國家自然科學基金委員會網絡安全現狀與展望

李東，郝艷妮，彭升輝，訾瑞杰，劉西蒙,3

國家自然科學基金委員會網絡安全現狀與展望

李東１，郝艷妮1，彭升輝１，訾瑞杰2，劉西蒙1,3

（1. 國家自然科學基金委員會信息中心，北京 100085；2. 北京北龍云海網絡數據科技有限責任公司，北京 100190；3. 福州大學計算機與大數據學院，福建 福州 350116）

國家自然科學基金委員會（以下簡稱自然科學基金委）負責根據國家發展科學技術的方針、政策和規劃，有效運用國家自然科學基金，支持基礎研究，堅持自由探索，發揮導向作用，發現和培養科學技術人才，促進科學技術進步和經濟社會協調發展。隨著以信息化技術為代表的新生產力不斷發展，自然科學基金委一直致力于推動基金管理工作的信息化與智能化。業務種類愈加復雜，在信息化建設中遇到信息泄露攻擊等各類網絡攻擊，使得網絡安全面臨嚴峻挑戰。以自然科學基金委網絡安全建設為主線，介紹現有平臺網絡安全建設情況，目前已建成以科學基金項目管理為核心的網絡安全體系架構，保障網絡系統的安全穩定運行。分析介紹自然科學基金委主要的信息系統（自然科學基金共享服務網、業務部門網站、電子郵件系統）及其面臨的主要威脅情況，給出后續信息化與網絡安全建設中的思考與建議。自然科學基金委將開啟新一代網絡安全的建設，在充分考慮科學基金評審、管理及開放共享特點前提下，達到“更智能、更安全、更完善”的總體目標，為相關單位開展網絡安全系統建設提供借鑒。

信息化建設；網絡安全；自然科學基金；大數據

0 引言

國家自然科學基金委員會（以下簡稱自然科學基金委）作為我國科研資助體系的重要組成部分之一，堅持以支持基礎研究為主線，以深化改革為動力，確立了依靠專家、發揚民主、擇優支持、公正合理的評審原則，建立了科學民主、平等競爭、鼓勵創新的運行機制，健全了決策、執行、監督、咨詢相互協調的管理體系，形成了以《國家自然科學基金條例》為核心，包括組織管理、程序管理、資金管理、監督保障在內的規章制度體系，形成了包括探索、人才、工具、融合四大系列組成的資助格局[1]。國家自然科學基金聚焦基礎、前沿、人才，注重創新團隊和學科交叉，為全面培育我國源頭創新能力做出了重要貢獻，成為我國支持基礎研究的主渠道。根據國家發展科學技術的方針、政策和規劃，按照與社會主義市場經濟體制相適應的自然科學基金運作方式，運用國家財政投入的自然科學基金，資助自然科學基礎研究和部分應用研究，發現和培養科技人才，發揮自然科學基金的導向和協調作用，促進科學技術進步和經濟、社會發展。

自然科學基金委著力促進信息化與科研活動、科研管理體系的融合，充分挖掘信息化對科研資助業務和科研資金管理的主動支撐作用。信息化發展已成為推進全球政府、企業發展的綜合實力的重要標志。根據《2020聯合國電子政務調查報告》[2]，我國電子政務發展指數國際排名從2018年的第65位上升到2020年的第45位。隨著信息技術和網絡的快速發展，國家安全的邊界已經超越地理空間的限制，拓展到信息網絡空間，網絡安全成為事關國家安全的重要問題。根據國家工業信息安全發展研究中心發布的《2020年工業信息安全態勢報告》[3]，國家工業信息安全監測預警網絡全年捕獲來自境外的惡意網絡攻擊累計200余萬次。根據國家互聯網應急中心《2021年上半年我國互聯網網絡安全監測數據分析報告》顯示，我國境內感染計算機惡意程序的主機數量約 446 萬臺，同比增長 46.8%。即使面臨各類網絡安全挑戰，我國在網絡安全、數據安全和個人信息保護的軌道上邁得越來越穩健，相繼出臺《中華人民共和國網絡安全法》（2016年）、《中華人民共和國數據安全法》（2021年）、《中華人民共和國個人信息保護法》（2021年）等法律法規，正式提出了多項旨在保障網絡與數據安全的制度，為我國網絡安全法律體系的建立和完善搭建了基礎框架。

隨著自然科學基金委業務種類的不斷增加，網絡與數據安全面臨著更嚴峻、更復雜的形勢。在復雜性方面，網絡空間對抗趨勢更加突出，大規模針對自然科學基金委的網絡攻擊行為增加，安全漏洞、數據泄露、網絡詐騙等風險增加。根據統計，2021年1月至12月，自然科學基金委各信息系統共受到攻擊16 830 894次，較2020年攻擊數（2020年4 213 993次）增長了3.4倍。在重要性方面，自然科學基金委目前建成了10余個重要的信息系統，每個系統都包含大量核心數據，其中包括專家數據、評審數據等敏感信息。為了防護各類攻擊，自然科學基金委在網絡安全防護方面構建了完善的網絡安全體系架構，并在《國家自然科學基金“十四五”發展規劃》[4]、《2021—2035年科學基金中長期發展規劃》[5]中提出：“持續加強安全保密管理，保障科學基金管理的高效運轉”。自然科學基金委存儲的數據極度敏感、應用系統構成極為復雜，相比其他部委/高校更具有代表性，因此，本文以自然科學基金委為研究對象，介紹現有建設現狀，分析現有網絡安全建設中的不足與挑戰，并討論如何運用人工智能等智能化技術不斷提升自然科學基金相關系統的網絡安全水平。

1 自然科學基金委網絡安全架構現狀

1.1 網絡模型

自然科學基金委目前已建成以科學基金項目管理為核心的網絡安全體系架構，共有各類型網絡安全設備30余臺，保障網絡系統的安全穩定運行。依據自然科學基金委實際業務需求及《國家網絡安全等級保護制度》的相關要求，根據網絡安全敏感級別對網絡區域進行了劃分，分為核心鏈路區、三級核心業務區、二級業務區、其他/測試業務區、運維管理區、隔離業務區、運維管理區和用戶終端網絡區，各區域之間均通過防火墻設備進行隔離。其中，核心鏈路區為其他區域提供了縱深的基礎網絡防護；三級核心業務區是為了滿足等保2.0三級“關鍵網絡設備的硬件冗余”的需求，部署了相關的三級業務系統；二級業務區部署了具備區域攔截能力的防火墻設備，主要運行著相關等保二級的業務系統；其他/測試業務區提供相關應用的測試環境，供相關工作人員開發和測試使用；隔離業務區部署了具備區域攔截能力的防火墻設備，主要部署著需對外提供服務的相關網站；運維管理區部署了相關運維服務管理相關的設備和系統，負責對其他區域進行監控和管理；用戶終端網絡區為獨立的網段，主要放置著用戶的終端計算機設備，僅提供基礎的上網服務。

自然科學基金委的核心鏈路區和三級核心業務區均采用了雙鏈路部署的方式，這兩個區域下的所有網絡設備、安全設備均采用雙機熱備的方式部署，當一條鏈路出現故障時，將在3 s內自動進行切換。自然科學基金委網絡安全整體架構如圖1所示。

圖1 自然科學基金委網絡安全整體架構示意

Figure 1 Schematic diagram of the overall network security architecture of the Natural Science Foundation of China

針對自然科學基金委員信息系統的主要攻擊手段如下。

結構化查詢語言（SQL，structured query language）注入攻擊[6]：黑客對數據庫進行攻擊的常用手段之一。由于在編寫代碼時，程序員沒有對用戶輸入數據的合法性進行判斷，攻擊者通過把SQL命令偽裝成正常的HTTP請求參數，傳遞到服務端，欺騙服務器最終執行惡意的SQL命令，達到入侵目的。通過利用SQL注入漏洞，攻擊者可以查詢非授權信息，修改數據庫服務器的數據，改變表結構，甚至獲取服務器系統權限。

系統命令注入：一個Web安全漏洞，使攻擊者可以在運行應用程序的服務器上執行任意操作系統（OS）命令，并且通常會完全破壞該應用程序及其所有數據。攻擊者可以利用OS命令注入漏洞來破壞托管基礎結構的其他部分，利用信任關系將攻擊轉移到組織內的其他系統。

Webshell與文件上傳漏洞[7]：文件上傳漏洞通常是代碼中對文件上傳功能所上傳的文件過濾不嚴或Web服務器相關解析漏洞未修復而造成的。Webshell的功能比較強大，被網站管理員用于網站管理、服務器管理，可以上傳/下載文件，查看數據庫，甚至可以調用一些服務器上系統的相關命令（如創建用戶、修改刪除文件）。但是，攻擊者可以將自己編寫的Webshell上傳到Web服務器的頁面的目錄下，然后通過頁面訪問的形式進行入侵，或者通過插入一句話連接本地的一些相關工具直接對服務器進行入侵操作。

目錄遍歷攻擊：Web服務器或者應用程序對用戶輸入的文件名稱的安全性驗證不足而導致的一種安全漏洞，攻擊者通過利用一些特殊字符可以繞過服務器的安全限制，訪問任意的文件，甚至執行系統命令。

1.2 研究現狀

高尚省等[8]從數字政府面臨的網絡安全風險分析出發，從安全管理、安全建設、安全運營、安全效果4個方面對數字政府網絡安全防護工作進行了評估，提出了評估工作中發現的各地市數字政府網絡安全防護工作現狀，并對未來整體安全防護工作進行了展望。趙志巖等[9]針對當前網絡安全態勢感知模型數據分析的深度和廣度的局限性，以及協作聯動能力不足等問題，提出了一種智能化網絡安全威脅感知融合模型，可根據不同組合的模型應用實現數據安全服務與信任評估服務，有效提升網絡安全態勢感知系統的監測預警能力。王惠蒞等[10]針對我國網絡安全人才存在數量缺口較大、能力素質不高、結構不盡合理等問題，分析了美國、英國和我國網絡安全人才方面相關的標準情況，提出我國網絡安全人才建設標準化建議。王丹等[11]圍繞加強農業科研單位信息安全管理的內容進行探討，介紹了信息等級保護的重要性，詳細分析了中國農業科學院的網絡安全管理制度體系和網絡安全管理技術等，并對加強農業科研單位信息安全建設的有效策略提出了相關建議。李艷等[12]介紹了國內外研究現狀及網絡安全態勢感知與傳統態勢感知之間的區別與聯系，提出了網絡安全態勢感知的邏輯分析框架，將整個過程分解為要素采集、模型表示、度量確立、求解分析和態勢預測5個連續的處理階段，為網絡安全的產業化方案提供輔助思想。

2 自然科學基金委主要系統面臨的網絡攻擊趨勢與分析

本節介紹自然科學基金委主要的信息系統（自然科學基金共享服務網、業務部門網站、電子郵件系統）及面臨的主要威脅情況。

2.1 自然科學基金共享服務網和基礎研究知識庫系統

自然科學基金共享服務網[13]系統提供資助項目、結題項目、項目成果的檢索與統計，提供結題報告的全文瀏覽，旨在提高科學基金資助工作的透明度，促進基礎研究學術信息資源的共享和利用，全面反映科學基金資助績效。自然科學基金基礎研究知識庫[14]作為我國學術研究的基礎設施，收集并保存科學基金資助項目成果的研究論文的元數據與全文，向社會公眾提供開放獲取。為了抵御“軟件掃描類”“非人為試探類”等相關爬蟲軟件對系統數據的爬取，2021年8月起對相關的防護策略進行了優化，并在相關防護設備中開啟了“人機主動防御”的功能，最終實現了通過自動化的手段抵御爬蟲軟件的非正常獲取信息的行為。

通過對攻擊情況分析，共享服務網和基礎研究知識庫系統2021年全年共受到各類型攻擊3 671 052 次，峰值出現在8月，單月攻擊數為1 249 076次，當月占比約34.02%。主要的攻擊方式為“SQL注入”“系統命令注入”“Webshell上傳”“代碼注入”“目錄遍歷攻擊”“軟件掃描類”“非人為試探類”等，具體攻擊趨勢情況如圖2所示。

圖2 共享服務網和研究知識庫攻擊趨勢

Figure 2 Shared services network and research repository attack trend graph

2.2 自然科學基金業務部門網站

業務部門網站作為自然科學基金委信息發布重要渠道的組成部分，負責發布其部門相關的項目指南、受理與申請政策、資助信息與成果信息等。以自然科學基金委獨立部署的一個部門網站為例，2021年該網站共受到各類型攻擊301 025次，攻擊峰值出現在8月，單月攻擊數為88 176次，主要的攻擊類型為“SQL 注入”“系統命令注入”“Webshell上傳”“人機主動防御”“目錄遍歷攻擊”等，業務部門網站攻擊趨勢如圖3所示。

圖3 業務部門網站攻擊趨勢

Figure 3 Trends in website attacks of business departments

2.3 自然科學基金委電子郵件系統

電子郵件系統作為自然科學基金委日常對外進行信息交流和文件傳輸的工具，為日常的辦公提供重大的保障性和支撐性作用。以2021年為例，全年電子郵件系統共受到各類型攻擊180 429次，峰值出現在10月，攻擊次數為29 072次。從對各月的攻擊情況分析來看，整體攻擊情況相對比較平穩，無異常波動的情況發生，主要的攻擊方式相對比較單一，即“口令暴力破解攻擊”，電子郵件系統攻擊趨勢如圖4所示。

圖4 電子郵件系統攻擊趨勢

Figure 4 E-mail system attack trend chart

2.4 攻擊數量與地域分析

針對外部非法組織頻繁對相關業務系統進行信息爬取的行為，自然科學基金委開啟了“人機主動防御”的功能，將共享服務網、業務部門網站和電子郵件系統3個網站或系統納入了防護的范疇。2021年8月，自然科學基金委共受到各類型攻擊1 93 3167次（7月為400 504次），攻擊數突破歷史峰值，防火墻全部成功記錄與攔截。

從2021年8月1日開始，自然科學基金委整體攻擊數量呈上升的態勢，峰值攻擊數出現在8月27日，單日攻擊次數突破12萬次。其中，自然科學基金共享服務網的占比最高，共受到各類型攻擊1 249 076次，占比約64.61%，自然科學基金系統受攻擊情況如圖5所示。

圖5 自然科學基金系統受攻擊情況

Figure 5 Attacks on the Natural Science Foundation of China

以對自然科學基金共享服務網攻擊地址源的分布情況為例，攻擊者區域分布相對比較分散，無固定的攻擊源。攻擊源IP 前5位分別來自北京、四川樂山、貴州貴陽等地區，攻擊源IP最高來自北京，攻擊數為19 418次，占比為1.55%，無明顯集中的攻擊情況發生，海外攻擊情況相對偏少，攻擊源前5位分布情況如表1所示。

表1 攻擊源前5位分布情況

2.5 攻擊類型分析

從2021年8月統計的數據來看，信息系統遭受的主要攻擊類型包括人機主動防御攻擊、SQL注入、系統命令注入、Webshell上傳、代碼注入、目錄遍歷攻擊、跨站腳本攻擊（XSS）等，其中，人機主動防御攻擊占比最高，各系統中攻擊源前5位的攻擊類型均為人機主動防御攻擊。對比2020年8月各業務系統的攻擊和攔截數據，單月攻擊次數為322 423次，主要的攻擊類型有SQL注入、系統命令注入、Webshell上傳、目錄遍歷攻擊、XSS攻擊等，而對于主動防御攻擊（自動化爬蟲或探測性軟件）均采取流量放行的狀態，沒有采取任何防御性的措施。數據異常升高的主要原因是自然科學基金委部署了人機主動防護系統，針對一些自動化爬蟲或探測性軟件通過一定的算法規則（每分鐘的訪問次數、訪問頻率的間隔時間）自動進行拉黑處理，同時將此類爬取行為列入整體安全防御的范疇，故2021年8月的攻擊數據有了近百倍的增長。

從外部攻擊源方面來看，外部攻擊者原有的自動化攻擊行為失效后，會嘗試通過其他手段來展開攻擊，而更換攻擊源的IP地址是最有效的方式，導致攻擊源分布比較分散。從業務層面的范疇來看，自然科學基金共享服務網是基礎研究成果的共享平臺，包含了大量成果相關的數據，攻擊者為了獲取相關的成果信息，會將此系統作為主要的攻擊對象，也會嘗試不同的攻擊手段，導致該系統攻擊數占比過高。2021年8月，單月攻擊次數為1 249 076次，其中人機主動防御攻擊類型占比超過99%；而2020年8月的攻擊數僅為10 132次，主要的攻擊類型為網站掃描，占比超過90%，具體如圖6所示。通過上述分析表明，自然科學基金委的業務數據備受外界關注，通過網絡信息安全的不斷建設，以獲取驅動為主的攻擊類型已被成功防御。

圖6 自然科學基金共享服務網按年度受到攻擊情況

Figure 6 The Natural Science Foundation of China shared service network attacked by year

3 自然科學基金委面臨的網絡安全挑戰

近幾年，自然科學基金委一直致力于推動基金管理工作的信息化與智能化。自然科學基金委在信息化發展的過程中面臨如下挑戰：攻擊手段與環境復雜多樣，攻擊的隱蔽性越來越高，數據泄露風險加劇，業務部門網站管理分散，工作人員防范意識需要提升。這些網絡安全挑戰都是自然科學基金委需要重點解決和關注的問題。

（1）攻擊手段與環境復雜多樣

攻擊工具與手法日趨復雜多樣，單純的防火墻策略已經無法滿足對安全高度敏感的部門的需要。網絡環境也變得越來越復雜，各式各樣的復雜網絡安全的設備與防火墻，需要不斷升級、補漏的系統使得網絡管理員的工作不斷加重，不經意的疏忽便有可能造成安全的重大隱患。勒索病毒攻擊更為頻繁且破壞力更強，供應鏈攻擊等新手段也在被高級持續性威脅（APT）組織持續利用，分布式拒絕服務（distributed denial of service，DDoS）攻擊[15]更為復雜多樣。網絡攻擊的產業化發展趨勢使得攻擊工具和手法變得愈加復雜多樣，傳統的防火墻、入侵檢測技術、惡意代碼掃描、網絡監控等被動防御手段顯得捉襟見肘。面對日益嚴峻的網絡空間安全威脅，研究網絡安全威脅信息有助于自然科學基金委更好地“知己”“知彼”，了解自身的網絡安全脆弱點，掌握已知、未知的網絡安全風險點，不斷提升自身在實戰中的檢測與響應能力，筑牢網絡安全防御城墻。

（2）網絡攻擊的隱蔽性越來越高

隨著計算機網絡知識的普及，攻擊者越來越多，知識日趨成熟，傳統的網絡攻擊行為會在系統中留下痕跡，容易被追溯；攻擊行為的目標和意圖比較明確，容易被發現。此外，利用智能化技術可以對復雜的攻擊行為進行隱藏，如通過不同的終端設備實施攻擊，在不同的時間發動攻擊等。傳統的惡意代碼、惡意程序在發布以后，這些代碼和程序的攻擊目標、攻擊意圖往往是確定的，網絡空間中的防御者可以通過逆向工程、網絡監聽等方式分析得知攻擊的目標和意圖。然而，在人工智能技術的助力下，惡意代碼、惡意程序可以通過內嵌深度神經網絡模型，實現在代碼開源的前提下，依然確保攻擊目標、攻擊意圖、高價值載荷三者的高度機密性，從而大幅度地提升攻擊行為的隱蔽性。在這種高隱蔽攻擊的環境下，需要不斷提升自然科學基金委的網絡防護智能化技術，實現在高隱蔽環境下對未知攻擊進行發現與溯源。

（3）數據泄露風險加劇

數據是一項重要的資源和資產，自然科學基金委擁有著大量的申請數據、用戶數據以及評審專家等敏感數據，系統一旦被攻擊，很容易造成大規模的數據被竊取或破壞。此外，自然科學基金委的業務系統不斷變復雜，隨著自然科學基金委信息化與智能化進程的不斷深入，部分應用數據被產生、傳輸，在受資助項目科研論文實行開放獲取的政策聲明下，受國家自然科學基金資助的科研項目產出的論文成果需要在互聯網上公開、共享。與此同時，新一代應用通過網頁、微信公眾號等業務渠道接入，應用敞口風險和鏈條管控難度加大，各類針對數據的攻擊模式變化多端，如撞庫攻擊、暴力破解、爬蟲攻擊，使得自然科學基金委臨越來越嚴峻的數據安全風險。未來需要不斷提高網絡安全抵御能力，進一步完善安全保障體系，為科學基金管理提供穩定可靠的信息化網絡運行環境。

（4）業務部門網站管理分散

自然科學基金委內設機構較多，各學部、處（室）職責分工比較細，各個學部分散建設各自網站，網站資源重復交織分散，缺乏整體的規劃和統籌。

部分建設時間較久，系統安全性較弱，沒有專人對網站的安全性進行評估與維護，服務體驗的親和力需進一步加強?，F有的各方面已不能充分滿足自然科學基金委網站網絡安全的統一建設要求，亟須加緊改進。

（5）工作人員防范意識需要提升

在自然科學基金委信息化運維工作中，采用核心管理+外包運維的服務模式。核心管理人員網絡安全面臨技術知識更新不夠及時、難以適應網絡安全高速變化的攻擊模式等問題。大量服務人員面臨人員更替頻繁、業務理解難以深入和存在相關信息泄露風險等問題。因此，不斷迭代更新網絡安全相關知識，提升工作人員的防范意識、為不同的工作人員設置相對應細粒度的訪問控制權限是面臨的緊迫問題。

4 自然科學基金委信息化網絡安全建設分析與建議

自然科學基金委信息化平臺的建設，需要著眼于未來科學基金發展與深化改革需求，加強信息化安全建設的頂層設計。自然科學基金委新一代網絡安全的建設，應在充分考慮科學基金評審、管理及開放共享特點的前提下，達到“更智能、更安全、更完善”的總體目標。具體而言，相比自然科學基金委員利用防火墻等傳統設備的被動防御模式，“更智能”需要利用人工智能、大數據等新興技術提升網絡與信息安全的自動化治理水平，有效探查未知的網絡安全風險點?，F有的防護模式為先建設、再加固，在系統建設初期并未考慮到安全性的問題，“更安全”在新一代信息化平臺建設初期就需要考慮數據安全、敏感信息泄露防護、關鍵信息基礎設施免受大規模攻擊等。針對外包人員防范意識較弱、人機協同分離的問題，“更完善”可以完善組織機構與相應的規章制度，提高信息中心工作人員網絡安全相關能力和素質，打通人與機器之間的壁壘。

1) 構建一站式科學基金智能防護系統。通過數據挖掘、機器學習、人工智能等新型的智能化技術，建設適用于自然科學基金委信息系統的智能化防御系統。對比現有的被動式防火墻，將人工智能技術應用到網絡安全防護中，實現對網絡威脅的預先研判、智能防護和自動抵御，有效提升安全威脅檢測、態勢感知、應急處置和追蹤溯源能力，實現安全防護技術的與時俱進。利用人工智能技術構建一站式科學基金智能防護系統，具體而言可以分為以下3個方面。一是基于人工智能威脅監測，包括智能化漏洞利用的檢測、數據爬取攻擊、Web攻擊的檢測以及同源性分析，通過技術可以有效地發現現有防火墻無法發現的未知威脅。二是基于智能化的威脅感知和阻斷，即通過自動化的手段提供威脅預警和應急防護措施阻止威脅事件，通過事件關聯分析識別網絡層、系統層、應用層的潛在威脅。三是智能化的安全運營運維托管，通過智能化的安全基線構建、安全風險檢測、安全風險評估、動態安全策略防護服務，實現對安全事件的自動響應。

2) 建設統一標準化的業務網站平臺。以自然科學基金委現有的私有云服務器為基礎，各業務部門、各行業主管部門等用戶以及相關業務抽取到統一業務網站平臺，實現統一認證、單點登錄、集中授權。一是提供異構數據池數據安全共享和利用，實現多源異構數據的安全融合，并為各個網站與平臺提供支撐數據。二是信息安全運維團隊為各個網站提供統一集中的網絡安全監管與服務，提供時效性強、準確度高的網絡安全監測服務，確保網站不受各類攻擊。三是建設網站集約化管理平臺，統一管理、統一防護、統一監測，為各級網站管理員提供多級權限管理與靈活的訪問控制策略。

3) 實現更安全的保障體系建設。完善自然科學基金委安全保障體系，從高發的安全事件中吸取經驗教訓，建設更加完善的安全保障機制，利用新型的防護策略與手段保證系統不被破解、堅固有效，具體措施如下。一是落實關鍵信息基礎設施保護，嚴格按照《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《網絡安全等級保護條例》以及等保2.0的要求[16]，開展關鍵信息基礎設施的認定、報送、安全建設等工作。二是開展數據安全體系建設，聚焦數據安全生命周期，規劃設計全局化和開放性的數據安全體系，提升數據安全管理融合能力，構建自然科學基金委數據安全運營場景落地，實現組織數據資產可視、數據血緣可溯、數據風險可控、數據威脅可管。三是加強運行安全制度保障建設，包括安全管理機制落實強化、開展態勢感知體系建設、安全運行服務水平提升和開展數據級容災體系建設。

4) 加強自然科學基金委網絡安全人才支撐體系建設。從加強信息安全人才隊伍建設和完善網絡安全組織機構兩個方面構建，具體措施如下。一是積極開展全員信息安全技術培訓活動，對自然科學基金委工作人員，通過線上或線下開展培訓，提高全員網絡安全的能力和素質，強化全員安全意識，使自然科學基金委的網絡安全防護水平不斷提升。二是完善網絡安全組織機構建設，建立統一的網絡安全管理體制，增強對網絡與信息安全建設運行管理和維護能力，擴大服務模式，將更專業的技術力量參與到網絡安全系統的建設和維護工作中。

綜上所述，在信息化的過程中，自然科學基金委網絡安全建設取得了一定的成績。但是在大背景下，自然科學基金委在信息化的過程中將面臨更多的網絡安全事件與挑戰，需要建設更智能的防護手段、更安全的保障體系，并加強面向未來技術與人員等各方面的儲備。

[1] 國家自然科學基金委員會. 國家自然科學基金委員概況[EB]. 2022.

National Natural Science Foundation of China. Overview of national natural science foundation of China[EB]. 2022.

[2] 聯合國經濟和社會事務部. 2020聯合國電子政務調查報告：數字政府助力可持續發展十年行動[R]. 2020.

United Nations Department of Economic and Social Affairs. 2020 United Nations E-government survey report: digital government for the decade of action for sustainable development[R]. 2020.

[3] 國家工業信息安全發展研究中心. 2020年工業信息安全態勢報告[R]. 2020.

National Industrial Information Security Development Research Center. 2020 industrial information security situation report[R]. 2020.

[4] 國家自然科學基金委員會. 國家自然科學基金“十四五”發展規劃[EB]. 2020.

National Natural Science Foundation of China. The 14th five-year development plan of the national natural science foundation of China[EB]. 2020.

[5] 國家自然科學基金委員會. 2021—2035年科學基金中長期發展規劃[EB]. 2020.

National Natural Science Foundation of China. 2021-2035 mid- and long-term development plan of the national natural science foundation of China[EB]. 2020.

[6] 張卓. SQL注入攻擊技術及防范措施研究[D]. 上海: 上海交通大學, 2007.

ZHANG Z. Research on SQL injection attack technology and preventive measures[D]. Shanghai: Shanghai Jiaotong University, 2007.

[7] 石劉洋, 方勇. 基于Web日志的Webshell檢測方法研究[J]. 信息安全研究, 2016, 2(1): 66-73.

SHI L Y, FANG Y. Research on Webshell detection method based on web logs[J]. Information Security Research, 2016, 2(1): 66-73.

[8] 高尚省, 郭勇, 高智偉, 等. 廣東省數字政府網絡安全評估體系與實踐[J]. 大數據, 2021, 7(2): 182-188.

GAO S S, GUO Y, GAO Z W. Practice of digital government network security index evaluation system in Guangdong Province[J]. Big Data Research, 2021, 7(2): 182-188.

[9] 趙志巖，紀小默. 智能化網絡安全威脅感知融合模型研究[J]. 信息網絡安全, 2020, 34(4): 87-93.

ZHAO Z Y, JI X M. Research on the intelligent fusion model of network security situation awareness[J]. Netinfo Security, 2020, 34(4): 87-93.

[10] 王惠蒞, 王秉政, 楊杰. 網絡安全人才政策及標準化研究[J]. 信息安全研究, 2021, 7(6): 520-526.

WANG H L, WANG B Z, YANG J. Research on standardization of cybersecurity workforce[J]. Journal of Information Security Research, 2021, 7(6): 520-526.

[11] 王丹, 孫洋, 謝輝, 等. 基于網絡安全等級保護 2.0 的農業科研單位網絡安全體系研究———以中國農業科學院為例[J]. 農業圖書情報學報, 2020, 32 (12): 97-103.

WANG D, SUN Y, XIE H, et al. Network security systems of agricultural research institutions based on hierarchical protection 2.0: taking the Chinese academy of agricultural sciences as an example[J]. Journal of Library and Information Science in Agriculture, 2020, 32 (12): 97-103.

[12] 李艷, 王純子, 黃光球, 等. 網絡安全態勢感知分析框架與實現方法比較[J]. 電子學報, 2019, 47(4): 927-945.

LI Y, WANG C Z, HUANG G Q, et al. A survey of architecture and implementation method on cyber security situation awareness analysis[J]. Acta Electronica Sinica, 2019, 47(4): 927-945.

[13] 李東, 于笑豐, 杜一, 等. 國家自然科學基金資助成果開放共享平臺: 現狀與展望[J]. 中國科學基金, 2021, 35(5): 804-814.

LI D, YU X F, DU Y, et al. The open sharing platform of national natural science foundation of China: current situation and prospects[J]. Chinese Science Foundation, 2021, 35 (5): 804-814.

[14] 姚暢, 王曉帆, 杜一, 等. 國家自然科學基金大數據知識管理服務平臺總體方案及關鍵技術研究[J]. 中國科學基金, 2019(1): 55-61.

YAO C, WANG X F, DU Y, et al. Research on the overall plan and key technologies of the big data knowledge management service platform of the National Natural Science Foundation of China[J]. China Science Foundation, 2019(1): 55-61.

[15] 何慧, 張宏莉, 張偉哲, 等. 一種基于相似度的DDoS攻擊檢測方法[J]. 通信學報, 2004, 25(7): 176-184.

HE H, ZHANG H L, ZHANG W Z, et al. A similarity-based DDoS attack detection method[J]. Journal of Communications, 2004, 25(7): 176-184.

[16] 密碼行業標準化技術委員會. GM/T0054-20186 信息系統密碼應用基本要求[S]. 北京: 中華人民共和國密碼行業標準, 2018.

Technical Committee on Standardization of Cryptography Industry. GM/T0054-20186 basic requirements for cryptographic applications in information systems[S]. Beijing: Cryptography Industry Standards of the People's Republic of China, 2018.

Network security of the National Natural Science Foundation of China: today and prospects

LI Dong1, HAO Yanni1, PENG Shenghui1, ZI Ruijie2, LIU Ximeng1,3

1. Information Center of National Natural Science Commission, Beijing 100085, China 2. Beijing Beilong Yunhai Network Data Technology Co., Ltd., Beijing 100190, China 3. School of Computer and Data Science, Fuzhou University, Fuzhou 350116, China

The National Natural Science Foundation of China (hereinafter referred to as the Natural Science Foundation of China) is responsible for effectively utilizing the National Natural Science Foundation of China, supporting basic research, adhering to free exploration, playing a guiding role, and discovering and cultivating science and technology in accordance with the national guidelines, policies and plans for the promotion of scientific and technological progress and coordinated economic and social development. With the continuous development of new productive forces represented by information technology, the Natural Science Foundation of China has been committed to promoting the informatization and intelligence of fund management. With the increasing complexity of business types, various types of network attacks, such as information leakage attacks, are encountered in the construction of informatization and make network security face severe challenges. The network security construction of the Natural Science Foundation of China was took as the main line and the network security construction of the existing platform was introduced. At present, a network security system structure with the science fund project management as the core has been established to ensure the safe and stable operation of the network system. The main information systems of the Natural Science Foundation of China (Natural Science Foundation Shared Service Network, business department website, email system) and its main threats were analyzed and introduced. Then the thoughts and suggestions in the follow-up informatization and network security construction were given. The Natural Science Foundation of China will start the construction of a new generation of secure network. Under the premise of fully considering the characteristics of science fund review, management, and open sharing, it will achieve the overall goal of “smarter, safer, and better” and carry out network security system construction for relevant units.

information construction, network security, natural science fund, big data

TP393

A

10.11959/j.issn.2096?109x.2022076

2022?02?28；

2022?10?31

劉西蒙，liuxm@nsfc.gov.cn

國家自然科學基金（62072109, U1804263）；福建省自然科學基金（2021J06013）

The National Natural Science Foundation of China (62072109, U1804263), The Natural Science Foundation of Fujian Province (2021J06013)

李東, 郝艷妮, 彭升輝, 等. 國家自然科學基金委員會網絡安全現狀與展望[J]. 網絡與信息安全學報, 2022, 8(6): 92-101.

LI D, HAO Y N, PENG S H, et al. Network security of the National Natural Science Foundation of China: today and prospects [J]. Chinese Journal of Network and Information Security, 2022, 8(6): 92-101.

李東（1970?），女，天津人，國家自然科學基金委員會信息中心研究員，主要研究方向為科技政策與科研信息化。

郝艷妮（1978?），女，山西平遙人，國家自然科學基金委員會信息中心副研究員，主要研究方向為數據庫管理與使用、計算機架構分析、計算機軟件應用與維護。

彭升輝（1978?），男，河南潢川人，國家自然科學基金委員會信息中心中級實驗師，主要研究方向為科研信息化和網絡信息安全。

訾瑞杰（1985?），男，河北邯鄲人，北京北龍云海網絡數據科技有限責任公司中級工程師，主要研究方向為網絡安全信息安全與智能化運維。

劉西蒙（1988?），男，陜西寶雞人，福州大學研究員、博士生導師，主要研究方向為數據安全與密碼學。