南水北調(diào)中線工程計算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀及防范措施

趙化眾，劉芳浩，康 正

（1.億陽信通股份有限公司，北京100000；2.南水北調(diào)中線干線工程建設(shè)管理局天津分局，天津300000）

南水北調(diào)中線工程計算機(jī)信息系統(tǒng)主要分為應(yīng)用系統(tǒng)、應(yīng)用支撐平臺、數(shù)據(jù)存儲與管理系統(tǒng)、計算機(jī)網(wǎng)絡(luò)系統(tǒng)、通信系統(tǒng)、系統(tǒng)運行實體環(huán)境等部分。隨著計算機(jī)網(wǎng)絡(luò)技術(shù)在南水北調(diào)工程中的全面應(yīng)用，為了避免因網(wǎng)絡(luò)安全問題造成不利影響，需要對計算機(jī)網(wǎng)絡(luò)安全隱患進(jìn)行防范，以保障計算機(jī)信息系統(tǒng)的平穩(wěn)運行。

1 計算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀

南水北調(diào)中線干線工程計算機(jī)網(wǎng)絡(luò)系統(tǒng)分為控制專網(wǎng)、業(yè)務(wù)內(nèi)網(wǎng)、業(yè)務(wù)外網(wǎng)3張網(wǎng)絡(luò)，每張網(wǎng)絡(luò)承載不同業(yè)務(wù)系統(tǒng)，具有不同的網(wǎng)絡(luò)結(jié)構(gòu)及安全防護(hù)級別。網(wǎng)絡(luò)之間具有明顯的邊界，每張網(wǎng)絡(luò)又可以分為中線局、分局、管理處、現(xiàn)地站4層網(wǎng)絡(luò)結(jié)構(gòu)。

控制專網(wǎng)承載閘站遠(yuǎn)程監(jiān)控系統(tǒng)，閘站遠(yuǎn)程監(jiān)控系統(tǒng)是南水北調(diào)中線干線核心生產(chǎn)信息系統(tǒng)，負(fù)責(zé)各現(xiàn)地（閘）站設(shè)置各類數(shù)據(jù)、圖像、話音等數(shù)據(jù)的采集，并對閘站遠(yuǎn)程控制。

業(yè)務(wù)內(nèi)網(wǎng)主要承載工程防洪、安全監(jiān)測、水質(zhì)監(jiān)測信息、工程管理、視頻監(jiān)控等輔助型生產(chǎn)信息系統(tǒng)，以及綜合辦公、財務(wù)、視頻會議等辦公類信息系統(tǒng)。

業(yè)務(wù)外網(wǎng)主要負(fù)責(zé)互聯(lián)網(wǎng)訪問及應(yīng)用系統(tǒng)的對外應(yīng)用發(fā)布。

2 計算機(jī)網(wǎng)絡(luò)安全隱患

計算機(jī)網(wǎng)絡(luò)的主要作用是信息傳輸，在傳輸過程中面臨著很多安全隱患，主要分為技術(shù)方面和管理方面。

2.1 技術(shù)隱患

（1）規(guī)劃設(shè)計不合理。網(wǎng)絡(luò)系統(tǒng)的設(shè)計初期就應(yīng)該針對系統(tǒng)需要承載的業(yè)務(wù)系統(tǒng)、覆蓋范圍、訪問模式進(jìn)行相應(yīng)的安全設(shè)計，特別是像南水北調(diào)中線干線這種橫跨多個省份的大型網(wǎng)絡(luò)系統(tǒng)，需要對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行合理的規(guī)劃，設(shè)計網(wǎng)絡(luò)安全防范區(qū)域，并針對不同區(qū)域的安全風(fēng)險程度進(jìn)行安全防護(hù)方案的制定。網(wǎng)絡(luò)結(jié)構(gòu)的不合理將導(dǎo)致網(wǎng)路系統(tǒng)加大針對業(yè)務(wù)系統(tǒng)、地理區(qū)域進(jìn)行單獨的安全防范的難度，降低安全防范的效果。

（2）計算機(jī)病毒。計算機(jī)病毒是最常見的安全威脅，具有潛伏性、破壞性、繁殖性、傳染性、針對性、隱蔽性和可觸發(fā)性等特征。計算機(jī)病毒的危害主要通過病毒破壞或竊取主機(jī)、系統(tǒng)、數(shù)據(jù)等信息資產(chǎn)造成信息系統(tǒng)、生產(chǎn)系統(tǒng)的性能下降，功能喪失。

（3）網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊指借助計算機(jī)技術(shù)，主動的、有針對性的對計算機(jī)網(wǎng)絡(luò)系統(tǒng)、信息系統(tǒng)中的特定或非特定目標(biāo)進(jìn)行攻擊破壞、信息盜取。這是計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，網(wǎng)絡(luò)攻擊可對計算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。

2.2 管理隱患

（1）網(wǎng)絡(luò)配置不當(dāng)。網(wǎng)絡(luò)配置管理不當(dāng)會形成安全漏洞，使病毒、攻擊者可以通過安全漏洞使用網(wǎng)絡(luò)技術(shù)手段進(jìn)行攻擊、破壞。

（2）人為操作失誤。操作人員不嚴(yán)謹(jǐn)、不規(guī)范的操作方式可能會對系統(tǒng)造成嚴(yán)重的破壞，造成網(wǎng)絡(luò)中斷、系統(tǒng)崩潰、數(shù)據(jù)丟失等后果。

（3）管理制度的缺失。如果沒有網(wǎng)絡(luò)安全相關(guān)規(guī)章制度和管理規(guī)范，容易形成管理漏洞。例如缺乏認(rèn)證、授權(quán)機(jī)制，缺少對關(guān)鍵系統(tǒng)的防范措施，或者用戶安全意識不強(qiáng)、口令選擇不慎，將自己的賬號隨意轉(zhuǎn)借給他人或與別人分享等都會對網(wǎng)絡(luò)安全帶來威脅。

3 計算機(jī)網(wǎng)絡(luò)安全防護(hù)對策

3.1 技術(shù)層面防范措施

根據(jù)業(yè)務(wù)的重要性，南水北調(diào)中線工程干線網(wǎng)路系統(tǒng)劃分為3個子網(wǎng)絡(luò)，依據(jù)建設(shè)期網(wǎng)絡(luò)系統(tǒng)規(guī)劃，每張網(wǎng)承載不同的業(yè)務(wù)系統(tǒng)，每張網(wǎng)絡(luò)根據(jù)業(yè)務(wù)的重要性部署不同級別的安全防護(hù)策略。每張網(wǎng)絡(luò)內(nèi)部又劃分為總局、分局、管理處、現(xiàn)地站4個層次，并且劃分了服務(wù)器區(qū)、運維管理區(qū)等區(qū)域，各區(qū)域間有清晰的邊界，方便進(jìn)行防護(hù)。

3.1.1 網(wǎng)絡(luò)邊界的防范

（1）網(wǎng)絡(luò)間防護(hù)。業(yè)務(wù)內(nèi)網(wǎng)需要控制專網(wǎng)閘站監(jiān)控系統(tǒng)的數(shù)據(jù)，在控制專網(wǎng)、業(yè)務(wù)內(nèi)網(wǎng)之間部署了網(wǎng)閘設(shè)備，用于將業(yè)務(wù)需要的位于控制專網(wǎng)的數(shù)據(jù)擺渡到業(yè)務(wù)內(nèi)網(wǎng)。數(shù)據(jù)擺渡與數(shù)據(jù)傳輸有本質(zhì)上的區(qū)別，數(shù)據(jù)擺渡采用私有協(xié)議，控制專網(wǎng)、業(yè)務(wù)內(nèi)網(wǎng)的雙方并不知道對方的存在，也無法直接建立連接，數(shù)據(jù)只能從控制專網(wǎng)單方向擺渡到業(yè)務(wù)內(nèi)網(wǎng)，從而實現(xiàn)控制專網(wǎng)與業(yè)務(wù)內(nèi)網(wǎng)的隔離。

（2）分局間的防護(hù)。在各分局之間均部署了防火墻、入侵檢測設(shè)備用于區(qū)域防護(hù)，防火墻和入侵防御系統(tǒng)主要通過策略限制非法訪問，即使局部發(fā)生入侵，也能保證其他區(qū)域的安全。

（3）互聯(lián)網(wǎng)出口防護(hù)?；ヂ?lián)網(wǎng)出口安全風(fēng)險較大，是內(nèi)網(wǎng)網(wǎng)絡(luò)與外部的一個出口，互聯(lián)網(wǎng)出口應(yīng)該進(jìn)行重點防護(hù)，中線干線部署了防火墻、上網(wǎng)行為管理、入侵檢測、入侵防御、抗DDOS、病毒防火墻等多種防護(hù)設(shè)備。

（4）服務(wù)器區(qū)防護(hù)。服務(wù)器區(qū)部署防火墻、WAF等設(shè)備對關(guān)鍵系統(tǒng)進(jìn)行了安全防護(hù)，保證業(yè)務(wù)系統(tǒng)的安全。

3.1.2 重要業(yè)務(wù)系統(tǒng)的防范

針對重要的業(yè)務(wù)系統(tǒng)部署的WAF防火墻，能夠?qū)崟r監(jiān)控業(yè)務(wù)狀態(tài)，防止業(yè)務(wù)系統(tǒng)網(wǎng)站被非法篡改。部署防DDOS攻擊設(shè)備，防止來自互聯(lián)網(wǎng)的病毒對業(yè)務(wù)系統(tǒng)的DDOS攻擊而造成系統(tǒng)癱瘓。為保障網(wǎng)絡(luò)安全，南水北調(diào)中線工程做出如下防范措施。

（1）授權(quán)與認(rèn)證。中線干線控制專網(wǎng)承載著核心業(yè)務(wù)，控制專網(wǎng)部署了網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，接入控制專網(wǎng)的終端需要首先通過認(rèn)證，只有使用經(jīng)過授權(quán)的移動介質(zhì)才能接入專網(wǎng)，能夠有效避免信息泄漏或病毒導(dǎo)入。

（2）行為防范與審計?；ヂ?lián)網(wǎng)行為管理與審計：在互聯(lián)網(wǎng)出口部署上網(wǎng)行為管理系統(tǒng)，能夠通過該系統(tǒng)對用戶互聯(lián)網(wǎng)的行為進(jìn)行限制并審計。數(shù)據(jù)庫審計：部署了數(shù)據(jù)庫審計系統(tǒng)，能夠?qū)I(yè)務(wù)系統(tǒng)、操作人員的數(shù)據(jù)操作進(jìn)行審計。運維管理與審計：部署了運維管理與審計系統(tǒng)，可以對各級運維人員進(jìn)行授權(quán)，只有經(jīng)過認(rèn)證并具有授權(quán)的人員才能夠?qū)υO(shè)備進(jìn)行操作，運維人員通過堡壘主機(jī)進(jìn)行任何操作都會被記錄下來。

（3）漏洞防范。為保證信息安全，南水北調(diào)中線工程部署了漏洞掃描系統(tǒng)，對網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)進(jìn)行安全掃描，以便及時發(fā)現(xiàn)設(shè)備、系統(tǒng)存在的安全漏洞。部署了安全配置核查系統(tǒng)，對網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)進(jìn)行安全配置基線核查，以便及時發(fā)現(xiàn)設(shè)備、系統(tǒng)在安全配置上的缺陷。網(wǎng)絡(luò)安全人員會對掃描出的安全漏洞、缺陷及時進(jìn)行修復(fù)，保證設(shè)備、系統(tǒng)的安全。

（4）病毒防治。為防范病毒由互聯(lián)網(wǎng)進(jìn)入南水北調(diào)中線工程內(nèi)部網(wǎng)絡(luò)，南水北調(diào)中線干線在互聯(lián)網(wǎng)出口部署了防病毒網(wǎng)絡(luò)設(shè)備，對進(jìn)出互聯(lián)網(wǎng)的數(shù)據(jù)進(jìn)行病毒查殺，一旦通過分析發(fā)現(xiàn)數(shù)據(jù)與病毒特征一致，將阻斷數(shù)據(jù)傳輸，避免病毒數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)內(nèi)部。在網(wǎng)絡(luò)內(nèi)部各分局之間的邊界通過防火墻設(shè)備屏蔽部分已知病毒端口，例如勒索病毒445端口，避免內(nèi)網(wǎng)局部出現(xiàn)病毒后在全網(wǎng)擴(kuò)散造成病毒傳播。在所用用戶終端的電腦要求安全防護(hù)、病毒查殺軟件，防止病毒通過終端用戶電腦進(jìn)入網(wǎng)絡(luò)內(nèi)部。

（5）數(shù)據(jù)加密。南水北調(diào)中線工程針對核心生產(chǎn)系統(tǒng)-閘站監(jiān)控系統(tǒng)建設(shè)了數(shù)據(jù)傳輸加密防護(hù)，實現(xiàn)控制專網(wǎng)由系統(tǒng)服務(wù)器至前端現(xiàn)地（閘）站之間的網(wǎng)絡(luò)數(shù)據(jù)以加密的方式進(jìn)行傳輸，保證數(shù)據(jù)無法被非法篡改，即使數(shù)據(jù)被截獲也無法識別，實現(xiàn)傳輸數(shù)據(jù)的安全可靠。

3.2 管理層面防范措施

（1）建設(shè)網(wǎng)絡(luò)安全管理體系。頒布一系列網(wǎng)絡(luò)安全管理辦法，涵蓋信息安全管理制度、信息安全管理機(jī)構(gòu)、系統(tǒng)建設(shè)信息安全管理、運行維護(hù)信息安全管理等方面。

（2）提高網(wǎng)絡(luò)安全人員業(yè)務(wù)水平。提高網(wǎng)絡(luò)管理人員的業(yè)務(wù)素質(zhì)是一個重要的任務(wù)，為網(wǎng)絡(luò)安全管理人員和操作人員提供安全技術(shù)培訓(xùn)知識，加強(qiáng)業(yè)務(wù)技術(shù)培訓(xùn)，提高技能，注重網(wǎng)絡(luò)系統(tǒng)的安全管理，防止破壞網(wǎng)絡(luò)安全事故的發(fā)生。

（3）提升網(wǎng)絡(luò)安全意識。開展網(wǎng)絡(luò)安全教育，學(xué)習(xí)網(wǎng)絡(luò)安全法和安全常識，提升全員網(wǎng)絡(luò)安全意識，提高員工的責(zé)任感，提升網(wǎng)絡(luò)安全防范能力。

4 結(jié)語

南水北調(diào)中線計算機(jī)信息系統(tǒng)的安全管理是一個全方位、多層次的問題，是一個不斷需要完善和提升的過程，是一個與計算機(jī)病毒、網(wǎng)絡(luò)攻擊作斗爭，人員安全意識持續(xù)提升的過程。網(wǎng)絡(luò)的安全不能一勞永逸地單靠技術(shù)手段解決，沒有任何一種技術(shù)可以保證網(wǎng)絡(luò)絕對安全。因此，筆者認(rèn)為，要做好內(nèi)部網(wǎng)絡(luò)安全工作，不僅需要過硬的技術(shù)手段、周密的安全策略，更需要不斷提高系統(tǒng)管理人員和使用人員的安全意識。上述是筆者多年從事計算機(jī)信息系統(tǒng)管理得出的經(jīng)驗總結(jié)，結(jié)合南水北調(diào)中線建管局網(wǎng)絡(luò)安全管理項目的心得體會，希望可以為其他類似工程的網(wǎng)絡(luò)安全建設(shè)提供一些思路。