网络安全问题分析及应对措施

智 峰 韩 超

(中国计量科学研究院，北京 100013)

0 引言

随着网络技术的飞速发展以及互联网络的应用日益广泛，越来越多的科研人员通过网络进行文献检索、获取信息、开展学术交流，网络在科研管理中发挥的支撑保障作用日益明显。但科研人员更注重信息的获取，而容易忽略信息及网络安全的风险，这就要求网络管理人员有针对性地加强网络安全防范工作。本文结合中国计量科学研究院应用实际，探讨所面临的网络安全问题，从提升技术防范和加强管理培训入手，保障网络安全，使科研管理工作安全、有序进行。

1 中国计量科学研究院网络系统现状

中国计量科学研究院网络由和平里及昌平实验基地两院区网络共同组成，网络基础架构如图1所示。整体网络划分为三个区域：互联网接入区、服务器区、用户接入区。互联网接入区通过租用互联网链路接入互联网络，并部署防火墙及网关防毒系统，和平里院区部分用户接入IPV6网络系统，服务器区主要用于对外、对内提供各项信息服务，通过在防火墙设置不同安全域，对服务器进行严格的控制，保障合法的访问，同时杜绝非法或非授权的访问。对于重点防护网站(中英文门户网站)，采用部署入侵检测系统，使其和局域网络隔离，以抵御来自内外部网络的攻击。用户接入区主要用于内部计算机终端设备访问互联网及内部应用系统。终端统一安装防病毒软件，使用私有地址，通过NAT方式进行互联网访问。员工在院外访问内部网络采用SSL VPN方式，并保存访问日志。

图1 计量院网络基础架构示意图

实验基地院区网络不提供对外信息服务，目前仅用于用户设备访问互联网及内部应用系统，属于用户接入区。网络采取单模光纤方式直连和平里院区，采用路由模式进行网络寻址，共同使用和平里院区互联网络出口带宽的模式。

2 网络安全面临的威胁因素

随着网络应用的日益普及和更为复杂，网络安全事件不断出现，电脑病毒网络化趋势愈来愈明显，垃圾邮件日益猖獗，黑客攻击成指数增长，利用互联网传播有害信息手段日益翻新。主要有以下几点问题：

2.1 计算机病毒

计算机病毒发生的频率高，影响的面宽，并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞，系统数据和文件系统破坏，系统无法提供服务甚至破坏后无法恢复，特别是系统中多年积累的重要数据的丢失，损失是灾难性的。在目前的局域网建成，广域网联通的网络环境下，计算机病毒的传播更加迅速，单台计算机感染病毒，在短时间内可以感染到通过网络联通的所有的计算机系统。病毒传播速度，感染和破坏规模与单机时代相比高出几个数量级。如2007年初爆发的熊猫烧香病毒，受感染的计算机系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样，部分电脑中毒后出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象，同时该病毒可以通过局域网进行传播，严重影响交换机CPU处理能力，导致网络访问速度变慢。

2.2 系统漏洞

系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或错误，被不法者利用，通过网络植入木马、病毒等方式来攻击或控制整个电脑，窃取数据和信息，甚至破坏您的系统网络。信息系统安全漏洞的频繁爆发是引发重大网络安全事件，造成大范围影响的主要诱因。如2008年12月爆出的IE7.0浏览器“零日”漏洞，黑客可能利用该漏洞，制作各种恶意网页，疯狂传播木马病毒，受影响用户以百万计。

2.3 邮件安全

邮件安全不仅包括拦阻垃圾及病毒邮件，也包括防范本单位系统被利用当作垃圾邮件中转站，造成邮件系统响应慢，甚至邮件系统的域名和IP地址被列入垃圾邮件黑名单中，其他邮件系统拒收我院的邮件，造成工作交流严重不便。

2.4 人为因素

部分用户重应用轻管理，安全意识相当淡薄，对网络信息不安全的事实认识不足。部分用户网络口令设置过于简单，或者用户将自己的账号共享，部分用户使用存储介质的不当，导致网络设备感染病毒。

3 网络风险防范主要措施

在网络高速发展应用日益广泛的年代，要想单一的靠被动的安全预警的手段而一劳永逸的解决目前广泛存在的网络安全威胁是不可能的。网络安全与严格、完善的制度和管理是密不可分的。在网络安全领域，技术防范和加强管理培训是相辅相成的两方面，计量院加强网络安全工作主要从这两个方面着手。

3.1 制定网络总体安全策略

安全管理工作应首先要确定信息网络安全总体策略，确认网络安全保护工作的目标和对象。

网络安全是一项投入较高的系统工程，必须讲求防护效益，使有限的安全设施充分发挥作用。根据安全重要性程度及可能的损失后果分级防护，既要防止脱离实际片面强调提升防护等级，影响工作正常进行，也不能单纯地为了方便工作，忽视防护，降低安全防护等级，给网络安全带来威胁。

3.2 减轻计算机病毒的影响

为了减轻计算机病毒对网络及终端的影响，主要采取了以下方法：

1)采用VLAN技术隔离用户访问，隔离广播，减少病毒影响，全院按照楼宇及专业划分62个子网。采取可变长子网掩码(VLSM)技术，重新部署IP寻址方案，启用10.6、10.9私有网段及防火墙NAT方式用于用户网络访问。

2)安装网络版杀毒软件。网络版杀毒软件最大特点是功能强大、操作简便，实现全网络范围内的病毒监控。杀毒软件的自动升级功能会使下载的最新升级版本自动分发到各节点计算机，实现全网络统一升级和病毒查杀。在实际工作中采用部署瑞星网络版杀毒软件，在部署中根据用户实际采用不同策略，需要考虑的主要因素有：合理配置系统中心和客户端的升级，既要考虑避开网络拥挤时间段，也要考虑病毒库升级的及时性；合理制定主动防御规则，在不影响客户端使用的情况下制定有效的主动防御体制；保管好系统中心控制台登录口令和客户端口令，避免用户端随意更改配置或卸载客户端；合理利用网络版防病毒软件的漏洞扫描和补丁分发的功能，及时发现客户端漏洞并打上补丁；合理设置全盘病毒扫描的时间，在不影响客户端操作的前提下设置至少每周固定某个时间进行全盘扫描。

3.3 及时修补系统漏洞，充分发挥网络安全设备作用

1) 充分利用Windows Update功能修补补丁，Windows更新比较快每周或每月发布一次，如果出现严重安全威胁，微软则会在第一时间发布相应的更新程序。作为管理人员及时修补系统漏洞，能够相应提升系统安全性。

2)切实发挥防火墙、入侵检测等设备功能。防火墙、入侵检测等设备对网络设备、服务器、PC机等进行边界防护，将各种可能的威胁拒之门外，根据实际工作需求制定访问策略，能够在保证局域网与互联网联通的前提下，创造了一个相对安全的内网环境，有效的保护了内部网络的安全。

3.4 加强邮件系统管理

1)加强邮件系统安全及垃圾邮件过滤，在实际工作中通过部署反垃圾邮件系统实现内容过滤，同时开启反向域名检查。绝大多数情况下，提供电子邮件服务的单位或机构都会对邮件域名和邮件服务器IP有直接的管理权限。大多数情况下，管理人员也会在DNS设置上保证域名和服务器IP之间的一致性。目前多数垃圾邮件制造者，都是用电脑终端直接发送的，而不是专用服务器。对这些电脑终端的IP进行反向解析得到的域名，往往与发送邮件时声明的域名不一致，实际工作中采用这种方法可以非常有效的防止垃圾邮件。

2) 采用安全系数高的密码：要求用户使用复杂密码策略，密码由数字、字母、符号组成，长度大于8位，并定期更换，能够有效减少密码被破解的对邮件系统造成的危害。

3.5 减少人为因素破坏，加强制度建设及培训工作

国家在网络安全方面发布了一系列的法律法规和技术标准，对信息网络安全进行了明确的规定，并有专门的部门负责信息安全的管理和执法。作为员工首先必须遵守国家发布的这些法律法规和技术标准，其次也必须依据这些法律法规，来建立自己的管理标制度，用于指导本院信息安全工作。如已经建立的《涉密移动存储介质管理办法》、《电子邮件使用规定》等管理规定。制度的关键在于落实，不但要结合网络安全实际经常修订完善制度，定期开展监督检查，甚至纳入年终考核。加强对职工的网络安全培训工作，让职工知道信息安全面临的威胁，及信息安全事件带来的后果，使职工切身感觉到安全事件与自己息息相关。这样不仅可以提高职工的安全意识与技能，使他们具有一定的安全保护能力，同时可以改变他们对待安全事件的态度，更好地保护单位数据安全。

4 结束语

网络安全问题是一个较为复杂的系统工程，并没有绝对的安全的网络系统。综合利用以上技术等多项措施并加强管理，从而把网络不安全因素降到最少，保证局域网络的安全运行，保障科研管理工作对网络的需求。

[1] 苏宏杰,宋弘.信息安全体系建设中的几个重点.信息安全与通信保密，2008(7)：24-26

[2] 王雪寒.应用信息化技术提高计量管理水平.计量技术.2010(1):63-70

[3] 国家计算机网络应急技术处理协调中心.2011年中国互联网网络安全报告，http://www.cert.org.cn/publish/main/46/2012/20120523085533341215471/20120523085533341215471_.html

[4] 王斌君,景乾元,吉增瑞.信息安全技术体系研究.计算机应用，2009，29(6)：59-62

[5] 许宏云,邓志强.科研院所局域网的网络安全解决方案.农业图书情报学刊,2009,21(9):53-55

[6] 杨大全,沈涛,郭海智，等.党政机关网络安全技术分析及研究.微处理机，2012,33(1):23-26