林 林，王冠华，缪 纶，王树伟

（中国水利水电科学研究院 信息网络中心，北京 100038）

0 引言

随着网络技术的发展及其应用领域的不断拓宽，网络对人们生活的影响力与日俱增。但随着互联网络的纵深发展，网络安全问题也相伴而生。为保障网络的正常运行和提供优质服务，一些安全防护技术已经被广泛应用，例如防火墙、杀毒软件、入侵检测等。但随着网络技术的发展及其应用的广泛普及，网络攻击的类型和数量都在不断增加，使用单一、静态的安全防护技术和方法已经远远不能满足网络应用的要求。对于网络安全领域中日益突出的问题，需要研究动态、主动、多层次的安全防御技术。

本文主要针对水利科研领域的计算机网络应用特点，从实际情况出发，研究、组织、规划一套具有较强针对性的集成化网络安全模型，以管理为核心，以策略为执行手段，采用风险评估、防护、检测、响应、恢复为循环的网络安全防御过程，建立包括主动防护和被动防护互为补充的，多层次的网络安全防御体系，保障水利科研领域的计算机网络应用安全。

1 国内外研究现状

目前流行的计算机网络安全模型主要起源于美国国家安全局提出的信息安全技术框架（IATF）[1]。在 IATF 中定义了对一个系统进行信息安全保障的过程及系统中所有部件的安全需求。在 IATF 框架中，信息安全保障措施被分成防护（Protection）、检测（Detection）、响应（Reaction）和恢复（Restoration）4 个部分，即 PDRR 模型[2-3]。防护、检测、响应和恢复组成了一个完整动态的安全循环，在核心安全策略的指导下实现网络系统的安全保障。

随着网络应用的普及和发展，计算机病毒和网络攻击不断增强，PDRR 模型不能反映网络安全的动态螺旋上升过程。为了使模型能够更贴切地描述网络安全的本质规律，人们在 PDRR 模型的基础上添加了风险评估（Assessment）和安全策略（Policy），即 APPDRR 模型[4]。该模型包含了网络安全的相对性和动态螺旋上升的过程，网络安全由此被描述成为一个不断改进的过程。PDRR 和 APPDRR 安全模型都是偏重于理论研究的描述型安全模型。

在实际应用中，安全人员往往需要的是偏重于安全生命周期和工程实施的工程安全模型，从而给予网络安全建设和管理工作以直接指导。由此提出 PADIMEE（工程安全模型）[5]，此模型包含以下几个主要部分：安全策略（Policy）、安全评估（Assessment）、设计（Design）、实施（Implementation）、管理（Management）、紧急响应（Emergency Response）和安全教育（Education）。

网络安全技术未来的发展趋势将从单一到不断多元化，从静态防护到动态防护和动、静态防护相结合，从无序管理到遵循策略进行管理。针对特定的行业或组织，往往需要根据其网络系统的实际运行情况选用不同的安全模型，以适应特定行业或组织网络安全的特殊要求，达到有效保障网络资源安全的目标[6]。

2 网络安全模型研究

2.1 水利科研环境下网络安全需求特点

水利科研机构具有水利专业的特点，又具有区别于政府机构、企业的特点。因此水利科研机构的网络主要具有以下特点：

1）水利科研机构地域分散性。水利科研单位分支机构较多，遍布各个流域、子流域。野外工作者及各个分支机构需要及时将采集到的水利信息、数据汇总传输。在这样地域分散的环境下工作，同时要保证对网络接入的便利性和安全性。

2）瞬时高流量。水利科研实验数据量大，常采用高性能计算设备，单位时间内的数据吞吐量大；水利科研行业受季节影响明显，雨季、旱季来临，数据量剧增，容易造成网络拥堵。

3）安全性和开放性。科研网络的国际国内交流频繁，网站宣传、资料传输、共享具有一定的开放性；同时，科研过程中使用或产生的敏感数据，通过内部网络交流传输，要求具有较高的保密性。

针对水利科研网络特点，提供一个稳定、高速的，具有安全传输和交流的网络对水利科研机构至关重要。

2.2 网络安全模型研究

根据水利科研行业网络安全需求及应用特点，基于 PDRR，APPDRR，PADIMEE 等安全模型，提出以管理为核心，以策略为实施手段，通过评估、防护、检测、响应、恢复 5 部分组成的循环过程的MPAPPDRR 模型。构建管理和技术相结合，具有多层防护、实时反馈、可动态调整完善的网络安全防御技术体系，如图1 所示。

图1 水利科研网络安全防御体系

区别于以往的模型，这里的管理既包括网络安全管理防御体系，也包括该体系通过策略对网络安全防御技术体系中各部分的调控。“三分技术，七分管理”是网络安全领域的一句至理名言[7]，即网络安全中的 30% 依靠计算机系统信息安全设备和技术保障，而 70% 则依靠用户安全管理意识的提高及管理模式的更新。由此可见，管理在网络安全中具有重要地位。具体管理手段的实施是通过执行制定的策略实现的，策略需根据不同的网络需要制定，处于整个网络安全工作中的指导地位，建立在防护、检测、响应等诸环节之上。

部署网络安全防御体系，首先要进行网络环境的风险评估。分析现有网络安全设备和策略，以及国际互联网上的攻击手段、内部应用需求等，根据风险评估的结果为管理手段和网络安全策略提供数据依据；网络安全的第一道保护是防护，在防护后使用检测来探测那些无法使用防护手段拦截的网络攻击和病毒；探测到攻击后迅速启动响应对外来攻击行为做出反应；当系统受到攻击并造成损坏时，及时使用备份好的数据或系统对网络服务进行恢复，保障网络服务在最短的时间内恢复到正常。这种以管理为核心、策略为指导，以风险评估-防护-检测-响应-恢复为循环过程的网络安全模型，形成了水利科研领域网络安全应用的具有多层次防护能力、动态螺旋式上升趋势的网络安全防御系统。

3 网络安全应用实践

中国水利水电科学研究院（以下简称中国水科院 IWHR）是全国水利水电行业多学科综合性科学研究和技术开发中心。中国水科院局域网络系统（IWHRLAN）是全院进行信息传输、数据交换、资源共享和学术交流的基础设施，也是全院各类科学研究、科学实验、技术开发和科研管理工作的重要信息交流平台，确保高速、优质、安全、可靠的网络服务是正常开展科研工作的基础。

应用水利科研环境下的的网络安全防御体系，结合中国水科院的网络安全实际需求，中国水科院采用先进的网络安全设施，结合自主开发的网络安全应用软件，在网络安全和信息化建设工作中获得了良好效果。具体实践主要体现在风险评估等 6 个方面。

3.1 风险评估

评估主要分为收集、统计网络运行数据，及分析、评估网络安全状况 2 个步骤[8]。首先收集中国水科院网络系统的软件和硬件资产情况。硬件资产包括科学计算集群，以及网络、网络安全、存储、终端等设备；软件资产包括公文管理等办公系统、网站群、邮件系统、内网安全管理系统、各专业应用系统等。还需收集来自国际互联网的攻击手段、黑客攻击形式、流行病毒等信息。将收集到的信息进行统计分析，研究现有的网络安全防御体系能否有效阻止来自网络的攻击和保障网络用户业务的安全高效运转，再根据评估结果改进管理手段，调整策略，升级网络安全软、硬件。IWHR 网络的风险评估阶段按规定的周期进行，评估结果为实施管理和制定策略提供了第一手资料。

3.2 防护手段

防护手段主要包括：1）中国水科院局域网络与国际互联网逻辑隔离截面处配置防火墙，抵御外来网络攻击；2）部署外网 DMZ 区。外网 DMZ 区内架设了网站服务器群、邮件和应用服务器等，并在DMZ 区出口处部署防病毒网关和 Web 应用防火墙等防护设备，确保整个服务器群对恶意代码和黑客攻击具有较强防御能力；3）部署反垃圾邮件网关，降低垃圾邮件传输量，并有效避免邮件系统资源浪费和过多消耗网络带宽资源；4）部署虚拟专用网（VPN）设备，实现通信加密防护，保证远程和移动用户对组织内部网络的安全访问，也可使外阜分支机构与总部实现网络互联，共享内部网络资源；5）配备网站防篡改系统，实时监控网站群各 Web 站点，防止黑客和病毒等对网站的网页、电子文档、图片等进行破坏或非法修改。中国水科院网络环境安全体系整体架构如图2 所示。

图2 中国水科院网络环境安全体系整体架构

防病毒系统的应用是网络安全防护中的必要措施，中国水科院的防病毒体系建设包括在每台终端机上安装客户端防病毒软件，在服务器上安装基于服务器的防病毒软件，在边界路由内接入防病毒网关。同时，通过技术手段确保对所有防病毒产品进行统一的防病毒策略制定和管理。从而建立全方位、多层次的病毒防护体系，有效避免网络系统受到病毒的破坏干扰。

3.3 检测手段

检测手段的实施能够检测出防护手段无法拦截的病毒、黑客入侵等行为，是防护手段后的又一道防线。检测手段的实施是对防护手段的有效补充，能够在入侵成功之前进行识别，减少因为入侵造成的损失。

中国水科院的检测手段包括在网络出口处单臂接入侵防御系统（IDS），提供对非法入侵行为进行实时检测，分析用户和系统的活动情况，核查系统配置和安全漏洞，评估系统重要资源和敏感数据文件的完整性，识别已知的攻击行为，统计分析异常行为等防护功能。采用单臂接入侵防御系统，是为了在探测入侵的同时，尽可能降低对网络传输速度和正常应用功能的影响。另外，入侵检测系统还肩负着收集入侵攻击的相关信息作为证据的功能。

中国水科院的检测手段还包括多层次部署自主研发的漏洞扫描软件，依据安全策略定期（或事件驱动随机）进行设备、端口、系统等的扫描，发现应用系统本身存在的及配置不当所造成的安全漏洞；通过网络远程检测、端口扫描、系统漏洞扫描等方法，发现目标网络和本地主机的安全性脆弱点；使用网络管理系统，自动生成网络拓扑图，动态监测网络流量和交换机的通断状态及来自网络内部的攻击数据流；在网络机房安装监视系统，实时监测机房温度、湿度、市电通断和设备运行情况。

检测手段在中国水科院安全策略指导下实施，定时进行自动检测或随机进行人工检测，发现异常情况，及时提交给响应阶段进行针对性处理。

3.4 响应阶段

响应措施包括记录和报告检测过程中的异常情况，以及收到告警信息后针对异常情况采取的处理措施。中国水科院的响应措施包括事件日志、短信报警、邮件报警等；采取的处理措施包括检查安全事件发生的根源，实施安全隔离操作，调整安全设备的防护策略，切断隔离网络等操作。响应措施还包括统计、分析入侵攻击模型，对相关策略进行改进；将发现的软件产品安全漏洞信息通报给生产厂商，并要求及时答复和必要时提供产品现场升级服务。检测到入侵之后，只有及时响应，才能充分发挥网络安全模型的作用。

3.5 恢复阶段

响应阶段实施了隔离、断网等操作后，需要及时进行恢复阶段的处理。在网络故障后的第一时间，将网络恢复到能够正常运转，对外提供正常服务的状态。为了能够尽快实施恢复，必须注重在日常网络运行维护中的备份工作，依据备份策略进行数据、系统和关键应用的备份。

同时也需要根据不同应用设定相应的备份策略。如网站数据采用备份服务器进行定期备份，内部网络资源使用 NAS 系统进行定期数据备份，对于保障应用不间断的财务、科研、公文等办公系统的数据，则采用双机热备技术进行实时数据备份，以保障应用系统的高可用性。另外，针对探测到的系统漏洞进行及时修复，也是恢复阶段实施的重点内容。提供的解决方案中，根据应用需求开发了文件数据恢复软件，对删除的重要文件、数据等提供拯救性的数据恢复。

3.6 管理手段和策略

通常情况下网络安全采用的技术种类繁多，如防火墙、入侵检测系统、防病毒系统、身份认证、数据加密、安全审计等。这些安全技术能够在某一特定方面发挥一定的作用，但大部分产品的功能分散，各安全产品间又没有提供有效的统一管理调度机制，不能互相支撑和协同处理，从而使安全产品的应用效能无法得到充分发挥，给管理者造成困难，这时管理手段就起到重要的调节、分配作用。

中国水科院网络安全管理手段包括对人、技术和政策的管理。对人的管理主要包括：要求介入网络系统的人定期参加安全技术培训，严格按照相关政策和安全制度及策略执行；做到事前预案，事中分析和事后备案；逐步提高管理人员的安全意识。对政策的管理主要包括：对国家和行业相关政策的学习和执行，对本单位网络安全政策的制定和执行监督，并根据国家、行业的政策和风险评估分析结果对本单位的相应策略进行调整。对技术的管理，通过在机房部署网络信息采集器、在办公室布设监视屏幕，通过网络管理、机房监视等系统监控网络运行状态；对多个网络安全系统进行集成，在统一界面中监测网络中各安全设备的运行状态，对产生的大量日志和报警信息进行汇总、分析、审计，同时完成安全产品的升级、攻击事件警报、启动响应机制等安全管理功能，实现对网络安全的统一管理。

管理手段的实施是通过策略实现的。策略的制定包含人的因素，人既是策略制定者，也是在策略指导下的执行者。策略的制定也受到政策的影响。通过策略的执行，网络安全各设备和系统协调运作，形成统一的有机整体，全面抵御来自互联网和内部的入侵及攻击。

在策略的指导下，进行网络环境风险评估，分析现有网络环境，根据评估结果为管理手段和网络安全策略提供数据依据；防护作为被动防御与主动防御的结合，配合及时响应和恢复，完成网络防御安全周期，再进入下一轮的风险评估。安全模型中各个环节紧密相联，互为补充，构建起层层防护的、展现出动态螺旋式上升趋势的网络安全防御体系。

4 结语

网络技术的发展日新月异，来自网络的威胁不断变化，网络安全防护技术也在不断改进。中国水科院网络安全防御体系通过风险评估不断调整防御策略，改进管理手段，使用防护、检测、响应、恢复等步骤应对和处理网络攻击，通过不断自我完善和加固，提高网络安全性能，确保全院计算机网络系统正常、高速、安全、可靠的运行，从而有效保障了全院科学研究、技术开发和科研管理工作的顺利发展。

2010 年，中国水科院开始采用本文提出的网络安全防御体系，部署立体安全防护后，黑客入侵数量、垃圾邮件数量、病毒干扰事件均显著降低，从 2010 年至今有效拦截各类黑客攻击 1 万 6 千余起，未发生 1 例成功非法入侵和篡改网页事件，亦无干涉正常工作的大范围病毒爆发。实践证明，MPAPPDRR 安全模型及基于该模型建立的网络安全防御体系，在中国水科院的应用中效果良好。我国水利科研领域各单位具有水利行业特点，面临的问题和需求与中国水科院相似，可应用或借鉴本文提出的网络安全模型，从而更加方便有效地解决网络安全问题。该模型具有一定推广价值和较好应用前景。

[1]寇申海，杨格兰. 网络信息安全体系架构分析与工程实施策略[J]. 湖南城市学院学报（自然科学版），2005 (1):72-75.

[2]魏永红，李天智，张志，等. 网络信息安全防御体系探讨[J]. 河北省科学院学报，2006 (1): P26-28.

[3]周海刚，邱正伦，肖军模. 网络主动防御安全模型及体系结构[J]. 解放军理工大学学报（自然科学版），2005 (1):40-43

[4]潘洁，刘爱洁. 基于 APPDRR 模型的网络安全系统研究[J]. 电信工程技术与标准化，2009 (7): 27-28.

[5]费欣毅. 基于 PADIMEE 模型的网络信息安全防护探讨[J].科技资讯，2012 (5): 21-22.

[6]杨波. 校园网的网络信息安全分析与研究[D]. 兰州大学，2007: 35-36.

[7]刘萍，曾陈萍. 计算机网络安全及防范技术探讨[J]. 科技创业月刊，2007 (1): 194-195.

[8]黄伟力，李瑞，关睿. 计算机网络信息安全评估系统[J].河北建筑科技学院学报，2005 (2): 47-50.