國家電網公司是關係國家能源安全和國民經濟命脈的國有重要骨幹企業,以建設和運營電網為核心業務,經營區域覆蓋全國26個省(自治區、直轄市),供電人口超過11億人,公司員工總量超過186萬人,位列《財富》世界500強第2名 。
隨着國家電網公司三集五大體系的深入推進,外網郵件系統以安全保障、全面優化、集中部署、充分利舊為指導原則,從安全提升、功能完善兩個方面進行了升級改造,為國網公司總部、6家分部、27家省市公司、33家直屬單位提供優質、高效的郵件服務。
目前,國家電網公司已經採用了國外領先的某防病毒引擎。但隨着外網信息安全形勢日益嚴峻,郵件系統成為最容易被攻擊的對象。國網公司聯合中國信息安全測評中心、中國人民解放軍信息技術安全研究中心,對現有防護方案進行了測評及論證,建議在現有殺毒引擎基礎上,進一步優化提升,採用國內外雙反病毒引擎、雙重查殺等加強郵件系統防護。
從業務面臨的形勢出發,國家正在逐步推進信息安全產品的自主可控,這就要求在進行信息系統規劃時,要充分考慮發展趨勢,主動推進安全軟件產品的異構化,達到自主可控的目標。
項目針對郵件系統,採用雙殺毒引擎技術針對郵件系統附件進行異構的殺毒處理,用户網絡內的各郵件客户端本身調用雙引擎完成殺毒功能,同時支持採用先進的機器智能查殺技術。
郵件服務器集成部署了防病毒引擎SDK工具軟件, SDK殺毒引擎查殺流程如下:
首先根據定義的規則判斷文件是否符合安全策略的要求,如果符合則進一步進行殺毒檢測,否則郵件直接進郵件隔離區;需要進行殺毒流程時,首先判斷郵件是否為壓縮文件,只有文件是非壓縮文件格式時才會調用殺毒引擎,否則進行文件解壓,文件解壓支持多級解壓,解壓的層數可以通過郵件系統進行自定義;對於解壓出來的文件,還需要判斷文件類型,對於不同的文件,將調用不同的殺毒引擎,以保證文件只清除病毒,不損壞文件本身。而且解壓的文件還可以支持回調,將文件直接傳送給異構國外殺毒引擎進行異構二次病毒查殺,最大程度提升病毒的殺毒效果。
郵件防病毒引擎採用多種防病毒關鍵技術以保障防病毒過程中的快速、高效:
機器學習的算法
病毒特徵碼分析
脱殼檢測技術
虛擬檢測技術
通過項目建設,可以完成針對郵件系統的異構殺毒,改造郵件系統原有的殺毒流程,用户基本不會感覺到郵件系統安全升級帶來任何使用習慣的變化。
1、實現郵件投遞時的病毒查殺
郵件投遞模塊改造當前公司的接口實現,以支持雙引擎;對病毒信息的相關日誌記錄進行改造,記錄更詳細信息。在多殺毒引擎病毒樣本數據加載方面,支持自動安全加載機制,實現病毒樣本數據更新同步。
2、實現病毒信息上報和報表展現改造
日誌信息上報模塊對相關的信息進行入庫,再自助查詢報表,管理平台報表合理展現出來,並提供相關的檢索、統計功能。
3、實現加密附件下載流程改造
在加密附件下載時加入人機交互流程,對附件解密,同時傳輸到雙引擎病毒查殺服務進行病毒查殺,並返回結果,解決了嵌套加密的問題。
4、實現雙引擎病毒查殺配置
在服務查殺策略、系統配置、雙病毒引擎工作模式等方面,支持靈活的配置,實現病毒庫的定時升級策略,在外網郵件系統實現定期更新。