趙增芳 李健

摘 要：隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展及廣泛應(yīng)用，計算機(jī)網(wǎng)絡(luò)安全也引起了人們的高度重視，文章通過分析計算機(jī)網(wǎng)絡(luò)運(yùn)維面臨的網(wǎng)絡(luò)安全問題，提出了適合研究所計算機(jī)網(wǎng)絡(luò)運(yùn)維安全管理的具體措施，以期保障研究所計算機(jī)網(wǎng)絡(luò)運(yùn)維系統(tǒng)更安全、穩(wěn)定運(yùn)行。

關(guān)鍵詞：計算機(jī)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;運(yùn)維安全;管理措施

0 ? 引言

隨著我國計算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展， 人們的生活、工作以及學(xué)習(xí)方式等都產(chǎn)生了很大的影響，特別是在我國研究所的科研生產(chǎn)和管理中，計算機(jī)網(wǎng)絡(luò)系統(tǒng)已成為必不可少的基礎(chǔ)設(shè)施。需要注意的是，計算機(jī)網(wǎng)絡(luò)技術(shù)提高了人們的工作學(xué)習(xí)效率，在促進(jìn)信息資源共享的同時也給人們帶來了巨大的安全隱患，特別是對我們的個人信息及科研數(shù)據(jù)安全構(gòu)成了極大威脅。在現(xiàn)今信息化水平高速發(fā)展的環(huán)境下，研究所的網(wǎng)絡(luò)安全更應(yīng)該引起人們的重視。

1 ? 計算機(jī)網(wǎng)絡(luò)運(yùn)維面臨的網(wǎng)絡(luò)安全問題

1.1 ?計算機(jī)網(wǎng)絡(luò)漏洞

網(wǎng)絡(luò)漏洞是計算機(jī)網(wǎng)絡(luò)系統(tǒng)中硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在某種缺陷或后門，使惡意攻擊者在未授權(quán)的情況下能夠訪問或破壞系統(tǒng)。比如，操作系統(tǒng)漏洞、聊天軟件漏洞、文件傳輸軟件漏洞、辦公軟件漏洞、遠(yuǎn)程控制軟件漏洞、Web網(wǎng)站代碼漏洞、腳本語言設(shè)計缺陷或不規(guī)范等，需及時采取有效措施，防止計算機(jī)被非法控制、感染病毒，避免用戶信息和科研資料泄露等損失[1-3]。

1.2 ?網(wǎng)絡(luò)黑客入侵及病毒植入

黑客入侵手段包括后門程序、網(wǎng)絡(luò)監(jiān)聽、DDOS、破解密碼、WWW欺騙、信息炸彈、郵件木馬攻擊、拒絕服務(wù)、橫向攻擊等，網(wǎng)絡(luò)黑客通過以上非法入侵的手段滲透到計算機(jī)網(wǎng)絡(luò)中，導(dǎo)致用戶資料及科研數(shù)據(jù)被竊取，并植入病毒。病毒通常具有較強(qiáng)的執(zhí)行力、傳染性、潛伏性、可觸發(fā)性，可導(dǎo)致計算機(jī)出現(xiàn)死機(jī)、癱瘓、自動下載以及速度變慢等現(xiàn)象。

1.3 ?釣魚郵件、釣魚網(wǎng)站、網(wǎng)絡(luò)詐騙

釣魚郵件通常是指將惡意程序（病毒或木馬）通過附件或鏈接方式發(fā)送到用戶郵箱，并通過郵件內(nèi)容誘導(dǎo)用戶點擊，安裝其隱藏的惡意程序，從而實現(xiàn)對用戶計算機(jī)系統(tǒng)的攻擊;釣魚網(wǎng)站通常是通過偽裝知名網(wǎng)站或發(fā)布虛假交易消息獲取用戶的登錄和個人信息、騙取用戶錢財;網(wǎng)絡(luò)詐騙通常是指為達(dá)到某種目的在網(wǎng)絡(luò)上以各種形式向他人騙取財物的詐騙手段，犯罪的主要行為、環(huán)節(jié)都發(fā)生在互聯(lián)網(wǎng)上，通過虛構(gòu)事實或隱瞞真相來非法騙取數(shù)額較大的公私財物。

2 研究所計算機(jī)網(wǎng)絡(luò)運(yùn)維安全管理措施

研究所計算機(jī)網(wǎng)絡(luò)運(yùn)行維護(hù)與安全管理主要是提高研究所計算機(jī)網(wǎng)絡(luò)運(yùn)維系統(tǒng)的安全管理質(zhì)量以及管理水平，通過建立健全信息管理制度、提高全員信息安全意識及保障水平，落實網(wǎng)絡(luò)安全責(zé)任;通過加強(qiáng)對漏洞及病毒的防范，避免網(wǎng)絡(luò)遭到某些因素的影響，從而產(chǎn)生漏洞，或者被破壞、篡改等;最后，即使出現(xiàn)數(shù)據(jù)被破壞的情況，可以通過采用容災(zāi)備份系統(tǒng)恢復(fù)數(shù)據(jù)，以確保網(wǎng)絡(luò)信息系統(tǒng)數(shù)據(jù)及科研數(shù)據(jù)的完整性。

2.1 ?建立健全網(wǎng)絡(luò)信息安全管理制度并嚴(yán)格落實

為了保障研究所計算機(jī)網(wǎng)絡(luò)運(yùn)維系統(tǒng)的安全，必須建立健全適合研究所的網(wǎng)絡(luò)信息安全管理制度、操作技術(shù)規(guī)范。首先是建立健全研究所網(wǎng)絡(luò)信息安全組織機(jī)構(gòu)，其次成立研究所保障網(wǎng)絡(luò)信息安全的專門領(lǐng)導(dǎo)機(jī)構(gòu)，明確主管領(lǐng)導(dǎo)，確定網(wǎng)絡(luò)信息安全管理職能部門、網(wǎng)絡(luò)信息安全運(yùn)維部門和具體負(fù)責(zé)人員，落實網(wǎng)絡(luò)信息安全責(zé)任。

研究所網(wǎng)絡(luò)信息安全管理制度的內(nèi)容主要包括人員管理、網(wǎng)絡(luò)建設(shè)管理、網(wǎng)絡(luò)運(yùn)維管理、安全審計管理等方面的網(wǎng)絡(luò)安全管理制度和規(guī)范。具體落實可從以下5個方面。

（1）實行實名制。無論是用戶上網(wǎng)還是登陸各種信息系統(tǒng)，都需通過實名制的方式對用戶身份進(jìn)行認(rèn)證，以保障網(wǎng)絡(luò)系統(tǒng)的安全。

（2）保證用戶信息及科研數(shù)據(jù)的完整性、安全性和可靠性。采取有效技術(shù)對用戶進(jìn)行合理授權(quán)，確保用戶信息和科研數(shù)據(jù)的完整性及安全性。

（3）加強(qiáng)對網(wǎng)絡(luò)系統(tǒng)運(yùn)維的規(guī)范化管理。網(wǎng)絡(luò)運(yùn)維人員需嚴(yán)格按照相關(guān)標(biāo)準(zhǔn)進(jìn)行規(guī)范化操作，確保計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全，避免產(chǎn)生漏洞、留下后門。

（4）制定完善的保密制度。通過制定運(yùn)維人員離崗離職信息安全管理規(guī)定及簽署運(yùn)維人員的網(wǎng)絡(luò)安全保密協(xié)議等方式，加強(qiáng)信息保護(hù)，減少數(shù)據(jù)泄露情況的發(fā)生。

（5）確保信息安全審計。嚴(yán)格審查系統(tǒng)中的各種信息，避免任何可能存在的安全隱患影響網(wǎng)絡(luò)信息系統(tǒng)的正常使用。

2.2 ?提高全員信息安全意識及保障水平

2.2.1 ?提升信息安全意識的方法

（1）通過制作信息安全意識手冊、畫冊、海報、動畫短片、展板、鼠標(biāo)墊等方式開展信息安全意識培訓(xùn)。

（2）通過開展信息安全知識競賽，比如網(wǎng)上答題、現(xiàn)場答辯等方式并結(jié)合競賽名次給予物質(zhì)獎勵，提升員工信息安全意識。

（3）研究所領(lǐng)導(dǎo)要高度重視網(wǎng)絡(luò)信息安全，加強(qiáng)對信息安全事件的考核力度。

2.2.2 ?保障措施

（1）切實加強(qiáng)領(lǐng)導(dǎo)，建立健全所網(wǎng)絡(luò)安全工作體制。

切實加強(qiáng)對網(wǎng)絡(luò)安全工作的統(tǒng)一領(lǐng)導(dǎo)和管理。建立健全信息安全組織，落實機(jī)構(gòu)和人員，強(qiáng)化統(tǒng)一管理職能，不斷提高信息安全決策的執(zhí)行和組織實施水平;各級領(lǐng)導(dǎo)要在提高網(wǎng)絡(luò)信息安全意識等方面起帶頭表率作用，為信息安全建設(shè)與應(yīng)用創(chuàng)造良好的氛圍。

（2）加強(qiáng)信息安全預(yù)算管理，確保信息安全的可持續(xù)。

確立網(wǎng)絡(luò)安全發(fā)展的戰(zhàn)略地位，注重長期效益，保證網(wǎng)絡(luò)安全建設(shè)和運(yùn)行維護(hù)資金的持續(xù)投入。把網(wǎng)絡(luò)安全規(guī)劃和年度計劃的預(yù)算納入預(yù)算管理，保障信息化預(yù)算中網(wǎng)絡(luò)安全投入的合理占比;設(shè)立信息安全專項資金，集中投入，統(tǒng)一管理，?？顚Ｓ?。

（3）加強(qiáng)信息安全績效考核，建立健全激勵約束機(jī)制。

按照國家及研究所相關(guān)要求，制訂合理、可行的網(wǎng)絡(luò)信息安全建設(shè)相關(guān)考核指標(biāo)，通過強(qiáng)化績效考核制度，建立健全網(wǎng)絡(luò)信息安全建設(shè)激勵約束機(jī)制，提高員工信息安全建設(shè)責(zé)任感。

（4）加強(qiáng)信息安全隊伍建設(shè)，提高全員信息安全保障水平。

將人才培養(yǎng)與推進(jìn)信息安全保障結(jié)合起來，積極引進(jìn)和培養(yǎng)單位急需的網(wǎng)絡(luò)安全專業(yè)人才和復(fù)合型人才。制訂全員信息安全培訓(xùn)計劃，開展針對單位領(lǐng)導(dǎo)、管理人員、技術(shù)人員和使用人員的網(wǎng)絡(luò)安全定期培訓(xùn)，建設(shè)單位內(nèi)部網(wǎng)絡(luò)安全文化。

2.3 ?加強(qiáng)對漏洞及病毒的防范，提高網(wǎng)絡(luò)安全保障

在大多研究所中，為保障網(wǎng)絡(luò)信息系統(tǒng)的安全，一般會將局域網(wǎng)與國際互聯(lián)網(wǎng)采取物理隔離的方式分離，可從一定程度上抑制內(nèi)部網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接所衍生的各類安全問題，但不能防止來自內(nèi)部設(shè)備或內(nèi)部人員的惡意行為，比如漏洞攻擊、病毒傳播[4]。當(dāng)前要進(jìn)一步提升研究所網(wǎng)絡(luò)安全水平，防止來自國際互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)的各種攻擊，可在網(wǎng)絡(luò)規(guī)劃或建設(shè)時加入以下5種網(wǎng)絡(luò)安全技術(shù)。

（1）通過漏洞掃描技術(shù)，定期開展安全風(fēng)險評估和隱患排查，深入分析重要信息系統(tǒng)所面臨的主要風(fēng)險和威脅，查找網(wǎng)絡(luò)與信息安全的短板，并結(jié)合實名認(rèn)證、訪問控制、安全審計等技術(shù)防護(hù)措施，確保網(wǎng)絡(luò)信息完全。

（2）使用防火墻技術(shù)和防病毒技術(shù)能夠有效抵制病毒對網(wǎng)絡(luò)及計算機(jī)系統(tǒng)的入侵，在互聯(lián)網(wǎng)入口部署防火墻和防毒墻，視網(wǎng)絡(luò)為一整體防范病毒入侵和黑客攻擊，單機(jī)桌面系統(tǒng)部署殺毒軟件和開啟防火墻，定期查殺，可快速有效地查殺病毒，還可對系統(tǒng)的內(nèi)存、文件、網(wǎng)頁、郵件等進(jìn)行監(jiān)控，保障系統(tǒng)穩(wěn)定運(yùn)行。

（3）通過SDP零信任技術(shù)即軟件定義邊界（SDP）技術(shù)和零信任模型，建立設(shè)備、應(yīng)用、資源、人員安全準(zhǔn)入機(jī)制，實現(xiàn)人員、設(shè)備、資源可管可控;實現(xiàn)資源隱藏，提升網(wǎng)絡(luò)安全管理水平;全面規(guī)避病毒、黑客、APT、木馬、勒索等傳統(tǒng)威脅對科研數(shù)據(jù)的安全威脅;增強(qiáng)網(wǎng)絡(luò)架構(gòu)的安全等級，提升針對不良攻擊的防御系數(shù)。

（4）應(yīng)用入侵防御技術(shù)監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的活動，對惡意或有害的行為進(jìn)行實時反應(yīng)，以阻止或防止這些活動帶來的破壞;應(yīng)用入侵檢測技術(shù)檢測計算機(jī)網(wǎng)絡(luò)中違反網(wǎng)絡(luò)安全策略的惡意行為并進(jìn)行相應(yīng)處理，以保障計算機(jī)網(wǎng)絡(luò)運(yùn)維系統(tǒng)、服務(wù)器及用戶終端的安全，為研究所網(wǎng)絡(luò)提供安全運(yùn)行環(huán)境。

（5）利用網(wǎng)絡(luò)數(shù)據(jù)流量的跟蹤與溯源技術(shù)，在網(wǎng)絡(luò)攻擊事件發(fā)生后，溯源網(wǎng)絡(luò)數(shù)據(jù)流量運(yùn)動路徑，可以定位攻擊源和攻擊路徑，有針對性地反制或抑制網(wǎng)絡(luò)攻擊，以及網(wǎng)絡(luò)取證能力。網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域具有非常重要的價值，針對網(wǎng)絡(luò)結(jié)構(gòu)各區(qū)域邊界的流程進(jìn)行抓取、還原、分析，為各網(wǎng)絡(luò)、流量、協(xié)議、應(yīng)用、服務(wù)建立基線閥值，并進(jìn)行實時監(jiān)控。同時，針對發(fā)生的網(wǎng)絡(luò)攻擊或風(fēng)險，可快速分析和定位，提高網(wǎng)絡(luò)安全運(yùn)維能力。

任何網(wǎng)絡(luò)安全技術(shù)的實現(xiàn)都需要軟硬件的配合使用，以上網(wǎng)絡(luò)安全技術(shù)對應(yīng)的網(wǎng)絡(luò)安全產(chǎn)品在網(wǎng)絡(luò)結(jié)構(gòu)中的部署位置如圖1所示。

2.4 ?采用容災(zāi)備份系統(tǒng)確保數(shù)據(jù)完整性

容災(zāi)備份有實時備份、集中備份、中轉(zhuǎn)備份、異構(gòu)備份、異地容災(zāi)、任意回退、業(yè)務(wù)接管、集中管理、信息報警等功能。容災(zāi)備份的最終目標(biāo)是幫助研究所應(yīng)對人為誤操作、軟件錯誤、病毒入侵等“軟”性災(zāi)害以及硬件故障、自然災(zāi)害等“硬”性災(zāi)害[5-6]。

對于多園區(qū)的工作單位，主園區(qū)的災(zāi)備機(jī)房通過備份一體機(jī)等容災(zāi)系統(tǒng)，將異地機(jī)房數(shù)據(jù)容災(zāi)至主園區(qū)機(jī)房中的災(zāi)備設(shè)備中，同時主園區(qū)核心機(jī)房中的信息化數(shù)據(jù)也可以通過總部災(zāi)備設(shè)備容災(zāi)到異地，從而實現(xiàn)信息化數(shù)據(jù)多點災(zāi)備互備方案，保證信息化業(yè)務(wù)系統(tǒng)的高可用性、持續(xù)性、安全性。

3 ? 結(jié)語

本文從網(wǎng)絡(luò)運(yùn)維和安全設(shè)計角度，闡述了網(wǎng)絡(luò)運(yùn)維中常見問題及應(yīng)對措施。要保障研究所的網(wǎng)絡(luò)信息安全，需建立一套網(wǎng)絡(luò)安全技術(shù)防范措施及有效的管理制度，做到網(wǎng)絡(luò)安全“進(jìn)不來、拿不走、看不懂、改不了、跑不了”，讓研究所的計算機(jī)網(wǎng)絡(luò)運(yùn)維系統(tǒng)更安全穩(wěn)定運(yùn)行，網(wǎng)絡(luò)環(huán)境更安全可靠。

[參考文獻(xiàn)]

[1]董靚.計算機(jī)網(wǎng)絡(luò)運(yùn)維及安全管理設(shè)計[J].中國新通信，2020（15）：18-20.

[2]韓琳.計算機(jī)網(wǎng)絡(luò)運(yùn)維及安全管理設(shè)計[J].電子技術(shù)與軟件工程，2019（23）：206-207.

[3]馬奎.計算機(jī)網(wǎng)絡(luò)運(yùn)行維護(hù)與安全管理措施[J].電腦知識與技，2018（17）：52-53.

[4]趙霞等.論運(yùn)維工作中的網(wǎng)絡(luò)入侵防御[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（2）：4.

[5]李緒柱.計算機(jī)網(wǎng)絡(luò)安全主要隱患及應(yīng)對措施[J].現(xiàn)代職業(yè)教育，2016（10）：29.

[6]周龍.深入探討企業(yè)員工的信息安全意識[J].硅谷，2013（3）：132-133.

（編輯 傅金睿）