一、如何防范僵尸网络

对于企业内网来说，行之有效的内网安全管理是各种规模企业所企盼的，固若金汤的城池，往往在内网安全威胁面前形同虚设。“内忧”胜于“外患”，企业不仅需要铸造如同长城一般的边关防御体系，同样需要着重管理，打造内网安全和谐的内部环境。

统计称，中国已经成为继美国之后因特网受攻击次数第二多的地方，在赛门铁克公司全球监测到的正在发动攻击的IP地址中，中国就占到了10％。其中，北京拥有的“僵尸电脑”数目最多，今年上半年占到全球的近3％，排名在前10位的中国其他城市还包括广州、杭州、上海和台北。由于“僵尸程序”一般通过即时通讯、网络聊天等渠道传播，而网络聊天在我国网民的活动中占用非常重要的地位，因此特别值得所有人重视。

国家计算机网络应急技术处理协调中心（CNCERT/CC）副总工程师杜跃进博士指出，僵尸网络有进一步扩大的趋势。2022年，CNCERT/CC发现超过5000节点规模的僵尸网络143个，其中最大的单个僵尸网络节点超过15万个。2022年境外合作CERT组织发现一个超过120万个节点的僵尸网络，其中我国被控制的IP数量达到29万个。2022年CNCERT/CC掌握的资料表明，仅我国内地被各种僵尸网络控制的主机总数至少超过140万个。

最需要重视和防范四种网络风险之一―网络基础设施风险。其他三类风险是：通讯、交流风险，信息本身的风险和不对称性风险。由于互联网结构的缘故，一个很小的因素就可能给整个互联网带来极大的损失，而预防和解决这类风险所消耗的资源要远比造成此类风险所需资源多，这就造成了不对称的网络风险，它是危害最大，同时也是最难防范的风险。 防范“僵尸网络”应从以下几方面着手：

1、个人应增强更多的网络安全意识和基本知识。严格地说，依靠个人甚至单个的网络安全组织，都很难真正有效地对抗僵尸网络，这就是为什么目前国内外都在强调通过合作保障安全的原因。不过，如果个人用户具备更多的网络安全意识和基本知识，将有利于减少各类网络安全事件的威胁。

2、从主干网络上入手。由于僵尸网络是综合传播的结果，阻挡僵尸网络，应从主干网络上入手，才能获取最佳的效果，企业需要他们的服务供应商提供更多的抵御僵尸网络，这有助于维持客户满意度和忠诚度，同时也可以避免营收亏损。此外，在骨干链接上过滤恶意编码可以显著减少国内与国际骨干网络的负载，从而可以大量节省成本。随着网络越来越像真实的社会，黑客的攻击行为组织性更强，攻击目标已经从单纯的追求“荣耀感”向获取多方面实际利益的方向转移，部分黑客开始成为网络中的经济罪犯，威胁并非是危言耸听，家用电脑已成为最容易被攻击的目标，而因特网服务商的预算不能再都用来发展用户上，打击僵尸网络应成为首务。

二、IP综合网管系统对业务管理的功能划分：

· 对于网络的服务质量，可使用Cisco的IPM软件，对骨干网中的Cisco设备收集相关数据，经分析处理可以获得反映网络QoS的时延、丢包率、网络吞吐量等参数，进而生成QoS性能评价报告；

· 对于应用的服务质量，基于Netcool的ISM软件，可以对多达18种应用层协议（包括DHCP、DNS、FTP、HTTP、RADIUS、POP3、SMTP等）的服务质量进行监视，并生成性能报告。针对IP网的特殊应用服务（如VPN、VoIP、线路租用等），使用直接针对该项业务的QoS监测管理软件，可以获得更详细的QoS数据，有效地保证SLA管理水平。

3. IP综合网管系统对网络层面的功能划分：

· 对于骨干层业务服务，遵循IETF DS BB、ETSI TIPHON等标准模型，由网资源管理器CM根据逻辑业务承载网的拓扑和资源状况为业务流选路，CM管理业务网络资源情况决定是否接纳呼叫，协调业务层与承载层的配合，通过MPLS技术逻辑分离IP电信网和Internet，高质量业务走IP电信网，Internet业务走Internet。根据业务模型预规划每个局向的LSP路径及资源情况，提出预规划业务模型，降低TE复杂度。

· 对于边缘节点的可感知业务，通过CM、业务服务器、边缘节点设备之间的配合实现业务的自感知，业务平面与控制平面、基础网络分离。

· 对于宽带接入网，管理接入网用户的多种业务，并进行业务的智能识别，根据用户、业务细分服务，通过HGMP，统一管理和维护接入层各级设备，共同完成接入网内业务的服务保障。业务服务等级一般分为三类：最优的业务、分等级的业务、尽力而为的业务，通过对用户群的划分来确定等级。通过预留带宽等方式保障对大客户的服务质量，分析大客户的资源使用情况、使用效率，为大客户提供资源分析报告。

· 路由安全：对一切穿越接入安全边界网关设备的报文，均进行安全检查、流控与记录，以便过滤非法访问、抑制Proxy等非法接入、快速定位用户的网络攻击。

· 城域网可用性安全：宽带接入网/CPN，与IP城域核心网/运营支撑网之间的互访，均必须由接入安全边界网关设备代理完成，从而保证IP城域网的私密性。

· 设备可用性安全：边缘路由器自动识别用户的呼叫，根据用户的呼叫走不同的业务VPN，为每个用户提供独立的VLAN，以此控制一切来自宽带接入网/CPN的接入请求，不同业务网形成独立的逻辑专网，在资源上是隔离的，避免业务之间的互相影响，保证接入安全边界网关设备的正常运转。

· 用户管理安全：以“用户=帐号/密码+VLAN+应用量+……”等完善用户表达，以此增强用户管理能力。