92196部队 胡冬英

随着网络规模扩大和拓扑结构的适当调整，IP地址更多的是以动态分配形式为主。不过实际生活中存在许多的IP地址盗用、ARP病毒攻击等现象，究其原因就是用户比较多、地理位置较为分散以及随机性太强，进而造成网络安全管理工作的巨大困扰。本文结合思科DHCP Snooping(DHCP 监听)、DAI(ARP 检测)、IPSG(IP 源地址防护)等技术探究合理的网络安全管理方案。

21世纪以来，互联网技术日益更新，在为人们带来许多生活便利的同时，还隐藏着网络安全的隐患。我们急需对网络安全情况引起重视，在享受网络的便利同时提高防范心理。那么，如何解决这一安全问题呢？要始终坚持“安全第一，预防为主”的指导策略，做好前期防范工作和事中援救事宜，根据预测、分析与防治工作出具应急预案，将可能出现的网络安全问题的解决处理办法的重点落在准确性与便捷性上，提高应急处置能力，最大限度地减少网络安全危机的发生及其不良后果。

1 网络安全日常管理

日常管理是网络安全工作的基础，改进平时的管理，必须不断增强安全防范意识：网络管理员和所有员工都要高度重视网络安全，时刻保持警觉，决不松懈，共同为网络筑起一道“防护墙”。其日常管理有以下基本规则。

（1）要确保内部局域网和外网严格执行物理隔离。对局域网中的每一个用户来说，在进入到局域网之前，系统必须进行补丁下载，并且在进入到局域网之前对病毒进行杀毒。每台PC都要经过实名认证，并将IP地址和MAC地址相关联。

（2）要安装杀毒软件：每个网络服务器、电脑等设施对有关杀毒软件的配备上是具有必要性的，使用者在固定周期内进行软件升级和杀毒操作。在紧急情况下，客户使用端口会被迫进行升级与杀毒操作。

（3）要做好密码设置工作：指定计算机设备，如局域网中连接外网的计算机服务器、门户网、网络服务器、远程服务器等，必须设置不同的登录密码，这一密码最好的设置是由数字、26个英文字母及标点符号构成，长度为12位数，定期删除和更换设备的登录密码。

（4）对一些核心的设施和体系上尽量不使用相同的登入名和密码，软件的连接密码和开机密码也不能一样。登录名尽可能不使用admin。

（5）要做好数据备份工作：在一切正常的情况下，外网计算机不存储关键数据，中国禁止存储机密的商业数据和企业内部参考数据。

（6）要保存并分析重要日志和记录：需要不少于留存有90天的网络使用行为管理、入侵检测记录。相关负责人员时常查阅及评析相关记录，以确保网络安全。

2 关键技术：Snooping

Snooping(DHCP 监听)属于思科公司的一种具备DHCP安全特性的技术，主要应用对象是交换机。待到交换机启动该特性之后，会对网络之中存在的用户DHCP报文予以监听，从而构成DHCP监听绑定表。该表格主要是由报文检测和IP源地址防护技术的运用供应重要信息。

指的是DHCP报文中存在的中继代理信息选项，主要应用在IPSG技术使用时。一旦DHCP客户端将地址请求报文经由路由器和交换机等插入Option82选项，Option82在内容上涵盖了请求地址主机的MAC地址、连接主机的端口号，假使DHCP Server对Option82予以支持，那么就能够遵照Option82包在内的全部信息都能够分配到IP地址。假使DHCP Server对Option82不支持的话，那么就应当将DHCP Request包丢弃掉，进而主机也就得不到IP地址了。

DHCP Server回应报文经过整个中继设备的时候，中继设备会对回应包中存在的Option82 MAC地址和端口号是不是和最初插入的时候相一致，待到确认无误之后就将有关信息删除掉，以此对回应包转发给对应的请求客户机。如图1所示。

图1 Option82作用

3 基于Snooping技术的网络安全应急措施

3.1 内部局域网安全应急措施

（1）网络流量异常维护人员采取技术措施监视网络状况，发现造成异常的原因。如果发现由内部客户终端设备引起的异常，应立即通知客户，并确保其安全。如异常产生的原因来自外部网络，则对相关源网络立即封禁，并立即执行系统日志记录工作。

2018年10月11日，在国家卫生健康委医政医管局指导的第四季改善医疗服务全国医院擂台赛东北赛区决赛中，盛京医院参选案例“基于医联体区域协同护理信息化平台构建延伸护理新模式”荣获主题七延伸优质护理服务“十大价值案例”与“十大人气案例”两项大奖。

（2）网络病毒爆发

针对网络病毒的大规模爆发，一旦得到确认，就应立即采取一定的有效措施，合理控制病毒的爆发类型。①局域网分地区暴发病毒当局域网分地区爆发病毒时，应尽早查明病毒来源，并断开相应子网络，网管人员应立即采取有效措施进行处理（或通知相关企业，由网管人员跟踪处理）。当能确保无病毒的安全情况下，子网络就能再次启动使用。②整个网络出现病毒且局域网主要部分遭到破坏下，依照网管策略分析和明确病毒门类，然后切断有关子网络。在明确病毒出现较为危急的可能门类时，按照网络的连接层更换设备慢慢缩小病毒源头的门类，直到找到病毒的真正位置，清除病毒危害后，网络才能重新启动。

（3）病毒处理

发现计算机设备如网络服务器和无线路由器、服务器防火墙上的病毒状况。第一步，在有可能的情况下中断网络服务器的本地连接，避免病毒在局域网外扩散，关键网络服务器立即打开备份数据机，确保业务流程的所有运行正常。第二步，审查网络信息安全设施的相关记录，像入侵检测记录、IPS等，评析去除病毒源头，了解病毒来自于哪台服务器、IP，从局域网中切断病毒源网络和终端设备，从源头切断病毒源，另外，发现网络病毒源时，应立即关闭端口等措施来保护病毒。第三步是通知服务器用户已经感染了病毒，并立即将其清除的技术解决方案，具体指导用户杀灭病毒。

发现病毒后，对内网重要业务用机采取以下措施。第一步，中断服务器的数据连接，立即打开备份数据机，确保所有业务流程正常运行，报告部门负责人，通知病毒来源所在部门领导。病毒检测、检查后系统执行补丁下载升级等（或具体指导）。第二步，数据分析系统的损坏程度，尽可能修复并保存重要数据信息。第三步，如果检查后不能修复系统，如果备份信息出现关键数据情况下，需要再次安装计算机操作系统及系统软件等。最后，审查系统记录，进行了解了解等，找出病毒来源，采取一定有效措施，避免再中毒。

首先发现病毒，立即中断服务器数据连接，避免病毒外泄。其次审查明确病毒传染缘由，使用有关技术策略，避免病毒又一次的加重。最后，网管人员出具把病毒消除的策略施展计划，全面开展病毒检测，采取相应的技术措施，防止再中毒。

3.2 外网安全应急措施

（1）外部局域网被攻击

如网络行为管控、WEB危险预防、WEB网络服务器等受攻击，造成无法正常运转，应在第一时间采取相应的应对措施，并向部门主管报告，立即开展系统日志记录工作。

若信息被恶意篡改，则有关人员应首先切断受攻击机械设备的物理数据连接（如果没有任何不良影响，则必须在整个维修服务项目过程中应用到网络上，可连续连接数据），分析记录事件日志的攻击恶性事件，调整安全设置。基于系统软件记录系统日志和事件日志，分析攻击源，并与相关部门负责人进行协作。

篡改信息后，立即切断相关信息的在线连接，尽快进行数据修复，以创建相关记录查找原因。根据总体安全标准，由于其他不确定性因素造成的网络瘫痪和信息篡改问题，可以结合实际情况相对地得到解决。

对应用攻击的系统脆弱性、攻击方式、全过程进行分析，并对攻击的详细地址进行分析，对系统软件进行破坏程度评估，对系统备份和数据信息进行技术处理，存储病毒事件日志，有针地性地面向网站薄弱环节进行维护，闭上攻击端口号，按照注册文件设计其显示项目，使用专门的杀毒软件，改进计算机设备和系统设置等。在病毒完全清除后，对发生的恶性事件进行彻底处理，发现机械设备配置、系统设置发生变化时，对局域网中备份数据进行新配置，并对计算机设备进行相对无线路由器、服务器防火墙、网络服务器等的修复，必要时对数据库进行查询，在备份数据生成时，对设备进行校验，并重新安装系统等等。

（2）发生违反法律法规等安全事件

当学习发生泄露、企业外部网络疏导攻击等恶性事件发生时，应立即向主管人员报告，并由公司主管部门进行技术检查和正确定位。当袭攻击还在继续时，必要的话管理员应先切断企业对外的总入口，对数据信息泄漏器进行数据连接切断等操作，查明攻击事件造成的危害程度（或分析可能造成的危害程度），采取相应的应急措施。系统软件中保存和出示网络日志、网络管理系统日志等，全力协助公安部门进行调查。

结语：本文结合思科DHCP Snooping(DHCP 监听)、DAI(ARP检测)、IPSG(IP 源地址防护)等技术探究合理的网络安全管理方案。网络管理员在对网络和信息进行安全管理时，必须始终坚持安全理念，首先要确保观念健全的安全管理方案，根据预测、分析与防治工作出具应急预案，将可能出现的网络安全问题的解决处理办法的重点落在准确性与便捷性上，提高应急处置能力；要严格坚持人防、物防、技防共同执行的准则，确保能有效地应对各项紧急事项，使得网络管理正常进行。