92196部隊 胡冬英

隨著網(wǎng)絡(luò)規(guī)模擴大和拓?fù)浣Y(jié)構(gòu)的適當(dāng)調(diào)整，IP地址更多的是以動態(tài)分配形式為主。不過實際生活中存在許多的IP地址盜用、ARP病毒攻擊等現(xiàn)象，究其原因就是用戶比較多、地理位置較為分散以及隨機性太強，進(jìn)而造成網(wǎng)絡(luò)安全管理工作的巨大困擾。本文結(jié)合思科DHCP Snooping(DHCP 監(jiān)聽)、DAI(ARP 檢測)、IPSG(IP 源地址防護(hù))等技術(shù)探究合理的網(wǎng)絡(luò)安全管理方案。

21世紀(jì)以來，互聯(lián)網(wǎng)技術(shù)日益更新，在為人們帶來許多生活便利的同時，還隱藏著網(wǎng)絡(luò)安全的隱患。我們急需對網(wǎng)絡(luò)安全情況引起重視，在享受網(wǎng)絡(luò)的便利同時提高防范心理。那么，如何解決這一安全問題呢？要始終堅持“安全第一，預(yù)防為主”的指導(dǎo)策略，做好前期防范工作和事中援救事宜，根據(jù)預(yù)測、分析與防治工作出具應(yīng)急預(yù)案，將可能出現(xiàn)的網(wǎng)絡(luò)安全問題的解決處理辦法的重點落在準(zhǔn)確性與便捷性上，提高應(yīng)急處置能力，最大限度地減少網(wǎng)絡(luò)安全危機的發(fā)生及其不良后果。

1 網(wǎng)絡(luò)安全日常管理

日常管理是網(wǎng)絡(luò)安全工作的基礎(chǔ)，改進(jìn)平時的管理，必須不斷增強安全防范意識：網(wǎng)絡(luò)管理員和所有員工都要高度重視網(wǎng)絡(luò)安全，時刻保持警覺，決不松懈，共同為網(wǎng)絡(luò)筑起一道“防護(hù)墻”。其日常管理有以下基本規(guī)則。

（1）要確保內(nèi)部局域網(wǎng)和外網(wǎng)嚴(yán)格執(zhí)行物理隔離。對局域網(wǎng)中的每一個用戶來說，在進(jìn)入到局域網(wǎng)之前，系統(tǒng)必須進(jìn)行補丁下載，并且在進(jìn)入到局域網(wǎng)之前對病毒進(jìn)行殺毒。每臺PC都要經(jīng)過實名認(rèn)證，并將IP地址和MAC地址相關(guān)聯(lián)。

（2）要安裝殺毒軟件：每個網(wǎng)絡(luò)服務(wù)器、電腦等設(shè)施對有關(guān)殺毒軟件的配備上是具有必要性的，使用者在固定周期內(nèi)進(jìn)行軟件升級和殺毒操作。在緊急情況下，客戶使用端口會被迫進(jìn)行升級與殺毒操作。

（3）要做好密碼設(shè)置工作：指定計算機設(shè)備，如局域網(wǎng)中連接外網(wǎng)的計算機服務(wù)器、門戶網(wǎng)、網(wǎng)絡(luò)服務(wù)器、遠(yuǎn)程服務(wù)器等，必須設(shè)置不同的登錄密碼，這一密碼最好的設(shè)置是由數(shù)字、26個英文字母及標(biāo)點符號構(gòu)成，長度為12位數(shù)，定期刪除和更換設(shè)備的登錄密碼。

（4）對一些核心的設(shè)施和體系上盡量不使用相同的登入名和密碼，軟件的連接密碼和開機密碼也不能一樣。登錄名盡可能不使用admin。

（5）要做好數(shù)據(jù)備份工作：在一切正常的情況下，外網(wǎng)計算機不存儲關(guān)鍵數(shù)據(jù)，中國禁止存儲機密的商業(yè)數(shù)據(jù)和企業(yè)內(nèi)部參考數(shù)據(jù)。

（6）要保存并分析重要日志和記錄：需要不少于留存有90天的網(wǎng)絡(luò)使用行為管理、入侵檢測記錄。相關(guān)負(fù)責(zé)人員時常查閱及評析相關(guān)記錄，以確保網(wǎng)絡(luò)安全。

2 關(guān)鍵技術(shù)：Snooping

Snooping(DHCP 監(jiān)聽)屬于思科公司的一種具備DHCP安全特性的技術(shù)，主要應(yīng)用對象是交換機。待到交換機啟動該特性之后，會對網(wǎng)絡(luò)之中存在的用戶DHCP報文予以監(jiān)聽，從而構(gòu)成DHCP監(jiān)聽綁定表。該表格主要是由報文檢測和IP源地址防護(hù)技術(shù)的運用供應(yīng)重要信息。

指的是DHCP報文中存在的中繼代理信息選項，主要應(yīng)用在IPSG技術(shù)使用時。一旦DHCP客戶端將地址請求報文經(jīng)由路由器和交換機等插入Option82選項，Option82在內(nèi)容上涵蓋了請求地址主機的MAC地址、連接主機的端口號，假使DHCP Server對Option82予以支持，那么就能夠遵照Option82包在內(nèi)的全部信息都能夠分配到IP地址。假使DHCP Server對Option82不支持的話，那么就應(yīng)當(dāng)將DHCP Request包丟棄掉，進(jìn)而主機也就得不到IP地址了。

DHCP Server回應(yīng)報文經(jīng)過整個中繼設(shè)備的時候，中繼設(shè)備會對回應(yīng)包中存在的Option82 MAC地址和端口號是不是和最初插入的時候相一致，待到確認(rèn)無誤之后就將有關(guān)信息刪除掉，以此對回應(yīng)包轉(zhuǎn)發(fā)給對應(yīng)的請求客戶機。如圖1所示。

圖1 Option82作用

3 基于Snooping技術(shù)的網(wǎng)絡(luò)安全應(yīng)急措施

3.1 內(nèi)部局域網(wǎng)安全應(yīng)急措施

（1）網(wǎng)絡(luò)流量異常維護(hù)人員采取技術(shù)措施監(jiān)視網(wǎng)絡(luò)狀況，發(fā)現(xiàn)造成異常的原因。如果發(fā)現(xiàn)由內(nèi)部客戶終端設(shè)備引起的異常，應(yīng)立即通知客戶，并確保其安全。如異常產(chǎn)生的原因來自外部網(wǎng)絡(luò)，則對相關(guān)源網(wǎng)絡(luò)立即封禁，并立即執(zhí)行系統(tǒng)日志記錄工作。

2018年10月11日，在國家衛(wèi)生健康委醫(yī)政醫(yī)管局指導(dǎo)的第四季改善醫(yī)療服務(wù)全國醫(yī)院擂臺賽東北賽區(qū)決賽中，盛京醫(yī)院參選案例“基于醫(yī)聯(lián)體區(qū)域協(xié)同護(hù)理信息化平臺構(gòu)建延伸護(hù)理新模式”榮獲主題七延伸優(yōu)質(zhì)護(hù)理服務(wù)“十大價值案例”與“十大人氣案例”兩項大獎。

（2）網(wǎng)絡(luò)病毒爆發(fā)

針對網(wǎng)絡(luò)病毒的大規(guī)模爆發(fā)，一旦得到確認(rèn)，就應(yīng)立即采取一定的有效措施，合理控制病毒的爆發(fā)類型。①局域網(wǎng)分地區(qū)暴發(fā)病毒當(dāng)局域網(wǎng)分地區(qū)爆發(fā)病毒時，應(yīng)盡早查明病毒來源，并斷開相應(yīng)子網(wǎng)絡(luò)，網(wǎng)管人員應(yīng)立即采取有效措施進(jìn)行處理（或通知相關(guān)企業(yè)，由網(wǎng)管人員跟蹤處理）。當(dāng)能確保無病毒的安全情況下，子網(wǎng)絡(luò)就能再次啟動使用。②整個網(wǎng)絡(luò)出現(xiàn)病毒且局域網(wǎng)主要部分遭到破壞下，依照網(wǎng)管策略分析和明確病毒門類，然后切斷有關(guān)子網(wǎng)絡(luò)。在明確病毒出現(xiàn)較為危急的可能門類時，按照網(wǎng)絡(luò)的連接層更換設(shè)備慢慢縮小病毒源頭的門類，直到找到病毒的真正位置，清除病毒危害后，網(wǎng)絡(luò)才能重新啟動。

（3）病毒處理

發(fā)現(xiàn)計算機設(shè)備如網(wǎng)絡(luò)服務(wù)器和無線路由器、服務(wù)器防火墻上的病毒狀況。第一步，在有可能的情況下中斷網(wǎng)絡(luò)服務(wù)器的本地連接，避免病毒在局域網(wǎng)外擴散，關(guān)鍵網(wǎng)絡(luò)服務(wù)器立即打開備份數(shù)據(jù)機，確保業(yè)務(wù)流程的所有運行正常。第二步，審查網(wǎng)絡(luò)信息安全設(shè)施的相關(guān)記錄，像入侵檢測記錄、IPS等，評析去除病毒源頭，了解病毒來自于哪臺服務(wù)器、IP，從局域網(wǎng)中切斷病毒源網(wǎng)絡(luò)和終端設(shè)備，從源頭切斷病毒源，另外，發(fā)現(xiàn)網(wǎng)絡(luò)病毒源時，應(yīng)立即關(guān)閉端口等措施來保護(hù)病毒。第三步是通知服務(wù)器用戶已經(jīng)感染了病毒，并立即將其清除的技術(shù)解決方案，具體指導(dǎo)用戶殺滅病毒。

發(fā)現(xiàn)病毒后，對內(nèi)網(wǎng)重要業(yè)務(wù)用機采取以下措施。第一步，中斷服務(wù)器的數(shù)據(jù)連接，立即打開備份數(shù)據(jù)機，確保所有業(yè)務(wù)流程正常運行，報告部門負(fù)責(zé)人，通知病毒來源所在部門領(lǐng)導(dǎo)。病毒檢測、檢查后系統(tǒng)執(zhí)行補丁下載升級等（或具體指導(dǎo)）。第二步，數(shù)據(jù)分析系統(tǒng)的損壞程度，盡可能修復(fù)并保存重要數(shù)據(jù)信息。第三步，如果檢查后不能修復(fù)系統(tǒng)，如果備份信息出現(xiàn)關(guān)鍵數(shù)據(jù)情況下，需要再次安裝計算機操作系統(tǒng)及系統(tǒng)軟件等。最后，審查系統(tǒng)記錄，進(jìn)行了解了解等，找出病毒來源，采取一定有效措施，避免再中毒。

首先發(fā)現(xiàn)病毒，立即中斷服務(wù)器數(shù)據(jù)連接，避免病毒外泄。其次審查明確病毒傳染緣由，使用有關(guān)技術(shù)策略，避免病毒又一次的加重。最后，網(wǎng)管人員出具把病毒消除的策略施展計劃，全面開展病毒檢測，采取相應(yīng)的技術(shù)措施，防止再中毒。

3.2 外網(wǎng)安全應(yīng)急措施

（1）外部局域網(wǎng)被攻擊

如網(wǎng)絡(luò)行為管控、WEB危險預(yù)防、WEB網(wǎng)絡(luò)服務(wù)器等受攻擊，造成無法正常運轉(zhuǎn)，應(yīng)在第一時間采取相應(yīng)的應(yīng)對措施，并向部門主管報告，立即開展系統(tǒng)日志記錄工作。

若信息被惡意篡改，則有關(guān)人員應(yīng)首先切斷受攻擊機械設(shè)備的物理數(shù)據(jù)連接（如果沒有任何不良影響，則必須在整個維修服務(wù)項目過程中應(yīng)用到網(wǎng)絡(luò)上，可連續(xù)連接數(shù)據(jù)），分析記錄事件日志的攻擊惡性事件，調(diào)整安全設(shè)置?；谙到y(tǒng)軟件記錄系統(tǒng)日志和事件日志，分析攻擊源，并與相關(guān)部門負(fù)責(zé)人進(jìn)行協(xié)作。

篡改信息后，立即切斷相關(guān)信息的在線連接，盡快進(jìn)行數(shù)據(jù)修復(fù)，以創(chuàng)建相關(guān)記錄查找原因。根據(jù)總體安全標(biāo)準(zhǔn)，由于其他不確定性因素造成的網(wǎng)絡(luò)癱瘓和信息篡改問題，可以結(jié)合實際情況相對地得到解決。

對應(yīng)用攻擊的系統(tǒng)脆弱性、攻擊方式、全過程進(jìn)行分析，并對攻擊的詳細(xì)地址進(jìn)行分析，對系統(tǒng)軟件進(jìn)行破壞程度評估，對系統(tǒng)備份和數(shù)據(jù)信息進(jìn)行技術(shù)處理，存儲病毒事件日志，有針地性地面向網(wǎng)站薄弱環(huán)節(jié)進(jìn)行維護(hù)，閉上攻擊端口號，按照注冊文件設(shè)計其顯示項目，使用專門的殺毒軟件，改進(jìn)計算機設(shè)備和系統(tǒng)設(shè)置等。在病毒完全清除后，對發(fā)生的惡性事件進(jìn)行徹底處理，發(fā)現(xiàn)機械設(shè)備配置、系統(tǒng)設(shè)置發(fā)生變化時，對局域網(wǎng)中備份數(shù)據(jù)進(jìn)行新配置，并對計算機設(shè)備進(jìn)行相對無線路由器、服務(wù)器防火墻、網(wǎng)絡(luò)服務(wù)器等的修復(fù)，必要時對數(shù)據(jù)庫進(jìn)行查詢，在備份數(shù)據(jù)生成時，對設(shè)備進(jìn)行校驗，并重新安裝系統(tǒng)等等。

（2）發(fā)生違反法律法規(guī)等安全事件

當(dāng)學(xué)習(xí)發(fā)生泄露、企業(yè)外部網(wǎng)絡(luò)疏導(dǎo)攻擊等惡性事件發(fā)生時，應(yīng)立即向主管人員報告，并由公司主管部門進(jìn)行技術(shù)檢查和正確定位。當(dāng)襲攻擊還在繼續(xù)時，必要的話管理員應(yīng)先切斷企業(yè)對外的總?cè)肟?，對?shù)據(jù)信息泄漏器進(jìn)行數(shù)據(jù)連接切斷等操作，查明攻擊事件造成的危害程度（或分析可能造成的危害程度），采取相應(yīng)的應(yīng)急措施。系統(tǒng)軟件中保存和出示網(wǎng)絡(luò)日志、網(wǎng)絡(luò)管理系統(tǒng)日志等，全力協(xié)助公安部門進(jìn)行調(diào)查。

結(jié)語：本文結(jié)合思科DHCP Snooping(DHCP 監(jiān)聽)、DAI(ARP檢測)、IPSG(IP 源地址防護(hù))等技術(shù)探究合理的網(wǎng)絡(luò)安全管理方案。網(wǎng)絡(luò)管理員在對網(wǎng)絡(luò)和信息進(jìn)行安全管理時，必須始終堅持安全理念，首先要確保觀念健全的安全管理方案，根據(jù)預(yù)測、分析與防治工作出具應(yīng)急預(yù)案，將可能出現(xiàn)的網(wǎng)絡(luò)安全問題的解決處理辦法的重點落在準(zhǔn)確性與便捷性上，提高應(yīng)急處置能力；要嚴(yán)格堅持人防、物防、技防共同執(zhí)行的準(zhǔn)則，確保能有效地應(yīng)對各項緊急事項，使得網(wǎng)絡(luò)管理正常進(jìn)行。