水利部海委漳衛南局網絡安全防護體系建設初探

摘 要:水利部海委漳衛南局積極踐行可持續發展治水思路，以信息化促進水利現代化。通過重點項目的建設，以項目帶動信息化、以信息化提供水管理，在信息化基礎設施、業務應用系統和行業管理等方面取得較大進展。各項水利防汛應用系統相繼建成并投入使用，在流域水利管理中發揮著越來越重要的作用。目前全局網絡終端用戶已超過500戶，而僅有連通功能的網絡是無法滿足日益增長的需要的，針對網絡用戶在安全方面存在的漏洞和隱患，利用簡單的技術防范措施已無法解決。必須調整網絡整體結構，采用先進可靠的防病毒技術和有效的網絡管理，形成保證網絡和信息安全的全方位的網絡安全防護體系。

關鍵詞:網絡安全 安全防護 體系

中圖分類號:F426.91文獻標識碼:A文章編號:1674-098X(2011)12(b)-0101-01

1 威脅分析

由于防汛內部網絡連接互聯網，網絡的使用者既有來自互聯網的用戶，也包括來自內部的員工，因此內部網絡面臨來自內、外兩個方面的安全威脅:

1.1 外部威脅

①黑客掃描和滲透攻擊

Internet網絡中的惡意入侵者可能因為政治、商業目的或隨機目的對企業網絡發起惡意掃描和滲透式入侵，通過滲透或繞過防火墻，進入企業網絡，獲取、篡改甚至破壞敏感的數據，乃至破壞正常業務。

②病毒或蠕蟲侵襲

Internet網絡上大量肆虐的網絡蠕蟲病毒具備滲透防火墻的傳播能力，他們可以穿透防火墻進入防汛網絡;一旦遭受了病毒和蠕蟲的侵襲，不僅會造成網絡和系統處理性能的下降，同時也會對核心敏感數據造成嚴重的威脅，甚至造成網絡擁塞，導致業務的中斷。

③DDoS/DoS攻擊

DDoS攻擊出現在10年前，是一種技術含量不高，單攻擊效果顯著的攻擊。由于近些年僵尸網絡的發展，DDoS攻擊重新成為惡意入侵者的新寵，直接威脅網絡的可用性。

1.2 內部威脅

①無意識的外部風險引入

內部網絡中，由于安全技能和安全意識存在差異，員工可能通過訪問掛馬網站、下載包含病毒的惡意程序，從而無意識的通過互聯網絡將Internet上危險的、惡意的木馬程序和惡意代碼下載到內部網絡執行，甚至將Internet上的蠕蟲、網絡病毒傳播進入內部網絡，這將對防汛網絡的安全帶來嚴重威脅。

③網絡資源濫用導致新風險

員工因為各種IM即時通訊軟件、網絡在線游戲、P2P下載軟件、在線視頻、瀏覽工作無關網站導致網絡資源濫用、網絡性能下降，嚴重影響正常工作，形成新的威脅。

④網絡應用導致合規性問題

2 建設網絡安全防護體系

對于漳衛南局自身特點，合理運用網絡安全技術，建立適應性的安全運行機制。從技術上最大限度的保證信息安全。

2.1 網絡安全關鍵技術

由防火墻、入侵檢測系統、路由器、網絡交換機等硬件構成了網絡防護體系的硬件系統。由PKI公鑰安全體系、網絡防病毒系統、網絡管理監控系統、漏洞掃描系統、等構成網絡防護體系的軟件系統。

2.2 網絡安全防護體系各部分的功能與作用

2.2.1 防火墻

防火墻是內部網絡安全的第一道屏障，一個安全、可靠、穩定的防火墻能極大限度的提高一個內部網絡的安全性。防火墻可以過濾不安全的服務和限制不安全的用戶進入網絡，同時可以利用安全策略機制更好的保護內部網絡。

2.2.2 IDS(入侵檢測系統)

入侵檢測系統是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它監測內部網絡上的包，撲捉危險或惡意的動作。它有用戶定義的規則運行，對指定的端口進行監測、掃描等。它能識別內部網絡的的攻擊，當發現有可疑的用戶行為發生時，立即保持跟蹤并監測、記錄該用戶的行為。

2.2.3 路由器

路由器是一種連接多個網絡的網絡設備。它將不同的網絡或網段的連通，從而構成一個更大的網絡。在漳衛南局網絡中，局機關網絡與下屬局網絡之間就是通過路由器連接的。因此在路由器上應制定必要的過濾規則，濾掉被屏蔽的IP地址和有安全隱患的服務。

2.2.4 網絡交換機

目前，漳衛南局各子網絡采用的是以交換機為中心，以路由器為邊界的網絡格局。在各子網絡中都有一臺核心交換機，其最關鍵的工作是訪問控制功能和三層交換功能。訪問控制對于交換機就是利用訪問控制列表ACL來實現用戶對數據包按照源和目的地址、協議、源和目的端口等各項的不同要求進行篩選和過濾。還有一項非常關鍵的工作就是劃分VLAN。

2.2.5 PKI公鑰安全體系

利用PKI(公鑰安全體系)實現對應用系統的安全保護:

①數字簽名與認證。應用系統須利用CA(認證中心)提供的數字證書進行應用級的身份認證，對文件和數據進行數字簽名和認證，保證文件和數據的完整性。

②數據加密。對重要的數據進行加密存儲。

2.2.6 漏洞掃描系統。

在內部網中建立操作系統漏洞管理服務器，對網絡內所有聯網主機的操作系統進行監控，一旦發現存在系統漏洞或者安全隱患，立即強制其安裝相應的系統補丁或者組件。

2.2.7 網絡防病毒系統

建立網絡病毒網關與網絡版的查殺病毒軟件(趨勢網絡防毒墻)相結合，建立局域網防病毒控制系統，分別設置有針對性的防病毒策略。從局機關到下屬單位，由上到下，各個局域網的防病毒系統相結合，最終形成一個立體的、完整的企業網病毒防護體系，有效地控制病毒的傳播，保證網絡的安全穩定。

2.2.8 網絡管理系統

采用網強公司的綜合網絡管理系統進行網絡流量狀況的檢測，保證網絡能夠有效、平穩、安全地運行。并通過對網絡設備流量數據的采集和分析，向維護部門提供相應的運行數據。網絡管理員可以通過網管系統對網絡上的數據流量進行統計，對傳輸質量進行監控分析，評估網絡性能，并對性能進行調試和負載平衡。

3 計算機網絡安全管理

在汛期，漳衛南局每天都有大量的實時水雨情和工情等信息通過防汛水利計算機網絡傳輸和發布，因此計算機網絡安全的重要性不言而喻。有效的技術手段只是網絡安全的基礎工作，但僅靠網絡安全技術是絕對無法確保信息安全的。嚴格的計算機網絡安全管理制度，才能充分發揮網絡安全技術的效能，才能使網絡信息更加安全可靠。

4 結語

創建適合漳衛南局的網絡安全防護體系，將是實現漳衛南局信息化建設的有力保障。但建立水利信息安全體系是一個復雜而又龐大的系統工程，涉及的問題也比較多。只有繼續對計算機網絡安全體系進行深入的研究和探討，才能更好的實現網絡安全，保證水利信息化建設的正常進行。