網(wǎng)絡環(huán)境下科技期刊的安全建設

■黃 瑜

南方電網(wǎng)科學研究院《南方電網(wǎng)技術》編輯部，廣州市黃埔區(qū)科翔路11號 510663

在過去20多年的時間里，隨著信息技術和網(wǎng)絡技術的飛速發(fā)展，政府與社會共同參與，共同建設出版數(shù)字化與網(wǎng)絡化，我國數(shù)字出版產(chǎn)業(yè)和新媒體規(guī)模呈現(xiàn)顯著增長的態(tài)勢[1]。

科技期刊也順應信息時代的發(fā)展，以各種途徑建設數(shù)字化期刊、網(wǎng)絡化辦刊，提高期刊出版效率、壓縮出版成本、加強期刊宣傳、擴大市場占有率、提高品牌知名度，同時促進技術交流、傳播科研成果[2-6]?？萍计诳瘜庉嫵霭婀ぷ骱推诳ぷ髡哌M行重新定位，學習、采用和掌握網(wǎng)絡時代的采編出版技術和新媒體應用技術，向網(wǎng)絡科技期刊轉型，傳統(tǒng)的科技期刊出版方式與新興的網(wǎng)絡出版融合發(fā)展，在實際的變革中取得了不俗的成績[7]。

然而，信息技術和網(wǎng)絡技術的發(fā)展也給不法分子帶來了更多攻擊的手段和途徑。近年來，各種網(wǎng)絡安全事件頻發(fā)，并由最初技術炫耀型的網(wǎng)站攻擊與破壞等，迅速擴展到政治、法律、軍事、經(jīng)濟、民生等領域，網(wǎng)絡犯罪日趨嚴重，勒索與欺詐已經(jīng)成為網(wǎng)絡態(tài)勢[8-11]。2017年5月12日和6月28日，全球爆發(fā)了大規(guī)模WannaCry、Petya勒索病毒，100多個國家和地區(qū)的政府機構、教育行業(yè)、公共服務等部門遭受襲擊，造成巨大損失[12-13]。

因此，網(wǎng)絡安全和信息化是事關國家經(jīng)濟社會可持續(xù)發(fā)展、事關國家長治久安、事關人民群眾福祉的重大戰(zhàn)略問題?！皼]有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”[14]，深刻闡述了網(wǎng)絡安全信息化發(fā)展的辯證關系，“網(wǎng)絡安全和信息化是一體之兩翼，驅(qū)動之雙輪，必須統(tǒng)一謀劃，統(tǒng)一部署，統(tǒng)一推進，統(tǒng)一實施”[14]。2017年6月1日，《中華人民共和國網(wǎng)絡安全法》實施，從法律上明確了保障網(wǎng)絡安全，促進經(jīng)濟社會信息化健康發(fā)展的原則，提出“堅持網(wǎng)絡安全與信息化發(fā)展并重”、“建立健全網(wǎng)絡安全保障體系，提高網(wǎng)絡安全保護能力”[15]的要求。

身處日趨惡劣的互聯(lián)網(wǎng)安全環(huán)境，科技期刊一方面利用網(wǎng)絡環(huán)境帶來的數(shù)字資源、技術優(yōu)勢開展信息化建設，提供豐富的服務內(nèi)容，享受著網(wǎng)絡化的便利，另一方面面臨著將期刊自身暴露在整個網(wǎng)絡環(huán)境下的風險，在黑客攻擊日趨組織化、技術化、產(chǎn)業(yè)化、普及化的情況下，承受著期刊信息被修改、盜竊，甚至整個期刊平臺被復制、假冒、破壞的風險。對網(wǎng)絡的依賴程度越高，期刊所面臨的風險越大，對網(wǎng)絡安全的需求越迫切[16]。因此，期刊在網(wǎng)絡環(huán)境下實施信息化建設時必須重視信息安全，做好網(wǎng)絡防護。

部分科技期刊工作者已經(jīng)意識到了網(wǎng)絡環(huán)境下科技期刊所面臨的風險，并取得了一些研究成果。秦天[8]認為網(wǎng)絡安全風險影響了期刊網(wǎng)絡化發(fā)展，而防范制度缺失與管理體制不嚴謹是期刊網(wǎng)絡化發(fā)展的隱患，但其相應對策為硬件加固，未在制度與體制層面提出反措。文獻[17-20]從期刊泄密的角度分析了期刊保密工作的重要性，認為期刊工作者應強化保密意識、加強安全保密工作，但未能對網(wǎng)絡安全的形勢做出明確的判斷，其應對措施側重于科研成果和軍事技術的保護，缺乏對網(wǎng)絡風險的防護和對科技期刊本身的保護。馬嵐等[21]試圖將云計算引入科技期刊的編輯工作中，討論了云計算模式下的安全問題與責任問題，但其安全防護對策是從政策和技術兩個層面進行規(guī)劃，并將安全責任劃分給服務提供商，忽視了期刊日常工作的風險防范。黃莉等[22]以網(wǎng)絡化時代的保密需求為切入點，較為全面地提出了網(wǎng)絡風險的防護對策，通過使用漏洞檢測、病毒木馬防范、防火墻和入侵檢測等手段配合安全檢查等措施進行安全防護，但缺乏網(wǎng)絡容災和災后恢復等應急預案。

而在計算機領域，國內(nèi)外學術界和企業(yè)界圍繞網(wǎng)絡的安全需求對網(wǎng)絡內(nèi)容安全、網(wǎng)絡認證授權、防火墻、虛擬專用網(wǎng)、網(wǎng)絡入侵檢測、網(wǎng)絡脆弱性檢測、安全接入、安全隔離與交換、安全網(wǎng)關、安全監(jiān)控與管理、網(wǎng)絡安全審計、惡意代碼檢測與防范、垃圾郵件處置、應急響應等方面進行了研究[23]，側重于計算機設備的硬件防護、系統(tǒng)加固和技術革新，其所提的策略存在技術專業(yè)性強、實施復雜或經(jīng)費支出巨大等情況，科技期刊的實施難度很大。

科技期刊依照其主辦單位類型，一般分為國家和省市級的各學科學會、國家和省市級的各科研機構、各類高等院校、各級協(xié)會、各部委行政部門、情報機構、公司企業(yè)、出版部門、其他研發(fā)中心、其他科學技術委員會等[24]。主辦單位的體制結構、規(guī)劃重心、發(fā)展策略和經(jīng)營理念的不同，導致其所屬科技期刊獲得的資源和發(fā)展條件各不相同。部分科技期刊獲得了較好的發(fā)展機遇，大部分科技期刊仍然在謀求經(jīng)營發(fā)展之路[25]。同時，不同行政級別、不同專業(yè)方向的期刊主辦單位對單位和期刊安全的標準各不相同，安全目標和資源分配也存在很大差異。在這種現(xiàn)實情況下，不可能奢望所有期刊都高標準、嚴要求地開展安全工作，只能根據(jù)期刊當前所處的發(fā)展階段，綜合考慮安全目標、人員配備、資源分配等約束條件來開展安全工作。

針對以上研究的缺陷以及科技期刊的現(xiàn)實需求，本文分析了科技期刊在網(wǎng)絡環(huán)境下實施信息化過程中所面臨的安全隱患，提出了網(wǎng)絡安全制度建設、軟硬件及業(yè)務系統(tǒng)安全建設、期刊工作者安全教育、網(wǎng)絡安全應急預案和災后重建預案建設4個方面的建設要求，認為科技期刊所建立的安全制度需要強化頂層設計、注重責任義務劃分及落實；所建設的軟硬件及業(yè)務系統(tǒng)在安全方面需要具有抵抗、識別、恢復、自適應4個關鍵能力；所實施的安全教育需要注重提升網(wǎng)絡安全風險意識，以執(zhí)行安全規(guī)范為紀律；所建設的應急預案應具備實時更新、動態(tài)跟蹤和容災恢復等功能。

1 科技期刊網(wǎng)絡環(huán)境的安全隱患

科技期刊在網(wǎng)絡環(huán)境下開展信息化建設的過程中，主要經(jīng)歷了傳播內(nèi)容的數(shù)字化、傳播載體和方式的網(wǎng)絡化2個信息化階段。在實際進程中，科技期刊采取的形式通常有以下幾種：

(1) 以電子郵件往來的方式開展投稿、審稿工作，以及排版與出版的交流工作。期刊印刷版內(nèi)容以電子文檔的形式交給網(wǎng)絡數(shù)據(jù)庫發(fā)行傳播。

(2) 依托期刊采編系統(tǒng)的技術開發(fā)公司，以服務器網(wǎng)絡托管的形式在采編系統(tǒng)平臺上開展包括投稿、審稿、編校、定稿、發(fā)排、出版、發(fā)布、統(tǒng)計等工作。期刊印刷版內(nèi)容在交給網(wǎng)絡數(shù)據(jù)庫發(fā)行傳播的同時也在采編系統(tǒng)的網(wǎng)站上發(fā)行。

(3) 自建期刊采編系統(tǒng)，在出版單位內(nèi)部或主辦單位內(nèi)部搭建服務器，以獨立運維的形式開展工作。出版方式和發(fā)行方式與第(2)點相同。

(4) 在擁有期刊出版平臺和獨立服務器的基礎上，大規(guī)模利用網(wǎng)絡技術，采用形式多樣的手段實現(xiàn)出版過程和出版內(nèi)容的網(wǎng)絡化。比如建立期刊的門戶網(wǎng)站，豐富網(wǎng)站的內(nèi)容，對發(fā)行內(nèi)容進行二次開發(fā)，在微信、微博、APP等多種傳播平臺上進行傳播，并不斷完善各種服務功能等。

在上述4種典型的網(wǎng)絡化操作中，科技期刊均在不同程度上面臨以下幾種網(wǎng)絡安全隱患。

(1) 電子郵件收發(fā)軟件不完善、企業(yè)郵件系統(tǒng)建設不完善?？萍计诳趯嵤┢放平ㄔO時，往往要求期刊的投稿郵箱或聯(lián)系郵箱使用主管主辦單位的統(tǒng)一郵件服務器，以達到標識統(tǒng)一的宣傳目的。但如果主管主辦單位在自建郵件服務器時對郵箱安全的重視不足，郵件服務器識別木馬、病毒和危險外鏈郵件的能力較弱，同時沒有禁用郵件系統(tǒng)未使用的網(wǎng)絡端口，則為黑客的入侵創(chuàng)造了捷徑。此外,安裝的電子郵件收發(fā)軟件缺乏安全設置時也極容易遭受攻擊[9]。

(2) 搭建的服務器缺乏安全軟硬件的加固，存在安全漏洞。由于經(jīng)費、人員、場地的限制和主管人員的安全意識不足，主管主辦單位在采購服務器時往往不注重同時采購硬件防火墻，僅使用服務器來構建期刊的采編系統(tǒng)和數(shù)據(jù)庫并直接連接外部網(wǎng)絡，也沒有在服務器系統(tǒng)和中間件上部署安全防護軟件。這相當于把期刊的整個硬件和軟件暴露在網(wǎng)絡環(huán)境下，任憑黑客自由來往，隨意取用、修改、刪除數(shù)據(jù)。

(3) 采編系統(tǒng)或平臺的開發(fā)技術陳舊或不過關。目前我國科技期刊已經(jīng)大量應用采編平臺[26]，包括瑪格泰克、勤云科技、知網(wǎng)騰云、三才科技4種較為成熟、應用較為普遍的采編商用平臺，以及各期刊自建的采編系統(tǒng)平臺。與各商用平臺相比，各期刊的自建平臺較傾向于依照期刊編輯部所需功能和流程來建設平臺的功能和流程，并將功能放在第一位，安全防護的模塊建設往往排在第二位。不完善的平臺往往存在大量的安全漏洞。即使是較為成熟的商用平臺，也不能說完全沒有安全漏洞。筆者所在的期刊社自2008年起采用了某知名采編商用平臺，在2013年首次改造后已經(jīng)消除了高危安全漏洞，到2017年4月新一輪的系統(tǒng)安全檢測中又發(fā)現(xiàn)不少新的高危安全漏洞，經(jīng)過數(shù)次升級改造才達到安全要求。在網(wǎng)絡技術日新月異的情況下，漏洞不斷被發(fā)現(xiàn)，網(wǎng)絡攻擊的技術和手段也不斷變化，因此采編系統(tǒng)或平臺必須定期檢測、及時升級。

(4) 使用了低版本的操作系統(tǒng)或數(shù)據(jù)庫系統(tǒng)。2003年的沖擊波病毒、2008年的Conficker蠕蟲病毒、以及2017年的WannaCry勒索病毒都利用了操作系統(tǒng)的漏洞。當系統(tǒng)升級之后，這些病毒隨之失去威力。由此可見，使用低版本的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)，無異于向黑客打開大門，其危害程度不亞于硬件漏洞。

(5) 缺乏網(wǎng)絡管理制度。健全的制度是科技期刊工作得以順利展開的保障，也是期刊在網(wǎng)絡環(huán)境下工作的安全保障?？萍计诳谶M行信息化、網(wǎng)絡化的改革時，一般會事先根據(jù)網(wǎng)絡技術、期刊社需求、人力資源和財政支持等情況，基于期刊社的發(fā)展需求進行調(diào)研，建立網(wǎng)絡化解決方案，包含采用的手段和方式、最終效果、可持續(xù)發(fā)展模式和需求等。但鮮有研究針對網(wǎng)絡環(huán)境下運行、使用、安全、維護、處置等方面的管理制度。網(wǎng)絡管理不能根據(jù)領導喜好進行，也不能生搬硬造。在建立基于網(wǎng)絡環(huán)境的采編校出版模式之后，科技期刊必須及時理順網(wǎng)絡管理的理念和形式，建立網(wǎng)絡管理制度，制訂行之有效的行為細則，保障期刊網(wǎng)絡化進程的順利實施。

(6) 期刊工作者缺乏網(wǎng)絡安全意識。期刊工作者缺乏安全意識，隨意在非安全區(qū)域登錄郵箱、使用采編平臺甚至登錄管理員賬號；期刊工作者缺乏警惕性，疏于識別或無法識別郵件中的釣魚信息或木馬附件，輕信網(wǎng)頁提示，出于好心卻未經(jīng)核實將用戶、管理員信息通過網(wǎng)絡或其他方式透露給他人等；期刊工作者缺乏安全培訓，不清楚安全規(guī)則，導致發(fā)生繞過安全流程、安全審核或省略安全步驟等行為。

(7) 缺乏網(wǎng)絡安全應急預案。面對出現(xiàn)的安全事件，缺少有針對性的應對措施，往往采取網(wǎng)站關停、服務器重啟、系統(tǒng)重裝等簡單粗暴的方式躲避網(wǎng)絡攻擊。這種做法不僅會導致服務器連接中斷、數(shù)據(jù)丟失，導致編輯部工作暫停，還會給用戶帶來不便甚至誤解，進而影響科技期刊的信譽。而事實上，面對各種網(wǎng)絡攻擊和網(wǎng)絡欺詐，通過設置適當?shù)木W(wǎng)絡安全應急預案，可以排除網(wǎng)絡風險，防御網(wǎng)絡攻擊。

2 科技期刊網(wǎng)絡化的安全建設

第1節(jié)所述的7種安全隱患中，前4種安全隱患可認為是軟硬件與技術方面的缺陷，可以通過投入資金與人力進行軟硬件升級、增加安全軟件和消除安全漏洞等方式進行提升；第5種為制度缺陷，屬于基礎政策層面的疏忽，需要綜合建設；第6種隱患為人員隱患，需要提高期刊工作者的安全意識、狠抓安全紀律來降低；第7條是容災措施，用于災后恢復，是遭受故障和損失后的必要措施。

科技期刊要實施全面的網(wǎng)絡安全防護，首先要重視網(wǎng)絡化建設中相關網(wǎng)絡安全、網(wǎng)絡保密等制度的建設；其次要重視期刊網(wǎng)絡平臺建設過程中的安全防護系統(tǒng)的建設；再次，期刊工作者必須接受網(wǎng)絡安全教育，提高安全意識，嚴格執(zhí)行安全管理制度；最后，要針對不同的影響范圍設置不同等級的網(wǎng)絡安全應急預案和災后重建預案。

2.1 安全制度建設是網(wǎng)絡化建設的重要前提

安全制度建設包含了安全體系的建立、安全監(jiān)督的建立、審查流程的設置、保密制度的建立、安全事件的響應等。其意義是從政策和規(guī)則的角度貫徹科技期刊網(wǎng)絡化的基本準則“安全第一，預防為主，綜合治理”，規(guī)范期刊工作者的行為，保障期刊在網(wǎng)絡環(huán)境下的安全，維護期刊的利益、形象和聲譽。只有建立了完善的安全制度，才能保障科技期刊網(wǎng)絡化建設的健康發(fā)展。

制定網(wǎng)絡安全制度，首先要樹立正確的網(wǎng)絡安全觀念，了解網(wǎng)絡安全是切實關系到期刊網(wǎng)絡化發(fā)展的支柱。然后根據(jù)期刊發(fā)展的現(xiàn)實需求布局網(wǎng)絡安全的工作需求和目標，自上而下地建立管理責任制度、技術目標、資源配合、組織形式、工作規(guī)范等，構建涵蓋防護、監(jiān)督、審查、事故響應等方面的可監(jiān)測、可溯源、可控制的安全防御體系。

制定網(wǎng)絡安全制度時不能單純建設、唯技術論，應注重責任義務的劃分，以及工作的落實。無論哪種制度，只有落到實處，才能發(fā)揮作用。

2.2 采編平臺或業(yè)務系統(tǒng)的安全防護是網(wǎng)絡化建設的關鍵

建設采編平臺或業(yè)務系統(tǒng)的安全防護，其目標是建立抵抗力強、識別能力強、恢復速度快、自適應能力強的系統(tǒng)。

如果科技期刊的主辦單位為行政級別較高的國家機關或關鍵行業(yè)，當安全失控影響較大、后果較嚴重時，建議采取自建服務器方案。此時需要注重軟硬件的部署，防護軟硬件配置、選用成熟平臺或系統(tǒng)、開展檢測與掃描，并對登錄權限和身份認證進行嚴格控制。

在硬件部署上，建議盡量實施完備的硬件采購方案，足夠配置雙機系統(tǒng)或冗余備份措施。其中包含合格的服務器產(chǎn)品、防火墻硬件、防病毒網(wǎng)關、包含密鑰庫的安全硬件等。在資金允許的條件下，還應該盡量配置安全機房設備，例如電磁泄露發(fā)射干擾系統(tǒng)、雙路供電系統(tǒng)、不間斷電源(UPS)、發(fā)電機、環(huán)境監(jiān)控系統(tǒng)等，以確保信息設備的物理安全[27]。

在軟件部署上，建議應用最新版本的操作系統(tǒng)和數(shù)據(jù)庫軟件系統(tǒng)。建議使用最小安裝的原則部署操作系統(tǒng)，禁用與業(yè)務無關的服務或端口并確保操作系統(tǒng)升級到最新版本；使用安全組件和數(shù)據(jù)庫加密軟件、通信加密軟件和權限軟件等對整個系統(tǒng)包括郵件系統(tǒng)進行加固。同時配置最新版本的防護軟件，具備病毒和間諜軟件防護、木馬識別、垃圾郵件識別、抵御網(wǎng)絡威脅、監(jiān)控網(wǎng)絡行為等能力，同時保持防護軟件的隨時升級，確保能夠適應并應對新的網(wǎng)絡風險。

在軟硬件部署中，防火墻硬件和防護軟件是必不可少的。只有采用新型前沿技術打造的防火墻硬件和防護軟件才能保障整個系統(tǒng)的抵抗能力和風險識別能力?？萍计诳荒軌騼H僅追求硬件性能而忽視對這兩者的投入。

在平臺、系統(tǒng)建設上，建議采用成熟的商業(yè)期刊采編平臺，并根據(jù)編輯工作需求進行二次建設，關注代碼安全，去除不需要的業(yè)務，精簡平臺。

然后通過第三方檢測機構開展漏洞掃描、入侵檢測、滲透檢測等，尋找并清除平臺的高危漏洞，并驗證網(wǎng)絡防御系統(tǒng)能按照配置方案正常運行。

部署軟硬件之后，建議對物理層、網(wǎng)絡層、系統(tǒng)層、應用層、管理層5個層面開展網(wǎng)絡安全脆弱性分析并解決脆弱環(huán)節(jié)[28]。如對建成的系統(tǒng)在應用層部署入侵檢測系統(tǒng)(IDS)等。建議對整個采編平臺和系統(tǒng)設立邊界，實施準入控制，加強邊界防護。例如只允許編輯訪問采編平臺，只有賦予權限的人員才能根據(jù)自己的權限級別訪問操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同區(qū)域。

在配置網(wǎng)絡環(huán)境時，最好對防火墻、應用系統(tǒng)服務器、數(shù)據(jù)庫系統(tǒng)服務器使用不同的配置，不允許相同的登錄設置，避免別有用心的人利用已知信息進行撞庫。對外的網(wǎng)站系統(tǒng)(即Web前端)則建議配置輸入監(jiān)控系統(tǒng)，控制網(wǎng)站輸入數(shù)據(jù)的長度和類型，并將頁面代碼進行轉義，防止通過用戶名、密碼、搜索等輸入框?qū)崿F(xiàn)代碼注入；同時強制要求登錄人員設置復雜度高的密碼并設置使用期限，強制更新密碼；另外，還要設置平臺登錄失敗的處置功能，防止暴力破解。

整個采編平臺或業(yè)務系統(tǒng)的軟硬件都應該配置身份認證系統(tǒng)，對不同職責的人員設置不同的最小權限，并形成相互制約的關系。系統(tǒng)的日志記錄必須全面，且應使用技術手段保證日志無法被刪除、修改或覆蓋，以便安全審計調(diào)用。

在系統(tǒng)運行上，建議同時采用本地容災技術和異地容災技術。使用數(shù)據(jù)復制技術和功能切換技術對運行數(shù)據(jù)進行雙機熱備份或遠程備份，以便在發(fā)生網(wǎng)絡災難時通過數(shù)據(jù)重構或切換備用服務器來抵御災難、保護業(yè)務數(shù)據(jù)。

如果科技期刊主管主辦單位的安全級別較低，或存在人員、經(jīng)費受限的情況，則可以采用服務器托管(或云服務器)的方案，服務器連同采編平臺和業(yè)務系統(tǒng)交由開發(fā)商或網(wǎng)絡運維公司來維護。在這種情況下，期刊服務器的安全防護工作也是由開發(fā)商或網(wǎng)絡運維公司來執(zhí)行?？萍计诳庉嫴繎獓栏窈瞬閷Ψ剿@得的開展相關服務的認證和資格，與對方簽訂安全協(xié)議，獲得對方相關軟件開發(fā)與維護、數(shù)據(jù)安全與備份、設備運維與更新、機房安全保障等的承諾，堅持定期審查，定期后臺審計，保障期刊數(shù)據(jù)的可控、安全、完整和私密。

2.3 期刊工作者的安全教育是網(wǎng)絡化建設的重心

從期刊健全發(fā)展的角度出發(fā)，科技期刊編輯部應該配置專業(yè)的網(wǎng)絡化技術人員來承擔期刊網(wǎng)絡化發(fā)展中的物理設備建設、業(yè)務軟件建設、安全建設與安全保障等工作。但是，受制于當前科技期刊發(fā)展的狀況，大多數(shù)科技期刊沒有配備專業(yè)的網(wǎng)絡化技術人員，部分科技期刊的網(wǎng)絡化技術人員為本期刊工作者兼職。在這種情況下，期刊工作者不得不承擔期刊網(wǎng)絡化的具體技術工作。參與開發(fā)、維護、使用網(wǎng)絡化平臺的期刊編輯人員成為網(wǎng)絡安全隱患中的重要人為因素，必須提高網(wǎng)絡安全風險意識，了解和掌握網(wǎng)絡安全的知識與技能。科技期刊網(wǎng)絡化不安全的主要人為因素有技術、教育、態(tài)度和管理等，均可以通過教育、培訓進行提高。因此，必須重視對期刊工作者的網(wǎng)絡安全教育與培訓，不僅要會使用、懂操作，還要了解安全制度方面的知識以及掌握有關系統(tǒng)使用、網(wǎng)絡操作、郵件收發(fā)等方面安全技能，學習安全應急預案，提高期刊工作者的安全意識與警惕性，并將安全教育與培訓工作常態(tài)化。

此外，科技期刊工作者還必須貫徹執(zhí)行安全規(guī)范，用網(wǎng)絡與信息安全工作規(guī)章制度來約束自己的網(wǎng)絡操作行為，切實消除僥幸心理。把執(zhí)行網(wǎng)絡安全管理規(guī)范作為員工紀律。

2.4 網(wǎng)絡防護是網(wǎng)絡化建設的有效補充

完備的網(wǎng)絡防護能夠極大地降低科技期刊采編平臺或業(yè)務系統(tǒng)遭受來自網(wǎng)絡的各種風險，但無法完全杜絕網(wǎng)絡攻擊。此外，因設備老舊、版本過期、設計缺陷、操作失誤等原因，可能會發(fā)生硬件損壞，期刊網(wǎng)站、采編平臺、操作系統(tǒng)出現(xiàn)錯誤，最終導致采編平臺或業(yè)務系統(tǒng)失效、崩潰或數(shù)據(jù)丟失等。為了在此類事件發(fā)生之后能夠盡快恢復系統(tǒng)和數(shù)據(jù)，必須在安全機制失效前建立網(wǎng)絡日常維護方案、安全應急預案和災后重建預案，服務于期刊采編平臺和業(yè)務系統(tǒng)，這是科技期刊網(wǎng)絡化建設的有效補充。

日常維護主要是對采編平臺或業(yè)務系統(tǒng)新增的數(shù)據(jù)、日志進行備份，對采編平臺或業(yè)務系統(tǒng)反饋的異常警告(如服務異常、賬號登錄異常等)進行檢查、對來自防火墻和防護軟件的警告進行排查處置等。同時也定期對服務器所在機房的電源、環(huán)境、設備健康等狀態(tài)進行檢查與維護。

為了在緊急情況下應對網(wǎng)絡災難，建議針對不同的攻擊行為和結果建立不同等級的應急預案，在監(jiān)控、運維、網(wǎng)絡、安全、業(yè)務等各部門建立防御措施。例如，在監(jiān)控到發(fā)生分布式拒絕服務(DDoS)攻擊時，可進行域名系統(tǒng)(DNS)引流，或清洗設備硬件、清洗畸形數(shù)據(jù)、屏蔽惡意IP，不需要斷開網(wǎng)絡，也不需要關停服務器。

采用本地容災技術和異地容災技術后，可以在不同的階段保留1～2份數(shù)據(jù)的冷熱備份和1份系統(tǒng)的完整鏡像，建議設置服務器冗余。在服務器系統(tǒng)或數(shù)據(jù)遭受破壞或發(fā)生數(shù)據(jù)丟失時，可以直接使用熱備份覆蓋，使系統(tǒng)和數(shù)據(jù)恢復到最新備份的狀態(tài)；即使數(shù)據(jù)完全被破壞，也可以使用冷備份進行恢復，不需要關停采編平臺；面對最惡劣的服務器崩潰狀況，也可以通過完整鏡像或投入冗余服務器將系統(tǒng)和數(shù)據(jù)恢復到最近鏡像備份的時期，最大限度地保證系統(tǒng)和數(shù)據(jù)的安全。

科技期刊無論規(guī)模大小和經(jīng)營情況，也無論主管主辦單位的級別和專業(yè)方向，均應將上述四項安全建設內(nèi)容納入期刊信息化發(fā)展的安全措施中。在具體實施過程中，可根據(jù)自身需求選擇采編平臺或業(yè)務系統(tǒng)的安全防護規(guī)模和形式，但不能忽視對防火墻和防護軟件的部署，同時應堅持推進安全制度的落實、開展安全教育并貫徹安全規(guī)范，為信息化發(fā)展打造安全防御系統(tǒng)。

3 結束語

針對科技期刊在網(wǎng)絡建設中面臨的網(wǎng)絡風險，分析了目前科技期刊主要存在的郵箱安全缺失、硬件缺少安全防護、采編系統(tǒng)存在漏洞、操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)版本過低、缺乏網(wǎng)絡管理制度、缺乏網(wǎng)絡安全意識和缺乏應急預案7種安全隱患，提出了科技期刊應該注重網(wǎng)絡安全制度建設、軟硬件及業(yè)務系統(tǒng)安全建設、期刊工作者安全教育、網(wǎng)絡安全應急預案和災后重建預案建設等，并給出了具體的實施策略，以期為科技期刊預防、應對網(wǎng)絡安全事件、降低網(wǎng)絡風險提供可行的辦法。

由于信息技術發(fā)展日新月異，本研究所提的具體措施可能已經(jīng)被更先進的技術和設備取代?？萍计诳诮ㄔO網(wǎng)絡化安全防護體系時，有必要采用先進前沿的技術和設備來構建，同時更新思維，緊跟時代的發(fā)展，力求建設出安全的防護體系，將網(wǎng)絡風險盡可能地降低。

科技期刊在網(wǎng)絡環(huán)境下的安全建設，是一個長期的過程。不要因采編平臺建設的完成而結束，也不能因安全建設的難度大，過程復雜而拒絕去實施。在可預見的將來，網(wǎng)絡中將不斷涌現(xiàn)新技術、新設備，形成新的風險和新的應對措施。科技期刊應正確認識到信息化進程所面臨風險的不斷變化，樹立重視網(wǎng)絡安全的意識，以嚴謹、積極的態(tài)度，建立合理長效的安全機制，加強網(wǎng)絡管理與安全教育，更新安全概念，利用科學的方法設立安全防護，在實施期刊信息化的同時注重信息安全，提前預防、妥善應對各種網(wǎng)絡安全事件，提升科技期刊在網(wǎng)絡環(huán)境下開展信息化建設的安全性。

[1] 魏玉山. 2015～2016中國數(shù)字出版產(chǎn)業(yè)年度報告[R]. 北京:中國新聞出版研究院,2016.

[2] 許昌淦. 期刊網(wǎng)絡化[J]. 中國科技期刊研究,2010,21(1):16-18.

[3] 陳月婷. 科技期刊網(wǎng)絡化內(nèi)涵分析[J]. 中國科技期刊研究,2005,16(5):609-613.

[4] 中國發(fā)展與改革委員會. 中華人民共和國國民經(jīng)濟和社會發(fā)展第十一個五年規(guī)劃綱要[EB/OL]. (2006-03-14)[2017-07-06]. http:∥www.gov.cn/gongbao/content/2006/content_268766.htm.

[5] 中國人大常委會. 第十二屆全國人大會第三次會議政府工作報告[EB/OL]. [2017-07-06]. http:∥he.people.com.cn/n/2015/0317/c192235-24177313.html.

[6] 戴正. “互聯(lián)網(wǎng)+學術期刊”模式的制定策略[J]. 西北民族大學學報(哲學社會科學版),2016(5):178-182.

[7] 黃建軍,王景周. 廣東省科技學術期刊網(wǎng)絡化現(xiàn)狀調(diào)查分析[J]. 暨南學報(哲學社會科學版),2010,32(3):263-269.

[8] 秦天. 網(wǎng)絡安全對期刊網(wǎng)絡化發(fā)展的影響[J]. 科技創(chuàng)業(yè)月刊,2014, 27(1):169-170.

[9] 徐楠楠,姚樹峰,徐敏. 編輯部工作郵箱被攻擊的防范及應對[J]. 科技與出版,2016(10):40-43.

[10] 安全大事件回顧:2016年網(wǎng)絡安全大事記[EB/OL]. [2017-07-06]. http:∥www.2cto.com/article/201612/579357.html.

[11] 360移動安全團隊. ANDROID勒索軟件研究報告[R/OL]. (2016-04-12)[2017- 07-06]. http:∥blogs.#/360mobile/2016/04/12/analysis_of_mobile_ransomware/.

[12] 黃瑤. WannaCry勒索病毒席卷全球,為什么學校和公安系統(tǒng)先中招?[EB/OL]. (2017-05-16)[2017-07-06]. http:∥36kr.com/p/5075074.html.

[13] 新一輪超強電腦病毒來襲 已有中國企業(yè)遭殃[EB/OL]. (2017-06-28)[2017-07-06]. https:∥www.yidianzixun.com/article/0GiDD07M?title_sn/0&s=9&appid=xiaomi&ver=3.9.8.0&utk=07woizny.

[14] 習近平:建設網(wǎng)絡強國要做好這兩件事[EB/OL]. (2016-09-23)[2017-07-06]. http:∥finance.ifeng.com/a/20160923/14900135_0.shtml.

[15] 中國人大常委會. 中華人民共和國網(wǎng)絡安全法[EB/OL]. (2016-11-07)[2017-07-06]. http:∥www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm.

[16] 方東權,楊巋. 校園網(wǎng)網(wǎng)絡安全與管理[J]. 網(wǎng)絡安全技術與應用,2005(3):51-52.

[17] 馬龍. 當前科技期刊失泄密風險及對策探討[J]. 編輯之友,2012(8):42-43.

[18] 胡曉莉,王春莉. 基于網(wǎng)絡環(huán)境下軍事期刊保密工作的分析[J]. 知識經(jīng)濟,2015(20):30.

[19] 李江濤,王高翔,孫陸青. 網(wǎng)絡環(huán)境下軍事學術期刊編輯工作保密隱患及對策[J]. 編輯學報,2008,20(2):138-139.

[20] 李秀紅,丁玉薇,盛寅斌. 網(wǎng)絡環(huán)境下科技期刊的保密工作[J]. 中國科技期刊研究,2011,22(1):110-112.

[21] 馬嵐,譚偉. 云計算在科技期刊編輯出版工作中的應用與安全問題[J]. 中國科技期刊研究,2013,24(1):130-133.

[22] 黃莉,費金龍. 科技期刊網(wǎng)絡化保密問題的思考和對策[J]. 中國科技期刊研究,2010,21(2):145-147.

[23] 沈昌祥,張煥國,馮登國,等. 信息安全綜述[J]. 中國科學,2007,37(2):129-150.

[24] 何榮利,許強. 我國科技期刊的學科分布及主辦單位的調(diào)查[J]. 中國科技期刊研究,2000,11(3):150-152.

[25] 張宏翔. 國外科技期刊經(jīng)營模式及對我國科技期刊經(jīng)營發(fā)展的思考[J]. 中國科技期刊研究,2007,18(5):729-732.

[26] 張怡煒,劉琪. 中文建筑科學類期刊網(wǎng)絡化、數(shù)字化及新媒體技術應用現(xiàn)狀分析[J]. 中國科技期刊研究,2016,27(11):1162-1168.

[27] 網(wǎng)絡安全體系建設分析[EB/OL]. [2017-07-06]. https:∥wenku.baidu.com/view/d066551af46527d3240ce0ff.html.

[28] 韓曉明. 計算機網(wǎng)絡安全體系建設的實例分析[J]. 電腦迷,2016(5):18.