SYS SECURITY 系统安全 ≥ 局域网突发事件现场应急处置 靖边基地局域网网络安全维护管理方法 ◆蔡海超 摘要:本文以钻井总公司靖边基地网络维护事例为基础,阐述了局 域网遭遇突发病毒或网络攻击时,在本地应急处理和解决局域网中毒和 通讯瘫痪的具体方法。 关键词:局域网;网络维护;管理方法 目前关于信息安全方面的工作,我们只能做到对局 域网网络设备的维护和基本的网络管理这个层面,其次 是网络安全制度的建立和执行,即对网络用户的管理。 染。 1.3非法外连。非法外连,这种非常不安全的行为 是在我做网络维护工作这么多年以来被我发现和非常恼 针对信息安全制度的建立,相对容易实现,但对信息安 全制度的执行和落实,就显的比较困难了,尤其是在企 业内部,基本上是做不到对网内用户个人的用机习惯和 用机卫生的养成和约束。今天我们即将探讨的就是局域 网的病毒监测和应急处置方法,所选局域网为长庆钻井 总公司靖边基地网络。 一火的事情,它就像炸弹一样隐匿在局域网内部,随时都 有可能像炸弹一样爆炸,让来自局域网外部的威胁以一 种更快捷,更直接地途径侵入到内网。这种非法外连的 途径在此只简单的介绍三种我们常见的方式:①局域 网内电脑通过手机接人Internet;②局域网内电脑通过 3G网卡接入Internet;③局域网内电脑通过翻墙软件或 HTTP通道(代理服务器),直接穿透或绕过防火墙, 、靖边基地局域网病毒分类 接入Internet。 1.4便携式移动存储设备传播病毒。因钻井行业的特 殊性:井队作业在野外,井队电脑上网困难,不能及时更 1.1来自外部的威害。局域网病毒的来源,首先要说 的肯定就是外部,即相对于局域网以外的网络。相对于靖 边基地局域网,例如:钻井总公司网络(西安);川庆钻 探网络(成都);长庆油田公司(陕甘宁蒙地区);再大 就是Intemet。虽然在靖边基地局域网的出口处,安有侠诺 新病毒库,更不能做到正常的电脑杀毒维护工作,在使用 感染了病毒的便携式移动存储设备读取或拷贝文件时,使 自身电脑中毒;然后因工作需要,再向其它干净的便携式 防火墙,但防火墙的能力有限,在一定程度上可以强化安 全策略,有效记录InternetJ2的活动,但防火墙设备是人设 计和制作的,网络通信协议是人制定的,因人无完人,人 生产的设备更无完美的设备。所以对于局域网来说,这首 当其冲的安全威胁就来自局域网的外部。 移动存储设备拷贝文件时,又使其感染上自身的病毒,然 后被人为地携带至靖边基地,在和靖边基地工作人员的电 脑相互拷贝文件的过程中,使局域网网内主机中毒,并开 始向局域网传播病毒,感染网内其它主机。 1.2内部计算机交叉感染。局域网外部的危害讲 完,就该讲局域网内部了,这局域网内部的安全危害比 二、局域网安全防护措施 根据前面几章的详细叙述,我们在抛开人员管理 这一层面,可以根据靖边基地的病毒来源情况和病毒爆 较多,这第一点就是局域网内部的计算机被外部黑客 攻击或被来自外部的强伪装性和高欺骗性的病毒文件寄 发的基本特征,对局域网做到基本的安全防护。其基本 的措施有以下几个方面:①在局域网的网络出口处安装 防火墙设备;②根据局域网的网络使用情况,制定相应 生,网内主机在正常业务时,计算机病毒被激活后,因 病毒的基本特征寄生l生和传染性,使病毒在局域网内流 窜,网内的电脑主机在没做好安全防护措施或安全防护 措施不完善时,被恶意的侵害,被寄生,再相互感染, 相互影响,这就是局域网内部计算机用户相互交叉感 的、符合内网环境的安全策略;③要求局域网内用户安 装最新的操作系统,并且及时对操作系统做最新的补丁 更新安装;④提醒局域网内用户对本机杀毒软件做病毒 信息系统¨【程I 2012.6.2O 69 << SYS SECURITY 系统安全 库更新;⑤要求局域网内用户对本机加装防火墙软件, 如天网防火墙;⑥对局域网做VLAN划分,根据局域 中毒情况发生之时,按下面流程进行操作:①断开本地 局域网的出口线路,首先要确保本地病毒主机与外部网 络的通信在物理上是断开的;②检查主干道线路是否正 网结构特征和网内用户的分布情况,做适当的VLAN ̄ 分,尽可能的避免出现病毒爆发时,迅速感染和蔓延至 整个网络。 常,一般主干道都是光缆,可以直接观察光收发设备的 指示灯,这里就不详细说明光收发设备了,一般情况下 光路LINK灯亮即可说明主干道物理连接正常。③检查 三、局域网病毒监测和处理方法 3.1防火墙监测。在一般情况下,局域网网速变 慢,敏感的网络管理人员会立即意识到内网有问题。在 局域网主干道通信是否正常,找一台笔记本电脑,将网 络参数配置成上一级网络的合法地址,对上一级网络的 网关或DNS进行PING操作,如果畅通即可说明本地网 络瘫痪是本地局域网内部的问题。④检查本地网络设备 是否损坏或被恶意攻击,如果设备完好,即检查设备参 这种情况下,我们靖边区块的网络,使用的是侠诺防火 墙对局域网进行流量监测。通过网内主机带宽使用情况 数据,判断异常流量主机的IP地址。锁定Ip地址后,检 数是否被修改,参照设备参数备份信息,即可判断设备 参数是否完好。⑤在确定设备无损坏、完好的前提下, 将本地局域网的核心设备(如靖边基地的局域网的核心 查此IP地址的电脑主机通信端口的使用情况。通过查看 异常数据流端口地址,再参考木马常用地址列表和相关 说明,就可以基本判断异常流量主机的基本通信情况, 但还无法肯定此电脑一定中毒了。一般电脑在进行下载 文件业务的时候,会收发庞大的数据包,通常都会出现 在一段时间内保持带宽的高占用率,但如果出现长时问 带宽占用情况,就可以将其视为中毒主机,要采取相应 的措施进行处理,比如对此IP的电脑带宽做限制,或直 设备分别是:中兴路由器ZSR3884,侠诺QNO3000,中 兴交换机T40G的下一级所有网络断开,然后依次将其 与主干道进行连接,测试网络是否正常。⑥在确定本地 局域网核心设备无损坏、完好的前提下,即可将本地网 络遇险的警戒级别降低一个梯度,开始对局域网进行全 面的扫毒工作。 接对其关闭信息服务,如果在对此电脑关闭信息服务 后,在局域网内部仍然可以监测到此IP和物理地址对应 四、结论 归根结底我们讨论的这些网络维护的思想、方法, 其实都是在为信息的安全做工作,目的就是让网络内部 的信息安全。像我们这些做网络维护的工作人员。只能 的数据包,就可以明确此台电脑就是祸害网络的中毒主 机。确定病毒主机后,就根据中毒情况进行隔离染毒电 脑和查杀病毒等措施。病毒处理完毕后,就可以恢复其 信息服务了。 3.2杀毒和网络恢复。明确了局域网内的中毒主 机,就可以直接通知中毒主机的用户或单位进行全面杀 对局域网和网络设备做基本的维护工作,实现不了理想 的局域网彻底安全的状态。要想达到更加安全或相对理 想的真正安全意义上的网络安全,还需要大家的共同努 力,只有使用网络的每个人能够净化自己的用机行为, 毒或单机杀毒。杀毒完毕后,即可恢复其单位或个人的 网络服务,然后对其单位或单个主机进行再一次的数据 流量扫描,如果持续正常,虽Ⅱ可降低或消除对其单位或 个人的警戒级别,最终实现网络的全面恢复。 3.3应急处理办法。在以上描述的局域网网络严重 确保自己从网络获得的和发送的信息的安全,才能实现 整个网络信息的安全,最终实现网络的安全。 管理中心) ・嘲 (作者单位:川庆钻探长庆钻井总公司信息与档案 l llll 0 0 |0 0|0ll l(上接66页) 环境。 鳓 四、结束语 本文仅探讨了高校校园网络的安全面临的威胁和对 参考文献 【1】张旭高校校园网安全分析及对策研究….电脑知识与 术,2010(8). 策。随着计算机的不断普及和发展,安全问题也同样将 面临更大的考验。对于校园网络的管理员来讲,一定要 提高网络安全意识,加强网络安全技术的掌握,规范上 网行为。与此同时,还应加强学生网络道德教育,真正 切实地净化校园网络,为高校师生营造一个良好的学习 70 信息系统工程l 2012.6.20 [2】谢希仁.计算机网络[M]大连理工大学出版社,2000(5). [3]吴礼俊.试论校园网安全防护体系的构建Ⅱ1.中国科教创新导 刊,2008(7) (作者单位:东华大学计算机科学与技术学院)