本申请提供了一种病毒防护系统,包括:核心业务系统、交换机系统、终端设备、生产设备和互联网模块;交换机系统和互联网模块间设有第一防御系统,用于针对目标病毒的第一目标阶段进行第一防护,阻止目标病毒由外网进入内网;核心业务系统、终端设备和生产设备上设有第二防御系统,用于针对目标病毒的第二目标阶段进行第二防护,防止目标病毒入侵核心业务系统、终端设备和生产设备;核心业务系统还设有第三防御系统,对指定内容进行备份。该系统通过多层次多维度的防护措施构建完整的防护体系,形成全攻击链检出能力,可监测终端的安全合规态势,对恶意行为进行预警和控制;确保重要数据能最大限度的恢复受攻击前状态。能最大限度的恢复受攻击前状态。能最大限度的恢复受攻击前状态。
【技术实现步骤摘要】
病毒防护系统
[0001]本申请涉及病毒防护
,尤其是涉及一种病毒防护系统。
技术介绍
[0002]随着国家在制造行业的不断推进,作为生产液晶显示器的基础部件的液晶面板工厂,逐渐成为数字化、网络化、智能化的高端制造工厂。近年来随着高额利益的驱使,病毒攻击事件频频爆发并且愈演愈烈。越来越多的黑客及网络黑产人员开始利用病毒传播来攻击企业、教育、政府等单位机构来获取不正当的利益。特别是勒索病毒一旦入侵液晶面板工厂生产系统,将会使文件和数据被加密算法修改,无法读取正常的设计文件和生产数据,就可能造成工厂无法运作,而且会增加工厂的敏感资料/数据如设计文件、生产数据和程序等泄露至黑暗网络的风险。
[0003]虽病毒类型各异,但从病毒入侵的过程是存在共性的,这与洛克希德
‑ꢀ
马丁公司提出的“网络杀伤链”理论非常契合。网络病毒入侵过程一般会经历侦查跟踪、武器构建、载荷投送、漏洞利用、安装植入、命令与控制、目标达成七个阶段。传统的安全防护都是使用单一的安全产品或是单一的技术手段(如防火墙、IPS、杀毒软件)在面对病毒的入侵时,往往一旦某一点被突破,特别是新型的勒索病毒,则会直接侵入业务系统及数据。
技术实现思路
[0004]本申请的目的在于提供一种病毒防护系统,能够通过多层次、多维度的防护措施,构建完整的病毒防护体系,实现各个阶段对网络病毒的及时发现和防护,全面封锁勒索病毒、黑客攻击的传播渠道、系统漏洞,确保重要数据在被加密锁定的情况最大限度的恢复受攻击前状态。
[0005]本申请实施例提供一种病毒防护系统,该系统包括:核心业务系统、交换机系统、终端设备、生产设备和互联网模块;交换机系统分别与核心业务系统、终端设备、生产设备和互联网模块连接;交换机系统和互联网模块之间设置有第一防御系统,用于针对目标病毒的第一目标阶段进行第一防护,阻止目标病毒由互联网模块连接的外网进入交换机系统对应的内网;核心业务系统、终端设备和生产设备上设置有第二防御系统,用于针对目标病毒的第二目标阶段进行第二防护,防止目标病毒入侵核心业务系统、终端设备和生产设备;核心业务系统还设置有第三防御系统,用于对指定内容进行备份,以实现第三防护;指定内容包括:业务数据、应用和/ 或系统。
[0006]在可选的实施方式中,上述目标病毒的入侵过程包括顺序排列的七个阶段:侦查跟踪阶段、武器构建阶段、载荷投送阶段、漏洞利用阶段、安装植入阶段、命令与控制阶段、目标达成阶段;第一目标阶段包括前六个阶段中的至少一个,第二目标阶段包括位于第一目标阶段之后的至少一个阶段。
[0007]在可选的实施方式中,第一目标阶段包括:侦查跟踪阶段、武器构建阶段和载荷投送阶段;第一防御系统包括:与第一目标阶段中任一阶段对应的第一子防御系统;第二目标
阶段包括:漏洞利用阶段、安装植入阶段和命令与控制阶段;第二防御系统包括:与第二目标阶段中任一阶段对应的第二子防御系统;第一子防御系统和第二子防御系统均包括至少一种防护策略或系统。
[0008]在可选的实施方式中,与侦查跟踪阶段对应的第一子防御系统包括:网络入侵防御系统和防火墙访问控制策略;与武器构建阶段对应的第一子防御系统包括:网络入侵防御系统;与载荷投送阶段对应的第一子防御系统包括:上网行为管理策略、VPN网关控制策略、WAF防火墙及防篡改软件策略、邮件安全网关控制策略。
[0009]在可选的实施方式中,与漏洞利用阶段对应的第二子防御系统包括:漏洞扫描及补丁管理策略、终端安全防护策略、服务器安全管理策略、流量分析系统;与安装植入阶段对应的第二子防御系统包括:网络分区策略、堡垒机策略、终端安全防护策略、服务器安全管理策略;与命令与控制阶段对应的第二子防御系统包括:网络分区策略、账户安全和最小特权策略、流量分析系统、数据加密系统、日志审计系统、综合运维管理策略。
[0010]在可选的实施方式中,网络分区策略包括:将病毒防护系统对应的网络划分为:数据中心区、网络核心区、OA区域、生产区域、安全防御管理区、运维管理区、互联网接入区和DMZ区。
[0011]在可选的实施方式中,终端安全防护策略至少包括以下一项:对终端设备通过网络准入系统安全接入网络,同时限制不安全U盘的读写;对电脑终端进行病毒查杀防护,定期对终端软件和操作系统更新补丁;在终端设备上安装终端检测响应平台EDR,用于实时检测未知威胁并快速响应;对生产设备中的机台电脑采用应用程序白名单进行防护,并通过安全准入接入生产网络。
[0012]在可选的实施方式中,上述终端设备和/或生产设备对应有服务器;服务器安全管理策略至少包括以下一项:定期将服务器中的软件和操作系统更新为最新版本;在服务器上部署防病毒软件并及时升级病毒库;通过漏洞管理,及时发现漏洞,并在不影响业务的时候修复漏洞;关闭非必要的文件共享权限。
[0013]在可选的实施方式中,账户安全和最小特权策略包括:对webmail、VPN 和访问关键系统和服务器的账户使用强密码,更改默认密码,在指定次数的登录尝试后强制执行账户锁定;将最小特权原则应用于所有系统和服务。
[0014]在可选的实施方式中,第三防御系统包括:备份系统;备份系统用于按照设定备份原则对指定内容进行备份。
[0015]本申请实施例带来了以下有益效果:
[0016]本申请提供了一种病毒防护系统,该系统包括:核心业务系统、交换机系统、终端设备、生产设备和互联网模块;交换机系统分别与核心业务系统、终端设备、生产设备和互联网模块连接;交换机系统和互联网模块之间设置有第一防御系统,用于针对目标病毒的第一目标阶段进行第一防护,阻止目标病毒由互联网模块连接的外网进入交换机系统对应的内网;核心业务系统、终端设备和生产设备上设置有第二防御系统,用于针对目标病毒的第二目标阶段进行第二防护,防止目标病毒入侵核心业务系统、终端设备和生产设备;核心业务系统还设置有第三防御系统,用于对指定内容进行备份,以实现第三防护;指定内容包括:业务数据、应用和/或系统。该系统通过多层次、多维度的防护措施,构建完整的病毒防护体系,实现各个阶段对网络病毒的及时发现和防护,全面封锁勒索病毒、黑客攻击的传播
渠道、系统漏洞;能够检测出病毒传播和黑客攻击全过程,形成全攻击链检出能力,可发现APT攻击行为、勒索软件行为、僵尸网络等异常的网络行为;可监测终端的安全合规态势,并对仿冒接入等异常行为和 APT攻击等恶意行为进行预警和控制;能够确保重要数据在被加密锁定的情况下最大限度的恢复受攻击前状态。
附图说明
[0017]为了更清楚地说明本申请具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0018]图1为本申请实施例提供的一种病毒入侵过程阶段示意图;
[0019]图2为本申请实施例提供的一种本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种病毒防护系统,其特征在于,所述系统包括:核心业务系统、交换机系统、终端设备、生产设备和互联网模块;所述交换机系统分别与所述核心业务系统、所述终端设备、所述生产设备和所述互联网模块连接;所述交换机系统和所述互联网模块之间设置有第一防御系统,用于针对目标病毒的第一目标阶段进行第一防护,阻止所述目标病毒由所述互联网模块连接的外网进入所述交换机系统对应的内网;所述核心业务系统、所述终端设备和所述生产设备上设置有第二防御系统,用于针对所述目标病毒的第二目标阶段进行第二防护,防止所述目标病毒入侵所述核心业务系统、所述终端设备和所述生产设备;所述核心业务系统还设置有第三防御系统,用于对指定内容进行备份,以实现第三防护;所述指定内容包括:业务数据、应用和/或系统。2.根据权利要求1所述的病毒防护系统,其特征在于,所述目标病毒的入侵过程包括顺序排列的七个阶段:侦查跟踪阶段、武器构建阶段、载荷投送阶段、漏洞利用阶段、安装植入阶段、命令与控制阶段和目标达成阶段;所述第一目标阶段包括前六个阶段中的至少一个,所述第二目标阶段包括位于所述第一目标阶段之后的至少一个阶段。3.根据权利要求2所述的病毒防护系统,其特征在于,所述第一目标阶段包括:侦查跟踪阶段、武器构建阶段和载荷投送阶段;所述第一防御系统包括:与所述第一目标阶段中任一阶段对应的第一子防御系统;所述第二目标阶段包括:漏洞利用阶段、安装植入阶段和命令与控制阶段;所述第二防御系统包括:与所述第二目标阶段中任一阶段对应的第二子防御系统;所述第一子防御系统和所述第二子防御系统均包括至少一种防护策略或系统。4.根据权利要求3所述的病毒防护系统,其特征在于,与所述侦查跟踪阶段对应的第一子防御系统包括:网络入侵防御系统和防火墙访问控制策略;与所述武器构建阶段对应的第一子防御系统包括:网络入侵防御系统;与所述载荷投送阶段对应的第一子防御系统包括:上网行为管理策略、VPN网关控制策略、WAF防火墙及防篡改软件策略、邮件安全网关控制策略。5.根据权利要求3...
【专利技术属性】
技术研发人员:陈成,彭歆,
申请(专利权)人:浙江泰嘉光电科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。