国家电网邮件防病毒案例

客户介绍

国家电网公司是关系国家能源安全和国民经济命脉的国有重要骨干企业,以建设和运营电网为核心业务,经营区域覆盖全国26个省(自治区、直辖市),供电人口超过11亿人,公司员工总量超过186万人,位列《财富》世界500强第2名 ,是全球最大的公用事业企业。

项目背景

随着国家电网公司三集五大体系的深入推进,外网邮件系统以安全保障、全面优化、集中部署、充分利旧为指导原则,从安全提升、功能完善两个方面进行了升级改造,为国网公司总部、6家分部、27家省市公司、33家直属单位提供优质、高效的邮件服务。

目前,国家电网公司已经采用了国外领先的某防病毒引擎。但随着外网信息安全形势日益严峻,邮件系统成为最容易被攻击的对象。国网公司联合中国信息安全测评中心、中国人民解放军信息技术安全研究中心,对现有防护方案进行了测评及论证,建议在现有杀毒引擎基础上,进一步优化提升,采用国内外双反病毒引擎、双重查杀等加强邮件系统防护。

从业务面临的形式出发,国家正在逐步推进信息安全产品的自主可控,这就要求在进行信息系统规划时,要充分考虑发展趋势,主动推进安全软件产品的异构化,达到自主可控的目标。

解决方案

项目针对邮件系统,采用双杀毒引擎技术针对邮件系统附件进行异构的杀毒处理,用户网络内的各邮件客户端本身调用双引擎完成杀毒功能,同时支持采用先进的机器智能查杀技术。

邮件服务器集成部署了防病毒引擎SDK工具软件, SDK杀毒引擎查杀流程如下:

首先根据定义的规则判断文件是否符合安全策略的要求,如果符合则进一步进行杀毒检测,否则邮件直接进邮件隔离区;需要进行杀毒流程时,首先判断邮件是否为压缩文件,只有文件时非压缩文件格式时才会调用杀毒引擎,否则进行文件解压,文件解压支持多级解压,解压的层数可以通过邮件系统进行自定义;对于解压缩出来的文件,还需要判断文件类型,对于不同的文件,将调用不同的杀毒引擎,以保证文件只清除病毒,不损坏文件本身。而且解压的文件还可以支持回调,将文件直接传送给异构国外杀毒引擎进行异构二次病毒查杀,最大程度提升病毒的杀毒效果。

邮件防病毒引擎采用多种防病毒关键技术以保障防病毒过程中的快速、高效:

  • 机器学习的算法
  • 病毒特征码分析
  • 脱壳检测技术
  • 虚拟检测技术

客户价值

通过项目建设,可以完成针对邮件系统的异构杀毒,改造邮件系统原有的杀毒流程,用户基本不会感觉到邮件系统安全升级带来任何使用习惯的变化。

1、实现邮件投递时的病毒查杀 

邮件投递模块改造当前公司的接口实现,以支持双引擎;对病毒信息的相关日志记录进行改造,记录更详细信息。在多杀毒引擎病毒样本数据加载方面,支持自动安全加载机制,实现病毒样本数据更新同步。

2、实现病毒信息上报和报表展现改造

日志信息上报模块对相关的信息进行入库,在自助查询报表,管理平台报表合理展现出来,并提供相关的检索、统计功能。

3、实现加密附件下载流程改造 

在加密附件下载时加入人机交互流程,对附件解密,同时传输到双引擎病毒查杀服务进行病毒查杀,并返回结果,解决了嵌套加密的问题。

4、实现双引擎病毒查杀配置

在服务查杀策略、系统配置、双病毒引擎工作模式等方面,支持灵活的配置,实现病毒库的定时升级策略,在外网邮件系统实现定期更新。