一种病毒查杀演练方法、装置、设备及存储介质

技术领域

本发明涉及数据安全技术领域，尤其涉及一种病毒查杀演练方法、装置、设备及存储介质。

背景技术

近年来，计算机病毒特别是勒索病毒对业务系统的可用性和数据安全性影响非常大，且越来越猖獗。

针对以上威胁，目前在数据层面主要的应对方法是利用备份或容灾系统定期将必要的数据备份到灾备系统中，一旦生产环境的数据感染了病毒，可以利用灾备系统中的数据快速恢复，将损失降到最低，但以上方法不能解决所有防勒索病毒问题，如果在备份前生产数据已经被感染或备份期间文件在病毒感染的潜伏期，此时通过备份已经无法阻止病毒感染数据。

针对以上问题，一般的解决方案是利用灾备系统定期进行备份数据恢复，再利用杀毒软件对恢复后的数据进行病毒查杀，确保数据的安全性，这种方法称为病毒查杀演练。然而，以上过程的风险在于杀毒过程中若杀毒环境与生产环境不是隔离的，则每次病毒查杀都可能导致生产环境受影响，造成更大的不可估计的损失。

发明内容

本发明提供了一种病毒查杀演练方法、装置、设备及存储介质，解决了杀毒环境与生产环境不隔离的问题，避免了病毒查杀过程对生产环境的影响，实现病毒查杀的同时保障了生产环境中生产数据的安全性，降低生产的经济损失。

第一方面，本公开实施例提供了一种病毒查杀演练方法，包括：

接收到工作流启动指令后，从灾备系统中获取备份数据；

对所述备份数据进行数据恢复，并确定目标恢复数据；

在预先构建的具备单向隔离功能的数据沙箱中对所述目标恢复数据进行病毒查杀演练。

第二方面，本公开实施例提供了一种病毒查杀演练装置，包括：

备份数据恢复模块，用于接收到工作流启动指令后，从灾备系统中获取备份数据；

恢复数据确定模块，用于对所述备份数据进行数据恢复，并确定目标恢复数据；

病毒查杀演练模块，用于在预先构建的具备单向隔离功能的数据沙箱中对所述目标恢复数据进行病毒查杀演练。

第三方面，本公开实施例提供了一种电子设备，包括：

至少一个处理器；以及

与至少一个处理器通信连接的存储器；其中，

存储器存储有可被至少一个处理器执行的计算机程序，计算机程序被至少一个处理器执行，以使至少一个处理器能够执行上述第一方面实施例提供的病毒查杀演练方法。

第四方面，本公开实施例提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机指令，计算机指令用于使处理器执行时实现上述第一方面实施例提供的病毒查杀演练方法。

本发明实施例的一种病毒查杀演练方法、装置、设备及存储介质，通过接收到工作流启动指令后，从灾备系统中获取备份数据；对所述备份数据进行数据恢复，并确定目标恢复数据；在预先构建的具备单向隔离功能的数据沙箱中对所述目标恢复数据进行病毒查杀演练。上述技术方案，解决了杀毒环境与生产环境不隔离的问题，避免了病毒查杀过程对生产环境的影响，实现病毒查杀的同时保障了生产环境中生产数据的安全性，降低生产的经济损失。

应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一提供的一种病毒查杀演练方法的流程图；

图2是本发明实施例一提供的一种病毒查杀演练方法中所涉及数据沙箱的结构示意图；

图3是本发明实施例一提供的一种病毒查杀演练方法中所涉及数据沙箱构建的流程图；

图4是本发明实施例二提供的一种病毒查杀演练方法的流程图；

图5是本发明实施例二提供的一种病毒查杀演练示意图；

图6是本发明实施例二提供的一种病毒查杀演练方法中所涉及开放性集成杀毒引擎示意图；

图7是本发明实施例三提供的一种病毒查杀演练装置的结构示意图；

图8是本发明实施例四提供的一种电子设备的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”和“目标”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例一

图1是本发明实施例一提供的一种病毒查杀演练方法的流程图，本实施例可适用于在具备单向隔离功能的数据沙箱中进行病毒查杀演练的情形，该方法可以由病毒查杀演练装置来执行，该病毒查杀演练装置可以采用硬件和/或软件的形式实现。

本发明提出了一种在数据沙箱中进行病毒查杀演练的方法，数据沙箱是与生产环境隔离的，通过在数据沙箱中进行病毒查杀，确保了病毒查杀演练的安全性，并且本发明提出的病毒查杀演练方法具备开放性，支持集成多种杀毒引擎，可以有效应对不同的病毒查杀需求。

如图1所示，该方法包括：

S101、接收到工作流启动指令后，从灾备系统中获取备份数据。

在本实施例中，工作流启动指令可以理解为用于启动整体作业流程的指令。灾备系统可以理解为用于预防灾难情况的备份系统，用于对生产环境中的生产数据进行备份。其中，生产环境为客户的业务环境。备份数据可以理解为生产环境的生产数据在灾备系统中备份所生成的数据。

具体的，在接收到工作流启动指令时，可以确定当前病毒查杀演练可开启执行，因此，需要先从灾备系统中获取备份数据，以便于后续根据备份数据进行病毒查杀演练。

S102、对备份数据进行数据恢复，并确定目标恢复数据。

在本实施例中，目标恢复数据可以理解为用于进行病毒查杀演练的恢复数据，目标恢复数据的数据内容与生产数据相同。

具体的，根据预设的数据恢复算法将备份数据恢复至预先构建的数据沙箱中的资源目录上，其中，预设的数据恢复算法可根据实际需求确定，本实施例对此不设限定。数据沙箱包括至少一个恢复资源，恢复资源上存在多个资源目录，对备份数据进行数据恢复后形成的恢复数据存储在数据沙箱中的资源目录上。

S103、在预先构建的具备单向隔离功能的数据沙箱中对目标恢复数据进行病毒查杀演练。

在本实施例中，数据沙箱为网络安全的一种防线，所有在沙箱中运行的程序都是模拟演习，并非真实应用。沙箱的工作原理是，将程序运行在一个隔离的空间内，且在沙箱中运行的程序可读不可写，从而避免程序对电脑的其它程序和数据造成永久性的修改或造成破坏。数据沙箱的原理示例性为：电脑是一张纸，程序的运行与改动就是在纸上写字，而沙箱相当于放在纸上的一块玻璃，程序的运行与改动只能写在那块玻璃上，而纸还是干干净净的。

具体的，预先构建具备单向隔离功能的数据沙箱，除指定数据外，数据沙箱与生产环境无法进行交互，因此，为保障生产环境的安全性，在具备单向隔离功能的数据沙箱中，根据预先选定的病毒查杀引擎对恢复到数据沙箱中资源目录上的目标恢复数据进行病毒查杀演练。

本发明实施例所提供的一种病毒查杀演练方法，通过接收到工作流启动指令后，从灾备系统中获取备份数据；对备份数据进行数据恢复，并确定目标恢复数据；在预先构建的具备单向隔离功能的数据沙箱中对目标恢复数据进行病毒查杀演练。上述技术方案中，将备份数据恢复到网络隔离的恢复资源中进行病毒查杀，避免了对生产环境产生影响，实现对恢复资源指定路径下的数据进行病毒查杀，确保恢复数据的安全性。上述技术方案解决了杀毒环境与生产环境不隔离的问题，避免了病毒查杀过程对生产环境的影响，实现病毒查杀的同时保障了生产环境中生产数据的安全性，降低生产的经济损失。

作为实施例的第一可选实施例，在上述实施例基础上，本第一可选实施例还优化增加了：

生成病毒查杀演练报告，并将病毒查杀演练报告反馈至服务端。

在本实施例中，病毒查杀演练报告可以理解为根据病毒查杀演练的结果所形成的报告。服务端可以理解为服务器，服务端、客户端以及作为本发明实施例执行主体的电子设备三者均远程无线连接，能够实现任意双方的数据交互，客户端还能够与用户产生交互。

具体的，在数据沙箱内对目标恢复资源进行病毒查杀演练后，根据病毒查杀演练的结果生成对应的病毒查杀演练报告，将病毒查杀演练报告上传到服务端，服务端可以根据客户端的调用需求将病毒查杀演练报告发送至客户端以供用户查询展示。

作为实施例的第二可选实施例，图2是本发明实施例一提供的一种病毒查杀演练方法中所涉及数据沙箱的结构示意图，数据沙箱中至少包括代理设备和不带上行链路的虚拟交换机vSwitch2，代理设备上创建有一张对外连通的虚拟网卡vNic1和若干张对内连通的虚拟网卡vNic2、vNic3.vNic4…，虚拟交换机vSwitch2上创建有若干个隔离网络端口组，若干个对内连通的虚拟网卡和若干个隔离网络端口组一一连接，构建网络。在上述实施例基础上，本第二可选实施例还优化增加了数据沙箱的构建步骤，包括：

a1)在目标虚拟化平台上创建不带上行链路的虚拟交换机，并在虚拟交换机上创建预设数量的隔离网络端口。

在本实施例中，目标虚拟化平台是基于客户端用户的选择所确定的虚拟化平台。不带上行链路的虚拟交换机可以理解为一种具备单向隔离供能的交换机，该虚拟交换机是数据沙箱具备隔离能力的基础，由于不带上行链路，因此该虚拟交换机与外部网络是隔离的，此时连接在该虚拟交换机网络上的任何虚拟机与外部网络都是隔离的。隔离网络端口可以理解为用于进行组网的网络端口，隔离网络是外部环境生产网络的映射，每个生产网络都可映射为一个隔离网络，通过映射，数据沙箱内部各隔离网络共同组成了与生产网络类似的组网，区别是该组网是在数据沙箱内部的，与外界隔离，不会对外部环境造成影响。

将客户端与用户交互所选定的虚拟化平台确定为目标虚拟化平台，基于程序在目标虚拟化平台上构建数据沙箱。具体的，在目标虚拟化平台上创建不带上行链路的虚拟交换机，在创建的不带上行链路的虚拟交换机上创建预设数量的隔离网络端口，其中，预设数量的隔离网络端口是生产网络端口在数据沙箱中的映射，因此，预设数量可以与生产网络中的生产网络端口数量相同，在一定条件下还可以少于生产网络端口数量。

b1)在目标虚拟化平台上创建具备预设操作系统且开启路由转发功能的虚拟机，将虚拟机确定为代理设备。

在本实施例中，预设操作系统可以理解为Linux系统。代理设备可以理解为用于进行数据中转的设备，代理设备实质是一个开启了路由转发功能的Linux虚拟机，其具备多张虚拟网卡，其中一张连接在外部网络上，其它的连接在数据沙箱内部的隔离网络上，代理设备既是外界与数据沙箱内部沟通的唯一桥梁，又起到连通数据沙箱内部各隔离网络的路由器的作用。

具体的，在目标虚拟化平台上创建Linux操作系统的虚拟机，并开启路由转发功能，将该虚拟机确定为用于进行数据沙箱内部各虚拟机之间中转，以及数据沙箱与目标虚拟化平台之间中转的代理设备。

c1)建立代理设备与隔离网络端口的连接，以及代理设备与目标虚拟化平台的连接。

在本实施例中，在代理设备上创建一张虚拟网卡，将该张虚拟网卡与目标虚拟化平台中的某个对外的生产网络上，并配置ip地址，建立虚拟网卡与生产网络的连接，进一步实现代理设备与目标虚拟化平台的连接。在代理设备上创建若干张虚拟网卡，虚拟网卡数量与隔离网络端口数量相同，将代理设备上创建的与隔离网络端口数量相同的虚拟网卡，配置与隔离网络端口相对应的地址，建立各个虚拟网卡与各个隔离网络之间的连接，进一步实现代理设备与隔离网络端口的连接。

进一步的，建立代理设备与隔离网络端口的连接，包括：

c11)在代理设备上创建预设数量的虚拟网卡，将各虚拟网卡与各隔离网络端口对应连接。

在本实施例中，在代理设备上创建预设数量的虚拟网卡，网卡数量与隔离网络端口的数量一致，将各虚拟网卡与各隔离网络端口一一对应连接。

c12)将各隔离网络所映射的生产网络的网关地址确定为与隔离网络所对应虚拟网卡的地址。

在本实施例中，确定隔离网络所映射的生产网络，并确定该生产网络对应的网关地址，将生产网络的网关地址确定为与该隔离网络相连接的虚拟网卡的ip地址。

c13)接收客户端的网络配置信息并根据网络配置信息对虚拟网卡的子网掩码和伪装网段进行配置。

在本实施例中，网络配置信息可以理解为客户端与用户交互时用户输入的网络地址信息。

具体的，接收客户端的网络配置信息，客户端的网络配置信息包括对虚拟网卡的子网掩码和伪装网断的配置信息。根据客户端传输的网络配置信息配置虚拟网卡的子网掩码和伪装网段。

d1)接收客户端的防火墙配置信息并根据防火墙配置信息对代理设备进行对应的防火墙规则配置。

在本实施例中，防火墙配置信息可以理解为iptables(网络过滤器)的配置信息。

具体的，防火墙配置信息是在客户端与用户交互的过程中用户所配置的信息，因此，接收客户端传输的防火墙配置信息，并根据防火墙配置信息对代理设备进行对应的iptables配置(防火墙规则配置)。

图3是本发明实施例一提供的一种病毒查杀演练方法中所涉及数据沙箱构建的流程图。基于此构建的数据沙箱，具备对外单向连通、内部互通以及支持根据指定ip和端口开放数据沙箱内部向外的主动请求三种功能。其中，对外单向连通功能，允许从数据沙箱外部主动访问数据沙箱内部，以及允许内部的响应出去，不允许数据沙箱内部主动访问数据沙箱外部。由于代理设备是数据沙箱内部与外界沟通的唯一桥梁，因此单向隔离性主要是通过在代理设备上配置相应的iptables规则实现；内部互通功能，数据沙箱内部的各网络支持互相连通，内部互通性主要通过在代理设备上对隔离网络内部的流量打上特定标记，并设置相应的路由策略实现；支持根据指定ip和端口开放数据沙箱内部向外的主动请求，为对外单向连通功能中的特例，可以根据实际需求，允许从数据沙箱内部主动向外，访问指定ip地址和端口的请求通过，该功能也是在代理设备上通过配置相应的iptables规则实现。

如图3所示，数据沙箱的配置流程为：

S10、选择虚拟化平台：选择一个虚拟化平台(用于部署数据沙箱)。

S11、创建不带上行链路的虚拟交换机：在该虚拟化平台上创建一个不带上行链路的虚拟交换机。

S12、创建代理设备，开启路由转发：在该虚拟化平台上创建一个linux操作系统的虚拟机，并开启路由转发功能。

S13、代理设备上增加一张虚拟网卡，连接到虚拟化平台对外的某个生产网络，并配置ip：在代理设备上增加一张虚拟网卡，将该虚拟网卡连接到该虚拟化平台的某个对外的生产网络上，并配置ip地址。

S14、在之前创建的虚拟交换机上创建N个端口组，N为需要映射的生产网络的数量：根据需要映射的生产网络的数量，在虚拟交换机上创建若干个隔离网络端口组，隔离网络端口组的数量与需要映射的生产网络数量相同。

S15、代理设备上增加N张虚拟网卡，分别连接到上一步创建的端口组，配置ip、子网掩码、伪装网段：在代理设备上再创建若干张虚拟网卡，虚拟网卡与隔离网络一一连接，设置代理设备上创建的虚拟网卡的ip地址、子网掩码和伪装网段，其中ip地址需要设置成该虚拟网卡对应的隔离网络映射的生产网络的网关地址。

S16、代理设备上配置iptables规则和arptables规则：在代理设备上配置相应的iptables规则和arptables规则，其中，arptables规则的基本思路和iptables一样，不过，arptables处理arp协议有关的包。

S17、判断隔离网络内部是否互通：若隔离网络内部互通，执行步骤S18；若隔离网络内部不互通，执行步骤S19。

S18、代理设备上给内部流量打标记，设置路由策略：若开启了隔离网络内部互通，则继续在代理设备上配置，给符合隔离网络内部特征的报文打标记，并指定相应的路由策略。

S19、判断是否开放指定的ip和端口：若开放指定的ip和端口，执行步骤S20，若未开放指定的ip和端口，结束数据沙箱构建流程，完成数据沙箱的构建。

S20、代理设备上配置iptables规则：若指定了放开对外的某个ip地址和端口的流量，则继续在代理设备上配置相应的iptables规则，配置完成后，结束数据沙箱构建流程，完成数据沙箱的构建。

实施例二

图4是本发明实施例二提供的一种病毒查杀演练方法的流程图，本实施例是对上述任一实施例的进一步优化，可适用于在具备单向隔离功能的数据沙箱中进行病毒查杀演练的情形，该方法可以由病毒查杀演练装置来执行，该病毒查杀演练装置可以采用硬件和/或软件的形式实现。

如图4所示，该方法包括：

S201、接收到工作流启动指令后，从灾备系统中获取备份数据。

S202、将备份数据恢复至数据沙箱中的恢复资源上，形成初始恢复数据并验证。

在本实施例中，初始恢复数据可以理解为备份数据直接恢复至恢复资源上的，未经验证的数据。

具体的，摒弃传统的数据恢复，采用挂载恢复方式进行数据恢复，挂载恢复指通过NFS(Network File System，网络文件系统)、iSCSI(internet Small Computer SystemInterface，小型计算机系统接口)、FC SAN(Fibre Channel Storage Area Network，光纤通道存储区域网络)、S3、HDFS(Hadoop Distributed File System，分布式文件系统)、CSI等协议，将备份数据挂载到恢复资源，在恢复资源形成初始恢复数据，实现快速恢复业务，该方法无需占用恢复资源的存储，不仅提升了数据恢复效率，还节约了成本。将将备份数据恢复至数据沙箱中的恢复资源上形成初始恢复数据后，通过预设的验证方式对初始恢复数据进行验证，判断初始恢复数据与备份数据所备份的生产数据的数据内容是否一致，若是，确定初始恢复数据验证通过；若否，确定初始恢复数据验证不通过。

S203、将验证通过的初始恢复数据确定为目标恢复数据。

在本实施例中，目标恢复数据可以理解为与生产数据一致的恢复数据，可用于进行病毒查杀演练。

具体的，初始恢复数据验证通过，表征与生产数据的数据内容一致，可用于进行病毒查杀演练，因此，将验证通过的初始恢复数据确定为用于进行病毒查杀演练的目标恢复数据。

S204、向客户端发送病毒查杀引擎选项，并接收客户端反馈的目标病毒查杀引擎。

在本实施例中，病毒查杀引擎选项可以理解为可供客户端用户选择的病毒查杀引擎，包括SDK(Software Development Kit，软件开发工具包)，license以及病毒库的杀毒软件等。目标病毒查杀引擎可以理解为客户端用户选定的病毒查杀引擎。

具体的，将几种病毒查杀引擎均作为选项发送至客户端，客户端用户从病毒查杀引擎选项中选择所需的一个或多个病毒查杀引擎，客户端将该选择信息传回作为本发明执行主体的电子设备。将用户选定的病毒查杀引擎确定为目标病毒查杀引擎。

S205、在预先构建的具备单向隔离功能的数据沙箱中，根据目标病毒查杀引擎对目标恢复数据进行病毒查杀演练，其中，数据沙箱中包括至少一个恢复资源，每个恢复资源包括至少一个资源目录，目标恢复数据在资源目录上。

在本实施例中，具备单向隔离功能的数据沙箱中包括至少一个恢复资源，每个恢复资源包括至少一个资源目录，目标恢复数据在资源目录上。在恢复资源上同时拉起多个病毒查杀引擎实例(目标病毒查杀引擎)对该资源上的目标路径并行查杀，为了更好的控制恢复资源的资源使用情况，通过将恢复资源的可配置并发数和单个病毒查杀任务配置的并发数作为资源池来管理，可针对恢复资源的实际情况配置一个并行查杀上限，针对每个病毒查杀任务可配置一个期望的并发数，实际任务流程执行的时候需要根据恢复资源并发数上限和实际查杀任务已使用的并发数来控制每个查杀任务实际可以并发的数量。该方法不仅充分利用了恢复资源，同时也保证了病毒查杀效率。其中，资源池是对恢复资源的一种配置机制，用于管理恢复资源可并发的病毒查杀引擎数和单个病毒查杀任务可并发的病毒查杀引擎数。

图5是本发明实施例二提供的一种病毒查杀演练示意图。如图5所示，对数据沙箱中恢复资源上的目标恢复数据进行病毒查杀演练，图中，生产环境为客户端业务环境；分布式存储为备份介质，用于备份数据的存储；病毒查杀配置指的是病毒查杀的目标恢复资源，查杀路径相关配置，该配置可以和其他不同类型的配置按照一定的拓扑关系连接，组成特定的任务流程，通过该流程，可以依次实现数据恢复、病毒查杀、恢复数据验证、恢复资源清理和邮件通知等一系列功能；杀毒引擎指的是包括病毒查杀sdk，license以及病毒库的杀毒软件；恢复资源指的是用来做数据恢复的目的端，该资源可以是生产环境或这与生产环境互通的其他环境，病毒查杀也在该资源上进行。

具体的，如图5所示，与生产网络隔离安全进行病毒查杀演练，包括：S21、创建数据沙箱，并在数据沙箱中部署好恢复资源和杀毒引擎客户端，数据沙箱指定对外开放杀毒引擎客户端向病毒查杀演练服务端的注册端口；S22、配置任务流程，其中灾备配置的恢复资源配置中选择部署数据沙箱的虚拟化平台作为恢复资源；S23、病毒查杀配置，选择该恢复资源上的一个或多个路径作为将要进行病毒查杀的路径，并选择数据沙箱内的杀毒引擎客户端作为杀毒客户端，之后再配置查毒和杀毒；S24、任务流程中其它节点的配置；S25、发起任务流程。

进一步的，图5中包含了内置病毒查杀引擎和第三方病毒查杀引擎，目的是为了可以支持不同类型的杀毒引擎，实现对多种病毒查杀引擎的开放性调用，图6是本发明实施例二提供的一种病毒查杀演练方法中所涉及开放性集成杀毒引擎示意图，如图6所示，开放性集成杀毒引擎包括病毒查杀调度层、病毒查杀适配层以及病毒查杀引擎，其中，病毒查杀调度层主要是提供一套公共的病毒查杀接口定义，该接口由各个病毒查杀引擎适配器来实现，发起病毒查杀的时候直接调用指定的病毒查杀引擎公共接口来实现，不关心病毒查杀引擎的具体功能。病毒查杀适配层主要是存放适配器，适配器是针对不同类型的杀毒引擎进行一个统一的封装，不同的病毒查杀引擎只需要实现一套上层调度层定义的接口，在这些接口的实现里面实现对病毒查杀引擎的具体调度及使用。病毒查杀引擎包括病毒查杀sdk，license和病毒库文件，sdk包含病毒查杀所需的一系列接口，license文件是授权调用接口的文件，病毒库是用来记录病毒特征的文件。

相应的，根据目标病毒查杀引擎对目标恢复数据进行病毒查杀演练，包括：

a2)、通过预设病毒查杀接口调用目标病毒查杀引擎所对应的适配器。

在本实施例中，预设病毒查杀接口可以理解为病毒查杀调度层所提供的公共的病毒查杀接口定义，能够与多种类型的病毒查杀适配器对应。

具体的，通过病毒查杀调度层调用预设病毒查杀接口与病毒查杀适配层连接，通过预设病毒查杀接口，在病毒查杀适配层调用目标病毒查杀引擎所对应的病毒查杀适配器。

b2)、根据目标病毒查杀引擎所对应的适配器调用目标病毒查杀引擎对目标恢复数据进行病毒查杀演练。

在本实施例中，通过病毒查杀调度层调用病毒查杀适配层的适配器后，根据各个适配器调用对应的目标病毒查杀引擎，根据目标病毒查杀引擎对目标恢复数据进行并行的病毒查杀演练。

本实施例所提供的一种病毒查杀演练方法，通过接收到工作流启动指令后，从灾备系统中获取备份数据；将备份数据恢复至数据沙箱中的恢复资源上，形成初始恢复数据并验证；将验证通过的初始恢复数据确定为目标恢复数据；向客户端发送病毒查杀引擎选项，并接收客户端反馈的目标病毒查杀引擎；在预先构建的具备单向隔离功能的数据沙箱中，根据目标病毒查杀引擎对目标恢复数据进行病毒查杀演练，其中，数据沙箱中包括至少一个恢复资源，每个恢复资源包括至少一个资源目录，目标恢复数据在资源目录上。上述技术方案中，通过适配层和病毒查杀调度层开放性集成不同杀毒引擎，解决了多类型病毒查杀引擎的差异性，为以后集成其他病毒查杀引擎提供了技术基础，用户可自由配置病毒查和杀，使得病毒查杀功能更加完整，通过挂载恢复快速提供查杀对象和资源池实现恢复资源充分利用，两种机制实现高效、并行查杀。上述技术方案，解决了杀毒环境与生产环境不隔离的问题，避免了病毒查杀过程对生产环境的影响，实现病毒查杀的同时保障了生产环境中生产数据的安全性，降低生产的经济损失。

示例性的，为更清楚地解释本发明实施例内容，在此做出举例，本发明包括构建具备单向隔离功能的数据沙箱，在数据沙箱的恢复资源上对恢复数据进行病毒查杀演练。

具体的，如图2和图5所示，该方法包括：

1.选择一个部署数据沙箱的虚拟化平台A；

2.在A上创建一个不带上行链路的虚拟交换机vSwitch2；

3.在A上创建一个linux操作系统的虚拟机appliance proxy，并开启路由转发功能；

4.在appliance proxy上增加一张虚拟网卡vNic1，将vNic1连接到A的某个对外的生产网络上，并配置ip地址；

5.在vSwitch2上创建一个端口组Isolated VM Network1,在appliance proxy上增加一张虚拟网卡vNic2，将vNic2连接到Isolated VM Network1，假设待恢复的虚拟机为vm1(ip地址为192.168.125.100),vm1连在生产网络VM Network1上，VM Network1的网关地址为192.168.125.254，则配置vNic2的ip地址为192.168.125.254，子网掩码配置为VMNetwork1的子网掩码，设置Isolated VM Network1的伪装网络为192.168.225.0/24；

6.假设病毒查杀演练服务端的ip地址为192.168.10.100，杀毒引擎客户端向服务端注册的端口为9614，则在数据沙箱上配置指定开放ip地址为192.168.10.100，端口为9614的报文；

7.appliance proxy上设置相应的iptables规则；

8.在Isolated VM Network1上部署一个安装了杀毒引擎客户端的虚拟机，假设为client1；

9.创建一个任务流程，其中灾备配置中恢复资源部分选择虚拟化平台A,应用配置部分待恢复的虚拟机选择vm1,恢复目的地选择A，恢复后虚拟机命名为vm2,网络连接选择Isolated VM Network1；

10.验证配置中，选择虚拟机验证的方式为ping，目标ip地址为192.168.225.100(vm1的伪装ip)；

11.病毒查杀配置中，杀毒引擎客户端选择client1(由于开放了192.168.10.100的9614端口，病毒查杀演练服务端可以发现client1)，杀毒路径选择恢复后虚拟机vm2的/home路径，选择查毒并杀毒；

12.清理配置中选择脚本清理，指定清理的虚拟机为vm2；

13.配置好之后，执行该任务流程。

在本实施例中，按照之前配置好的任务流程，任务执行过程中会将vm1恢复到数据沙箱所在的虚拟化平台A，恢复后的虚拟机名称为vm2,网络连接到Isolated VM Network1上，在验证环节，从数据沙箱外部通过ping192.168.225.100验证vm2的恢复是否正常，验证之后对vm2的/home路径进行病毒查杀，由于杀毒引擎客户端和vm2都连在Isolated VMNetwork1上，而Isolated VM Network1在数据沙箱内，与外界是隔离的，因此可以确保病毒查杀过程的安全性，最后生成此次病毒查杀演练的报告。

实施例三

图7是本发明实施例三提供的一种病毒查杀演练装置的结构示意图。如图7所示，该装置包括：

备份数据恢复模块31，用于接收到工作流启动指令后，从灾备系统中获取备份数据；

恢复数据确定模块32，用于对所述备份数据进行数据恢复，并确定目标恢复数据；

病毒查杀演练模块33，用于在预先构建的具备单向隔离功能的数据沙箱中对所述目标恢复数据进行病毒查杀演练。

本技术方案采用的病毒查杀演练装置，解决了杀毒环境与生产环境不隔离的问题，避免了病毒查杀过程对生产环境的影响，实现病毒查杀的同时保障了生产环境中生产数据的安全性，降低生产的经济损失。

可选的，恢复数据确定模块32，具体用于：

将所述备份数据恢复至数据沙箱中的恢复资源上，形成初始恢复数据并验证；

将验证通过的所述初始恢复数据确定为目标恢复数据。

可选的，病毒查杀演练模块33，包括：

目标引擎确定单元，用于向客户端发送病毒查杀引擎选项，并接收所述客户端反馈的目标病毒查杀引擎；

病毒查杀演练单元，用于在预先构建的具备单向隔离功能的数据沙箱中，根据所述目标病毒查杀引擎对所述目标恢复数据进行病毒查杀演练，其中，所述数据沙箱中包括至少一个恢复资源，每个恢复资源包括至少一个资源目录，所述目标恢复数据在所述资源目录上。

可选的，病毒查杀演练单元，具体用于：

通过预设病毒查杀接口调用所述目标病毒查杀引擎所对应的适配器；

根据目标病毒查杀引擎所对应的适配器调用所述目标病毒查杀引擎对所述目标恢复数据进行病毒查杀演练。

可选的，该装置还包括：

演练报告生成模块，用于生成病毒查杀演练报告，并将所述病毒查杀演练报告反馈至服务端。

可选的，该装置还包括数据沙箱创建模块，包括：

隔离网络创建单元，用于在目标虚拟化平台上创建不带上行链路的虚拟交换机，并在所述虚拟交换机上创建预设数量的隔离网络端口；

代理设备确定单元，用于在所述目标虚拟化平台上创建具备预设操作系统且开启路由转发功能的虚拟机，将所述虚拟机确定为代理设备；

代理连接建立单元，用于建立所述代理设备与所述隔离网络端口的连接，以及所述代理设备与所述目标虚拟化平台的连接；

规则配置单元，用于接收客户端的防火墙配置信息并根据所述防火墙配置信息对所述代理设备进行对应的防火墙规则配置。

可选的，代理连接建立单元，具体用于：

在所述代理设备上创建预设数量的虚拟网卡，将各所述虚拟网卡与各所述隔离网络端口对应连接；

将各隔离网络所映射的生产网络的网关地址确定为与所述隔离网络所对应虚拟网卡的地址；

接收客户端的网络配置信息并根据所述网络配置信息对所述虚拟网卡的子网掩码和伪装网段进行配置。

本发明实施例所提供的病毒查杀演练装置可执行本发明任意实施例所提供的病毒查杀演练方法，具备执行方法相应的功能模块和有益效果。

实施例四

图8示出了可以用来实施本发明的实施例的电子设备40的结构示意图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本发明的实现。

如图8所示，电子设备40包括至少一个处理器41，以及与至少一个处理器41通信连接的存储器，如只读存储器(ROM)42、随机访问存储器(RAM)43等，其中，存储器存储有可被至少一个处理器执行的计算机程序，处理器41可以根据存储在只读存储器(ROM)42中的计算机程序或者从存储单元48加载到随机访问存储器(RAM)43中的计算机程序，来执行各种适当的动作和处理。在RAM 43中，还可存储电子设备40操作所需的各种程序和数据。处理器41、ROM 42以及RAM 43通过总线44彼此相连。输入/输出(I/O)接口45也连接至总线44。

电子设备40中的多个部件连接至I/O接口45，包括：输入单元46，例如键盘、鼠标等；输出单元47，例如各种类型的显示器、扬声器等；存储单元48，例如磁盘、光盘等；以及通信单元49，例如网卡、调制解调器、无线通信收发机等。通信单元49允许电子设备40通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

处理器41可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器41的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器41执行上文所描述的各个方法和处理，例如病毒查杀演练方法。

在一些实施例中，病毒查杀演练方法可被实现为计算机程序，其被有形地包含于计算机可读存储介质，例如存储单元48。在一些实施例中，计算机程序的部分或者全部可以经由ROM 42和/或通信单元49而被载入和/或安装到电子设备40上。当计算机程序加载到RAM 43并由处理器41执行时，可以执行上文描述的病毒查杀演练方法的一个或多个步骤。备选地，在其他实施例中，处理器41可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行病毒查杀演练方法。

本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本发明的上下文中，计算机可读存储介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。备选地，计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与用户的交互，可以在电子设备上实施此处描述的系统和技术，该电子设备具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)、区块链网络和互联网。

计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，又称为云计算服务器或云主机，是云计算服务体系中的一项主机产品，以解决了传统物理主机与VPS服务中，存在的管理难度大，业务扩展性弱的缺陷。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本发明的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。