趙增芳 李健

摘 要：隨著計算機網絡技術的快速發(fā)展及廣泛應用，計算機網絡安全也引起了人們的高度重視，文章通過分析計算機網絡運維面臨的網絡安全問題，提出了適合研究所計算機網絡運維安全管理的具體措施，以期保障研究所計算機網絡運維系統更安全、穩(wěn)定運行。

關鍵詞：計算機網絡;網絡安全;運維安全;管理措施

0 ? 引言

隨著我國計算機網絡技術的快速發(fā)展， 人們的生活、工作以及學習方式等都產生了很大的影響，特別是在我國研究所的科研生產和管理中，計算機網絡系統已成為必不可少的基礎設施。需要注意的是，計算機網絡技術提高了人們的工作學習效率，在促進信息資源共享的同時也給人們帶來了巨大的安全隱患，特別是對我們的個人信息及科研數據安全構成了極大威脅。在現今信息化水平高速發(fā)展的環(huán)境下，研究所的網絡安全更應該引起人們的重視。

1 ? 計算機網絡運維面臨的網絡安全問題

1.1 ?計算機網絡漏洞

網絡漏洞是計算機網絡系統中硬件、軟件、協議的具體實現或系統安全策略上存在某種缺陷或后門，使惡意攻擊者在未授權的情況下能夠訪問或破壞系統。比如，操作系統漏洞、聊天軟件漏洞、文件傳輸軟件漏洞、辦公軟件漏洞、遠程控制軟件漏洞、Web網站代碼漏洞、腳本語言設計缺陷或不規(guī)范等，需及時采取有效措施，防止計算機被非法控制、感染病毒，避免用戶信息和科研資料泄露等損失[1-3]。

1.2 ?網絡黑客入侵及病毒植入

黑客入侵手段包括后門程序、網絡監(jiān)聽、DDOS、破解密碼、WWW欺騙、信息炸彈、郵件木馬攻擊、拒絕服務、橫向攻擊等，網絡黑客通過以上非法入侵的手段滲透到計算機網絡中，導致用戶資料及科研數據被竊取，并植入病毒。病毒通常具有較強的執(zhí)行力、傳染性、潛伏性、可觸發(fā)性，可導致計算機出現死機、癱瘓、自動下載以及速度變慢等現象。

1.3 ?釣魚郵件、釣魚網站、網絡詐騙

釣魚郵件通常是指將惡意程序（病毒或木馬）通過附件或鏈接方式發(fā)送到用戶郵箱，并通過郵件內容誘導用戶點擊，安裝其隱藏的惡意程序，從而實現對用戶計算機系統的攻擊;釣魚網站通常是通過偽裝知名網站或發(fā)布虛假交易消息獲取用戶的登錄和個人信息、騙取用戶錢財;網絡詐騙通常是指為達到某種目的在網絡上以各種形式向他人騙取財物的詐騙手段，犯罪的主要行為、環(huán)節(jié)都發(fā)生在互聯網上，通過虛構事實或隱瞞真相來非法騙取數額較大的公私財物。

2 研究所計算機網絡運維安全管理措施

研究所計算機網絡運行維護與安全管理主要是提高研究所計算機網絡運維系統的安全管理質量以及管理水平，通過建立健全信息管理制度、提高全員信息安全意識及保障水平，落實網絡安全責任;通過加強對漏洞及病毒的防范，避免網絡遭到某些因素的影響，從而產生漏洞，或者被破壞、篡改等;最后，即使出現數據被破壞的情況，可以通過采用容災備份系統恢復數據，以確保網絡信息系統數據及科研數據的完整性。

2.1 ?建立健全網絡信息安全管理制度并嚴格落實

為了保障研究所計算機網絡運維系統的安全，必須建立健全適合研究所的網絡信息安全管理制度、操作技術規(guī)范。首先是建立健全研究所網絡信息安全組織機構，其次成立研究所保障網絡信息安全的專門領導機構，明確主管領導，確定網絡信息安全管理職能部門、網絡信息安全運維部門和具體負責人員，落實網絡信息安全責任。

研究所網絡信息安全管理制度的內容主要包括人員管理、網絡建設管理、網絡運維管理、安全審計管理等方面的網絡安全管理制度和規(guī)范。具體落實可從以下5個方面。

（1）實行實名制。無論是用戶上網還是登陸各種信息系統，都需通過實名制的方式對用戶身份進行認證，以保障網絡系統的安全。

（2）保證用戶信息及科研數據的完整性、安全性和可靠性。采取有效技術對用戶進行合理授權，確保用戶信息和科研數據的完整性及安全性。

（3）加強對網絡系統運維的規(guī)范化管理。網絡運維人員需嚴格按照相關標準進行規(guī)范化操作，確保計算機網絡信息系統的安全，避免產生漏洞、留下后門。

（4）制定完善的保密制度。通過制定運維人員離崗離職信息安全管理規(guī)定及簽署運維人員的網絡安全保密協議等方式，加強信息保護，減少數據泄露情況的發(fā)生。

（5）確保信息安全審計。嚴格審查系統中的各種信息，避免任何可能存在的安全隱患影響網絡信息系統的正常使用。

2.2 ?提高全員信息安全意識及保障水平

2.2.1 ?提升信息安全意識的方法

（1）通過制作信息安全意識手冊、畫冊、海報、動畫短片、展板、鼠標墊等方式開展信息安全意識培訓。

（2）通過開展信息安全知識競賽，比如網上答題、現場答辯等方式并結合競賽名次給予物質獎勵，提升員工信息安全意識。

（3）研究所領導要高度重視網絡信息安全，加強對信息安全事件的考核力度。

2.2.2 ?保障措施

（1）切實加強領導，建立健全所網絡安全工作體制。

切實加強對網絡安全工作的統一領導和管理。建立健全信息安全組織，落實機構和人員，強化統一管理職能，不斷提高信息安全決策的執(zhí)行和組織實施水平;各級領導要在提高網絡信息安全意識等方面起帶頭表率作用，為信息安全建設與應用創(chuàng)造良好的氛圍。

（2）加強信息安全預算管理，確保信息安全的可持續(xù)。

確立網絡安全發(fā)展的戰(zhàn)略地位，注重長期效益，保證網絡安全建設和運行維護資金的持續(xù)投入。把網絡安全規(guī)劃和年度計劃的預算納入預算管理，保障信息化預算中網絡安全投入的合理占比;設立信息安全專項資金，集中投入，統一管理，?？顚Ｓ?。

（3）加強信息安全績效考核，建立健全激勵約束機制。

按照國家及研究所相關要求，制訂合理、可行的網絡信息安全建設相關考核指標，通過強化績效考核制度，建立健全網絡信息安全建設激勵約束機制，提高員工信息安全建設責任感。

（4）加強信息安全隊伍建設，提高全員信息安全保障水平。

將人才培養(yǎng)與推進信息安全保障結合起來，積極引進和培養(yǎng)單位急需的網絡安全專業(yè)人才和復合型人才。制訂全員信息安全培訓計劃，開展針對單位領導、管理人員、技術人員和使用人員的網絡安全定期培訓，建設單位內部網絡安全文化。

2.3 ?加強對漏洞及病毒的防范，提高網絡安全保障

在大多研究所中，為保障網絡信息系統的安全，一般會將局域網與國際互聯網采取物理隔離的方式分離，可從一定程度上抑制內部網絡與公共網絡連接所衍生的各類安全問題，但不能防止來自內部設備或內部人員的惡意行為，比如漏洞攻擊、病毒傳播[4]。當前要進一步提升研究所網絡安全水平，防止來自國際互聯網和內部網絡的各種攻擊，可在網絡規(guī)劃或建設時加入以下5種網絡安全技術。

（1）通過漏洞掃描技術，定期開展安全風險評估和隱患排查，深入分析重要信息系統所面臨的主要風險和威脅，查找網絡與信息安全的短板，并結合實名認證、訪問控制、安全審計等技術防護措施，確保網絡信息完全。

（2）使用防火墻技術和防病毒技術能夠有效抵制病毒對網絡及計算機系統的入侵，在互聯網入口部署防火墻和防毒墻，視網絡為一整體防范病毒入侵和黑客攻擊，單機桌面系統部署殺毒軟件和開啟防火墻，定期查殺，可快速有效地查殺病毒，還可對系統的內存、文件、網頁、郵件等進行監(jiān)控，保障系統穩(wěn)定運行。

（3）通過SDP零信任技術即軟件定義邊界（SDP）技術和零信任模型，建立設備、應用、資源、人員安全準入機制，實現人員、設備、資源可管可控;實現資源隱藏，提升網絡安全管理水平;全面規(guī)避病毒、黑客、APT、木馬、勒索等傳統威脅對科研數據的安全威脅;增強網絡架構的安全等級，提升針對不良攻擊的防御系數。

（4）應用入侵防御技術監(jiān)控網絡和系統的活動，對惡意或有害的行為進行實時反應，以阻止或防止這些活動帶來的破壞;應用入侵檢測技術檢測計算機網絡中違反網絡安全策略的惡意行為并進行相應處理，以保障計算機網絡運維系統、服務器及用戶終端的安全，為研究所網絡提供安全運行環(huán)境。

（5）利用網絡數據流量的跟蹤與溯源技術，在網絡攻擊事件發(fā)生后，溯源網絡數據流量運動路徑，可以定位攻擊源和攻擊路徑，有針對性地反制或抑制網絡攻擊，以及網絡取證能力。網絡攻擊追蹤溯源技術在網絡安全領域具有非常重要的價值，針對網絡結構各區(qū)域邊界的流程進行抓取、還原、分析，為各網絡、流量、協議、應用、服務建立基線閥值，并進行實時監(jiān)控。同時，針對發(fā)生的網絡攻擊或風險，可快速分析和定位，提高網絡安全運維能力。

任何網絡安全技術的實現都需要軟硬件的配合使用，以上網絡安全技術對應的網絡安全產品在網絡結構中的部署位置如圖1所示。

2.4 ?采用容災備份系統確保數據完整性

容災備份有實時備份、集中備份、中轉備份、異構備份、異地容災、任意回退、業(yè)務接管、集中管理、信息報警等功能。容災備份的最終目標是幫助研究所應對人為誤操作、軟件錯誤、病毒入侵等“軟”性災害以及硬件故障、自然災害等“硬”性災害[5-6]。

對于多園區(qū)的工作單位，主園區(qū)的災備機房通過備份一體機等容災系統，將異地機房數據容災至主園區(qū)機房中的災備設備中，同時主園區(qū)核心機房中的信息化數據也可以通過總部災備設備容災到異地，從而實現信息化數據多點災備互備方案，保證信息化業(yè)務系統的高可用性、持續(xù)性、安全性。

3 ? 結語

本文從網絡運維和安全設計角度，闡述了網絡運維中常見問題及應對措施。要保障研究所的網絡信息安全，需建立一套網絡安全技術防范措施及有效的管理制度，做到網絡安全“進不來、拿不走、看不懂、改不了、跑不了”，讓研究所的計算機網絡運維系統更安全穩(wěn)定運行，網絡環(huán)境更安全可靠。

[參考文獻]

[1]董靚.計算機網絡運維及安全管理設計[J].中國新通信，2020（15）：18-20.

[2]韓琳.計算機網絡運維及安全管理設計[J].電子技術與軟件工程，2019（23）：206-207.

[3]馬奎.計算機網絡運行維護與安全管理措施[J].電腦知識與技，2018（17）：52-53.

[4]趙霞等.論運維工作中的網絡入侵防御[J].網絡安全技術與應用，2019（2）：4.

[5]李緒柱.計算機網絡安全主要隱患及應對措施[J].現代職業(yè)教育，2016（10）：29.

[6]周龍.深入探討企業(yè)員工的信息安全意識[J].硅谷，2013（3）：132-133.

（編輯 傅金睿）