Wannacry病毒在全國范圍內(nèi)大爆發(fā)，我院能夠有幸成為純凈區(qū)，很大程度是因為單位對互聯(lián)網(wǎng)安全有高度的重視，同時網(wǎng)絡(luò)安全防范措施做得很到位。

科研區(qū)互聯(lián)網(wǎng)安全分為兩部分，一是互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全，二是信息安全即防止涉密文件資料通過互聯(lián)網(wǎng)泄露。為日常工作的正常展開，科研區(qū)分別設(shè)有專門的集中訪問互聯(lián)網(wǎng)的外網(wǎng)網(wǎng)吧，和部分因特殊工作所需的單點互聯(lián)網(wǎng)計算機，這種特殊的環(huán)境下互聯(lián)網(wǎng)安全尤為重要。相關(guān)規(guī)范明確規(guī)定了互聯(lián)網(wǎng)接入單位必須記錄并留存用戶上網(wǎng)信息，并要求互聯(lián)網(wǎng)單位要依次規(guī)定落實記錄留存的技術(shù)措施。以及國家對軍工涉密企業(yè)互聯(lián)網(wǎng)的保密管理規(guī)定的具體要求，筆者根據(jù)工作經(jīng)驗總結(jié)出了以技防、人防、意防相結(jié)合的三位一體安全防范措施。

針對科研區(qū)這一特殊的環(huán)境，互聯(lián)網(wǎng)安全是非常敏感的，一旦發(fā)生病毒入侵、失泄密事件，造成的后果將不堪設(shè)想，首先在技術(shù)上要做到發(fā)現(xiàn)病毒立即處理、失泄密零容忍。連接互聯(lián)網(wǎng)的計算機與涉密信息系統(tǒng)物理隔離，這是組建互聯(lián)網(wǎng)最核心的要求。參考行業(yè)內(nèi)一些單位的成功案例，筆者單位采用任天行網(wǎng)絡(luò)安全管理系統(tǒng)、中軟統(tǒng)一終端安全管理系統(tǒng)以及江民殺毒軟件結(jié)合的技術(shù)防范措施。

三位一體：技防

第一層是防火墻，防火墻是內(nèi)部網(wǎng)絡(luò)的第一道防線，拒絕未授權(quán)的外來用戶訪問，時刻分析著內(nèi)外網(wǎng)之間的信息流，確保內(nèi)部網(wǎng)絡(luò)的安全。所有用戶訪問互聯(lián)網(wǎng)都經(jīng)過防火墻，這些訪問會形成日志記錄在盤，也可提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。防火墻還可防止內(nèi)部網(wǎng)絡(luò)的信息外泄，有效阻塞關(guān)于內(nèi)部網(wǎng)絡(luò)的DNS信息。

第二層是病毒防護，眾所周知計算機離不開殺毒軟件的保護，一旦受到病毒感染，損失將不可估量。該防護措施采用的是江民殺毒軟件企業(yè)版，通過管理終端可對所有客戶端進行統(tǒng)計和管理，并以報表的形式展現(xiàn)出終端計算機所感染的病毒類型、數(shù)量以及系統(tǒng)的處理結(jié)果，方便工作人員管理和統(tǒng)計。同時后臺定期更新病毒庫并通過網(wǎng)絡(luò)推送到客戶端計算機進行自動更新。

第三層采用主機審計和上網(wǎng)行為管理系統(tǒng)對用戶進行管理和約束。終端入退網(wǎng)、重做系統(tǒng)、狀態(tài)變更等均需要經(jīng)本人申請，相關(guān)部門領(lǐng)導(dǎo)審批后方可入網(wǎng)，保證了從入網(wǎng)到退網(wǎng)的閉環(huán)管理。其中主機審計軟件采用的是中軟統(tǒng)一終端安全管理系統(tǒng)，上網(wǎng)行為管理采用的是任天行網(wǎng)絡(luò)安全管理系統(tǒng)。

通過任天行網(wǎng)絡(luò)安全管理系統(tǒng)對用戶進行實名制上網(wǎng)并記錄上網(wǎng)行為，同時借助中軟主機審計系統(tǒng)對用戶終端進行管理，使其可控可管。中心機房配置任天行網(wǎng)絡(luò)安全管理系統(tǒng)服務(wù)器和管理終端，每臺計算機終端安裝客戶端軟件和RFID刷卡認證設(shè)備，通過綁定職工的工作證信息進行實名制上網(wǎng)認證。對于在網(wǎng)吧上網(wǎng)的用戶，因工作需要訪問互聯(lián)網(wǎng)時需要在網(wǎng)吧管理員處對其工作證進行激活，生成專屬的PIN碼后才能獲取訪問權(quán)限上網(wǎng)瀏覽，需要外發(fā)文件的職工，要在網(wǎng)吧管理員處登記留證，保證密不外泄。對于單點用戶，按照“誰使用誰負責(zé)”的方式進行管理，通過工作證信息唯一綁定的方式，該計算機只能由本人登錄使用，其他未經(jīng)授權(quán)的工作證無法登錄。這樣，本機只能由本機責(zé)任人登錄使用，其他用戶無法正常登錄。

通過部署的中軟統(tǒng)一終端主機審計系統(tǒng)和安裝在終端計算機的中軟客戶端對所有終端進行審計管理，該系統(tǒng)采用了終端安全“一體化”的安全防護技術(shù)，整合了病毒防護監(jiān)測、網(wǎng)路接入認證、終端健康檢查、系統(tǒng)身份認證、資產(chǎn)查明、補丁管理、運行監(jiān)控和失泄密防護等終端軟件的安全功能。

企業(yè)內(nèi)網(wǎng)常常會因為工作需求作出很多策略，從而限制用戶使用互聯(lián)網(wǎng)計算機的任意性。整個科研區(qū)的互聯(lián)網(wǎng)網(wǎng)絡(luò)有一個整體的策略以及針對每臺計算機都有其特有的策略，其系統(tǒng)策略主要如下：

臺帳管理，對所有接入互聯(lián)網(wǎng)的計算機都要建立對應(yīng)的臺帳，如計算機型號、國資、責(zé)任人、IP地址、裝機位置等內(nèi)容，保證帳物相符。

認證管理，每臺接入和退出互聯(lián)網(wǎng)的計算機都經(jīng)過使用人申請，相關(guān)部門領(lǐng)導(dǎo)審批，互聯(lián)網(wǎng)管理部門根據(jù)審批情況對其物理接口和使用權(quán)限通過技術(shù)手段進行限制，保證整個流程的閉環(huán)管理。而訪問互聯(lián)網(wǎng)的用戶要在網(wǎng)吧上網(wǎng)需要進行身份信息登記，沒有特殊需求只能在公共計算機上上網(wǎng)。

訪問管理，對用戶訪問過的信息進行記錄留證，以備相關(guān)授權(quán)部門的查看。同時根據(jù)相關(guān)部門的要求可對某些特殊網(wǎng)站進行訪問控制。

針對每臺計算機下發(fā)單獨的策略：USB接口、光驅(qū)、打印等權(quán)限需要單獨申請，只有通過審核的用戶，其計算機才開放這些功能。同時形成這些接口數(shù)據(jù)流的行為日志與數(shù)據(jù)統(tǒng)計。

三位一體：人防

所謂人防就是人為防范措施，主要指負責(zé)網(wǎng)絡(luò)安全的工作人員的人為干預(yù)。完善科研區(qū)互聯(lián)網(wǎng)計算機定期逐臺巡檢和日常維護制度。

針對科研區(qū)互聯(lián)網(wǎng)計算機的特殊性，定期進行逐臺巡檢，主要包括：檢查安全軟件是否正常工作，檢查是否安裝違規(guī)軟件、下載不良文件及不良程序等，檢查端口狀態(tài)是否異常，檢查國資、保密編號是否變更，手動查殺病毒，病毒庫是否更新，確保計算機的物理安全等等，這些繁瑣而又細致的操作都是為了確?？蒲袇^(qū)互聯(lián)網(wǎng)的安全。另外工單管理系統(tǒng)是不可缺少的工具，一旦出現(xiàn)網(wǎng)絡(luò)故障，技術(shù)人員持有故障工單第一時間到達現(xiàn)場，工單記錄明確故障類型，以及處理的具體措施。工單更好地統(tǒng)計出了整個系統(tǒng)的故障類型、特點等信息，為管理人員提供了第一手的資料。同時網(wǎng)吧管理員還要做好對進入網(wǎng)吧的用戶訪問互聯(lián)網(wǎng)、刻錄光盤、外發(fā)文件、打印文件等的登記留證工作。

三位一體：意防

意防即提高職工網(wǎng)絡(luò)安全防范意識和保密意識，也是最難最重要的。這就要求職工需要有強烈的安全保密責(zé)任和綠色上網(wǎng)的意識。網(wǎng)絡(luò)攻擊無時無刻都在進行著，例如“熊貓燒香”以及近期的Wannacry病毒，造成的損失都是不可估量的。不能因為沒有發(fā)現(xiàn)感染病毒，就降低網(wǎng)絡(luò)安全的警惕性。

對于科研區(qū)互聯(lián)網(wǎng)，可借鑒園區(qū)網(wǎng)桌面，將互聯(lián)網(wǎng)規(guī)范條例顯示在桌面背景中，有意無意中提醒用戶規(guī)范上網(wǎng)行為。學(xué)習(xí)了解網(wǎng)絡(luò)安全法以及相關(guān)涉密單位涉密人員保密管理規(guī)定等內(nèi)容。只有了解了相關(guān)法律法規(guī)，明確了保密的責(zé)任，才會更好地規(guī)范自身行為。提高涉密人員的保密意識是重中之重，保密培訓(xùn)、教育、宣傳等手段在保密戰(zhàn)線上作用尤為突出，防患于未然。

這次Wannacry病毒攻擊中被感染的用戶計算機，大多數(shù)是“三不”用戶，即從來不查殺電腦病毒，從來不更新電腦補丁，從來不更新Windows。并且這種病毒還在不斷變異中，并沒有停止感染計算機的腳步。由于很多企業(yè)單位都沒有專門負責(zé)網(wǎng)絡(luò)安全的技術(shù)人員，大部分員工又對計算機網(wǎng)絡(luò)知之甚少，這就為病毒提供了可乘之機。筆者根據(jù)工作經(jīng)驗，總結(jié)出下面幾個建議。

普及病毒小知識，讓病毒攻擊的影響常態(tài)化，這樣才不至于出現(xiàn)大面積攻擊事件后，不知所措甚至恐慌。作為信息化部門或者網(wǎng)絡(luò)部門，出現(xiàn)類似情況后，應(yīng)該第一時間作出響應(yīng)，發(fā)布相關(guān)處理措施的信息。雖然這此科研區(qū)互聯(lián)網(wǎng)逃過一劫，但是并不代表著很安全，病毒更新變異的速度遠遠高于病毒庫的更新速度，不久的將來還會有其他新病毒猖獗。

每次用戶刷卡訪問互聯(lián)網(wǎng)計算機，進入桌面后會自動彈出互聯(lián)網(wǎng)保密條例或者綠色上網(wǎng)管理規(guī)定的小窗口，小窗口的內(nèi)容每天自動更新，設(shè)定時間后窗口自動關(guān)閉。也可不定期推送一些網(wǎng)絡(luò)安全小貼士。

將一些涉密關(guān)鍵字構(gòu)建數(shù)據(jù)庫，對通過互聯(lián)網(wǎng)上傳的文件進行審核，防止涉密文件泄露。缺少技術(shù)層面上的手段，杜絕涉密文件資料通過互聯(lián)網(wǎng)泄露，只是通過人為影響和干預(yù)。

隨著互聯(lián)網(wǎng)+時代的來臨，應(yīng)對“Wannacry”式攻擊或?qū)⒊蔀槌B(tài)。網(wǎng)絡(luò)攻擊每時每刻都在發(fā)生，只是沒有形成一定的攻擊范圍和規(guī)模，所以沒有引起注意,永遠不能放松對病毒的警惕以及對保密底線的防守。