淺談水文信息傳輸網(wǎng)絡(luò)的安全管理

【摘 要】隨著水文現(xiàn)代化、信息化進(jìn)程的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)之間水文數(shù)據(jù)傳輸量的急劇增長(zhǎng)，網(wǎng)絡(luò)的安全管理已成為重要的問題。本文主要論述水文信息傳輸過程中網(wǎng)絡(luò)安全問題的重要性，威脅水文信息傳輸網(wǎng)絡(luò)安全的主要因素，并通過對(duì)水文信息傳輸網(wǎng)絡(luò)系統(tǒng)所存在的安全問題分析，指出水文信息傳輸過程中網(wǎng)絡(luò)安全措施應(yīng)包括的重要內(nèi)容。

【關(guān)鍵詞】水文信息傳輸；網(wǎng)絡(luò)；安全管理；措施

On the safety management of the hydrological information transmission network

Tang Wen-xue

(Jiangsu Province Hydrology and Water Resources Survey Bureau of Xuzhou Branch Xuzhou Jiangsu 221300)

【Abstract】With the rapid development of the hydrological process of modernization， information technology， the wide range of computer network use and network of hydrological data transmission between the amount of the rapid growth of network security management has become an important issue. This paper mainly discusses the importance of hydrological information transmission network security issues， hydrological information transmission network security threats， and through the security problem of hydrological information transmission network system analysis， pointed out that the hydrological information transmission network security measures should be including the important content.

【Key words】Hydrological information transfer;Network;Safety management;Measures

1. 引言

計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為當(dāng)前社會(huì)發(fā)展的重要推動(dòng)力。社會(huì)經(jīng)濟(jì)發(fā)展、國(guó)防信息建設(shè)以及與人們息息相關(guān)的各行各業(yè)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴程度都不斷增大。計(jì)算機(jī)網(wǎng)絡(luò)給人們帶來便利的同時(shí)，也帶來了保證信息安全的重大挑戰(zhàn)。如何使信息不受黑客的入侵，如何保證計(jì)算機(jī)網(wǎng)絡(luò)不間斷地工作并提供正常的服務(wù)，是各個(gè)組織信息化建設(shè)必須考慮的重要問題。水文信息傳輸網(wǎng)絡(luò)安全的目標(biāo)是全方位地防范各種威脅以確保水文信息在網(wǎng)絡(luò)傳輸過程中的保密性、安全性和可用性。

2. 加強(qiáng)水文信息傳輸網(wǎng)絡(luò)安全管理的重要性

水文信息傳輸?shù)膬?nèi)容主要包括:河湖水位、流量、含沙量、輸沙率的傳輸，降水量、蒸發(fā)量、土壤墑情的傳輸，閘壩水情的傳輸?shù)取Ｋ男畔⑼ㄟ^網(wǎng)絡(luò)的傳輸達(dá)到了迅速、快捷和時(shí)效，各級(jí)水行政主管部門通過對(duì)水文信息的及時(shí)獲得，對(duì)防汛抗旱、水資源合理調(diào)度和開發(fā)利用進(jìn)行準(zhǔn)確決策。隨著計(jì)算機(jī)網(wǎng)絡(luò)在水文信息傳輸過程中的廣泛使用和網(wǎng)絡(luò)之間水文信息傳輸量的急劇增長(zhǎng)，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞，或被刪除或被復(fù)制，數(shù)據(jù)的安全性和保密性受到了嚴(yán)重的威脅。水文信息化事業(yè)能否順利發(fā)展，一個(gè)比較關(guān)鍵的因素便是網(wǎng)絡(luò)、信息的安全問題，這已成為制約網(wǎng)絡(luò)發(fā)展的首要因素。所以，重視和加快水文信息傳輸網(wǎng)絡(luò)安全問題的研究和技術(shù)開發(fā)具有重要意義。目前大多數(shù)的攻擊者只是惡作劇的使用撰改主頁(yè)面，拒絕服務(wù)等攻擊，一旦他們的技術(shù)到達(dá)某個(gè)層次攻擊者可以竊聽網(wǎng)絡(luò)上的信息，竊取用戶的口令、數(shù)據(jù)庫(kù)的信息；還可以篡改數(shù)據(jù)庫(kù)內(nèi)容，偽造用戶身份，否認(rèn)自己的簽名。更有甚者。攻擊者可以刪除數(shù)據(jù)庫(kù)內(nèi)容，摧毀網(wǎng)絡(luò)節(jié)點(diǎn)，釋放計(jì)算機(jī)病毒等，對(duì)水文信息傳輸?shù)臏?zhǔn)確性、及時(shí)性造成極大的威脅。

3. 威脅水文信息傳輸網(wǎng)絡(luò)安全的主要因素

在水文信息傳輸網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)的特性決定了不可能無條件、無限制地提高其安全性能。互聯(lián)網(wǎng)具有的不安全性、操作系統(tǒng)存在的安全問題，數(shù)據(jù)、傳輸線路、網(wǎng)絡(luò)管理的安全問題等都是網(wǎng)絡(luò)不安全的主要因素。總的來看威脅水文信息傳輸網(wǎng)絡(luò)安全的因素主要有非法入侵、病毒的侵襲及對(duì)網(wǎng)絡(luò)安全問題的認(rèn)識(shí)不足等。

3.1 非法入侵。

非法入侵攻擊的方式是多樣的，首先、以各種方式有選擇地破壞信息的有效性和完整性，導(dǎo)致數(shù)據(jù)的丟失和泄密，系統(tǒng)資源的非法占有等；其次，在不影響網(wǎng)絡(luò)正常工作的情況下截獲、竊取、破譯以獲得重要機(jī)密信息；再次，拒絕服務(wù)攻擊，此種攻擊非法占用系統(tǒng)資源，導(dǎo)致系統(tǒng)服務(wù)停止崩潰，“蠕蟲”病毒就是拒絕服務(wù)攻擊的一個(gè)典型：常見的拒絕服務(wù)攻擊還包括各種電子郵件炸彈。這些攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄露。

3.2 病毒的侵襲。

計(jì)算機(jī)病毒是一種具有自我復(fù)制能力的一類攻擊性程序，它隱藏在計(jì)算機(jī)系統(tǒng)軟件程序和數(shù)據(jù)資源中，利用系統(tǒng)的軟件程序和數(shù)據(jù)資源進(jìn)行繁殖并生存，并通過系統(tǒng)軟件程序的運(yùn)行和數(shù)據(jù)共享的途徑進(jìn)行傳染。計(jì)算機(jī)病毒會(huì)影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行，破壞數(shù)據(jù)的正確與完整。尤其在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒的傳播速度更快，破壞范圍更廣。它會(huì)導(dǎo)致網(wǎng)絡(luò)效率急劇下降，系統(tǒng)資源嚴(yán)重破壞，甚至有可能造成整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱壞，如：CIH病毒和“Iloveyou”等病毒所造成的破壞都說明了在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力。

3.3 用戶對(duì)網(wǎng)絡(luò)安全問題的認(rèn)識(shí)不足。

一方面，用戶通常將水文信息傳輸網(wǎng)絡(luò)系統(tǒng)作為一個(gè)純粹的技術(shù)或工程來實(shí)施，缺乏統(tǒng)一的安全管理策略和專門的網(wǎng)絡(luò)安全管理人員。水文信息傳輸網(wǎng)絡(luò)系統(tǒng)的安全環(huán)境是非常復(fù)雜并且不斷變化的，很少有人去研究網(wǎng)絡(luò)安全狀態(tài)的發(fā)展變化、網(wǎng)絡(luò)入侵手段、系統(tǒng)安全防范措施和安全策略。甚至更少有時(shí)間去監(jiān)控水文信息網(wǎng)絡(luò)的實(shí)際活動(dòng)狀態(tài)、入侵跡象或系統(tǒng)的錯(cuò)誤使用等，這就導(dǎo)致了水文信息傳輸網(wǎng)絡(luò)系統(tǒng)實(shí)際安全狀態(tài)和預(yù)期標(biāo)準(zhǔn)之間的差距較大。另一方面用戶也只側(cè)重于水文信息傳輸各類應(yīng)用軟件的操作，只期望方便、快捷、高效地使用網(wǎng)絡(luò)，最大限度地獲取有效的信息資源，而很少考慮其實(shí)際存在的風(fēng)險(xiǎn)和低效率，很少學(xué)習(xí)密碼保管、密碼設(shè)置、信息保密的必備知識(shí)以及防止破壞系統(tǒng)和篡改數(shù)據(jù)的有關(guān)技術(shù)。

4. 水文信息傳輸網(wǎng)絡(luò)安全威脅的發(fā)展趨勢(shì)

病毒技術(shù)和黑客技術(shù)的結(jié)合對(duì)水文信息傳輸網(wǎng)絡(luò)安全造成更大的威脅。從發(fā)展趨勢(shì)來看，現(xiàn)在的病毒已經(jīng)由從前的單一傳播、單種行為，變成依賴互聯(lián)網(wǎng)傳播，具有電子郵件、文件傳染等多種傳播方式，融黑客、木馬等各種攻擊手段于一身的廣義的“新病毒”。

今后惡意代碼、網(wǎng)絡(luò)安全威脅和攻擊機(jī)制的發(fā)展將主要具備以下等特點(diǎn)：

（1）與互聯(lián)網(wǎng)更加緊密的結(jié)合，利用一切可以利用的方式（如郵件、局域網(wǎng)、遠(yuǎn)程管理等）進(jìn)行傳播。

（2）所有病毒都具有混合型特征，集文件傳播、蠕蟲、木馬、黑客程序的特點(diǎn)于一體，破壞性大大增強(qiáng)。

（3）擴(kuò)散極快，而且更加具有欺騙性。

（4）利用系統(tǒng)漏洞將成為病毒有力的傳播方式。

（5）無限網(wǎng)絡(luò)技術(shù)的發(fā)展使遠(yuǎn)程網(wǎng)絡(luò)攻擊的可能性增發(fā)。

（6）各種境外情報(bào)、諜報(bào)人員將越來越多地通過信息網(wǎng)絡(luò)渠道搜集情報(bào)和竊取資料。

（7）各種病毒、蠕蟲和后門的技術(shù)越來越智能化，并呈現(xiàn)整和趨勢(shì)和形成混合型威脅。

（8）各種攻擊技術(shù)的隱秘性增強(qiáng)，常規(guī)手段不能識(shí)別。

（9）分布式計(jì)算技術(shù)用于攻擊的趨勢(shì)增強(qiáng)，威脅高密度密碼的安全性。

（10）一些政府部門的超級(jí)計(jì)算機(jī)資源將成為攻擊者利用的跳板。

5. 水文信息傳輸網(wǎng)絡(luò)安全措施的重要內(nèi)容

針對(duì)威脅水文信息傳輸網(wǎng)絡(luò)安全的諸多因素，我們必須設(shè)立完整的安全措施。完整的網(wǎng)絡(luò)安全措施應(yīng)包括以下幾個(gè)方面的重要內(nèi)容：

5.1 網(wǎng)絡(luò)方面。

網(wǎng)絡(luò)方面的安全控制包括：什么人對(duì)什么水文信息內(nèi)容具有訪問權(quán)；查明任何非法訪問或偶然訪問的入侵者；保證只有授權(quán)許可的通信才可以在客戶機(jī)和服務(wù)器之間建立連接；以及傳輸當(dāng)中的數(shù)據(jù)不能被讀取和改變。這些就是通常所說的防火墻和虛擬專用網(wǎng)。

“防火墻”是一個(gè)或一組系統(tǒng)，它在兩個(gè)網(wǎng)絡(luò)之間完成訪問控制任務(wù)。它的主要作用是有效地收集和記錄互聯(lián)網(wǎng)上的活動(dòng)和網(wǎng)絡(luò)誤用情況；有效隔離網(wǎng)絡(luò)中的多個(gè)網(wǎng)段，防止一個(gè)網(wǎng)段的問題傳播到另外網(wǎng)段；有效地過濾、篩選、和屏蔽有害的信息和服務(wù)；能執(zhí)行和強(qiáng)化網(wǎng)絡(luò)的安全策落。但必須注意到，防火墻也有自身的缺點(diǎn)，它是一種被動(dòng)防御，對(duì)于不通過防火墻的攻擊它就顯得無能為力。

5.2 系統(tǒng)方面。

操作系統(tǒng)是計(jì)算機(jī)資源的直接管理者，它和硬件打交道并為用戶提供接口，是計(jì)算機(jī)軟件的基礎(chǔ)和核心。網(wǎng)絡(luò)的安全性很大程度上依賴于網(wǎng)絡(luò)操作系統(tǒng)的安全性。系統(tǒng)的安全防護(hù)就是保證整個(gè)系統(tǒng)不受外來的入侵，以免受到損失。目前，常見的操作系統(tǒng)主要有Windows、Netware、Unix、Linux等幾大家族，幾乎所有的操作系統(tǒng)都不是十全十美的，總存在安全漏洞，這些系統(tǒng)各自的安全問題隨著不同的版本層出不窮。在水文信息傳輸過程中WindowsNT系統(tǒng)使用較廣泛，但WindowsNT對(duì)較大的ICMP包是很脆弱的，但人們普遍認(rèn)為WindowsNT的安全性不如Unix，事實(shí)上這要取決于管理員的水平，要使WindowsNT也能在復(fù)雜的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)安全服務(wù)，管理員對(duì)WindowsNT的功能設(shè)置應(yīng)遵循以下幾點(diǎn)原則：

（1）系統(tǒng)的管理員帳號(hào)改名。

對(duì)于試圖猜測(cè)口令的用戶，可以設(shè)置一定次數(shù)的口令輸入錯(cuò)誤忽略，如三次輸入錯(cuò)誤日令便禁止再次嘗試。但若想探知管理員Administrator的口令，則不能設(shè)置此項(xiàng)功能。為此，將Administrator這個(gè)管理員登錄帳號(hào)該為其他，如該為以Controller登錄，這就相當(dāng)于加了雙保險(xiǎn)，相對(duì)安全多了。

（2）采用NTFS（NTFileSystem）。

NTFS可對(duì)文件和目錄使用存取控制表（ACL），它可以管理共享目錄的合理使用，當(dāng)共享級(jí)權(quán)限為“只讀”時(shí)，某分區(qū)所有的權(quán)限也將是只讀。而FAT（文件分配表）則只能管理共享級(jí)的安全。值得注意的是，NTFS對(duì)文件的合理分區(qū)是很重要的。對(duì)于NTFS，如果權(quán)限沒有設(shè)定好的話，會(huì)造成嚴(yán)重的漏洞，比如，一臺(tái)提供虛擬主機(jī)服務(wù)的Web，如果權(quán)限沒有設(shè)定好，用戶可以輕而易舉地篡改刪除機(jī)器上的任何文件，甚至讓W(xué)indowsNT崩潰。所以管理員應(yīng)當(dāng)對(duì)文件權(quán)限的設(shè)定嚴(yán)格劃分，如將Web目錄建立在NTFS分區(qū)上，非Web目錄建立在NTFS分區(qū)上，非Web目錄不要使用everyonefullcontrol，而應(yīng)使用Administratorfullcontrol。

（3）打開審計(jì)系統(tǒng)。

打開審計(jì)系統(tǒng)，這樣可以知道WindowsNT環(huán)境中的安全性是否被攻擊。激活該系統(tǒng)的方法是：選擇“域用戶管理器”中“規(guī)則”菜單中的“審核”命令，設(shè)置相應(yīng)的功能收集有用信息。

系統(tǒng)方面的安全控制包括：誰(shuí)能訪問服務(wù)器或訪問者可以干些什么；防止病毒和特洛伊木馬的侵入；檢測(cè)有意或偶然闖入系統(tǒng)的不速之客；進(jìn)行風(fēng)險(xiǎn)評(píng)估，查系統(tǒng)安全配置的缺陷，發(fā)現(xiàn)安全漏洞；進(jìn)行政策審計(jì)。這些就是防病毒產(chǎn)品、入侵檢測(cè)工具和評(píng)估審計(jì)工具的功能。

5.3 用戶方面。

用戶方面的安全主要通過管理用戶帳號(hào)實(shí)現(xiàn)，在用戶獲得訪問特權(quán)時(shí)設(shè)置用戶功能或在他們的訪問特權(quán)不在有效時(shí)限制用戶帳號(hào)是該級(jí)安全控制的關(guān)鍵。這項(xiàng)工作主要依靠管理員來完成，而借助于專業(yè)的評(píng)估審計(jì)工具將會(huì)使管理員更加有的放矢。

審計(jì)工具使信息系統(tǒng)自動(dòng)記錄下網(wǎng)絡(luò)中機(jī)器的使用時(shí)間、敏感操作和違紀(jì)操作等。審計(jì)類似于飛機(jī)上的“黑匣子”，它為系統(tǒng)進(jìn)行事故原因查詢、定位、事故發(fā)生前的預(yù)測(cè)、報(bào)警以及為事故發(fā)生后的時(shí)時(shí)處理提供詳細(xì)可靠的依據(jù)或支持。審計(jì)對(duì)用戶的正常操作也有記載，因?yàn)橥行罢！辈僮鳎ㄈ缧薷臄?shù)據(jù)等）恰恰是攻擊系統(tǒng)的非法操作。

5.4 應(yīng)用方面。

基于HTTP、FTP、Telnet、Wais、Mailto、SMTP、POP3等協(xié)議的各種應(yīng)用是大家相當(dāng)熟悉的。這些應(yīng)用的協(xié)議本身存在著這樣或那樣的安全問題，具體到某一種協(xié)議的應(yīng)用各不相同。因此由于應(yīng)用方面的安全弱點(diǎn)導(dǎo)致的各種網(wǎng)絡(luò)攻擊令人防不勝防。例如：HTTP是TCP應(yīng)用層的協(xié)議，低層TCP的安全與否直接影響HTTP的安全；在HTTP協(xié)議方面，攻擊著可以利用它的脆弱性進(jìn)行攻擊，如CGI程序、E－mail攻擊，HTML中的隱含F(xiàn)ormat域。

數(shù)據(jù)訪問控制工具允許用戶對(duì)其常用的信息庫(kù)進(jìn)行適當(dāng)權(quán)利的訪問，限制隨意刪除、修改或拷貝信息文件。訪問控制技術(shù)還可以使系統(tǒng)管理員跟蹤用戶在網(wǎng)絡(luò)中的活動(dòng)，及時(shí)發(fā)現(xiàn)并拒絕“黑客”的入侵。訪問控制采用最小特權(quán)原則：即在給用戶分配權(quán)限時(shí)，根據(jù)每個(gè)用戶的任務(wù)特點(diǎn)使其獲得完成自身任務(wù)的最低權(quán)限，不給用戶賦予其工作范圍內(nèi)之外的任何權(quán)利。

5.5 數(shù)據(jù)方面。

對(duì)于水文信息傳輸網(wǎng)絡(luò)來說，數(shù)據(jù)的安全最為重要，保證數(shù)據(jù)的安全是網(wǎng)絡(luò)安全的核心。由于TCP／IP自身的性質(zhì)決定了其上各種應(yīng)用的數(shù)據(jù)在傳輸?shù)倪^程中都是在不可信的通道中以文明的形式進(jìn)行，就導(dǎo)致數(shù)據(jù)在傳輸過程中存在極大的安全風(fēng)險(xiǎn)，別有用心的攻擊者可以監(jiān)聽網(wǎng)絡(luò)傳輸中的文明數(shù)據(jù)，甚至對(duì)其進(jìn)行修改和破壞。數(shù)據(jù)級(jí)的安全主要是指保持?jǐn)?shù)據(jù)的保密性和完整性，這需要借助于專業(yè)的數(shù)據(jù)加密工具加：SHTTP，SHEN，SSL。除了使用專業(yè)的數(shù)據(jù)加密工具，加強(qiáng)日常工作中的數(shù)據(jù)防護(hù)非常重要，如：（1）做好數(shù)據(jù)備份。如今服務(wù)器功能越來越大，集中的數(shù)據(jù)處理越來越多，數(shù)據(jù)備份必不可少；計(jì)算機(jī)硬件系統(tǒng)應(yīng)有穩(wěn)定可靠的電源，能夠預(yù)測(cè)故障、保證數(shù)據(jù)的完整性和數(shù)據(jù)恢復(fù)。一旦遭到破壞，能利用備用計(jì)算機(jī)繼續(xù)正常運(yùn)行。

（2）內(nèi)部管理上制定合理的安全檢查規(guī)范。明確每位工作人員的權(quán)限，杜絕誤操作和惡意破壞引起的嚴(yán)重后果。

6. 結(jié)論

我們生活在一個(gè)網(wǎng)絡(luò)時(shí)代，網(wǎng)絡(luò)對(duì)社會(huì)的影響越來越大，與我們的生活越來越不可分，網(wǎng)絡(luò)經(jīng)濟(jì)激發(fā)了人類歷史上最活躍的生產(chǎn)力，但同時(shí)也使網(wǎng)絡(luò)的安全問題日漸突出而且情況也越來越復(fù)雜。水文現(xiàn)代化、水文信息化、“大水文”各項(xiàng)的建設(shè)離不開網(wǎng)絡(luò)的安全。加強(qiáng)水文信息傳輸網(wǎng)絡(luò)安全的管理問題已經(jīng)威脅到國(guó)家的政治、經(jīng)濟(jì)、軍事等各個(gè)領(lǐng)域，網(wǎng)絡(luò)時(shí)代急切呼喚安全。新的攻擊手段和方法層出不窮，使網(wǎng)絡(luò)安全工作顯得更加艱巨，網(wǎng)絡(luò)安全各個(gè)方面的安全風(fēng)險(xiǎn)是交叉重疊的，網(wǎng)絡(luò)安全作為一個(gè)復(fù)雜的工程，需要我們進(jìn)一步深入地學(xué)習(xí)并要認(rèn)真加以研究，否則就無法保證計(jì)算機(jī)網(wǎng)絡(luò)為水文信息化、水文現(xiàn)代化、“大水文”建設(shè)提供更好的服務(wù)。

參考文獻(xiàn)

［1］ 陳紅松，網(wǎng)絡(luò)安全與管理 清華大學(xué)出版社·北京交通大學(xué)出版社，2010.

［2］ 滿昌勇，計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 清華大學(xué)出版社，2010.