高婭楠

[摘 要]本文針對(duì)該分公司企業(yè)網(wǎng)存在的網(wǎng)絡(luò)安全問題,進(jìn)行了深入研究分析,以防火墻為核心,提出整網(wǎng)的、多層次、全面的安全解決方案。該方案不僅適用于該企業(yè)本身,對(duì)多數(shù)企業(yè)網(wǎng)都具有通用性,可以方便地推廣、移植到多數(shù)企業(yè)網(wǎng)的規(guī)劃建設(shè)中去。

[關(guān)鍵詞]企業(yè)網(wǎng) 防火墻 網(wǎng)絡(luò)安全

[中圖分類號(hào)]TP393[文獻(xiàn)標(biāo)識(shí)碼]A[文章編號(hào)]1007-9416(2009)11-0075-03

對(duì)于大規(guī)模企業(yè),既要訪問Internet的共享信息資源,又要把企業(yè)Intranet的一部分信息對(duì)外提供服務(wù),資源共享的同時(shí)也帶來了安全問題;而作為大型電信運(yùn)營商企業(yè)內(nèi)部網(wǎng),事關(guān)很多公司機(jī)密、企業(yè)形象等敏感信息,如何保護(hù)公司內(nèi)部網(wǎng)絡(luò)的信息安全,防范來自外部網(wǎng)絡(luò)的黑客和非法入侵者的攻擊,建立起強(qiáng)健的網(wǎng)絡(luò)信息安全防范系統(tǒng),在某種程度上決定著企業(yè)信息化建設(shè)的成敗[1]。

在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過程中,防火墻成為企業(yè)網(wǎng)安全的第一道防線[2,3]。它可為各類企業(yè)網(wǎng)絡(luò)提供必要的訪問控制,但又不造成網(wǎng)絡(luò)的瓶頸,并通過安全策略控制進(jìn)出系統(tǒng)的數(shù)據(jù),保護(hù)企業(yè)的關(guān)鍵資源[4]?；谝陨峡紤],本文以防火墻為核心,提出了聯(lián)通某地市分公司企業(yè)網(wǎng)的安全改造方案。

1 企業(yè)網(wǎng)現(xiàn)狀

該分公司企業(yè)網(wǎng)絡(luò)從網(wǎng)絡(luò)設(shè)計(jì)模塊來看,由三個(gè)模塊組成:接入模塊、內(nèi)網(wǎng)模塊與外網(wǎng)模塊。接入模塊負(fù)責(zé)與互聯(lián)網(wǎng)的連接而且端接VPN與公共服務(wù)(DNS、HTTP、FTP與SMTP)流量,撥號(hào)接入流量也在公司接入模塊上終止。內(nèi)網(wǎng)模塊包含第二層與第三層交換基礎(chǔ)設(shè)施以及所有的公司用戶、管理服務(wù)器和內(nèi)部網(wǎng)服務(wù)器。從外網(wǎng)模塊的角度看,遠(yuǎn)程地點(diǎn)與中型機(jī)構(gòu)網(wǎng)絡(luò)的連接一般有兩種方案:一種是采用外網(wǎng)模塊的專用WAN連接,另一種是與公司互聯(lián)網(wǎng)模塊連接的IPSec VPN。該分公司的外網(wǎng)模塊采用了第一種方式。

該分公司改造前的安全狀況是全網(wǎng)只在外網(wǎng)接口部署千兆級(jí)防火墻設(shè)備兩臺(tái),進(jìn)行冷備份和準(zhǔn)入控制,劃分三個(gè)大的安全區(qū)域,外網(wǎng)區(qū)域接口負(fù)責(zé)整個(gè)公司和INTERNET的信息交互,DMZ區(qū)域部署對(duì)外的數(shù)據(jù)服務(wù)器,TRUST級(jí)區(qū)域安全按級(jí)別較高,負(fù)責(zé)對(duì)內(nèi)信息處理。這種方案只能滿足企業(yè)基本的安全要求,不能滿足:

1.1 用戶接入的身份驗(yàn)證

全網(wǎng)的安全以及概念不僅僅限于網(wǎng)絡(luò)骨干設(shè)備的安全,接入設(shè)備(如PC)的本身安全情況也會(huì)極大地影響到網(wǎng)絡(luò)的安全情況。

1.2 內(nèi)網(wǎng)的細(xì)化管理

對(duì)于內(nèi)部的不同子部門,根據(jù)在企業(yè)內(nèi)部的作用和地位不同,其數(shù)據(jù)應(yīng)該具有不同的機(jī)密程度,需要能細(xì)化安全區(qū)域的劃分并針對(duì)不同區(qū)域進(jìn)行不同的安全策略部署。根據(jù)現(xiàn)在的網(wǎng)絡(luò)現(xiàn)狀還需要支持多種應(yīng)用層業(yè)務(wù)。

1.3 針對(duì)新的安全隱患的控制

網(wǎng)絡(luò)越來越多的新攻擊手段或技術(shù)手段會(huì)導(dǎo)致網(wǎng)絡(luò)的工作不正常,如常見的dos,ddos攻擊和p2p等應(yīng)用,都會(huì)導(dǎo)致網(wǎng)絡(luò)的擁塞或利用率下降,新的方案需要對(duì)這些問題給出解決對(duì)策。

1.4 日益增長的流量需求

隨著科技發(fā)展水平提高,企業(yè)網(wǎng)的數(shù)據(jù)流量越來越大,如該分公司的企業(yè)網(wǎng),2000年部署安全解決方案時(shí)全網(wǎng)流量峰值不超過300兆B,到2005年子部門間流量已經(jīng)超過這個(gè)值,考慮到后期擴(kuò)容的計(jì)劃外網(wǎng)出口設(shè)備則需要5GB級(jí)的背板容量。

1.5 統(tǒng)一全面的管理

原來的安全設(shè)備基本是通過命令行進(jìn)行管理,需要網(wǎng)絡(luò)管理員有一定的專業(yè)技術(shù)知識(shí),但隨著需要納入安全考慮的內(nèi)容越來越多,原先的設(shè)備不支持圖形化、與其它設(shè)備不統(tǒng)一的管理方式就成為一種不可回避的缺點(diǎn)。

針對(duì)以上不足,計(jì)劃采用新的網(wǎng)絡(luò)安全方案對(duì)原有企業(yè)內(nèi)網(wǎng)進(jìn)行升級(jí)改造,以解決現(xiàn)有的安全缺陷,最終實(shí)現(xiàn)整網(wǎng)的、多層次的、全面的安全保障。

2 全網(wǎng)安全改造設(shè)計(jì)方案

2.1 接入模塊安全設(shè)計(jì)方案

ISP中客戶邊緣路由器的主要功能是提供與互聯(lián)網(wǎng)或ISP網(wǎng)絡(luò)的連接。ISP出口將限制那些超出預(yù)定閥值的次要信息流,以便減少DDoS攻擊。在ISP路由器的入口處,滿足RFC1918與RFC2827規(guī)定要求設(shè)置的過濾功能將防止針對(duì)本地網(wǎng)絡(luò)及專用地址的源地址電子欺騙。在中型網(wǎng)絡(luò)上邊緣路由器的入口處,基本的過濾功能可以限制訪問,只允許合格的IP流量通過,從而提供了一個(gè)防御多數(shù)基本攻擊的初級(jí)防火墻。

該分公司使用了華為的基于端點(diǎn)準(zhǔn)入控制思路的EAD方案,EAD解決方案在用戶接入網(wǎng)絡(luò)前,強(qiáng)制檢查用戶終端的安全狀態(tài),并根據(jù)對(duì)用戶終端安全狀態(tài)的檢查結(jié)果,強(qiáng)制實(shí)施用戶接入控制策略,對(duì)不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫升級(jí)、系統(tǒng)補(bǔ)丁安裝等操作;在保證用戶終端具備自防御能力并安全接入的前提下,合理控制用戶的網(wǎng)絡(luò)行為,提升整網(wǎng)的安全防御能力。

引入這一方案,可以實(shí)現(xiàn):

(1) 完備的安全狀態(tài)評(píng)估,可以對(duì)用戶終端的安全狀態(tài),包括操作系統(tǒng)補(bǔ)丁、第三方軟件版本、病毒庫版本等反應(yīng)終端防御能力的狀態(tài)進(jìn)行評(píng)估,使只有符合企業(yè)安全標(biāo)準(zhǔn)的終端才能訪問網(wǎng)絡(luò)。

(2) 實(shí)時(shí)的“危險(xiǎn)”用戶隔離。系統(tǒng)補(bǔ)丁、病毒庫版本不及時(shí)更新或已感染病毒的用戶終端,如果不符合管理員設(shè)定的企業(yè)安全策略,將被限制訪問權(quán)限,只能訪問病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。用戶上網(wǎng)過程中,如果終端發(fā)生感染病毒等安全事件,EAD系統(tǒng)可實(shí)時(shí)隔離該“危險(xiǎn)”終端。

(3) 基于角色的網(wǎng)絡(luò)服務(wù)。在用戶終端在通過病毒、補(bǔ)丁等安全信息檢查后,EAD可基于終端用戶的角色,向安全客戶端下發(fā)系統(tǒng)配置的接入控制策略,按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。終端用戶的ACL訪問策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施均可由管理員統(tǒng)一管理,并實(shí)時(shí)應(yīng)用實(shí)施。

(4) 可擴(kuò)展的、開放的安全解決方案。EAD是一個(gè)可擴(kuò)展的安全解決方案,對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)備和組網(wǎng)方式改造較小。在現(xiàn)有企業(yè)網(wǎng)中,只需對(duì)網(wǎng)絡(luò)設(shè)備和第三方軟件進(jìn)行簡單升級(jí),即可實(shí)現(xiàn)接入控制和防病毒的聯(lián)動(dòng),達(dá)到端點(diǎn)準(zhǔn)入控制的目的,有效保護(hù)用戶的網(wǎng)絡(luò)投資(見圖1)。

2.2 內(nèi)網(wǎng)模塊安全設(shè)計(jì)方案

在這個(gè)層次上,安全設(shè)備更需要承擔(dān)傳統(tǒng)防火墻的角色,即是完成對(duì)企業(yè)多業(yè)務(wù)的支持,相關(guān)的應(yīng)用層安全特性、與其它設(shè)備的協(xié)同工作,同時(shí)需要具備統(tǒng)一簡便的管理手段。下面結(jié)合該分公司選用的3COM的secpath系列防火墻的部署進(jìn)行分析。

2.2.1 對(duì)多業(yè)務(wù)的支持:

SecPath系列硬件防火墻提供ASPF(Application Specific Packet Filter)技術(shù)和NAT ALG技術(shù),全面支持各種業(yè)務(wù)應(yīng)用。ASPF是針對(duì)應(yīng)用層的包過濾。ASPF能夠檢測試圖通過防火墻的應(yīng)用層協(xié)議會(huì)話信息,阻止不符合規(guī)則的數(shù)據(jù)報(bào)文穿過。它檢查應(yīng)用層協(xié)議信息(如FTP、HTTP、SMTP、RTSP、H.323等協(xié)議及其它基于TCP/UDP協(xié)議的應(yīng)用層協(xié)議)并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài),維護(hù)每一個(gè)連接的狀態(tài)信息,并動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或者被丟棄。ASPF能夠檢測應(yīng)用層協(xié)議的信息,并對(duì)應(yīng)用的流量進(jìn)行監(jiān)控。

ASPF還提供:DoS的檢測和防范、Java阻斷、支持端口到應(yīng)用的映射和增強(qiáng)的會(huì)話日志功能。

最后,在這一層次中最為典型的應(yīng)用NAT和NAT ALG,可實(shí)現(xiàn)跨NAT的H.323(包括T.120、RAS、Q.931和H.245等)通訊[7,8]。同時(shí)還支持FTP、RAS、HWCC、SIP、ICMP、DNS、ILS、PPTP、NBT,有效地保證了用戶作為通信公司可能的流媒體、視頻電話會(huì)議等等特殊使用要求。

2.2.2 相關(guān)的應(yīng)用層安全特性支持

在這一部分中,涉及許多企業(yè)用戶的業(yè)務(wù)協(xié)議,所以防火墻設(shè)備還需要能夠?qū)ΤＳ玫膽?yīng)用層協(xié)議進(jìn)行深度檢測。在實(shí)際的項(xiàng)目施工中,兼顧性能的要求,在對(duì)內(nèi)網(wǎng)的接口上啟用對(duì)HTTP和SMTP等應(yīng)用層協(xié)議的檢測功能,提供對(duì)WEB網(wǎng)址過濾和網(wǎng)頁內(nèi)容過濾,通過設(shè)置需要過濾的WEB網(wǎng)址,以及過濾的網(wǎng)頁內(nèi)容,可以有效地管理上網(wǎng)的行為,提高工作的效率,節(jié)約出口帶寬,保障正常的數(shù)據(jù)流量,屏蔽各種“垃圾”信息,從而保證內(nèi)部網(wǎng)絡(luò)的“綠色環(huán)境”。同時(shí)提供基于SMTP協(xié)議的郵件安全特性,具體包括對(duì)電子郵件地址過濾、主題過濾和內(nèi)容過濾功能。

通過支持常見業(yè)務(wù)(WEB訪問、SMTP郵件)的監(jiān)測和過濾,有效的在應(yīng)用層為用戶提供安全防護(hù)。

2.2.3 可靠性和協(xié)同工作:

作為電信運(yùn)營企業(yè),對(duì)內(nèi)外部網(wǎng)絡(luò)的可靠性要求較高,同時(shí)由于各個(gè)時(shí)期網(wǎng)絡(luò)建設(shè)的歷史原因,企業(yè)使用的網(wǎng)絡(luò)設(shè)備屬于不同的廠家,作為全網(wǎng)安全的核心設(shè)備防火墻需要有電信級(jí)的軟硬件可靠性和良好的協(xié)同工作能力。

在硬件可靠性方面,一般要求關(guān)鍵部件,如總線、電源、散熱系統(tǒng)、bootrom等等采用冗余設(shè)計(jì)方案,對(duì)于擴(kuò)展插卡一般要求支持熱插拔特性。軟件可靠性方面一般選用獨(dú)有操作系統(tǒng)的安全設(shè)備,避免采用工控機(jī)結(jié)構(gòu)和通用操作系統(tǒng)的安全設(shè)備。同時(shí)為了更進(jìn)一步保證可靠性參數(shù),組網(wǎng)上一般采用冗余的雙機(jī)熱備組網(wǎng)方案,避免單點(diǎn)故障并能夠?qū)I(yè)務(wù)實(shí)現(xiàn)實(shí)時(shí)的熱備份。

協(xié)同性是對(duì)安全設(shè)備的另一項(xiàng)重要要求,主要包括兩個(gè)方面,與網(wǎng)絡(luò)內(nèi)普通設(shè)備的有效互聯(lián)互通和與網(wǎng)絡(luò)內(nèi)其它安全設(shè)備的聯(lián)動(dòng)要求。前者表現(xiàn)在防火墻設(shè)備需要支持業(yè)界通用的網(wǎng)絡(luò)管理協(xié)議并支持相關(guān)應(yīng)用層協(xié)議的最新標(biāo)準(zhǔn),后者主要是因?yàn)榭赡苄枰訉I(yè)的深度檢測IDS設(shè)備來滿足對(duì)更深層的攻擊數(shù)據(jù)流的檢測。

2.2.4 統(tǒng)一簡便的管理

網(wǎng)絡(luò)管理員一般不是專業(yè)的安全工程師,所以這一層上防火墻設(shè)備在管理上要求簡便易行,同時(shí)由于安全設(shè)備在網(wǎng)絡(luò)中的特殊作用,還需要支持與路由器、交換機(jī)等設(shè)備統(tǒng)一的管理手段和對(duì)流量的實(shí)時(shí)分析,郵件的實(shí)時(shí)告警、詳盡的日志記錄等等日常的安全管理功能。

在這一部分的組網(wǎng)以數(shù)據(jù)中心作為安全重點(diǎn)進(jìn)行組網(wǎng),企業(yè)的數(shù)據(jù)中心是安全的重點(diǎn),性能、可靠性以及和IDS入侵檢測的聯(lián)動(dòng)都必須有良好的表現(xiàn)。結(jié)合IDS入侵監(jiān)測系統(tǒng),可以實(shí)現(xiàn)高層次業(yè)務(wù)的數(shù)據(jù)安全。充分考慮到管理的方便性,如果需要在遠(yuǎn)程通過Internet接入的方法對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行管理,可以結(jié)合VPN業(yè)務(wù),既保證了安全,也實(shí)現(xiàn)了管理的方便還具有良好的可擴(kuò)展性。

2臺(tái)熱備的SecPath防火墻將數(shù)據(jù)中心內(nèi)部服務(wù)器和數(shù)據(jù)中心外部的Intranet隔離起來,有效的保護(hù)了數(shù)據(jù)中心內(nèi)部服務(wù)器。防火墻可以根據(jù)VLAN劃分虛擬安全區(qū),從而可以方便地把不同業(yè)務(wù)服務(wù)器劃分到不同安全區(qū)里,實(shí)現(xiàn)了數(shù)據(jù)中心內(nèi)部的不同業(yè)務(wù)區(qū)的隔離和訪問控制。管理員通過IPSec VPN保證管理流量的私密性和完整性。專門部署了一個(gè)VPN設(shè)備作為VPN網(wǎng)關(guān),管理員終端設(shè)備上安裝SecPoint安全客戶端,結(jié)合證書認(rèn)證和USB key,保證管理員的身份不被冒充,從而實(shí)現(xiàn)方便的管理。防火墻和IDS入侵監(jiān)測系統(tǒng)聯(lián)動(dòng),業(yè)務(wù)流量通過交換機(jī)鏡像到IDS設(shè)備,一旦IDS檢測到異常,通過防火墻的聯(lián)動(dòng)功能,實(shí)現(xiàn)整網(wǎng)的深層次安全。(見圖2)

2.3 外網(wǎng)模塊安全設(shè)計(jì)方案

在這一層的防火墻部署方案是將防火墻部署網(wǎng)絡(luò)邊界,以網(wǎng)關(guān)的形式出現(xiàn)。部署在網(wǎng)絡(luò)邊界的防火墻,同時(shí)承擔(dān)著內(nèi)網(wǎng)、外網(wǎng)、DMZ區(qū)域的安全責(zé)任,針對(duì)不同的安全區(qū)域,其受信程度不一樣,安全策略也不一樣。

具體的劃分策略是:

(1)防火墻防置在內(nèi)網(wǎng)和外網(wǎng)之間,實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的安全隔離;(2)防火墻上劃分DMZ區(qū),隔離服務(wù)器群。保護(hù)服務(wù)器免受來自公網(wǎng)和內(nèi)網(wǎng)的攻擊;(3)在防火墻上配置安全訪問策略,設(shè)置訪問權(quán)限,保護(hù)內(nèi)部網(wǎng)絡(luò)的安全;(4)當(dāng)網(wǎng)絡(luò)有多個(gè)ISP出口,并要求分別按業(yè)務(wù)、人員實(shí)現(xiàn)分類訪問時(shí),啟用策略路由功能,保證實(shí)現(xiàn)不同業(yè)務(wù)/人員定向不同ISP的需求。

防火墻具有對(duì)業(yè)務(wù)的支持能力,作為NAT ALG或者ASPF過濾,都能夠滿足正常業(yè)務(wù)的運(yùn)行。同時(shí),由于現(xiàn)在P2P技術(shù)的發(fā)展,越來越多的業(yè)務(wù)打破了原來的C/S模式,在對(duì)等網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)都具備客戶端和服務(wù)器的雙重特性,INTERNET現(xiàn)有的以網(wǎng)站為中心的流量狀態(tài)受到影響改變?yōu)椤皟?nèi)容分散存儲(chǔ)的模式”。在對(duì)外的接口部分上,防火墻設(shè)備需要有對(duì)P2P應(yīng)用的限制功能[9]。因?yàn)镻2P的流量模型使得個(gè)人用戶的上行和下行流量都很大,不加以限制的話會(huì)導(dǎo)致網(wǎng)絡(luò)的極度擁塞。該分公司使用的SECPATH1800F防火墻對(duì)P2P流量提供了以下的解決方案:

深度檢測技術(shù):對(duì)常見的P2P軟件,如BT、EDONKEY、EMULE等進(jìn)行檢測,識(shí)別P2P流量一道道對(duì)這些流量進(jìn)行限制的目的。

基于不同時(shí)間段的進(jìn)行控制:根據(jù)不同的時(shí)間段對(duì)P2P流量采用不同的控制策略,例如在晚上對(duì)P2P帶寬放大,白天加以限制。

提供不同的流量限制策略:提供不同的流量限制閾值,提供靈活的P2P限制方案,例如把本地網(wǎng)內(nèi)的P2P流量限制閾值放大而網(wǎng)間的流量閾值調(diào)小。也可以基于特定用戶(IP)或用戶的連接數(shù)目進(jìn)行帶寬管理。(見圖3)

3 結(jié)語

本文針對(duì)該分公司企業(yè)網(wǎng)存在的網(wǎng)絡(luò)安全問題,進(jìn)行了深入研究分析,提出整網(wǎng)的、多層次、全面的安全解決方案。此方案對(duì)企業(yè)網(wǎng)的網(wǎng)絡(luò)安全規(guī)劃有一定的參考價(jià)值,對(duì)于網(wǎng)通從傳統(tǒng)通信運(yùn)營商到信息服務(wù)提供商轉(zhuǎn)型業(yè)務(wù)拓展的探索也具有一定的積極意義。

雖然是針對(duì)該分公司企業(yè)網(wǎng)設(shè)計(jì)的,但本方案中企業(yè)網(wǎng)絡(luò)功能、模塊劃分和安全域的規(guī)劃及整個(gè)安全方案,則不僅適用于企業(yè)本身,對(duì)多數(shù)企業(yè)網(wǎng)都具有通用性,可以方便地推廣、移植到多數(shù)企業(yè)網(wǎng)的規(guī)劃建設(shè)中去。可以作為企業(yè)網(wǎng)的解決方案,推廣使用。網(wǎng)通公司正處于由傳統(tǒng)電信運(yùn)營商向綜合的信息服務(wù)商轉(zhuǎn)變的轉(zhuǎn)型期,正在積極探索和推廣企業(yè)和家庭的ICT業(yè)務(wù)。本方案對(duì)于網(wǎng)通的ICT業(yè)務(wù)推廣,也具有一定的現(xiàn)實(shí)意義和探索價(jià)值。

[參考文獻(xiàn)]

[1] 孫夫雄,向繼東,孫東,任清珍.企業(yè)網(wǎng)絡(luò)防火墻的選型與研究[J].北京:中國數(shù)據(jù)通信,2003,02:10-14.

[2] 李賽峰,景建勛.防火墻技術(shù)發(fā)展的分析與研究[J]. 北京:網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2003, 06:3-9.

[3] 努南,達(dá)布斯基,陳麒帆.Firewall fundamentals[M].北京:人民郵電出版社,2007,23-27.

[4] Syme,Matthew,Goldie,Philip.Optimizing network performance with content switching : server, firewall, and cache load balancing[M].Upper Saddle River, NJ,2004,44-45.

[5] Indrek Peri.Firewalls:Security in Distributed Systems[J].Internet,2000,01:1-2.

[6] Utz Roedig.Performance Modelling and Evaluation of Firewall Architectures for Multimedia Applications?[J].Internet,2004,11:17-20.

[7] 雷斌,方勇.基于聯(lián)防理論的主動(dòng)防御安全網(wǎng)絡(luò)研究[J].北京:技術(shù)與創(chuàng)新管理,2007,28(4),77-79.

[8] 雷為民,張偉.SIPNAT問題闡述及其解決方案分析[J]. 北京:通信世界,2005,23,31-36

[9] 李婧瑜.網(wǎng)絡(luò)信息系統(tǒng)的安全防御[J].內(nèi)蒙古:內(nèi)蒙古科技與經(jīng)濟(jì),2007,01,89-89,100.