1、“高能所網絡安全管理”課題2002年年終總結防火墻系統改進狀況防病毒系統的部署與效果安全網站和數據庫系統網絡安全課題軟件開發進展目前高能所網絡安全總體評價下一步完善高能所網絡安全Internet網絡一般用戶，受限用戶網絡有對外合作的用戶 網絡的計算機不能被所外網絡訪問，但可以主動向外訪問Internet和網絡網絡的計算機可與Internet相互訪問，但不可以主動連接網絡防火墻網絡 公用網絡服務器網絡與網絡類似，但僅用來連接高能所的公用網絡服務器組通過防火墻對高能所網絡分類Internet經過防火墻NAT后訪問Internet直接穿透防火墻訪問Internet防火墻通過代理服務器訪問Intern

2、et網絡用戶經防火墻上網的途徑代理服務器實際的防火墻系統網絡拓撲結構中心交換機Internet路由器防火墻集線器路由器公用電話網Switch集線器Switch集線器雙防毒墻網絡監視設備允許被從所外訪問的服務器Ftp: 30/26Wins: 38/26Web: 9/26Nsg: 42/26Proxy1: 36/26Proxy2: 37/26Kill: 39/26Sec: 72/26(28/27)(60/27)(28/26)高能所內網(/26)(92/27)30/2731/2793/2732/2770/26/2629/2671/2673/262/261/26andh: 33/27nsmg: 42/

3、27防火墻安全策略的制定原則對絕大多數計算機用戶授權NAT方式訪問Internet；將有特殊（需要被從所外向內訪問）的用戶計算機安放在計算中心專門的保護區；對不能移到計算中心，但又需要與特定所外單位相互通訊的計算機，按IP地址和協議設置相應的保護策略；對僅在所內通訊的計算機設置不允許穿越防火墻的安全保護策略。防火墻安全策略查詢方法為使用戶知道自己使用的計算機正處于哪種被保護狀態，以便于確定能執行何種權限的網絡操作，在高能所網絡安全網站（)上公布了高能所內所有計算機的安全類別，用戶可根據自己計算機的安全類別判斷是否滿足自己的工作需要，并可向計算中心申請修改保護方式。防病毒系統的部署與效果網關型防

4、病毒系統結構服務器/客戶端方式的防病毒系統防病毒軟件部署后的效果病毒截殺情況統計詳表防病毒安全服務機制InternetInterScan防毒網關郵件服務器進、出郵件均受到防毒網關保護，實現方法：進：將Mail服務器、Sun服務器的MX紀錄均指向防病毒網關，這樣外部進入的郵件先經過防病毒網關的過濾，再由防病毒網關自帶的SendMail發送給內部郵件服務器。出：將Mail服務器、Sun服務器外發郵件全部指向防病毒網關，由防病毒網關過濾后由自帶的SendMail發送給外部的收件人客戶的HTTP請求受到防毒網關保護，并且客戶端不需要更改設置，實現方法：在代理服務器上打開Cascade功能，將所有客戶端

5、的http請求轉發到防病毒網關。防病毒網關本身也是一個代理服務器，將收到的請求發送給Internet，并將傳回的網頁經過掃描后傳遞回代理服務器，再由代理服務器交給客戶端。因此在下載大文件時，一開始會很慢，因為正個文件回先下載到防病毒網關，經過掃描后經由代理服務器載傳遞給客戶客戶的FTP請求受到防毒網關保護，但需要按照如下方式操作：例如下載站點為，使用的用戶名為anonymous,密碼為1，客戶端必須在命令行模式下：ftp (ftp到防病毒網關)User (:(none): anonymous Password: 1然后使用ftp命令正常下載網關型防病毒系統結構服務器/客戶端方式的防病毒系統Ki

6、ll防病毒軟件安裝情況： 截至2002年12月10日，累計安裝kill客戶端殺毒系統已達731臺。 Kill防病毒軟件升級情況： 自7月份安裝以來，共升級了41次，平均每周2次。 網關防毒 InterScan VirusWall 統計結果： 自從2002.7.11 - 2002.12.10，總共截殺Email病毒12693個，平均每天截殺Email病毒83.5個；總共截殺HTTP病毒2020個，平均每天截殺 13.3個。在 7月16 日新病毒password 傳播時，防病毒 1891 個，7 月22 日防病毒428 個。防病毒軟件部署后的效果病毒截殺情況統計詳表截殺病毒總數(2002.7.11

7、 - 2002.12.10)平均每天截殺病毒數Email 12693 83.5HTTP 2020 13.3排名Email 病毒名稱病毒數占總病毒數的百分比1WORM_KLEZ.H968576.3%2WORM_BUGBEAR.A217 1.7%3PE_TECATA1341.1%排名Http 病毒名稱病毒數占總病毒數的百分比1JS_EXCEPTION.GEN131265.0%2VBS_REDLOF.A156 7.7%3BKDR_DINDANG.A82 4.1%防病毒安全服務機制由計算中心為高能所全體用戶做技術支持：緊急情況立即到現場解決問題非緊急情況可和計算中心預約派技術人員幫助解決問題由防病毒軟

8、件廠商為計算中心做技術支持：嚴重性問 題 描 述響應時間問題解決時間A最高級病毒爆發、大量擴散。立即1個工作日B緊急系統主要功能無法執行。系統作業效率突然嚴重降低。4小時2個工作日C重要系統出現細微錯誤，不影響日常正常作業。一般性的產品使用問題。1個工作日3個工作日D普通索取產品更新（非電子資料方式）。索取一般信息。1個工作日3 5個工作日安全網站和數據庫系統網絡安全數據庫系統網絡安全網站系統網絡安全信息收集中心安全網站和數據庫系統系統基于Linux平臺，采用Mysql數據庫軟件實現：記錄每臺連網的計算機的基本信息（使用者、位置、IP地址、MAC地址、網絡使用權限等）提供了基于Web的用戶界面

9、，以實現數據庫的基本管理為其他應用提供了程序調用接口目前數據庫共收集了2111條主機信息的記錄網絡安全Web網站與數據庫系統設立在同一臺計算機上，是向用戶提供安全咨詢的途徑之一：提供高能所網絡安全知識、網絡使用規范、安全警告信息等可與數據庫連接，提供網絡注冊和安全資料查詢提供網絡安全軟件下載網絡安全課題軟件開發進展國家課題研究成果及其在高能所的應用取證系統陷阱機保護系統小區網絡監視系統針對高能所網絡的研究和開發工作垃圾郵件防范技術措施網絡通信異常檢測與控制防火墻安全規則優化網絡陷阱系統介紹“網絡陷阱與誘騙技術研究”課題成果“網絡陷阱系統”的典型應用環境如上圖所示。網絡陷阱系統以主動防御為目的，

10、可引誘黑客攻擊行為到一個可控的范圍，消耗其資源，記錄下他的所有動作，研究其行為，了解其使用的攻擊方法和技術，并提醒他的下一個攻擊目標，以便及時做出防范，從而保護真正的服務器的安全，提高網絡的安全防護性能陷阱主機InternetIDS探測器2交換機一個陷阱主機可虛擬四個陷阱機，每個陷阱機都有獨立的IP地址和獨立的服務功能陷阱機控制臺陷阱機1陷阱機2陷阱機3陷阱機4陷阱機日志服務器服務器1服務器2服務器3服務器4防火墻IDS內部網被保護服務器群陷阱主機DMZ區入侵取證系統介紹被取證機被保護服務器取證機RedHat7.2雙網卡分析機Windows2000HUB監管系統InternetWeb服務器交換

11、機Mail服務器路由器防火墻內部網DNS財務網內網段1對可疑的IP的活動進行分析和監管，及時發現異常行為并處理內網段2DMZ區網絡安全監管系統介紹垃圾郵件防護的技術措施防止所外向所內傳遞垃圾或病毒郵件的措施在郵件服務器上設置procmail郵件過濾程序，可刪除滿足特征的電子郵件在防火墻上設置安全規則，禁止所內的郵件服務器直接收來自所外的郵件，必須經防毒墻過濾才可到達防止由所內向所外傳遞垃圾或病毒郵件的措施在防毒墻上設置了可信任主機的列表，只接收所內批準的合法email服務器的郵件在防火墻上設置安全規則，禁止所內的郵件服務器直接向外發送郵件，必須經放毒墻過濾后再轉發出去在郵件服務器上設置了發信認

12、證機制編制了程序自動檢測高能所是否被列入“國際反垃圾郵件組織”的黑名單，如發現，及時查明原因并申請從中撤消網絡通信異常檢測與控制按IP地址進行網絡流量統計并可提供實時地查詢功能能實時地檢測出網絡通訊流量異常的IP地址能判別出正在進行網絡掃描或具有這類特征的病毒發作的IP地址可與防火墻系統配合自動禁止這類計算機的通訊防火墻安全規則優化防火墻安全規則優化的目的是把來自全所計算機用戶的安全要求經過合并、篩選，并通過計算機程序自動生成合理的、效率高的防火墻安全規則；通過安全優化，可減少防火墻上的規則數目，提高防火墻的性能，完成在這之前硬件性能無法滿足的功能。目前高能所網絡安全總體評價今年高能所在網絡安全上的投資情況目前高能所網絡安全設施高能所網絡抗“黑客”攻擊的能力高能所網絡抗“病毒”攻擊的能力對高能所網絡用戶管理的能力網絡安全服務和應急響應速度當前IHEP網絡安全管理實施效果病毒問題大大減少未發生大規模病毒發作事件網關防病毒系統過濾掉許多病毒自7月11日安裝后，到目前，共過濾掉E-mail病毒一萬三千多個、HTTP 病毒二千多個。垃圾郵件影響減輕外發垃圾郵件的情況減少收到的垃圾郵件經過濾，數目減少黑客攻擊行為減少外部嘗試利用我所網絡進行跳轉攻擊等掃描行為被有效阻斷攻擊行為被及時發