如何打造“数字黄河”安全管理网络

　　编者按：“数字黄河”是一项国家级的网络信息系统，如何保证它的高可用性、高管理性、高安全性，成为了首要任务。本文结合了“数字黄河”系统建设的工作实践。就网络安全理念，如何搞好局域网的安全管理防护体系做了分析和探讨。

　　引言

　　黄河水利科学研究院计算机网络系统作为“数字黄河”基础设施建设的组成部分。2000年开始运行，几年来网络规模和应用都有了长足发展。信息化建设以不可抗拒的力量，影响和改变着我们科研工作模式，管理工作模式，让我们充分享用到网络带来的方便、高效和利益。但开放互连的网络，也存在着自然和人为等诸多因素引发的脆弱性和潜在威胁，也要应对网络安全的新挑战和新危险。近年来，为落实黄总办提出的“实施精细管理，打造精品网络，为维持黄河健康生命而努力奋斗”的工作目标，在网络安全管理方面，从技术层面和管理层面作了一些工作，总结归纳如下，与大家切磋共勉。

　　一、 网络系统分析

　　（一）网络安全的问题分析

　　网络安全包括六个基本要素：机密性、完整性、可用性、可控性、可审查性与有效性。

　　机密性：确保网络上的信息不暴露给未授权的实体或进程。当信息可被创建信息人、收受人之外的第三者，以恶意或非恶意的方式得知时，就丧失了机密性。

　　完整性：只有得到允许的人才能修改网络信息，并且系统能够判别出信息是否已被篡改。

　　可用性：系统必须能够判定用户是否具备足够的权限进行特定的活动，如打开文件、执行程序等。即攻击者不能占用计算机和网络资源而阻碍授权者的工作。

　　可控性：可以控制授权范围内的信息流向及行为方式。

　　可审查性：对出现的网络安全问题提供调查的依据和手段。某用户对系统进行某项运作后，若系统事后能提出证明，而用户无法加以否认，便具备可审查性。

　　有效性：某些网络服务因服务性质的因素，必须公开提供给非特定人使用 （如公共网页、邮件服务等），但各项服务因为设计或硬件能力上的限制，势必都存在服务能力的上限，当该项服务被攻击，而使得经过身份鉴别及授权的正常用户无法取得服务时，便丧失了有效性。

　　（二） 网络所面临的问题

　　计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络安全的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的，归结起来，针对网络安全的威胁主要有以下几点：

　　人为的无意失误：由系统操作员安全配置不当造成的安全漏洞。用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。

　　人为的恶意攻击：一种是主动攻击，有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。

　　网络软件的漏洞和“后门：网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。

　　信息泄漏或丢失：敏感数据在有意或无意中被泄漏出去或丢失。通常包括：信息在传输中丢失或泄漏，信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等窃取敏感信息等。

　　拒绝服务攻击：拒绝服务攻击行为不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响用户正常的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

　　利用网络传播病毒：计算机病毒是一种能自身繁殖和自动隐藏、自动传输的计算机程序，具有传染性、潜伏性、隐蔽性和破坏性四大特点，可以通过磁盘、网络、电子邮件等进行传播，其对计算机上的信息资源、系统运行环境、网络运行环境有极大的破坏作用。

　　网络安全工作的重点不是故障发生后，被动的处理，而应通过积极主动有效的管理，杜绝漏洞，防止故障的滋生。所以网络安全管理不单是个技术问题，而是一个系统管理的问题。不仅要注重建设前的规划、设备选型，还要注重网络二、三层的优化配置，软件应用层的安全认证体系，网络防病毒处理、建立安全预警体系，更主要的是制定和实施完善的安全管理规章制度，才能营造一个既方便、快捷、高效又安全可靠的网络环境。

　　二、 优化设备管理加强网络安全

　　（一）合理规划虚拟网络

　　虚拟网络（VLAN）是指在物理网络基础架构上，利用交换机和路由器的功能，配置网络的逻辑拓扑结构，从而将一个局域网内的任何数量，任何位置的用户聚合成一组，就好像它们是一个单独的局域网。虚拟网络是基于局域网交换的网络技术，它处于网络管理的第二层，有以下的作用：能减少由于网络终端的增加、移动和更改而造成的网络维护的麻烦。

　　能使网络的拓扑结构更加灵活，提高性能。

　　能通过高度灵活地对网络进行分段，从而提高网络安全性。

　　在同一个VLAN成员之间提供低延迟、高线速的通信。

　　从网络安全的角度来看，通过合理划分VLAN来分割不同部门的网络用户，并通过访问控制列表可以有效解决网络间存在的安全隐患，提供较安全资源共享环境，控制非法恶意连接。在在网络病毒风暴发生时，还可有效地遏制网络病毒的传播。

　　我院是黄委会城域网的一个子网，通过光纤和黄委会城域网连接，共用黄委互联网接口。交换设备采用CISCO产品，主交换机是三层交换机。在院网络规划与网络配置时，向委网管中心申请若干个IP地址，把院局域网按部门的业务需求划分若干个VLAN，每个VLAN分配一个IP地址，为了使全院用户都能访问共用的服务器，把服务器单独划分在一个VLAN，和、与委网管中心连接的光纤端口划分一个VLAN，该VLAN的IP地址与委网管中心分配给我院的路由地址对应，所有IP地址由委网管中心作路由的网关。这样同一VLAN中的用户可以方便的通过网上邻居实现文件和打印设备共享，拒绝其他VLAN用户的访问。所有用户都可以通过指定IP地址访问服务器，实现服务器资源共享。

　　（二） 将IP地址和MAC地址绑定

　　IP地址是每台计算机在网络上的唯一标识，在网络运用中，IP地址被滥用的行为时有发生，轻者使得同一VLAN中的2个用户都不能上网，重者使VLAN中的共享资源大家都无法使用。为了解决该问题，我们采取了软硬结合的办法：

　　首先，告知用户自己合法的IP地址。我们将用户IP地址和MAC地址都放在数据库里，管理员查看的时候，可以显示所有用户的IP和MAC地址，而用户查找的时候，只能看到IP地址，看不到MAC地址，这样即使个别用户修改了MAC地址也毫无意义。其次，采取将IP地址与MAC地址绑定的方法：在交换机的配置中，采用ARP命令，先绑定不使用的地址（MAC地址使用ff：ff：ff：ff：ff：ff 广播地址）。再绑定使用的地址。如ARP 10.4.57.60 00：10：dc：a9：d6：fe.这样就完成了绑定。用户改变了自己的IP地址后，会发现根本无法使用网络，只能向网络中心申报，在这过程中其他合法用户将不受影响。实施上述办法后，有效地杜绝了IP地址被盗用的事发生，较好的保障了网络安全的可用性和完整性。

　　三、建立软件安全认证体系

　　在网络提供更高层次服务的时候，对于用户的身份认证、服务权限管理的要求也需相应地提高。原有单机身份认证方式难以达到这个要求，这就需要有一个独立的、高安全性和可靠性的身份认证及权限管理系统，并由此系统完成对整个网络用户的身份确认和权限管理。

　　我院是非经营利单位，不可能投入大量资金去开发或购买高效、安全的定制系统。因此我们主要用微软的域控制器来提供安全、统一的身份认证和权限管理服务。

　　我们采用域管理模式。为每一位合法用户在域控制器上设置域帐号，并分属于各个工作组（工作组以部门为单位，如泥沙所、水保所等），同时在三层交换机和域控制器上分别加上了静态路由，使院内所有VLAN的电脑都可以通过VLAN接口（即子网的网关）登陆到该域控制器。用户以域用户登录后，需要提供本地资源共享时，资源的访问权限可以用一个访问控制表来描述；可以进行网络级的权限控制，目录级的权限控制，保证非法用户无法进入网络内部，同时采用域管理模式，还使我们的安全策略和服务（如EMAIL、FTP、SUS、防病毒系统等）都能基于域帐号得以实现。域服务器是我院所有网络服务的基础。

　　四、建立Sortware Updata Service

　　操作系统、数据库系统和一些应用软件总有一些这样或是那样的漏洞，杜绝漏洞攻击的最好方式就是及时到微软网站下载补丁程序，更新操作系统。为使所有计算机都能自动进行更新，在我院部署了微软补丁本地升级服务（Sortware Updata Service）。SUS服务器采用自动和微软升级服务器同步，为避免有些补丁和应用软件冲突，本地发布采用手工控制。因网络采用域管理模式，所以SUS客户端不必到每台计算机上设置，在域控制器上的运行中输入“DSA.MSC”， 打开Active Directory用户和计算机设置窗口，在域上新建和编辑组策略，在“计算机配置”—“管理模版”—“Windows组件”—windows Updata“”中设置自动更新模式和本地SUS服务器地址， 域服务器自动完成网络上所有计算机的策略设置。

　　五、建立网络病毒防护系统

　　一套好的网络版的防毒产品是搞好病毒防护的基础平台，没有好的防毒软件，作好病毒防护是一句空话，但有了防毒软件就万事无忧，也不现实。我们的经验是，好的技术是支撑，运作和管理是关键，两者配合，才能做好工作。

　　我院的病毒防护系统是以趋势科技网络防毒墙officescan、防毒墙服务器版protect server以及防毒墙控管中心为技术支撑，按照实时监控，主动遏制，快速响应，跟踪结果的病毒防护理念，制定病毒防护安全预警管理机制，具体的运作方式如下：

　　（一） 预防为主，全面布防，杜绝网络漏洞

　　在采用域管理模式基础上，防毒软件的客户端使用“登录脚本安装”，当计算机登录到域服务器时，自动在该计算机上安装客户机软件，病毒特征文也的自动分发和升级。同时，定期扫描未装杀毒软件计算机（运行tmsv.exe），定期对域用户进行系统安全评估，查找网络存在的系统漏洞，人工及时进行处理。保障网络中没有病毒防护盲点。保证客户端的杀毒软件始终是最新的。这些工作都在后台进行，在提高网络安全性的同时，没有增加用户负担。

　　（二） 严密监控，主动处理。

　　采用自动监控和人工监控相结合的方式，一方面，利用趋势科技防毒墙控制中心自动进行病毒爆发监控，实施病毒爆发阻止。另一方面，指定专人，随机查看网络所有计算机病毒防护情况，发现有网络病毒，通知用户，立即排查，及时处理。

　　（三） 采用多种技术手段清除病毒防毒软件发现的病毒，并不都能自动清除。所以对病毒的处理，我们采用三级处理方式：实时监控发现病毒未能清除的，从控制台启动手动扫描，若不能清除，通知用户，到安全模式下，利用趋势科技提供的在DOS和安全模式下运行的杀毒软件syslean.exe进行扫描；若还不能清除，网管人员从趋势科技病毒百科站点，下载解决方案，到现场给于解决。每周网管人员到趋势科技站点，下载最新Sysclean.exe 程序和最新的病毒库。放在ftp服务器上，供用户使用。

　　（四） 制定合理防护策略病毒防护程序是占用一定的计算机资源，安全和资源占用一个矛盾，在制定病毒防护策略时，采用了高配置高防护，地配置低防护的策略。对CPU是P41G以上使用win2000/winxp 的计算机，安全配置都比较严，而对P3 以下使用win98的计算机，实时监控和防火墙配置相对较低，重在手工扫描。在保障系统的安全下，尽量不影响计算机的正常应用。

　　六、制定完善的安全管理制度

　　技术不是万能的，有了以上一系列的技术保障措施后，网络安全还要有必要的规章制度来保证。我院制定规章制度有：

　　《网络用户入网兜登记制度》明确使用统一、规范的工作组名、计算机名（用户名拼音简写），并确保自己电脑的计算机名、IP地址、网卡MAC地址、登陆帐号四统一。

　　《机房管理制度》规定路由器、交换机和服务器以及通信设备是网络的关键设备，须放置在网络管理中心的机房内，一个人不得自行配置或更换，更不能挪作它用。严禁易燃易爆和强磁物品及其它与机房工作无关的人员、物品进入机房。

　　《黄科院网络管理维护办法》对擅自使用IP地址，损坏网络设施的行为给于相应的处罚。要求网管人员应做好服务器的各种帐号的保密工作。做好服务器日志的管理，对发现恶意的攻击行为给予处罚。要求网络用户保护自己的用户名和密码。任何人不能随意卸载和拒绝安装杀毒软件。

　　《黄科院安全预警方案》对突发网络安全事件的申报，识别，处理，善后等都作了明确的规定。使得在有突发事件发生时，有章可循，有法可依。每个部门都配置一名兼职的网络安全员，负责本部门的安全和病毒防护工作。有重大突发事件时，配合网管人员搞好应急防护工作。

　　在办公自动化网上，开辟网络安全专栏，从网络安全分析，病毒防护知识，计算机安全设置，最新病毒通报等方面宣传网络安全的重要性和用户应尽的责任和义务。

　　七、结束语

　　长期以来，人们对网络硬件建设、网络应用关注的比较多，投资也比较多，对网络安全问题，却一直不够注视，似乎没有安全管理，网络也能正常运行。这侥幸心理，在网络应用发展的初期，因为使用人员少，应用领域小，不一定酿成大错，但在网络技术覆盖全球，广泛应用于各个领域的今天，再视网络安全于不顾，任何一个安全环节出问题，都可以给我们正常的工作带来重大的危害和损失。

　　网络安全是一个系统过程，在有效的安全技术支持下，相关的安全管理制度、人们的安全意识、自觉的规范安全使用方法都是网络安全中的重要环节，也要求网管人员在对网络安全严格管理的同时，提供更加细致周到安全技术服务，做好网络安全知识的宣传，让每个网络用户认识到网络安全和自己相关，健康的网络靠大家共同营造。大家共同努力，才能使网络安全管理做到事半功倍，达到更好的为科研工作服务的目的。