信息安全体系建设☞病毒防护
我们来看一下杀毒软件的控制手段,居于整个安全控制的那个阶段。因为杀软属于最传统的安全防控手段, 基本上在整个安全控制的各个阶段都有自己的体现,病毒扫描(预防),病毒清理(纠正),系统被病毒攻击之后的修复(恢复)等等, 这些环节都能看到杀毒软件的身影。
关于防病毒的两个错误理念
但是人们总是有一个理解就是病毒是windows的孪生兄弟, 像Linux和IOS都天生免疫,这种观念需要被及时纠正。
还有一种观点认为防病毒就是杀毒软件的工作,这个其实是不对的。 如果我们在进行网络安全体系建设的时候, 进行了合理的设计。首先网络层的设备阻拦了一些恶意网站的访问,比如上网行为管理, 则减少了设备对病毒的曝光机会, 也减少了病毒攻击设备或者内网的攻击面。其次指定严格操作系统基线,实施安全的操作系统策略,比如禁止直接通过邮箱打开附件,或者禁止用户直接在C盘的敏感目录创建文件等等。总之我们不要忽视病毒威胁,同时在进行提前安全架构设计的时候要充分考虑到病毒威胁。
今天我准备介绍的一款杀毒软件是大名鼎鼎的clamav, 它是开源的也是免费的。它是世界的,也是中国的。它属于Linux, 也属于windows。最开始clamav是为了Linux系统设计的, 因为clamav本身只具备查毒的能力, 并不能把病毒从文件中清除掉。我们通常更多时候是让clamav来配合邮件网关进行病毒查看。但是现在clamav已经不仅仅支持linux平台了, 它也支持windows平台。大家可以访问clamav的官方网站 http://www.clamav.net/。
这里面不仅仅有各种操作系统的安装包, 还包含很多第三方的插件, 其中以邮件系统的插件最多,这个也是clamav的一个传统优势领域。这一部分我就不做过多的解释, 实话实说, 我在开源邮件配置这块不太熟。
接下来我们具体看看怎么安装, 调试,配置clamav, 我主要针对Linux系统来说, windows都是图形界面就是点点点。。。
安装过程:
1)直接运行Linux下面的软件安装命令, 绝大多数的repo里面都会有clamav这位大佬
sudo apt-get install clamav
- 更新病毒库
如果你的设备可以上网,那么直接运行freshclam命令。如果超过7天没有更新病毒库, 在扫描的时候会跳出来提醒信息。
sudo freshclam
如果你的设备不能上网, 也没有必要因为一个升级病毒库而开放服务器访问互联网。
先使用电脑访问clamav官方网站,下载VCD文件, 包含daily.vcd和main.vcd, 把这两个文件分别放在下面的路径中
/var/lib/clamav
为了让clamav在deamon模式下运行, 需要安装clamav-deamon.
杀杀毒扫描
1)可以使用clamav扫描整个分区, 也可以指定路径进行扫描:
扫描所有用户的主目录就使用 clamscan -r /home
扫描您计算机上的所有文件并且显示所有的文件的扫描结果,就使用 clamscan -r /
扫描您计算机上的所有文件并且显示有问题的文件的扫描结果, 就使用 clamscan -r --bell -i /
2)扫描结果示例,可以显示扫描了多少文件, 有多少文件感染了病毒。
3)在扫描的过程中自动清除掉感染病毒的文件.
clamscan -r --remove /home
- 因为clamav没有集中管理的平台, 也可以在扫描的时候添加log参数, 把扫描结果写入log,以备日后的log集中管理。
clamscan -r /home --log = /var/log/scan.log
配置clamav定期运行扫描和升级
我们可以使用at命令或者使用crontab来定义定期任务,我们也可以把扫描和升级的任务分来, 先升级后扫描
0 1 * * * root /usr/bin/freshclam --quiet -l /var/log/clamav/clamav.log ##每天1点升级
clamav配置进阶
1)我们可以使用clamscan -h获取更多的配置参数
a)可以指定文件大小, 只有满足文件大小的要求才进行扫描 --max-filessize
b) 指定最大扫描的时间,–max-scantime
c) 告警钓鱼文件 --alert-phishing-ssl
2) 发现病毒之后,文件会被隔离在隔离区。 具体路径在clamav/Quarantine, 大家可以选择直接删除或者恢复文件。
3)如果启用了clamtk的图形模式, 还有一个比较有用的功能,就是可以使用analysis模块直接分析一个可以的文件,最后结果会比较其他杀毒软件的扫描结果,进行对比。
信息安全体系建设☞病毒防护相关推荐
- 信息安全体系建设☞安全通信防护
virutal private network是一种最普遍,同时也是最廉价的安全手段.我们通常把virutal private network的安全管控归纳到访问控制领域.一方面控制接入的人或者终端另 ...
- 观测云高分通过等保三级认证,信息安全体系建设领先行业
近日,观测云高分通过网络安全等级测评,获得"国家信息安全等级保护三级认证".此次等保认证是观测云继"可信云企业级 SaaS 服务认证"后获得的又一重要国家级认证 ...
- 信息安全体系建设☞流量可视化(2)sflow
在我的上一篇博文中介绍了为啥要走流量可视化,如何做流量可视化.那么本篇博文就着重来看看如何实现流量可是话.我的这个系列都是基于开源软件来实现信息安全体系建设的,本篇博文也不例外.我准备介绍一下sflo ...
- 信息安全体系建设☞流量可视化(三)
眼见为真是我们在处理大多数判断的时候采取的一个有效措施,这条基本的判断方法也许存在出入, 但是通过视觉的确能增加我们处理信息的速度,提升我们决策的准确性.这一篇博文我们还是继续来探讨如何进行数据可视化 ...
- 信息安全体系建设☞流量可视化(一)
背景介绍 我们通常会说想要防住威胁,首先就要看到威胁.这里面的看不只是用眼睛看,更重要的是要感知到威胁的存在.无论是以图形化展示,还是根据规则生成告警,这都是感知威胁的一种有效手段.在进行流量可视化或 ...
- 信息安全体系建设☞开源入侵检测系统HIDS
在之前的博文中介绍了NIDS, IDS就像是我们在网络的关键节点上假设的一双双水汪汪的大眼睛.IDS能帮我们深度检测流过的数据包,针对数据包中的特征来触发告警,并记录日志.同时我们也可以根据资产的重要 ...
- 信息安全体系建设☞开源入侵检测系统NIDS
我们之前提到在边界处搭建信息安全体系,需要依赖防火墙,但是防火墙就像我们生活当中的一扇门,只是负责开和关我们不能够感知到是谁进来或者谁出去.比如说我们在制定防火墙策略的时候,我们制定的规则是人可以出去 ...
- Whale News | 帷幄获公安部信息安全「等保三级」认证,信息安全体系建设行业领先
近日,Whale 帷幄通过又一项权威的信息安全认证,获得了公安部核准颁发的「国家信息安全等级保护三级认证」(以下称:等保三级),成为 MarTech 行业中同时获得 ISO27001.ISO27701 ...
- 信息安全体系建设☞网络间的安全通信
WPN(virutal private network)是一种最普遍,同时也是最廉价的安全手段.我们通常把WPN的安全管控归纳到访问控制领域.一方面控制接入的人或者终端另一方面,控制公司的资产.从Wp ...
最新文章
- tflearn 中文汉字识别,训练后模型存为pb给TensorFlow使用——模型层次太深,或者太复杂训练时候都不会收敛...
- Operating System-进程/线程内部通信-信号量和PV操作
- React Mixins入门指南
- 力扣:组合总和 II DFS剪枝
- 30 张图解 | 面试官问我高并发服务模型哪家强?
- android 多个style,Android样式的开发_style篇
- 如何修改游戏服务器端的数据,如何修改网络游戏服务器数据
- ffmpeg格式转换命令
- matlab仿真之大尺度衰落因子的产生
- linux下离线安装gcc详细教程
- messagedigest 图片加密_Java中MessageDigest来实现数据加密的方法
- iOS_6_ToolBar+xib+红楼梦
- Microsoft Word 论文编排技巧
- OSG 绘制几何图元
- 时间戳转换成标准日期
- 查看LINUX放开端口,linux如何查看端口是否开放?
- 偷听学长电话面试,被问到A*算法时,学长愣住了
- Unity HybridCLR热更新技术实现
- 浅谈SQL注入,XSS攻击
- 代码随想录训练营day45