Wannacry病毒在全國范圍內(nèi)大爆發(fā)，我院能夠有幸成為純凈區(qū)，很大程度是因?yàn)閱挝粚?duì)互聯(lián)網(wǎng)安全有高度的重視，同時(shí)網(wǎng)絡(luò)安全防范措施做得很到位。

科研區(qū)互聯(lián)網(wǎng)安全分為兩部分，一是互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全，二是信息安全即防止涉密文件資料通過互聯(lián)網(wǎng)泄露。為日常工作的正常展開，科研區(qū)分別設(shè)有專門的集中訪問互聯(lián)網(wǎng)的外網(wǎng)網(wǎng)吧，和部分因特殊工作所需的單點(diǎn)互聯(lián)網(wǎng)計(jì)算機(jī)，這種特殊的環(huán)境下互聯(lián)網(wǎng)安全尤為重要。相關(guān)規(guī)范明確規(guī)定了互聯(lián)網(wǎng)接入單位必須記錄并留存用戶上網(wǎng)信息，并要求互聯(lián)網(wǎng)單位要依次規(guī)定落實(shí)記錄留存的技術(shù)措施。以及國家對(duì)軍工涉密企業(yè)互聯(lián)網(wǎng)的保密管理規(guī)定的具體要求，筆者根據(jù)工作經(jīng)驗(yàn)總結(jié)出了以技防、人防、意防相結(jié)合的三位一體安全防范措施。

針對(duì)科研區(qū)這一特殊的環(huán)境，互聯(lián)網(wǎng)安全是非常敏感的，一旦發(fā)生病毒入侵、失泄密事件，造成的后果將不堪設(shè)想，首先在技術(shù)上要做到發(fā)現(xiàn)病毒立即處理、失泄密零容忍。連接互聯(lián)網(wǎng)的計(jì)算機(jī)與涉密信息系統(tǒng)物理隔離，這是組建互聯(lián)網(wǎng)最核心的要求。參考行業(yè)內(nèi)一些單位的成功案例，筆者單位采用任天行網(wǎng)絡(luò)安全管理系統(tǒng)、中軟統(tǒng)一終端安全管理系統(tǒng)以及江民殺毒軟件結(jié)合的技術(shù)防范措施。

三位一體：技防

第一層是防火墻，防火墻是內(nèi)部網(wǎng)絡(luò)的第一道防線，拒絕未授權(quán)的外來用戶訪問，時(shí)刻分析著內(nèi)外網(wǎng)之間的信息流，確保內(nèi)部網(wǎng)絡(luò)的安全。所有用戶訪問互聯(lián)網(wǎng)都經(jīng)過防火墻，這些訪問會(huì)形成日志記錄在盤，也可提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。防火墻還可防止內(nèi)部網(wǎng)絡(luò)的信息外泄，有效阻塞關(guān)于內(nèi)部網(wǎng)絡(luò)的DNS信息。

第二層是病毒防護(hù)，眾所周知計(jì)算機(jī)離不開殺毒軟件的保護(hù)，一旦受到病毒感染，損失將不可估量。該防護(hù)措施采用的是江民殺毒軟件企業(yè)版，通過管理終端可對(duì)所有客戶端進(jìn)行統(tǒng)計(jì)和管理，并以報(bào)表的形式展現(xiàn)出終端計(jì)算機(jī)所感染的病毒類型、數(shù)量以及系統(tǒng)的處理結(jié)果，方便工作人員管理和統(tǒng)計(jì)。同時(shí)后臺(tái)定期更新病毒庫并通過網(wǎng)絡(luò)推送到客戶端計(jì)算機(jī)進(jìn)行自動(dòng)更新。

第三層采用主機(jī)審計(jì)和上網(wǎng)行為管理系統(tǒng)對(duì)用戶進(jìn)行管理和約束。終端入退網(wǎng)、重做系統(tǒng)、狀態(tài)變更等均需要經(jīng)本人申請(qǐng)，相關(guān)部門領(lǐng)導(dǎo)審批后方可入網(wǎng)，保證了從入網(wǎng)到退網(wǎng)的閉環(huán)管理。其中主機(jī)審計(jì)軟件采用的是中軟統(tǒng)一終端安全管理系統(tǒng)，上網(wǎng)行為管理采用的是任天行網(wǎng)絡(luò)安全管理系統(tǒng)。

通過任天行網(wǎng)絡(luò)安全管理系統(tǒng)對(duì)用戶進(jìn)行實(shí)名制上網(wǎng)并記錄上網(wǎng)行為，同時(shí)借助中軟主機(jī)審計(jì)系統(tǒng)對(duì)用戶終端進(jìn)行管理，使其可控可管。中心機(jī)房配置任天行網(wǎng)絡(luò)安全管理系統(tǒng)服務(wù)器和管理終端，每臺(tái)計(jì)算機(jī)終端安裝客戶端軟件和RFID刷卡認(rèn)證設(shè)備，通過綁定職工的工作證信息進(jìn)行實(shí)名制上網(wǎng)認(rèn)證。對(duì)于在網(wǎng)吧上網(wǎng)的用戶，因工作需要訪問互聯(lián)網(wǎng)時(shí)需要在網(wǎng)吧管理員處對(duì)其工作證進(jìn)行激活，生成專屬的PIN碼后才能獲取訪問權(quán)限上網(wǎng)瀏覽，需要外發(fā)文件的職工，要在網(wǎng)吧管理員處登記留證，保證密不外泄。對(duì)于單點(diǎn)用戶，按照“誰使用誰負(fù)責(zé)”的方式進(jìn)行管理，通過工作證信息唯一綁定的方式，該計(jì)算機(jī)只能由本人登錄使用，其他未經(jīng)授權(quán)的工作證無法登錄。這樣，本機(jī)只能由本機(jī)責(zé)任人登錄使用，其他用戶無法正常登錄。

通過部署的中軟統(tǒng)一終端主機(jī)審計(jì)系統(tǒng)和安裝在終端計(jì)算機(jī)的中軟客戶端對(duì)所有終端進(jìn)行審計(jì)管理，該系統(tǒng)采用了終端安全“一體化”的安全防護(hù)技術(shù)，整合了病毒防護(hù)監(jiān)測、網(wǎng)路接入認(rèn)證、終端健康檢查、系統(tǒng)身份認(rèn)證、資產(chǎn)查明、補(bǔ)丁管理、運(yùn)行監(jiān)控和失泄密防護(hù)等終端軟件的安全功能。

企業(yè)內(nèi)網(wǎng)常常會(huì)因?yàn)楣ぷ餍枨笞鞒龊芏嗖呗?，從而限制用戶使用互?lián)網(wǎng)計(jì)算機(jī)的任意性。整個(gè)科研區(qū)的互聯(lián)網(wǎng)網(wǎng)絡(luò)有一個(gè)整體的策略以及針對(duì)每臺(tái)計(jì)算機(jī)都有其特有的策略，其系統(tǒng)策略主要如下：

臺(tái)帳管理，對(duì)所有接入互聯(lián)網(wǎng)的計(jì)算機(jī)都要建立對(duì)應(yīng)的臺(tái)帳，如計(jì)算機(jī)型號(hào)、國資、責(zé)任人、IP地址、裝機(jī)位置等內(nèi)容，保證帳物相符。

認(rèn)證管理，每臺(tái)接入和退出互聯(lián)網(wǎng)的計(jì)算機(jī)都經(jīng)過使用人申請(qǐng)，相關(guān)部門領(lǐng)導(dǎo)審批，互聯(lián)網(wǎng)管理部門根據(jù)審批情況對(duì)其物理接口和使用權(quán)限通過技術(shù)手段進(jìn)行限制，保證整個(gè)流程的閉環(huán)管理。而訪問互聯(lián)網(wǎng)的用戶要在網(wǎng)吧上網(wǎng)需要進(jìn)行身份信息登記，沒有特殊需求只能在公共計(jì)算機(jī)上上網(wǎng)。

訪問管理，對(duì)用戶訪問過的信息進(jìn)行記錄留證，以備相關(guān)授權(quán)部門的查看。同時(shí)根據(jù)相關(guān)部門的要求可對(duì)某些特殊網(wǎng)站進(jìn)行訪問控制。

針對(duì)每臺(tái)計(jì)算機(jī)下發(fā)單獨(dú)的策略：USB接口、光驅(qū)、打印等權(quán)限需要單獨(dú)申請(qǐng)，只有通過審核的用戶，其計(jì)算機(jī)才開放這些功能。同時(shí)形成這些接口數(shù)據(jù)流的行為日志與數(shù)據(jù)統(tǒng)計(jì)。

三位一體：人防

所謂人防就是人為防范措施，主要指負(fù)責(zé)網(wǎng)絡(luò)安全的工作人員的人為干預(yù)。完善科研區(qū)互聯(lián)網(wǎng)計(jì)算機(jī)定期逐臺(tái)巡檢和日常維護(hù)制度。

針對(duì)科研區(qū)互聯(lián)網(wǎng)計(jì)算機(jī)的特殊性，定期進(jìn)行逐臺(tái)巡檢，主要包括：檢查安全軟件是否正常工作，檢查是否安裝違規(guī)軟件、下載不良文件及不良程序等，檢查端口狀態(tài)是否異常，檢查國資、保密編號(hào)是否變更，手動(dòng)查殺病毒，病毒庫是否更新，確保計(jì)算機(jī)的物理安全等等，這些繁瑣而又細(xì)致的操作都是為了確保科研區(qū)互聯(lián)網(wǎng)的安全。另外工單管理系統(tǒng)是不可缺少的工具，一旦出現(xiàn)網(wǎng)絡(luò)故障，技術(shù)人員持有故障工單第一時(shí)間到達(dá)現(xiàn)場，工單記錄明確故障類型，以及處理的具體措施。工單更好地統(tǒng)計(jì)出了整個(gè)系統(tǒng)的故障類型、特點(diǎn)等信息，為管理人員提供了第一手的資料。同時(shí)網(wǎng)吧管理員還要做好對(duì)進(jìn)入網(wǎng)吧的用戶訪問互聯(lián)網(wǎng)、刻錄光盤、外發(fā)文件、打印文件等的登記留證工作。

三位一體：意防

意防即提高職工網(wǎng)絡(luò)安全防范意識(shí)和保密意識(shí)，也是最難最重要的。這就要求職工需要有強(qiáng)烈的安全保密責(zé)任和綠色上網(wǎng)的意識(shí)。網(wǎng)絡(luò)攻擊無時(shí)無刻都在進(jìn)行著，例如“熊貓燒香”以及近期的Wannacry病毒，造成的損失都是不可估量的。不能因?yàn)闆]有發(fā)現(xiàn)感染病毒，就降低網(wǎng)絡(luò)安全的警惕性。

對(duì)于科研區(qū)互聯(lián)網(wǎng)，可借鑒園區(qū)網(wǎng)桌面，將互聯(lián)網(wǎng)規(guī)范條例顯示在桌面背景中，有意無意中提醒用戶規(guī)范上網(wǎng)行為。學(xué)習(xí)了解網(wǎng)絡(luò)安全法以及相關(guān)涉密單位涉密人員保密管理規(guī)定等內(nèi)容。只有了解了相關(guān)法律法規(guī)，明確了保密的責(zé)任，才會(huì)更好地規(guī)范自身行為。提高涉密人員的保密意識(shí)是重中之重，保密培訓(xùn)、教育、宣傳等手段在保密戰(zhàn)線上作用尤為突出，防患于未然。

這次Wannacry病毒攻擊中被感染的用戶計(jì)算機(jī)，大多數(shù)是“三不”用戶，即從來不查殺電腦病毒，從來不更新電腦補(bǔ)丁，從來不更新Windows。并且這種病毒還在不斷變異中，并沒有停止感染計(jì)算機(jī)的腳步。由于很多企業(yè)單位都沒有專門負(fù)責(zé)網(wǎng)絡(luò)安全的技術(shù)人員，大部分員工又對(duì)計(jì)算機(jī)網(wǎng)絡(luò)知之甚少，這就為病毒提供了可乘之機(jī)。筆者根據(jù)工作經(jīng)驗(yàn)，總結(jié)出下面幾個(gè)建議。

普及病毒小知識(shí)，讓病毒攻擊的影響常態(tài)化，這樣才不至于出現(xiàn)大面積攻擊事件后，不知所措甚至恐慌。作為信息化部門或者網(wǎng)絡(luò)部門，出現(xiàn)類似情況后，應(yīng)該第一時(shí)間作出響應(yīng)，發(fā)布相關(guān)處理措施的信息。雖然這此科研區(qū)互聯(lián)網(wǎng)逃過一劫，但是并不代表著很安全，病毒更新變異的速度遠(yuǎn)遠(yuǎn)高于病毒庫的更新速度，不久的將來還會(huì)有其他新病毒猖獗。

每次用戶刷卡訪問互聯(lián)網(wǎng)計(jì)算機(jī)，進(jìn)入桌面后會(huì)自動(dòng)彈出互聯(lián)網(wǎng)保密條例或者綠色上網(wǎng)管理規(guī)定的小窗口，小窗口的內(nèi)容每天自動(dòng)更新，設(shè)定時(shí)間后窗口自動(dòng)關(guān)閉。也可不定期推送一些網(wǎng)絡(luò)安全小貼士。

將一些涉密關(guān)鍵字構(gòu)建數(shù)據(jù)庫，對(duì)通過互聯(lián)網(wǎng)上傳的文件進(jìn)行審核，防止涉密文件泄露。缺少技術(shù)層面上的手段，杜絕涉密文件資料通過互聯(lián)網(wǎng)泄露，只是通過人為影響和干預(yù)。

隨著互聯(lián)網(wǎng)+時(shí)代的來臨，應(yīng)對(duì)“Wannacry”式攻擊或?qū)⒊蔀槌B(tài)。網(wǎng)絡(luò)攻擊每時(shí)每刻都在發(fā)生，只是沒有形成一定的攻擊范圍和規(guī)模，所以沒有引起注意,永遠(yuǎn)不能放松對(duì)病毒的警惕以及對(duì)保密底線的防守。