件的更新也很繁琐,必须逐台机器更新,容易造成遗漏而不能升级。
b.在网络安全意识较高的电力企业中,通常都已安装了防火墙系统。由于防火墙系统和反病毒系统是两个供应商的产品,彼此独立,没有信息交互,使得数据包在进入内部网络之前经历了两道检查,其一是防火墙系统的安全检查,其二是网络反病毒系统的病毒检查,这严重影响了网关转发数据包的速度。另外,由于防火墙系 统和反病毒系统彼此独立,分属两个控制台,不利于网管人员对网络系统的安全情况进行集中管理。
二、网关实时反病毒系统概述
病毒检测模块运行于网关处,主要通过对来往数据的检测与比较,在病毒试图进入电力企业网络之前就将其拦截杀掉,阻止病毒入侵内部网络,最大可能地避免病毒对资源的破坏。我们选用病毒特征字扫描法对病毒进行实时检测,保护所有的SMTP,HTTP和FTP文件的传输;采用基于文件的检测方法,通过网络防火墙 捕捉IP包,把接收到的所有数据帧重组起来临时存放,应用特征字扫描法对文件内容进行病毒检测。这种方案的检测速度比包检测慢,但对病毒的防杀比较完全。为了尽可能不降低数据包的传输速度,我们采用并行工作方案,即网关实时反病毒系统与网络防火墙(或代理服务器)并行工作,将防火墙技术与反病毒技术有效地 结合起来,从而不仅有效地阻止了病毒从外部网络向电力企业网络系统的入侵,而且也保证了内部网络不会向远程网络资源传播病毒。
三、系统功能设计与实现
电力企业网分为两大模块:监控信息系统(SIS)和管理信息系统(MIS),前者对生产现场实时监控,后者实现企业的自动化管理。其中,SIS对安全要求更高,它仅向MIS提供服务而不直接与外部网络相连,由MIS向外界提供服务。基于此特点,我们将系统设置在SIS与MIS之间,其体系结构如图2所示。
3.1 功能设计
网关反病毒系统对病毒的过滤有着良好的实时性,一旦病毒入侵系统或从系统向其他资源感染时,它就会自动将其检测到并加以处理,从而最大可能地避免了病毒对资源的破坏;另外,本系统采用一种“双向过滤”机制,不仅能有效地阻止病毒从网络向本地计算机系统的入侵,而且也保证了本地系统不会向远程网络资源传播病毒。网关实时反病毒系统由通信模块和查杀毒模块组成。
a.通信模块:通信模块负责与网络防火墙的并行通信。它从防火墙获取IP数据包、连接信息及防火墙期望的信息;然后调用查杀毒模块,并把此模块检查的结果和所做的动作返回防火墙,命令防火墙对数据包进行相应处理。
b.查杀毒模块:查杀毒模块首先将接收到的IP数据包组成一个临时文件;然后根据病毒特征字数据文件中的内容,对该临时文件进行实时病毒扫描;若发现病毒,则调用杀毒引擎杀掉病毒,同时设置日志和报警等信息,并把这些信息通过通信模块传给防火墙。另外,该模块提供给管理员一个接口,可方便地更新病毒库和 升级杀毒引擎。
3.2 功能实现
本系统运行环境为Linux 7.0,采用开放安全企业互联平台(OPSEC——open platform for secure enterprise connectivity)SDK和C语言编程。OPSEC SDK的内容向量协议应用程序接口(CVP API——content vectoring protocol application programming interfaces)可以使对各种进出的数据流实行内容确认的网关反病毒系统和防火墙进行并行通信,并且可以将其无缝连接到OPSEC框架结构中,构成 一个统一的安全管理平台,有利于管理员的集中管理。系统结构如图3所示。
OPSEC在传输层实现CVP客户(防火墙)与服务器(网关反病毒系统)之间的通信。CVP客户在缓冲区中收集数据流,这个缓冲区可以看成是有关数据流的滑动窗口,它根据数据流大小被限制,通常比数据流小。CVP服务器能实现一般数据流编辑,在目的地收到数据前进行完整性控制。当CVP服务器处理完数据流 (可能是修改数据流,即为了清除一个二进制文件中的病毒,改变了一些二进制的位;也有可能是替代数据流,如一个HTML主页建议将不安全的文件替代掉), 它发送结果给CVP客户,由CVP客户的安全策略根据确认的结果指定该数据流通过或丢弃。
3.2.1 通信模块
通信模块首先编辑配置文件,将防火墙定义成CVP客户,运行本系统的机器定义成CVP服务器,将本系统挂接到OPSEC框架结构中;然后初始化通信接口, 等待事件触发并进行处理,本模块的程序结构如图4所示。
a.OPSEC SESSION START事件处理程序
该事件处理程序的主要任务是为session分配内存。
b.CVP_REQUEST事件处理程序
该事件处理程序从防火墙获取连接信息及防火墙期望的信息,设置输出缓冲区的大小,命令CVP客户向CVP服务器发送数据包,同时禁止向目的地发送数据包, 为接收数据流做好准备。
c.CVP_SERVER_CHUNK事件处理程序
该事件处理程序将接收到的数据流转入临时文件,直到最后一个数据包;然后调用查毒模块进行病毒扫描,如果内容不安全,则命令CVP客户禁止向目的主机发送 数据流,如果内容安全,则等待CVP_CLEAR_TO_SEND事件向目的主机发送数据流,同时调用cvp_send_reply函数,将检查的结果及 CVP服务器所做的动作返回CVP客户,见图5。
d.CVP_CLEAR_TO_SEND事件处理程序
该事件处理程序调用cvp_send_chunk_to_dst函数,通过CVP客户向目的主机发送数据流,如果某次传输失败,就重新等待 CVP_CLEAR_TO_SEND事件,直到文件传输结束,发送一个EOF。
e.OPSEC_SESSION_END事件处理程序
该事件处理程序清除CVP服务器上的临时文件,释放session所占内存。
3.2.2 查杀毒模块
查杀毒模块采用基于文件的检测方法,利用病毒特征字扫描法检测病毒,利用该方法检测病毒准确率高。所有已知的计算机病毒特征字存放在病毒库文件 virus.dat中,其结构如表1所示。
主程序调用virus.dat文件,将所有病毒特征字存人内存。查杀毒模块打开要扫描的临时文件,读人指定大小的数据块,逐一扫描各病毒特征字,若发现病毒,则调用杀毒引擎杀毒,同时设置日志和报警消息,回传信息给防火墙,其程序流程如图6所示。
病毒特征字扫描法具有普遍性,适用范围广、速度快,但对未知病毒和多态编码病毒等则无效,要对付日趋狡猾的计算机病毒,还要综合运用其他反病毒技术,以提高系统的防御能力。目前,我们正在研制虚拟机智能查毒技术,用程序代码虚拟CPU、寄存器等,将检测文件的每一个语句放到虚拟环境中执行,通过内存和寄存器以及端
