蔣毛席

摘要：如何做到信息化與信息安全協(xié)調(diào)發(fā)展成為水利信息化進一步發(fā)展面臨的一個主要問題。從我省信息化和信息安全的形勢出發(fā)，分析了水利信息化與信息安全狀況，指出了水利信息安全方面存在的問題，提出了建設(shè)水利信息安全體系建設(shè)規(guī)則的措施.

關(guān)鍵詞：水利信息化 信息安全 規(guī)則

隨著信息化在各個領(lǐng)域的深入發(fā)展，信息安全的重要性也與日俱增。當(dāng)前我國網(wǎng)絡(luò)與信息安全工作面臨的形勢相當(dāng)嚴(yán)峻，網(wǎng)站被篡改、網(wǎng)絡(luò)仿冒、網(wǎng)頁惡意代碼、計算機被植入木馬等事件頻頻發(fā)生。根據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡稱CNCERT/CC）的統(tǒng)計，2012年我國大陸地區(qū)被篡改網(wǎng)站的數(shù)量為16388個，其中政府網(wǎng)站被篡改的數(shù)量為1802個，這嚴(yán)重威脅國家安全、社會秩序、公共利益和社會公眾的合法權(quán)益。根據(jù)國家信息化領(lǐng)導(dǎo)小組的統(tǒng)一部署和安排，我國在全國范圍內(nèi)開展了信息安全等級保護工作，一批信息安全等級保護相關(guān)法規(guī)、政策文件和標(biāo)準(zhǔn)相繼出臺，為網(wǎng)絡(luò)與信息安全體系的建設(shè)提供了依據(jù)。

1.水利網(wǎng)絡(luò)與信息安全現(xiàn)狀

近年來，水利部黨組準(zhǔn)確把握水利工作的新形勢和新需求，在充分總結(jié)治水實踐和經(jīng)驗的基礎(chǔ)上，提出了從傳統(tǒng)水利向現(xiàn)代水利、可持續(xù)發(fā)展水利轉(zhuǎn)變的治水思路，明確了以水利信息化帶動水利現(xiàn)代化的發(fā)展方向。伴隨著水利事業(yè)的發(fā)展和改革，水利信息化建設(shè)取得了豐碩的成果，逐漸成為現(xiàn)代水事活動的重要支撐，成為水利現(xiàn)代化的重要帶動力量。依托國家防汛抗旱指揮系統(tǒng)一期工程、山洪災(zāi)害預(yù)警系統(tǒng)、水資源監(jiān)控能力建設(shè)和大型灌區(qū)信息化試點等信息化重點工程的順利實施，水利信息化基礎(chǔ)設(shè)施得到進一步完善，對業(yè)務(wù)應(yīng)用的支撐能力顯著提高。防汛抗旱、山洪災(zāi)害預(yù)警系統(tǒng)、水資源監(jiān)控能力建設(shè)、全國水土保持監(jiān)測管理信息系統(tǒng)等業(yè)務(wù)應(yīng)用逐步建成并投入應(yīng)用。在水利信息化基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用快速發(fā)展的同時，作為水利信息化保障環(huán)境之一的安全體系逐步建立和發(fā)展。

2.技術(shù)體系總體框架

水利行業(yè)信息安全技術(shù)體系框架應(yīng)該結(jié)合等級保護的思路和標(biāo)準(zhǔn)，從多個層面進行建設(shè)，通過建立健全統(tǒng)一的信息安全技術(shù)支撐層、安全管理支撐層和安全服務(wù)支撐層，在水利行業(yè)形成有效的安全防護能力、安全監(jiān)管能力和安全運維能力，為水利行業(yè)IT系統(tǒng)的的運行提供安全的網(wǎng)絡(luò)運行環(huán)境和應(yīng)用安全支撐。

（1）中心機房安全建設(shè)

中心機房物理環(huán)境安全策略的目的是保護網(wǎng)絡(luò)中計算機網(wǎng)絡(luò)通信有一個良好的電磁兼容工作環(huán)境，并防止非法用戶進入計算機控制室和各種偷竊、破壞活動的發(fā)生。

（2）網(wǎng)絡(luò)安全

根據(jù)國家等級保護的基本要求，水利行業(yè)網(wǎng)絡(luò)層的安全需求主要包括：結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護等方面。

安全域是指同一環(huán)境內(nèi)有相同的安全保護需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網(wǎng)絡(luò)或系統(tǒng)。安全域的劃分可以使安全部署更加清晰、效率更高、更有針對性。為了對水利行業(yè)的系統(tǒng)和設(shè)施進行有效的安全防護，需要重點對水利行業(yè)總部信息網(wǎng)絡(luò)進行安全域的劃分。

網(wǎng)絡(luò)結(jié)構(gòu)需要具備一定的冗余性，避免單點故障帶來的系統(tǒng)癱瘓，同時各部分網(wǎng)絡(luò)設(shè)備的帶寬也要能夠滿足業(yè)務(wù)高峰時期數(shù)據(jù)交換需求。

安全域明確定義之后，要在實際的信息系統(tǒng)環(huán)境中進行劃分并實施相應(yīng)保護措施，各個安全域邊界之間的保護將通過不同的安全技術(shù)和安全設(shè)備，滿足等級保護對于邊界防護的要求。

防火墻是設(shè)置在不同網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)安全策略控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。可以實現(xiàn)以下目標(biāo)：

防火墻能極大地提高網(wǎng)絡(luò)系統(tǒng)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以服務(wù)器區(qū)域和內(nèi)網(wǎng)變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護區(qū)域，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部服務(wù)器。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。

如果所有對服務(wù)器的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進行適當(dāng)?shù)膱缶?，并提供服?wù)器區(qū)域是否受到監(jiān)測和攻擊的詳細信息。

通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個安區(qū)域中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而曝露了服務(wù)器區(qū)域的某些安全漏洞。使用防火墻就可以隱蔽這些安全漏洞。

根據(jù)信息安全保護的要求，水利行業(yè)網(wǎng)絡(luò)邊界處需要具備監(jiān)控端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等行為的能力。建議采用入侵防護技術(shù)和抗DOS攻擊設(shè)備保護水利行業(yè)集團網(wǎng)絡(luò)邊界的安全。

根據(jù)等級保護的要求，需要在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除，并維護惡意代碼庫的升級和檢索更新。由于內(nèi)網(wǎng)辦公用戶有著訪問互聯(lián)網(wǎng)的需求，因此，更易遭受惡意代碼的威脅，建議部署防病毒網(wǎng)關(guān)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和阻斷。

在網(wǎng)絡(luò)安全設(shè)計方面，根據(jù)等級保護要求需要對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄，審計記錄要求包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息并能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等。

終端安全管理系統(tǒng)同時也可以監(jiān)測內(nèi)部網(wǎng)中發(fā)生的外來主機非法接入、篡改 IP 地址、盜用 IP 地址等不法行為，由監(jiān)測控制臺進行告警。運用用戶信息和主機信息匹配方式實時發(fā)現(xiàn)接入主機的合法性，及時阻止 IP 地址的篡改和盜用行為，共同保證水利行業(yè)網(wǎng)絡(luò)的邊界完整性。

3.主機安全建設(shè)

基于主機面臨的身份認證的風(fēng)險和訪問控制的需求，需要對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)識和鑒別，要求配置用戶名/口令；采用3種以上字符、長度不少于8位的口令。

一方面要通過安全加固措施制定嚴(yán)格用戶權(quán)限策略，保證賬號、口令等符合安全策略。另一方面通過建立統(tǒng)一的身份鑒別和權(quán)限認證網(wǎng)關(guān)，實現(xiàn)用戶對操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)登陸的身份認證和權(quán)限管理。

部署主機審計管理系統(tǒng)，可以實現(xiàn)對主機的控制、監(jiān)控、審計和系統(tǒng)管理。

控制功能包括計算機硬件資源控制、軟件資源控制、移動存儲設(shè)備使用控制、IP與MAC地址綁定等。

監(jiān)控功能包括服務(wù)監(jiān)控、進程監(jiān)控、硬件操作監(jiān)控、文件系統(tǒng)監(jiān)控、打印機監(jiān)控、非法外聯(lián)監(jiān)控、計算機用戶賬號監(jiān)控等。

相對于終端管理審計，主機上網(wǎng)行為審計側(cè)重于對內(nèi)網(wǎng)主機系統(tǒng)的網(wǎng)絡(luò)行為的審計，這其中包括水利行業(yè)內(nèi)網(wǎng)員工訪問網(wǎng)站、頁面的審計，外發(fā)信息的審計，包括在互聯(lián)網(wǎng)論壇的留言、通過郵件和MSN等即時通訊軟件發(fā)送的文件和聊天內(nèi)容的審計，通過這些行為的審計可以避免企業(yè)員工外泄企業(yè)機密，同時避免企業(yè)員工通過互聯(lián)網(wǎng)發(fā)表的非法、反動言論為企業(yè)帶來的負面影響，并在第一時間可以定位到發(fā)出非法、反動言論的員工。

根據(jù)等級保護對于入侵防范的要求，要能夠檢測到對重要服務(wù)器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴(yán)重入侵事件時提供報警；此外需要能夠?qū)χ匾绦虻耐暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施。

建議將入侵檢測系統(tǒng)部署在水利行業(yè)網(wǎng)絡(luò)中的核心，監(jiān)視并記錄網(wǎng)絡(luò)中的所有訪問行為和操作，有效防止非法操作和惡意攻擊。同時，網(wǎng)絡(luò)入侵檢測系統(tǒng)還可以形象地重現(xiàn)操作的過程，可幫助安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。

主機的入侵檢測系統(tǒng)，其防護的對象是網(wǎng)絡(luò)中的應(yīng)用服務(wù)器，或者是網(wǎng)絡(luò)中異常重要的單機PC。通過對主機配置（運行配置、安全配置、應(yīng)用配置）、主機資源（服務(wù)資源、數(shù)據(jù)資源等）、主機安全事件等進行監(jiān)控、防護，保證主機處在一個正常的運行和服務(wù)狀態(tài)，并能夠保證存儲于主機的信息、數(shù)據(jù)不被非法的占有、破壞和利用。

等級保護中對服務(wù)器的服務(wù)質(zhì)量和系統(tǒng)性能提出了相應(yīng)的要求，主要包括：應(yīng)對重要服務(wù)器進行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；限制單個用戶對系統(tǒng)資源的最大或最小使用限度。

惡意代碼防范

通過在主機終端安裝防病毒軟件的方式實現(xiàn)對主機系統(tǒng)的惡意代碼防護，目前水利行業(yè)安裝了網(wǎng)絡(luò)版的殺毒軟件，已具備終端的惡意代碼防護能力。

4.應(yīng)用安全

建立應(yīng)用安全體系的總體思路是：根據(jù)系統(tǒng)的統(tǒng)一規(guī)劃，建立CA認證中心，作為整個網(wǎng)絡(luò)體系的基礎(chǔ)信任設(shè)施，以實現(xiàn)數(shù)字證書的受理、發(fā)放、更新與廢止；同時，建立直接服務(wù)于各個應(yīng)用系統(tǒng)的統(tǒng)一認證及授權(quán)管理系統(tǒng)，實現(xiàn)基于數(shù)字證書的各項安全應(yīng)用功能，為各個應(yīng)用系統(tǒng)直接提供可信認證、完整性保護、訪問控制、單點登錄、權(quán)限管理等基本安全服務(wù)，進行實現(xiàn)各類應(yīng)用系統(tǒng)的安全互聯(lián)互通、安全信息共享、安全應(yīng)用整合。

通過在水利行業(yè)管理服務(wù)器區(qū)部署漏洞掃描和評估系統(tǒng)可以針對各種網(wǎng)絡(luò)設(shè)備、防火墻設(shè)備、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器和桌面機進行掃描和分析。可以檢測出：各種安全漏洞、是否有補丁包、各種已知安全漏洞、后門和木馬程序。

漏洞掃描系統(tǒng)可以用形象的圖表或報告的方式表示出在一個網(wǎng)絡(luò)中的安全薄弱環(huán)節(jié)，并可以提供非常有用的補救建議，如上所述：安裝補丁包、升級服務(wù)程序、停止不必要的服務(wù)、禁止某些用戶帳號或加強某些帳號密碼強度等，有效地協(xié)助網(wǎng)絡(luò)管理人員改善網(wǎng)絡(luò)安全狀況。

根據(jù)等級保護的要求，應(yīng)用系統(tǒng)應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進行限制；對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；對系統(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警等。

5.數(shù)據(jù)安全建設(shè)方案

數(shù)據(jù)完整性檢查主要體現(xiàn)在數(shù)據(jù)在傳輸過程和存儲過程中檢測到完整性錯誤時采取必要的恢復(fù)措施。

該部分的建設(shè)需要應(yīng)用系統(tǒng)自身采用數(shù)據(jù)校驗技術(shù)對數(shù)據(jù)進行完整性檢查，數(shù)據(jù)受到破壞后通過備份策略進行數(shù)據(jù)恢復(fù)；同時在數(shù)據(jù)傳輸過程中采用VPN技術(shù)保障數(shù)據(jù)傳輸過程中的數(shù)據(jù)完整性。對于存儲過程中的完整性檢查將主要通過配置存儲系統(tǒng)對系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲過程中的完整性進行檢測與恢復(fù)。

備份與恢復(fù)主要包含兩方面內(nèi)容，首先是指數(shù)據(jù)備份與恢復(fù)，另外一方面是關(guān)鍵網(wǎng)絡(luò)設(shè)備、線路以及服務(wù)器等硬件設(shè)備的冗余。

目前大多數(shù)省份水利行業(yè)已經(jīng)形成了備份體系，本地備份主要通過備份服務(wù)器同時結(jié)合磁帶庫的方式進行數(shù)據(jù)的備份和恢復(fù)。建議未來通過專線方式實現(xiàn)異地的數(shù)據(jù)備份。

6.安全保障建設(shè)

安全服務(wù)內(nèi)容主要包含： 定期的風(fēng)險評估、安全加固服務(wù)、應(yīng)急響應(yīng)、安全監(jiān)控、安全信息通告等服務(wù)。

漏洞掃描服務(wù)主要是根據(jù)已有的安全漏洞知識庫，檢測網(wǎng)絡(luò)設(shè)備及服務(wù)器等各種信息資產(chǎn)所存在的安全隱患和漏洞。

漏洞掃描主要依靠帶有安全漏洞知識庫的安全掃描工具對信息資產(chǎn)進行基于網(wǎng)絡(luò)層面安全掃描，其特點是能對被評估目標(biāo)進行覆蓋面廣泛的安全漏洞查找，能真實地反映主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)所存在的安全問題。

安全加固主要包括“網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)架構(gòu)的加固”、“UNIX操作系統(tǒng)的加固” 和“Windows操作系統(tǒng)的加固”等：

包括：設(shè)備監(jiān)控、系統(tǒng)監(jiān)控、應(yīng)用監(jiān)控、日志監(jiān)控、安全設(shè)備監(jiān)控、安全信息通告、漏洞信息、安全產(chǎn)品評測信息、病毒信息、安全預(yù)警

安全服務(wù)廠商會根據(jù)業(yè)界的安全動態(tài)分析可能對網(wǎng)絡(luò)或系統(tǒng)造成嚴(yán)重影響的安全漏洞和重大病毒，會根據(jù)行業(yè)的情況及時做好安全預(yù)警工作，并提供相應(yīng)的解決措施。

參考文獻：

[1]國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.我國網(wǎng)站被篡改情況月度報告[R].2012-02.

[2]水利部水利信息中心.全國水利信息化規(guī)劃限[M].北京：水利部水利信息中心，2003.

[3]水利部水利信息中心.中國水利信息網(wǎng)發(fā)展?fàn)顩r統(tǒng)計報告（2006）[R].北京：水利部水利信息中心，2007.

[4]水利部水利信息中心.全國水利信息化發(fā)展“十二五”規(guī)劃（征求意見稿）[R].北京：水利部水利信息中心，2010.

[5]水利網(wǎng)絡(luò)與信息安全建設(shè)規(guī)范.2010.

[6]淺談水利網(wǎng)絡(luò)與信息安全體系[J].水利信息化，2010.