我所网络安全工作进展情况介绍

2002 年 8 月 21 日

计算中心网络安全管理课题组

工作进展情况、存在的问题及原因• 工作进展情况介绍• 防病毒系统的实施

网络版杀毒软件 Kill

趋势网关防病毒• 防火墙方案设计及网络安全信息发布网站建设、用户信息库建设• 其他安全措施（ IDS 、入侵取证、 漏洞扫描）的使用• 课题组成员

IHEP 网络安全措施现状 下一步工作安排

报告内容

第一部分：课题工作进展情况、

存在的问题及原因

工作进展情况介绍高能所网络安全管理课题今年初正式立项，计算中心成立

课题组，按照预定工作进度，开展课题工作。目前：• 已完成我所防病毒系统的实施工作• 将网络安全课题组的科研成果（网络入侵取证）及网威的 IDS 产

品、隐患扫描产品应用于我所网络安全防护建设中近期工作重点是实施防火墙计划，将原有的功能简单、限

制较少的防火墙系统升级为功能较为强大、策略定义较为严格的防火墙，来增强我所网络的边界安全，阻挡外来攻击。

防病毒系统的实施情况介绍（ 1 ） 网络版杀毒软件 Kill 的部署情况

• 部署过程 安装： 7 月 2 日至 7 月 12 日； 检漏： 7 月 15 日至 7 月 18 日； 解决异常 : 7 月 15 日至今。

• 部署结果： 已完成 667 台网络版杀毒软件 Kill 客户端的安装 通过管理台曾经监控到的 Kill 客户端为 629 台（有些未开机、不在线，有些节点

的客户端软件被卸载） 控制台升级频率：一小时 特征码分发：负责客户机的升级

防病毒系统的实施情况介绍（ 2 ） 网络版杀毒软件 Kill 的部署情况

• 子网：共 32 个• 子组织：共 19 个• 升级结构： Internet-> 控制台 -> 客户机• 客户机升级方式：

Unc: \\202.38.128.139 ftp: 202.38.128.139 ftp: ftpav.ca.com ftp: ftp.kill.com.cn

防病毒系统的实施情况介绍（ 3 ） KILL 实施过程中发现的问题、原因及解决办法

• 1. 系统为英文系统• 2. 安装后系统启动不起来• 3. 安装后系统变慢• 4. 升级不成功• 5. 安装后产品为英文产品• 6. 产品安装完后系统死机• 7. 产品安装完后应用程序出现问题

1. 操作系统为英文 OS 的解决办法• 在控制台上放置了产品的英文版本，目录已经共享，共享名为： KILL-English• 通过网上邻居查找到 202.38.128.139, 打开 KILL-English目录，运行其中的 setup.exe 进行产品安装即可

2. 安装产品后系统启动不起来• 如果系统为 Win95/98, 系统能够进入 Dos 模式但进不了图形模式，可能的原因是 Path 路径中没有指定系统路径，在 Dos 模式下设置 : Path=c:\windows ( 假定 C: 为系统安装目录）• NT/2000/XP暂未发现此问题

3. 安装后系统变慢• 最主要的原因是软件冲突

卸载其他的防病毒软件• 系统原因

修复系统或重新安装系统 4. 客户端升级不成功

• 网络连接问题 现在提供 Unc,FTP 方式能够解决网络连接问题了。

5. 产品安装后为英文• 原因：系统原因

解决办法：在安全模式下运行安装程序

6. 安装后系统死机• 可能原因：

系统问题• 解决办法

重新安装系统（非修复系统） 7. 某些应用程序出现问题

• 可能原因 软件与该程序兼容性不好

• 解决办法： 重新安装该应用程序

防病毒系统的实施情况介绍（ 4 ） 网络版杀毒软件 Kill 实施效果

• 在 7 月 16 日发作的 your password 病毒发作时，我所受到的影响控制在很小的范围内，该病毒防护系统发挥作用，保护大多数计算机免受该病毒的感染破坏。

• 杀毒软件部署完成后，在近期几次求职信病毒发作过程中，我所几乎没有受到影响。

防病毒系统的实施情况介绍（ 5 ） 网关防毒 InterScan Vir

usWall 实施情况 • 网关防毒 InterScan VirusWall 正式

版于 7 月 19 日到货并进行了安装 ,

配置 , 调试 , 测试等工作。• 目前网关防毒的机器为

v-wall.ihep.ac.cn 用于邮件、 HTTP, FTP 防毒

SSR8600

v-wall

Webproxysun

mail

Clients

Internet

防病毒系统的实施情况介绍（ 6 ） 网关防毒实现的功能

• 所内 , 所外收发邮件经过防毒网关过滤；• 所内 Mail 服务器间收发邮件经过防毒网关过滤；• 使用代理服务器浏览网页经过防毒网关过滤；• 若用户使用 V-wall 进行 Ftp操作，则可防止通过 ftp携带的病毒（请参阅 sec.

ihep.ac.cn 上的详细说明）。 目前存在的问题

• 曾经出现过信件发送失败，但没有给发信用户通知的情况，目前已解决了该问题。

• 用户使用 telnet 命令登陆到邮件服务器上收发邮件仍不经过防毒网关。• 堆积信件，原因是：对方拒收高能所的电子邮件；网络不通或网络慢；地址

有问题；

防病毒系统的实施情况介绍（ 7 ） 网关防毒的效果

• 统计时间： 2002 年 7 月 11 日 至 2002 年 8 月 14 日

• 在 7 月 16 日新病毒 password 传播时，防病毒 1891 个• 7 月 22 日防病毒 428 个

防病毒途径 防病毒数 平均每天防病毒数Email 4270 122HTTP 678 19

防火墙实施方案设计及网络安全信息发布网站建设、用户信息库建设 已完成实施方案的设计，由安德海介绍实施方案的具体内容，并请各位审查。

初步完成网络安全管理课题相关信息的发布网站（ Sec.ihep.ac.cn ）的建设工作

正在进行用户信息库的建设（已完成数据库网页查询、修改、插入功能的程序编写、测试工作）。

其他安全措施的使用 IDS 的部署、使用和管理

• IDS 的监控效果 一周总的攻击次数 8669次，其中从外到内攻击 7015次。 重点 IP或网段：

• 与 202.38.128.58相关的功击企图 2881次，其中绝大部分是从外到内的攻击，但存在少量的攻击是从 202.38.128.58 攻击外面或所内的 IP地址的（原因需进一步查证）；• 与 202.122.38.0相关的攻击企图 2031次，都是从外到内的。• 202.38.128段的攻击企图 3199次， 202.122段的攻击企图 48

16次。 主要攻击方式有 ping of death 攻击， udp flood 攻击， ddos攻击， large udp flood 攻击

• IDS与防火墙互动实验 网络入侵取证系统 网络隐患扫描系统

• 已安装使用，定期对关键节点进行扫描评估。

课题组成员 课题组成员：按姓氏字母顺序

• 安德海、刘宝旭、刘瑞荣、马兰馨、石京燕、吴春珍、许榕生• 研究生配合人员：毕学尧、曹爱娟、李雪莹、王旭仁、杨泽明• 在本课题工作开展过程中，计算中心网络安全课题组给予大力配合。

第二部分 IHEP 网络安全措施现状

天体楼

100TX100FX

1000LX

PC-FARM服务器系统 FDDI

FDDI

BES-FARM

主楼计算中心SSR8600

HP-FARM

1000SX

主楼分机房 1-4 工厂 物资楼 一室四号厅

一号厅同步辐射

谱仪在线

二号厅四号厅五号厅六号厅四 室报告厅图书馆

中控

计算中心

一室三号厅

Internet

SSR2000

ELS100

IHEP 网络拓扑结构示意图

三号厅

Cisco3640

……

高能所网络安全措施现状Internet

IDS

简单功能的防火墙

Cisco3640

SSR8600

服务器群

各室 Net

FARM

计算中心 NetFDDI

防病毒网关及服务器

入侵取证

第三部分下一步工作

下一步工作• 近期工作安排

细化防火墙实施方案并实施 IDS与防火墙的互动，发挥防护性能。

落实网关防垃圾邮件系统的试用事宜。继续进行安全 WEB 网站（ sec.ihep.ac.cn)内容建设及数据库实现工作

入侵取证、 IDS 、漏洞扫描系统、安全监控系统系统在高能所网络中的使用

• 远期目标逐步建立 IHEP 网络安全防护系统。

Internet

网络安全评估系统

管理平台

高能所黑客入侵防范系统设计示意图

防病毒系统

DMZ区

各室 LAN

计算中心 LAN

高能所网络安全管理中心

安全政策安全管理制度

安全事件响应队伍实时监控系统 ——网络取证代理 ——网络陷阱机

——抗毁系统——IDS代理 ——备份系统