智 峰 韓 超

(中國(guó)計(jì)量科學(xué)研究院，北京 100013)

0 引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展以及互聯(lián)網(wǎng)絡(luò)的應(yīng)用日益廣泛，越來(lái)越多的科研人員通過(guò)網(wǎng)絡(luò)進(jìn)行文獻(xiàn)檢索、獲取信息、開(kāi)展學(xué)術(shù)交流，網(wǎng)絡(luò)在科研管理中發(fā)揮的支撐保障作用日益明顯。但科研人員更注重信息的獲取，而容易忽略信息及網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)，這就要求網(wǎng)絡(luò)管理人員有針對(duì)性地加強(qiáng)網(wǎng)絡(luò)安全防范工作。本文結(jié)合中國(guó)計(jì)量科學(xué)研究院應(yīng)用實(shí)際，探討所面臨的網(wǎng)絡(luò)安全問(wèn)題，從提升技術(shù)防范和加強(qiáng)管理培訓(xùn)入手，保障網(wǎng)絡(luò)安全，使科研管理工作安全、有序進(jìn)行。

1 中國(guó)計(jì)量科學(xué)研究院網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀

中國(guó)計(jì)量科學(xué)研究院網(wǎng)絡(luò)由和平里及昌平實(shí)驗(yàn)基地兩院區(qū)網(wǎng)絡(luò)共同組成，網(wǎng)絡(luò)基礎(chǔ)架構(gòu)如圖1所示。整體網(wǎng)絡(luò)劃分為三個(gè)區(qū)域：互聯(lián)網(wǎng)接入?yún)^(qū)、服務(wù)器區(qū)、用戶接入?yún)^(qū)?；ヂ?lián)網(wǎng)接入?yún)^(qū)通過(guò)租用互聯(lián)網(wǎng)鏈路接入互聯(lián)網(wǎng)絡(luò)，并部署防火墻及網(wǎng)關(guān)防毒系統(tǒng)，和平里院區(qū)部分用戶接入IPV6網(wǎng)絡(luò)系統(tǒng)，服務(wù)器區(qū)主要用于對(duì)外、對(duì)內(nèi)提供各項(xiàng)信息服務(wù)，通過(guò)在防火墻設(shè)置不同安全域，對(duì)服務(wù)器進(jìn)行嚴(yán)格的控制，保障合法的訪問(wèn)，同時(shí)杜絕非法或非授權(quán)的訪問(wèn)。對(duì)于重點(diǎn)防護(hù)網(wǎng)站(中英文門(mén)戶網(wǎng)站)，采用部署入侵檢測(cè)系統(tǒng)，使其和局域網(wǎng)絡(luò)隔離，以抵御來(lái)自內(nèi)外部網(wǎng)絡(luò)的攻擊。用戶接入?yún)^(qū)主要用于內(nèi)部計(jì)算機(jī)終端設(shè)備訪問(wèn)互聯(lián)網(wǎng)及內(nèi)部應(yīng)用系統(tǒng)。終端統(tǒng)一安裝防病毒軟件，使用私有地址，通過(guò)NAT方式進(jìn)行互聯(lián)網(wǎng)訪問(wèn)。員工在院外訪問(wèn)內(nèi)部網(wǎng)絡(luò)采用SSL VPN方式，并保存訪問(wèn)日志。

圖1 計(jì)量院網(wǎng)絡(luò)基礎(chǔ)架構(gòu)示意圖

實(shí)驗(yàn)基地院區(qū)網(wǎng)絡(luò)不提供對(duì)外信息服務(wù)，目前僅用于用戶設(shè)備訪問(wèn)互聯(lián)網(wǎng)及內(nèi)部應(yīng)用系統(tǒng)，屬于用戶接入?yún)^(qū)。網(wǎng)絡(luò)采取單模光纖方式直連和平里院區(qū)，采用路由模式進(jìn)行網(wǎng)絡(luò)尋址，共同使用和平里院區(qū)互聯(lián)網(wǎng)絡(luò)出口帶寬的模式。

2 網(wǎng)絡(luò)安全面臨的威脅因素

隨著網(wǎng)絡(luò)應(yīng)用的日益普及和更為復(fù)雜，網(wǎng)絡(luò)安全事件不斷出現(xiàn)，電腦病毒網(wǎng)絡(luò)化趨勢(shì)愈來(lái)愈明顯，垃圾郵件日益猖獗，黑客攻擊成指數(shù)增長(zhǎng)，利用互聯(lián)網(wǎng)傳播有害信息手段日益翻新。主要有以下幾點(diǎn)問(wèn)題：

2.1 計(jì)算機(jī)病毒

計(jì)算機(jī)病毒發(fā)生的頻率高，影響的面寬，并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網(wǎng)絡(luò)通信阻塞，系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞，系統(tǒng)無(wú)法提供服務(wù)甚至破壞后無(wú)法恢復(fù)，特別是系統(tǒng)中多年積累的重要數(shù)據(jù)的丟失，損失是災(zāi)難性的。在目前的局域網(wǎng)建成，廣域網(wǎng)聯(lián)通的網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒的傳播更加迅速，單臺(tái)計(jì)算機(jī)感染病毒，在短時(shí)間內(nèi)可以感染到通過(guò)網(wǎng)絡(luò)聯(lián)通的所有的計(jì)算機(jī)系統(tǒng)。病毒傳播速度，感染和破壞規(guī)模與單機(jī)時(shí)代相比高出幾個(gè)數(shù)量級(jí)。如2007年初爆發(fā)的熊貓燒香病毒，受感染的計(jì)算機(jī)系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣，部分電腦中毒后出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤(pán)中數(shù)據(jù)文件被破壞等現(xiàn)象，同時(shí)該病毒可以通過(guò)局域網(wǎng)進(jìn)行傳播，嚴(yán)重影響交換機(jī)CPU處理能力，導(dǎo)致網(wǎng)絡(luò)訪問(wèn)速度變慢。

2.2 系統(tǒng)漏洞

系統(tǒng)漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計(jì)上的缺陷或錯(cuò)誤，被不法者利用，通過(guò)網(wǎng)絡(luò)植入木馬、病毒等方式來(lái)攻擊或控制整個(gè)電腦，竊取數(shù)據(jù)和信息，甚至破壞您的系統(tǒng)網(wǎng)絡(luò)。信息系統(tǒng)安全漏洞的頻繁爆發(fā)是引發(fā)重大網(wǎng)絡(luò)安全事件，造成大范圍影響的主要誘因。如2008年12月爆出的IE7.0瀏覽器“零日”漏洞，黑客可能利用該漏洞，制作各種惡意網(wǎng)頁(yè)，瘋狂傳播木馬病毒，受影響用戶以百萬(wàn)計(jì)。

2.3 郵件安全

郵件安全不僅包括攔阻垃圾及病毒郵件，也包括防范本單位系統(tǒng)被利用當(dāng)作垃圾郵件中轉(zhuǎn)站，造成郵件系統(tǒng)響應(yīng)慢，甚至郵件系統(tǒng)的域名和IP地址被列入垃圾郵件黑名單中，其他郵件系統(tǒng)拒收我院的郵件，造成工作交流嚴(yán)重不便。

2.4 人為因素

部分用戶重應(yīng)用輕管理，安全意識(shí)相當(dāng)?shù)?，?duì)網(wǎng)絡(luò)信息不安全的事實(shí)認(rèn)識(shí)不足。部分用戶網(wǎng)絡(luò)口令設(shè)置過(guò)于簡(jiǎn)單，或者用戶將自己的賬號(hào)共享，部分用戶使用存儲(chǔ)介質(zhì)的不當(dāng)，導(dǎo)致網(wǎng)絡(luò)設(shè)備感染病毒。

3 網(wǎng)絡(luò)風(fēng)險(xiǎn)防范主要措施

在網(wǎng)絡(luò)高速發(fā)展應(yīng)用日益廣泛的年代，要想單一的靠被動(dòng)的安全預(yù)警的手段而一勞永逸的解決目前廣泛存在的網(wǎng)絡(luò)安全威脅是不可能的。網(wǎng)絡(luò)安全與嚴(yán)格、完善的制度和管理是密不可分的。在網(wǎng)絡(luò)安全領(lǐng)域，技術(shù)防范和加強(qiáng)管理培訓(xùn)是相輔相成的兩方面，計(jì)量院加強(qiáng)網(wǎng)絡(luò)安全工作主要從這兩個(gè)方面著手。

3.1 制定網(wǎng)絡(luò)總體安全策略

安全管理工作應(yīng)首先要確定信息網(wǎng)絡(luò)安全總體策略，確認(rèn)網(wǎng)絡(luò)安全保護(hù)工作的目標(biāo)和對(duì)象。

網(wǎng)絡(luò)安全是一項(xiàng)投入較高的系統(tǒng)工程，必須講求防護(hù)效益，使有限的安全設(shè)施充分發(fā)揮作用。根據(jù)安全重要性程度及可能的損失后果分級(jí)防護(hù)，既要防止脫離實(shí)際片面強(qiáng)調(diào)提升防護(hù)等級(jí)，影響工作正常進(jìn)行，也不能單純地為了方便工作，忽視防護(hù)，降低安全防護(hù)等級(jí)，給網(wǎng)絡(luò)安全帶來(lái)威脅。

3.2 減輕計(jì)算機(jī)病毒的影響

為了減輕計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)及終端的影響，主要采取了以下方法：

1)采用VLAN技術(shù)隔離用戶訪問(wèn)，隔離廣播，減少病毒影響，全院按照樓宇及專(zhuān)業(yè)劃分62個(gè)子網(wǎng)。采取可變長(zhǎng)子網(wǎng)掩碼(VLSM)技術(shù)，重新部署IP尋址方案，啟用10.6、10.9私有網(wǎng)段及防火墻NAT方式用于用戶網(wǎng)絡(luò)訪問(wèn)。

2)安裝網(wǎng)絡(luò)版殺毒軟件。網(wǎng)絡(luò)版殺毒軟件最大特點(diǎn)是功能強(qiáng)大、操作簡(jiǎn)便，實(shí)現(xiàn)全網(wǎng)絡(luò)范圍內(nèi)的病毒監(jiān)控。殺毒軟件的自動(dòng)升級(jí)功能會(huì)使下載的最新升級(jí)版本自動(dòng)分發(fā)到各節(jié)點(diǎn)計(jì)算機(jī)，實(shí)現(xiàn)全網(wǎng)絡(luò)統(tǒng)一升級(jí)和病毒查殺。在實(shí)際工作中采用部署瑞星網(wǎng)絡(luò)版殺毒軟件，在部署中根據(jù)用戶實(shí)際采用不同策略，需要考慮的主要因素有：合理配置系統(tǒng)中心和客戶端的升級(jí)，既要考慮避開(kāi)網(wǎng)絡(luò)擁擠時(shí)間段，也要考慮病毒庫(kù)升級(jí)的及時(shí)性；合理制定主動(dòng)防御規(guī)則，在不影響客戶端使用的情況下制定有效的主動(dòng)防御體制；保管好系統(tǒng)中心控制臺(tái)登錄口令和客戶端口令，避免用戶端隨意更改配置或卸載客戶端；合理利用網(wǎng)絡(luò)版防病毒軟件的漏洞掃描和補(bǔ)丁分發(fā)的功能，及時(shí)發(fā)現(xiàn)客戶端漏洞并打上補(bǔ)??；合理設(shè)置全盤(pán)病毒掃描的時(shí)間，在不影響客戶端操作的前提下設(shè)置至少每周固定某個(gè)時(shí)間進(jìn)行全盤(pán)掃描。

3.3 及時(shí)修補(bǔ)系統(tǒng)漏洞，充分發(fā)揮網(wǎng)絡(luò)安全設(shè)備作用

1) 充分利用Windows Update功能修補(bǔ)補(bǔ)丁，Windows更新比較快每周或每月發(fā)布一次，如果出現(xiàn)嚴(yán)重安全威脅，微軟則會(huì)在第一時(shí)間發(fā)布相應(yīng)的更新程序。作為管理人員及時(shí)修補(bǔ)系統(tǒng)漏洞，能夠相應(yīng)提升系統(tǒng)安全性。

2)切實(shí)發(fā)揮防火墻、入侵檢測(cè)等設(shè)備功能。防火墻、入侵檢測(cè)等設(shè)備對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、PC機(jī)等進(jìn)行邊界防護(hù)，將各種可能的威脅拒之門(mén)外，根據(jù)實(shí)際工作需求制定訪問(wèn)策略，能夠在保證局域網(wǎng)與互聯(lián)網(wǎng)聯(lián)通的前提下，創(chuàng)造了一個(gè)相對(duì)安全的內(nèi)網(wǎng)環(huán)境，有效的保護(hù)了內(nèi)部網(wǎng)絡(luò)的安全。

3.4 加強(qiáng)郵件系統(tǒng)管理

1)加強(qiáng)郵件系統(tǒng)安全及垃圾郵件過(guò)濾，在實(shí)際工作中通過(guò)部署反垃圾郵件系統(tǒng)實(shí)現(xiàn)內(nèi)容過(guò)濾，同時(shí)開(kāi)啟反向域名檢查。絕大多數(shù)情況下，提供電子郵件服務(wù)的單位或機(jī)構(gòu)都會(huì)對(duì)郵件域名和郵件服務(wù)器IP有直接的管理權(quán)限。大多數(shù)情況下，管理人員也會(huì)在DNS設(shè)置上保證域名和服務(wù)器IP之間的一致性。目前多數(shù)垃圾郵件制造者，都是用電腦終端直接發(fā)送的，而不是專(zhuān)用服務(wù)器。對(duì)這些電腦終端的IP進(jìn)行反向解析得到的域名，往往與發(fā)送郵件時(shí)聲明的域名不一致，實(shí)際工作中采用這種方法可以非常有效的防止垃圾郵件。

2) 采用安全系數(shù)高的密碼：要求用戶使用復(fù)雜密碼策略，密碼由數(shù)字、字母、符號(hào)組成，長(zhǎng)度大于8位，并定期更換，能夠有效減少密碼被破解的對(duì)郵件系統(tǒng)造成的危害。

3.5 減少人為因素破壞，加強(qiáng)制度建設(shè)及培訓(xùn)工作

國(guó)家在網(wǎng)絡(luò)安全方面發(fā)布了一系列的法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，對(duì)信息網(wǎng)絡(luò)安全進(jìn)行了明確的規(guī)定，并有專(zhuān)門(mén)的部門(mén)負(fù)責(zé)信息安全的管理和執(zhí)法。作為員工首先必須遵守國(guó)家發(fā)布的這些法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，其次也必須依據(jù)這些法律法規(guī)，來(lái)建立自己的管理標(biāo)制度，用于指導(dǎo)本院信息安全工作。如已經(jīng)建立的《涉密移動(dòng)存儲(chǔ)介質(zhì)管理辦法》、《電子郵件使用規(guī)定》等管理規(guī)定。制度的關(guān)鍵在于落實(shí)，不但要結(jié)合網(wǎng)絡(luò)安全實(shí)際經(jīng)常修訂完善制度，定期開(kāi)展監(jiān)督檢查，甚至納入年終考核。加強(qiáng)對(duì)職工的網(wǎng)絡(luò)安全培訓(xùn)工作，讓職工知道信息安全面臨的威脅，及信息安全事件帶來(lái)的后果，使職工切身感覺(jué)到安全事件與自己息息相關(guān)。這樣不僅可以提高職工的安全意識(shí)與技能，使他們具有一定的安全保護(hù)能力，同時(shí)可以改變他們對(duì)待安全事件的態(tài)度，更好地保護(hù)單位數(shù)據(jù)安全。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全問(wèn)題是一個(gè)較為復(fù)雜的系統(tǒng)工程，并沒(méi)有絕對(duì)的安全的網(wǎng)絡(luò)系統(tǒng)。綜合利用以上技術(shù)等多項(xiàng)措施并加強(qiáng)管理，從而把網(wǎng)絡(luò)不安全因素降到最少，保證局域網(wǎng)絡(luò)的安全運(yùn)行，保障科研管理工作對(duì)網(wǎng)絡(luò)的需求。

[1] 蘇宏杰,宋弘.信息安全體系建設(shè)中的幾個(gè)重點(diǎn).信息安全與通信保密，2008(7)：24-26

[2] 王雪寒.應(yīng)用信息化技術(shù)提高計(jì)量管理水平.計(jì)量技術(shù).2010(1):63-70

[3] 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2011年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告，http://www.cert.org.cn/publish/main/46/2012/20120523085533341215471/20120523085533341215471_.html

[4] 王斌君,景乾元,吉增瑞.信息安全技術(shù)體系研究.計(jì)算機(jī)應(yīng)用，2009，29(6)：59-62

[5] 許宏云,鄧志強(qiáng).科研院所局域網(wǎng)的網(wǎng)絡(luò)安全解決方案.農(nóng)業(yè)圖書(shū)情報(bào)學(xué)刊,2009,21(9):53-55

[6] 楊大全,沈濤,郭海智，等.黨政機(jī)關(guān)網(wǎng)絡(luò)安全技術(shù)分析及研究.微處理機(jī)，2012,33(1):23-26