海事信息網(wǎng)絡(luò)安全防護策略的思考與實踐

叢毅

交通運輸部南海航海保障中心廣州航標處 廣東廣州 510320

1 信息安全的重要性

建設(shè)安全高效網(wǎng)絡(luò)信息系統(tǒng)，利用先進信息通信手段進行海事監(jiān)管，履行國際公約，提升海事業(yè)務(wù)服務(wù)質(zhì)量是“中國海事發(fā)展的重要內(nèi)容之一。近幾年來，隨著國家對海事發(fā)展不斷投入，海事網(wǎng)絡(luò)信息系統(tǒng)建設(shè)有了很大的進步，經(jīng)過海事人的不斷努力，海事管理網(wǎng)絡(luò)信息系統(tǒng)平臺已成為世界上幾個少數(shù)具有影響力的海洋管理信息發(fā)布與信息處理平臺之一，并在國際交流與合作領(lǐng)域發(fā)揮著重要作用，這也是我國國際威信和監(jiān)管能力越來越高的具體標志[1]。但是國際形勢變幻莫測，單邊主義、霸權(quán)主義和恐怖主義依然存在，嚴重影響了人類的和平進步與發(fā)展（如日本對我釣魚島侵犯、我南海諸島受到的挑戰(zhàn)），一旦機密信息被泄密、竊取、盜用、惡意篡改，將給國家?guī)頍o法估量的危害。因此我們必須時刻提高警惕，要站在謀求國家發(fā)展，維護世界和平的戰(zhàn)略高度，以民族復興的強烈責任感，在努力推進海事網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的同時，必須進一步加強信息安全工作，保證先進有效的海洋監(jiān)管能力，維護國家海洋權(quán)益和主權(quán)。

2 海事信息網(wǎng)絡(luò)安全的影響因素

隨著各業(yè)務(wù)信息化程度的提升，海事信息網(wǎng)絡(luò)已經(jīng)成為海事監(jiān)管與水上交通信息共享等業(yè)務(wù)的基礎(chǔ)平臺。各種信息資源在這里得到了有效集成共享。近年來，網(wǎng)絡(luò)入侵事件日益嚴重，對海事信息網(wǎng)絡(luò)的安全性產(chǎn)生了極大的威脅。結(jié)合工作中遇到的實際情況，影響其網(wǎng)絡(luò)安全的因素主要可以歸納為以下幾方面：

（1）松耦合的分布式網(wǎng)絡(luò)結(jié)構(gòu)帶來的安全隱患。海事信息網(wǎng)絡(luò)由各個分布在不同業(yè)務(wù)單位的網(wǎng)絡(luò)級聯(lián)而成，網(wǎng)絡(luò)連接的多樣性以及地域上的不均勻分布，使其易受黑客、惡意軟件和其它形式的攻擊。

（2）操作系統(tǒng)、軟件及硬件存在安全漏洞和缺陷。隨著網(wǎng)絡(luò)運行的軟硬件環(huán)境越來越復雜， 這些基礎(chǔ)設(shè)施都無法完全保證其安全可靠；同時，網(wǎng)絡(luò)的使用者安全意識薄弱，不能及時有效的進行安全防范，也導致了信息網(wǎng)絡(luò)存在著巨大的安全隱患。

（3）網(wǎng)絡(luò)攻擊手段層出不窮。網(wǎng)絡(luò)攻擊技術(shù)越來越先進，攻擊方法也越來越隱蔽，對網(wǎng)絡(luò)環(huán)境造成破壞性也越來越大，覆蓋面越來越廣。 網(wǎng)絡(luò)安全問題產(chǎn)生的根源是互聯(lián)網(wǎng)分布式架構(gòu)所導致的，各種安全威脅可不受地理位置限制及特定平臺的約束，而海事信息網(wǎng)絡(luò)由多個分布在不同地域的節(jié)點連接而成，業(yè)務(wù)運行需要多種終端設(shè)備及數(shù)據(jù)系統(tǒng)的接入和訪問，其網(wǎng)絡(luò)安全也因此受到嚴重影響，給海事信息網(wǎng)絡(luò)的正常工作帶來了巨大的安全威脅與高昂的經(jīng)濟成本。

3 海事信息網(wǎng)絡(luò)安全的防護策略

3.1 安全結(jié)構(gòu)建設(shè)

海事局核心交換網(wǎng)建設(shè)采用三層結(jié)構(gòu)模型，分別是核心交換層、匯聚層和接入層，在核心交換層采用雙核心結(jié)構(gòu)，在匯聚交換層采用雙匯聚結(jié)構(gòu)，通過等價多路徑流量分擔，實現(xiàn)雙鏈路的負載分擔，同時保證雙鏈路可靠備份；匯聚層交換機實行分組，對重要安全域的兩臺交換機作為一組，同時兩臺交換機通過IRF/CSS 技術(shù)實現(xiàn)協(xié)同工作，統(tǒng)一管理和不間斷維護。接入層交換機通過堆疊技術(shù)實現(xiàn)端口的高密度，同時上連兩條鏈路，通過匯聚層的 IRF/CSS 技術(shù)實現(xiàn)“雙活”負載分擔[2]。

3.2 入侵防御

IPS通過設(shè)置檢測與阻斷策略對流經(jīng)的每個報文進行深度檢測(協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計分析、事件關(guān)聯(lián)分析等)，辨別事件的侵入、關(guān)聯(lián)、沖擊和方向，一經(jīng)檢測到藏于其中網(wǎng)絡(luò)威脅，就按照該攻擊的威脅級別立刻采取相應的積極抵御措施（包括向管理中心告警、丟棄該報文、切斷此次應用會話、切斷此次TCP連接），在積極防御同時向管理員返回相關(guān)的威脅信息，從而提供對網(wǎng)絡(luò)系統(tǒng)內(nèi)部IT資源的安全保護。

3.3 存儲與備份

OA系統(tǒng)、信息專網(wǎng)網(wǎng)站沒有進行備份，建議利用二級云數(shù)據(jù)中心所配置的1臺3PAR磁盤陣列對上述系統(tǒng)進行定期備份，備份內(nèi)容包括業(yè)務(wù)數(shù)據(jù)及操作系統(tǒng)、應用系統(tǒng)、所在安全域網(wǎng)絡(luò)設(shè)備和安全設(shè)備策略的備份。公眾信息服務(wù)網(wǎng)網(wǎng)站部署在公眾信息服務(wù)網(wǎng)實體機上，沒有進行備份，鑒于網(wǎng)站內(nèi)容多為新聞類發(fā)布內(nèi)容，數(shù)據(jù)量較小。可備份在本地磁盤上，或者將數(shù)據(jù)備份到其他介質(zhì)中。根據(jù)海事信息化頂層設(shè)計，直屬海事局作為海事二級數(shù)據(jù)中心，暫不考慮異地備份，部局統(tǒng)建三級系統(tǒng)的數(shù)據(jù)備份由部海事局統(tǒng)籌考慮。

3.4 完善規(guī)章制度

建立了包括《機房日常管理制度》、《值班管理制度》、《消防安全管理制度》等一系列管理制度，對日常工作紀律和要求都做出了嚴格的規(guī)定，已逐步形成了職責明確、行為規(guī)范的安全維護工作機制，確保應用支撐平臺的安全管理走上制度化、規(guī)范化的軌道[3]。

4 結(jié)語

海事信息網(wǎng)絡(luò)的安全防護一方面需要網(wǎng)絡(luò)運維管理人員加強學習，密切關(guān)注網(wǎng)絡(luò)安全領(lǐng)域的新動向，學習和掌握新方法，不斷提升技術(shù)應用水平，并做好預防；另一方面還需要網(wǎng)絡(luò)終端用戶積極學習網(wǎng)絡(luò)安全管理法規(guī)，提升安全防護意識，遵守制定的操作流程和規(guī)范[4]，從信息網(wǎng)絡(luò)內(nèi)的每臺終端出發(fā)，做好運行網(wǎng)絡(luò)安全防護工作。只有將安全技術(shù)和管理制度進行綜合運用，才能更有效的保障海事網(wǎng)絡(luò)的運行安全，從而為業(yè)務(wù)的穩(wěn)定運行提供強有力的支撐和保障。