[发明专利]局域网的防病毒方法及系统

说明书

技术领域

本发明涉及计算机网络的防病毒技术，更具体地说，涉及一种在局域 网中的防病毒的方法及系统。

背景技术

企业的局域网是企业进行生产运作的重要的设备，由于对于半导体工 厂(FAB)来说，FAB内的网络更是控制半导体器件生产的关键。所有的 计算机网络对于外来的攻击、特别是病毒的攻击都是很脆弱的，而且，一 旦FAB的网络受到攻击，将会给FAB带来无法估计的损失。

于是，在半导体的制造行业，各家企业都对自己的FAB网络进行了严 密的防护。目前得到普遍应用的技术是反病毒软件、入侵检测系统(IDS) 或者防火墙(Firewall)。

其中，反病毒软件是应用病毒反弹(break-through)技术，根据该软 件携带的病毒库，检查通过网络端口传输的数据是否携带有在病毒库中所 定义的病毒。这是一种被动防御的策略，需要不断地更新反病毒软件的病 毒库以应对不停出现的新病毒，这无形中增加了企业运作的成本，同时， 新病毒产生的速度十分惊人，病毒库的更新难免会遗漏个别的病毒。此时， 由于FAB网络中没有再提供其他的防护手段，一旦反病毒软件被突破，病 毒将在网络内迅速地扩散。

入侵检测系统(IDS)和防火墙(Firewall)将阻挡一切它们认为是不 必要的对于FAB网络的访问。基本上，IDS和Firewall的过滤是没有针对 性的，它们会将绝大多数与操作系统运行无关的访问都拒绝。于是，IDS 和Firewall同时也阻挡了很多无害的访问，包括相当多与企业业务相关的 数据通信，这就给企业的正常运作带了很多麻烦。同时，由于IDS和Firewall 本身都是基于操作系统运行的软件，它们与操作系统之间的接口、以及操 作系统中的一些保留接口就会成为非法入侵的攻击入口(Ioophole)。

由于反病毒软件、IDS和Firewall所存在的上述的固有缺陷，目前企 业经常采用的方法是采用更好的反病毒软件、更好的IDS以及更好的 Firewall，这些都会极大地增加企业的成本。并且，上述的手段都是被动防 御的手段，一旦被突破，网络并不具备进一步的防护及控制的能力。于是， 就需要一种更加有效，并且能够在出现病毒时进行有效控制的方法。

发明内容

本发明旨在提供一种能在局域网中主动实施的防病毒技术，并且能在 出现病毒时，将病毒控制在个别的节点上而不会广泛地传播。

根据本发明的一方面，提供一种局域网的防病毒方法，包括：收集局 域网的基础网络信息；收集应用于局域网的网络工具信息；根据预定规则， 基于基础网络信息和网络工具信息产生访问控制列表，该访问控制列表控 制局域网网络工具对于局域网内各个节点的访问以及数据传输；将访问控 制列表发送给局域网中的各个节点以及各个网络工具的拥有者；基于访问 控制列表，控制局域网中的数据传输。

其中，该局域网的基础信息包括：局域网中每一个节点的IP地址、局 域网中每一个应用程序所使用的端口、局域网中的所有外围设备端口、局 域网中的所有电子邮件端口、以及局域网中的所有对外端口，该对外接口 连接互联网。

该局域网的网络工具信息包括：运行于局域网内的电子邮件系统信息、 连接于局域网的外围设备、局域网中的对外接口使用的传输协议，该对外 接口连接互联网。

该局域网的防病毒方法较佳地用于半导体制造工厂FAB内的网络。

本发明还提供一种局域网的防病毒系统，包括：网络基础信息收集装 置，收集局域网的基础网络信息；网络工具信息收集装置，收集应用于局 域网的网络工具信息；预定规则产生器，根据外部输入或者预先存储的内 容产生预定规则；访问控制装置，根据预定规则，基于基础网络信息和网 络工具信息产生访问控制列表，该访问控制列表控制局域网网络工具对于 局域网内各个节点的访问以及数据传输；访问控制装置将访问控制列表发 送给局域网中的各个节点以及各个网络工具的拥有者；并基于访问控制列 表，控制局域网中的数据传输。

其中，该网络基础信息收集装置收集的局域网的基础信息包括：局域 网中每一个节点的IP地址、局域网中每一个应用程序所使用的端口、局域 网中的所有外围设备端口、局域网中的所有电子邮件端口、以及局域网中 的所有对外端口，该对外接口连接互联网。