信息安全体系建设☞病毒防护
我们来看一下杀毒软件的控制手段,居于整个安全控制的那个阶段。因为杀软属于最传统的安全防控手段, 基本上在整个安全控制的各个阶段都有自己的体现,病毒扫描(预防),病毒清理(纠正),系统被病毒攻击之后的修复(恢复)等等, 这些环节都能看到杀毒软件的身影。
关于防病毒的两个错误理念
但是人们总是有一个理解就是病毒是windows的孪生兄弟, 像Linux和IOS都天生免疫,这种观念需要被及时纠正。
还有一种观点认为防病毒就是杀毒软件的工作,这个其实是不对的。 如果我们在进行网络安全体系建设的时候, 进行了合理的设计。首先网络层的设备阻拦了一些恶意网站的访问,比如上网行为管理, 则减少了设备对病毒的曝光机会, 也减少了病毒攻击设备或者内网的攻击面。其次指定严格操作系统基线,实施安全的操作系统策略,比如禁止直接通过邮箱打开附件,或者禁止用户直接在C盘的敏感目录创建文件等等。总之我们不要忽视病毒威胁,同时在进行提前安全架构设计的时候要充分考虑到病毒威胁。
今天我准备介绍的一款杀毒软件是大名鼎鼎的clamav, 它是开源的也是免费的。它是世界的,也是中国的。它属于Linux, 也属于windows。最开始clamav是为了Linux系统设计的, 因为clamav本身只具备查毒的能力, 并不能把病毒从文件中清除掉。我们通常更多时候是让clamav来配合邮件网关进行病毒查看。但是现在clamav已经不仅仅支持linux平台了, 它也支持windows平台。大家可以访问clamav的官方网站 http://www.clamav.net/。
这里面不仅仅有各种操作系统的安装包, 还包含很多第三方的插件, 其中以邮件系统的插件最多,这个也是clamav的一个传统优势领域。这一部分我就不做过多的解释, 实话实说, 我在开源邮件配置这块不太熟。
接下来我们具体看看怎么安装, 调试,配置clamav, 我主要针对Linux系统来说, windows都是图形界面就是点点点。。。
安装过程:
1)直接运行Linux下面的软件安装命令, 绝大多数的repo里面都会有clamav这位大佬
sudo apt-get install clamav
- 更新病毒库
如果你的设备可以上网,那么直接运行freshclam命令。如果超过7天没有更新病毒库, 在扫描的时候会跳出来提醒信息。
sudo freshclam
如果你的设备不能上网, 也没有必要因为一个升级病毒库而开放服务器访问互联网。
先使用电脑访问clamav官方网站,下载VCD文件, 包含daily.vcd和main.vcd, 把这两个文件分别放在下面的路径中
/var/lib/clamav
为了让clamav在deamon模式下运行, 需要安装clamav-deamon.
杀杀毒扫描
1)可以使用clamav扫描整个分区, 也可以指定路径进行扫描:
扫描所有用户的主目录就使用 clamscan -r /home
扫描您计算机上的所有文件并且显示所有的文件的扫描结果,就使用 clamscan -r /
扫描您计算机上的所有文件并且显示有问题的文件的扫描结果, 就使用 clamscan -r --bell -i /
2)扫描结果示例,可以显示扫描了多少文件, 有多少文件感染了病毒。
3)在扫描的过程中自动清除掉感染病毒的文件.
clamscan -r --remove /home
- 因为clamav没有集中管理的平台, 也可以在扫描的时候添加log参数, 把扫描结果写入log,以备日后的log集中管理。
clamscan -r /home --log = /var/log/scan.log
配置clamav定期运行扫描和升级
我们可以使用at命令或者使用crontab来定义定期任务,我们也可以把扫描和升级的任务分来, 先升级后扫描
0 1 * * * root /usr/bin/freshclam --quiet -l /var/log/clamav/clamav.log ##每天1点升级
clamav配置进阶
1)我们可以使用clamscan -h获取更多的配置参数
a)可以指定文件大小, 只有满足文件大小的要求才进行扫描 --max-filessize
b) 指定最大扫描的时间,–max-scantime
c) 告警钓鱼文件 --alert-phishing-ssl
2) 发现病毒之后,文件会被隔离在隔离区。 具体路径在clamav/Quarantine, 大家可以选择直接删除或者恢复文件。
3)如果启用了clamtk的图形模式, 还有一个比较有用的功能,就是可以使用analysis模块直接分析一个可以的文件,最后结果会比较其他杀毒软件的扫描结果,进行对比。
信息安全体系建设☞病毒防护相关推荐
- 信息安全体系建设☞安全通信防护
virutal private network是一种最普遍,同时也是最廉价的安全手段.我们通常把virutal private network的安全管控归纳到访问控制领域.一方面控制接入的人或者终端另 ...
- 观测云高分通过等保三级认证,信息安全体系建设领先行业
近日,观测云高分通过网络安全等级测评,获得"国家信息安全等级保护三级认证".此次等保认证是观测云继"可信云企业级 SaaS 服务认证"后获得的又一重要国家级认证 ...
- 信息安全体系建设☞流量可视化(2)sflow
在我的上一篇博文中介绍了为啥要走流量可视化,如何做流量可视化.那么本篇博文就着重来看看如何实现流量可是话.我的这个系列都是基于开源软件来实现信息安全体系建设的,本篇博文也不例外.我准备介绍一下sflo ...
- 信息安全体系建设☞流量可视化(三)
眼见为真是我们在处理大多数判断的时候采取的一个有效措施,这条基本的判断方法也许存在出入, 但是通过视觉的确能增加我们处理信息的速度,提升我们决策的准确性.这一篇博文我们还是继续来探讨如何进行数据可视化 ...
- 信息安全体系建设☞流量可视化(一)
背景介绍 我们通常会说想要防住威胁,首先就要看到威胁.这里面的看不只是用眼睛看,更重要的是要感知到威胁的存在.无论是以图形化展示,还是根据规则生成告警,这都是感知威胁的一种有效手段.在进行流量可视化或 ...
- 信息安全体系建设☞开源入侵检测系统HIDS
在之前的博文中介绍了NIDS, IDS就像是我们在网络的关键节点上假设的一双双水汪汪的大眼睛.IDS能帮我们深度检测流过的数据包,针对数据包中的特征来触发告警,并记录日志.同时我们也可以根据资产的重要 ...
- 信息安全体系建设☞开源入侵检测系统NIDS
我们之前提到在边界处搭建信息安全体系,需要依赖防火墙,但是防火墙就像我们生活当中的一扇门,只是负责开和关我们不能够感知到是谁进来或者谁出去.比如说我们在制定防火墙策略的时候,我们制定的规则是人可以出去 ...
- Whale News | 帷幄获公安部信息安全「等保三级」认证,信息安全体系建设行业领先
近日,Whale 帷幄通过又一项权威的信息安全认证,获得了公安部核准颁发的「国家信息安全等级保护三级认证」(以下称:等保三级),成为 MarTech 行业中同时获得 ISO27001.ISO27701 ...
- 信息安全体系建设☞网络间的安全通信
WPN(virutal private network)是一种最普遍,同时也是最廉价的安全手段.我们通常把WPN的安全管控归纳到访问控制领域.一方面控制接入的人或者终端另一方面,控制公司的资产.从Wp ...
最新文章
- Python入门100题 | 第073题
- 创建Silverlight 1.0 開發環境
- 2020春招机考汇总2:扑克牌打出最小次数、钢琴高昂旋律(拼接递增序列)
- 2021年,这是你们收到的第一份礼物
- python继承super函数_Python中的super函数如何实现继承?
- HDU-2332 机器人的舞蹈 递推
- 如何将字符串数组的空格去除_java中如何将数组转换为List
- 用记事本打造简易计算器
- STM32H743 SOEM EtherCAT基于STM32H743芯片和SOEM的EtherCAT主站源码 提供配套CUBE工程
- phpQuery中文手册(更新中)
- There was an error checking the latest version of pip
- Codeforces 106C Buns - 多重背包 - 二进制拆分
- matlab读取TXT文件数据,二进制文件数据
- keil工程 freertos AC5编译器移植到AC6编译器
- c++求矩阵的秩_高等代数|第八章 矩阵 最小多项式与若尔当标准形
- 【武器系统】【2011.12】巡航导弹任务演习
- android英文文献翻译,安卓 英文 外文 文献翻译 android api级别.doc
- 赂峭狭衷麓炯寥雷绕渍
- 重新认识莫比乌斯函数
- 机顶盒boot分区读写