楊 凱

（水利部海河水利委員會(huì)海河下游管理局，天津 300061）

?

水利信息化網(wǎng)絡(luò)通信系統(tǒng)設(shè)計(jì)方案研究

楊 凱

（水利部海河水利委員會(huì)海河下游管理局，天津 300061）

摘 要：信息技術(shù)日新月異，網(wǎng)絡(luò)安全變得尤為重要，而水利信息化發(fā)展相對(duì)滯后，基層水利單位內(nèi)部網(wǎng)絡(luò)通信結(jié)構(gòu)決定信息安全的等級(jí)水平，目前均存在一定風(fēng)險(xiǎn)。以海河下游管理局為例，分析現(xiàn)有網(wǎng)絡(luò)情況及信息環(huán)境存在的風(fēng)險(xiǎn)問(wèn)題，結(jié)合自身結(jié)構(gòu)特征及信息設(shè)備國(guó)產(chǎn)化的必然趨勢(shì)，采用一套新形勢(shì)下的網(wǎng)絡(luò)安全防御體系，通過(guò)增加抗拒絕服務(wù)、入侵檢測(cè)、漏洞掃描、網(wǎng)絡(luò)審計(jì)和網(wǎng)絡(luò)管理等系統(tǒng)，可全面提升網(wǎng)絡(luò)防御能力和信息安全等級(jí)。

關(guān)鍵詞：水利信息化；網(wǎng)絡(luò)通信系統(tǒng)；信息安全；網(wǎng)絡(luò)結(jié)構(gòu)；抗拒絕服務(wù)；入侵檢測(cè)；漏洞掃描；網(wǎng)絡(luò)審計(jì)

0 引言

當(dāng)今世界，信息技術(shù)革命日新月異，對(duì)國(guó)際政治、經(jīng)濟(jì)、文化、社會(huì)、軍事等領(lǐng)域發(fā)展產(chǎn)生了深刻影響。信息化和經(jīng)濟(jì)全球化相互促進(jìn)，互聯(lián)網(wǎng)已經(jīng)融入社會(huì)生活方方面面，深刻改變了人們的生產(chǎn)和生活方式。可以說(shuō)“沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全”[1]。水利是國(guó)家農(nóng)業(yè)命脈，是整個(gè)國(guó)民經(jīng)濟(jì)的重要組成部分。我國(guó)的水利行業(yè)基礎(chǔ)脆弱，水利信息化的發(fā)展相對(duì)滯后。尤其在 2013 年斯諾登事件[2]之后，水利行業(yè)網(wǎng)絡(luò)安全問(wèn)題成為熱點(diǎn)。加快推進(jìn)水利信息網(wǎng)絡(luò)安全建設(shè)，既是水利行業(yè)自身發(fā)展的需要，也是以科學(xué)發(fā)展觀創(chuàng)建和諧社會(huì)的要求。以海河下游管理局為例，通過(guò)分析網(wǎng)絡(luò)基礎(chǔ)環(huán)境現(xiàn)狀，結(jié)合當(dāng)前信息安全存在的風(fēng)險(xiǎn)，在三層網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上，在互聯(lián)網(wǎng)入口部署抗拒絕系統(tǒng)，在核心交換區(qū)域部署入侵檢測(cè)和漏洞掃描系統(tǒng)，在安全區(qū)域部署網(wǎng)絡(luò)綜合設(shè)計(jì)和管理系統(tǒng)，將防火墻模式轉(zhuǎn)變?yōu)橹鲃?dòng)防御架構(gòu)，整體提升安全等級(jí)。

1 網(wǎng)絡(luò)結(jié)構(gòu)現(xiàn)狀分析

1.1 基礎(chǔ)網(wǎng)絡(luò)環(huán)境取得一定程度提升

根據(jù)國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)要求和《水利網(wǎng)絡(luò)與信息安全體系建設(shè)基本技術(shù)要求》，緊密結(jié)合海河水利委員會(huì)（以下簡(jiǎn)稱海委）信息安全現(xiàn)狀和需求，通過(guò)海委重要信息系統(tǒng)安全等級(jí)保護(hù)項(xiàng)目的建設(shè)，目前已配備海河下游管理局機(jī)關(guān)機(jī)房物理安全設(shè)施，根據(jù)安全等級(jí)進(jìn)行分區(qū)分域防護(hù)，重新劃分接入網(wǎng)絡(luò)區(qū)域；增加關(guān)鍵節(jié)點(diǎn)防護(hù)設(shè)備，配備網(wǎng)絡(luò)安全防護(hù)設(shè)施；對(duì)三級(jí)應(yīng)用系統(tǒng)進(jìn)行應(yīng)用安全改造；完善數(shù)據(jù)存儲(chǔ)備份系統(tǒng)；完善信息安全管理制度、應(yīng)急預(yù)案及保障措施等工作。

現(xiàn)已初步構(gòu)建海河下游管理局信息安全防護(hù)體系，與海委實(shí)現(xiàn)高度統(tǒng)一協(xié)防，整體提高本局政務(wù)外網(wǎng)信息系統(tǒng)的安全保障能力和防護(hù)水平，確保網(wǎng)絡(luò)與信息系統(tǒng)的安全運(yùn)行。

1.2 信息安全環(huán)境仍存在一定風(fēng)險(xiǎn)

2014 年全年，國(guó)家信息安全漏洞共享平臺(tái)（以下簡(jiǎn)稱 CNVD）共收集 9 120 個(gè)漏洞，其中 2 375 個(gè)高危漏洞，主要包括應(yīng)用程序、Web 應(yīng)用、操作系統(tǒng)和安全產(chǎn)品等漏洞，較往年有明顯的增長(zhǎng)[3]。同時(shí)一些廠商的路由器、交換機(jī)也被發(fā)現(xiàn)存在后門漏洞，攻擊者通常通過(guò)某個(gè)預(yù)留端口訪問(wèn)設(shè)備，或者通過(guò)廠商預(yù)留超級(jí)用戶和口令，在相鄰網(wǎng)絡(luò)內(nèi)獲取到路由器的 root 權(quán)限，進(jìn)而植入木馬完全控制用戶的路由器。

海河下游管理局信息化機(jī)房 2008 年初建設(shè)，使用已近 7 年，機(jī)房基礎(chǔ)環(huán)境于 2013 年進(jìn)行過(guò)升級(jí)改造，網(wǎng)絡(luò)設(shè)備一直使用至今。其中網(wǎng)絡(luò)交換區(qū)域使用的路由器、交換機(jī)、防火墻等核心設(shè)備主要采用外國(guó)品牌產(chǎn)品，網(wǎng)絡(luò)安全設(shè)備僅有 1 臺(tái)網(wǎng)康進(jìn)行網(wǎng)絡(luò)行為監(jiān)控，無(wú)法滿足對(duì)整個(gè)系統(tǒng)的監(jiān)控。在使用中已出現(xiàn)各類硬件故障，由于廠家停產(chǎn)、產(chǎn)品線更迭等原因，已無(wú)法進(jìn)行維修和安全升級(jí)改造，網(wǎng)絡(luò)結(jié)構(gòu)存在一些隱患。

此外，服務(wù)器操作系統(tǒng)使用微軟公司的 Windows Server 2008，數(shù)據(jù)庫(kù)使用 Oracle 和 SQL Server。終端區(qū)域主要使用 Windows XP 和 Windows 7，并裝有低版本 IE 瀏覽器。產(chǎn)品在使用過(guò)程中存在一些不可升級(jí)的安全漏洞，留下后門程序，增加遇到攻擊的風(fēng)險(xiǎn)，信息安全問(wèn)題不容樂(lè)觀。因此，對(duì)整個(gè)信息化網(wǎng)絡(luò)結(jié)構(gòu)和核心設(shè)備進(jìn)行升級(jí)顯得尤為重要。

2 網(wǎng)絡(luò)通信系統(tǒng)技術(shù)分析

2.1 骨干通信系統(tǒng)模型設(shè)計(jì)

海河下游管理局網(wǎng)絡(luò)通信系統(tǒng)采用常見(jiàn)的層次化模型設(shè)計(jì)，即將網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)的網(wǎng)絡(luò)分為核心層（網(wǎng)絡(luò)的高速交換主干）、匯聚層（提供基于策略的連接）、接入層 （將工作站接入網(wǎng)絡(luò)）3 個(gè)層次，模型如圖 1 所示。

圖 1 三層網(wǎng)絡(luò)結(jié)構(gòu)模型

1）核心層模塊。核心層應(yīng)該具有可靠性、高效性、冗余性、容錯(cuò)性、可管理性、適應(yīng)性、低延時(shí)性等特點(diǎn)。在核心層中，應(yīng)該采用高帶寬的千兆以上交換機(jī)。核心層設(shè)備采用雙機(jī)冗余熱備份是非常必要的，也可以使用負(fù)載均衡功能，改善網(wǎng)絡(luò)性能。

2）匯聚層模塊。匯聚層必須能夠處理來(lái)自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路。需要具有實(shí)施策略、安全、工作組接入、虛擬局域網(wǎng)（VLAN）之間的路由、源或目的地址過(guò)濾等多種功能。通常采用支持三層交換技術(shù)和 VLAN 的交換機(jī)，以達(dá)到網(wǎng)絡(luò)隔離和分段的目的。

3）接入層模塊。接入層是最終用戶與網(wǎng)絡(luò)的接口，提供在本地網(wǎng)段訪問(wèn)應(yīng)用系統(tǒng)的能力，主要解決相鄰用戶之間的互訪需求，并且為這些訪問(wèn)提供足夠的帶寬。接入層還應(yīng)適當(dāng)負(fù)責(zé)一些用戶管理功能，如地址、用戶的認(rèn)證等，以及用戶信息收集工作，如用戶的 IP 和 MAC 地址、訪問(wèn)日志等。

圖 2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

2.2 雙核心構(gòu)架改進(jìn)

三層網(wǎng)絡(luò)結(jié)構(gòu)是企業(yè)通信平臺(tái)常用的網(wǎng)絡(luò)設(shè)計(jì)模型，優(yōu)點(diǎn)是易管理，響應(yīng)速度快，擴(kuò)展性好，冗余性良好，結(jié)構(gòu)清晰。目前海河下游管理局駐地包括 3 座行政大樓，核心應(yīng)用業(yè)務(wù) 30 余套，終端設(shè)備200 余臺(tái)。根據(jù)單位規(guī)模、核心應(yīng)用業(yè)務(wù)和終端用戶個(gè)數(shù)及資金情況，選用網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)雙核心架構(gòu)，主要采用 2 臺(tái)核心交換設(shè)備作為核心層的冗余設(shè)計(jì)模式，匯聚層采用雙鏈路連接方式接入核心層設(shè)備，實(shí)現(xiàn)鏈路冗余備份、流量負(fù)載均衡功能，如圖 2所示。優(yōu)點(diǎn)如下：

1）雙核心設(shè)計(jì)，有效保證設(shè)備穩(wěn)定、可靠、安全高效地處理全網(wǎng)數(shù)據(jù)傳輸。

2）核心交換區(qū)域采用雙機(jī)熱備模式，有效連接匯聚層設(shè)備，降低核心區(qū)域的交換壓力。

3）網(wǎng)絡(luò)層次明確、簡(jiǎn)潔，數(shù)據(jù)傳輸有效、穩(wěn)定。

2.3 網(wǎng)絡(luò)關(guān)鍵設(shè)備選型

核心路由器選擇 H3C SR6608，核心交換機(jī)選擇 H3C S7510E，核心防火墻選擇 USG 一體化安全網(wǎng)關(guān)，行為監(jiān)控選擇深信服科技 NC-130，核心設(shè)備傳輸速度均達(dá)到 10 000 Mbit/s，包轉(zhuǎn)發(fā)率達(dá)到144 Mp/s，具備豐富的接口。接入層選擇 H3C S3100V2作為數(shù)據(jù)信息集合點(diǎn)，具有最佳路由選擇、路由協(xié)議重新分配、三層 VLAN 間的路由轉(zhuǎn)發(fā)、多 QoS 服務(wù)保障等作用。同時(shí)最大程度減輕核心層負(fù)擔(dān)，保障數(shù)據(jù)在核心層高速轉(zhuǎn)發(fā)。并且核心設(shè)備均為政府采購(gòu)產(chǎn)品，在保障性能的同時(shí)保障設(shè)備的安全。

3 網(wǎng)絡(luò)安全提升方案

海河下游管理局網(wǎng)絡(luò)通信系統(tǒng)除部署三層網(wǎng)絡(luò)交換結(jié)構(gòu)外，還增加相應(yīng)網(wǎng)絡(luò)安全設(shè)備，以提升主動(dòng)防御能力，主要包括抗拒絕服務(wù)、入侵檢測(cè)、漏洞掃描、網(wǎng)絡(luò)綜合審計(jì)和管理等系統(tǒng)。其中在互聯(lián)網(wǎng)入口與防火墻之間部署抗拒絕服務(wù)系統(tǒng)提高外部防御能力，防火墻與核心交換之間部署入侵檢測(cè)系統(tǒng)提高局域網(wǎng)內(nèi)部檢測(cè)能力，在局域網(wǎng)部署漏洞掃描、網(wǎng)絡(luò)綜合審計(jì)和管理等系統(tǒng)組建網(wǎng)管區(qū)域，提高對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、個(gè)人終端，以及操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用程序的全面監(jiān)控。

圖 3 分布式拒絕服務(wù)攻擊體系結(jié)構(gòu)

3.1 抗拒絕服務(wù)系統(tǒng)

DoS（Denial of Service 拒絕服務(wù)）和 DDoS （Distributed Denial of Service 分布式拒絕服務(wù)）攻擊是目前互聯(lián)網(wǎng)上最流行的攻擊方式。黑客通過(guò)操控多臺(tái)傀儡主機(jī)向目標(biāo)主機(jī)或服務(wù)器發(fā)送大量看似合法的網(wǎng)絡(luò)包，造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)，如圖 3 所示。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）發(fā)布的《2011 年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告》中指出，DDoS 攻擊仍然是影響互聯(lián)網(wǎng)安全的主要因素，并且呈現(xiàn)出頻率高、規(guī)模大和轉(zhuǎn)嫁攻擊的特點(diǎn)[4]。

防火墻設(shè)計(jì)原理一般沒(méi)有考慮對(duì) DDoS 攻擊的檢測(cè)機(jī)制，無(wú)法準(zhǔn)確檢測(cè)攻擊包和正常包。通常采用閾值設(shè)置方式進(jìn)行防御，會(huì)導(dǎo)致部分正常用戶被拒絕服務(wù)。防火墻一旦遭受大流量 DDoS 攻擊，會(huì)成為網(wǎng)絡(luò)瓶頸，導(dǎo)致網(wǎng)絡(luò)癱瘓。

因此在海河下游管理局網(wǎng)絡(luò)通信系統(tǒng)互聯(lián)網(wǎng)入口與防火墻之間部署異常流量檢測(cè)、流量清洗系統(tǒng)及管理中心，作為核心網(wǎng)絡(luò)的流量清洗中心，用于過(guò)濾 DDoS 攻擊，解決方案如圖 4 所示。

圖 4 抗拒絕解決方案

1）異常流量檢測(cè)系統(tǒng)（ADM-Detector，以下簡(jiǎn)稱 Detector）。通過(guò)對(duì)不同網(wǎng)絡(luò)節(jié)點(diǎn)的流量進(jìn)行實(shí)時(shí)關(guān)聯(lián)分析，發(fā)現(xiàn)異常流量和 DDoS 攻擊，并及時(shí)通知流量清洗系統(tǒng)對(duì)這些流量進(jìn)行清洗。

2）異常流量清洗系統(tǒng)（ADM-Guard，以下簡(jiǎn)稱Guard）。根據(jù) Detector 提供的信息，完成后續(xù)對(duì)異常流量的牽引、DDoS 流量清洗、P2P 帶寬控制、流量回注等。

3）異常流量管理中心（ADM-Manager，以下簡(jiǎn)稱 Manager）。Guard 和 Detector 均具備自管理的能力，但在規(guī)模部署的環(huán)境中，可以通過(guò) Manager 對(duì)多臺(tái) Guard 和 Detector 設(shè)備進(jìn)行統(tǒng)一管理，包括檢測(cè)和清洗策略下發(fā)、狀態(tài)監(jiān)控、系統(tǒng)升級(jí)、日志集中等。

3.2 入侵檢測(cè)系統(tǒng)

防火墻是一種主要的周邊安全解決方案，在網(wǎng)絡(luò)架構(gòu)中起到核心防御作用，通常能夠在網(wǎng)絡(luò)級(jí)提供訪問(wèn)控制，但防火墻的通信端口是開(kāi)放的，是網(wǎng)絡(luò)外部用戶進(jìn)入交換機(jī)的重要通道，黑客可以采用攻擊手段穿過(guò)防火墻攻擊服務(wù)器。入侵檢測(cè)系統(tǒng)是防火墻的補(bǔ)充解決方案，主要通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的截取分析，查找具有攻擊特性和不良企圖的數(shù)據(jù)包。通常檢測(cè)部分傳感器 Sensor 布置在網(wǎng)絡(luò)通信1 個(gè)交換機(jī)的鏡象端口，聽(tīng)取流經(jīng)網(wǎng)絡(luò)的所有數(shù)據(jù)包，查找匹配的包，以得到入侵的信息源。入侵檢測(cè)被認(rèn)為是防火墻之后的第 2 道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

因此需要在海河下游管理局通信網(wǎng)絡(luò)核心節(jié)點(diǎn)部署入侵檢測(cè)與管理系統(tǒng)引擎，具體實(shí)施方案如圖 5所示。其中，入侵檢測(cè)與管理系統(tǒng)引擎主要功能為原始數(shù)據(jù)讀取、數(shù)據(jù)分析、事件產(chǎn)生、策略匹配、事件處理、通訊等，工作流程如圖 6 所示。

圖 5 分布式檢測(cè)部署

入侵檢測(cè)與管理系統(tǒng)控制中心由主頁(yè)、威脅展示、流量統(tǒng)計(jì)、日志報(bào)表、常用配置、高級(jí)配置、用戶管理、幫助等幾個(gè)大模塊組成，主要功能為通信、事件讀取、事件顯示、策略定制、日志分析、事件幫助等。

3.3 漏洞掃描系統(tǒng)

CNVD 每周均會(huì)在網(wǎng)站 http://www.c- nvd.org.cn/發(fā)布漏洞周報(bào)，以第 15 期（2015 年 4 月 6—12 日）為例，該周共收集、整理信息安全漏洞 112 個(gè)，其中高危漏洞 37 個(gè)、中危漏洞 68 個(gè)、低危漏洞 7 個(gè)。這些漏洞中，可利用實(shí)施遠(yuǎn)程攻擊的漏洞有 104 個(gè)，收錄的漏洞中，已有 104 個(gè)漏洞由廠商提供了修補(bǔ)方案[5]。漏洞掃描系統(tǒng)采用基于應(yīng)用、主機(jī)、目標(biāo)的漏洞和網(wǎng)絡(luò)的檢測(cè)技術(shù)。檢測(cè)內(nèi)容主要包括檢查應(yīng)用軟件包的設(shè)置、操作系統(tǒng)內(nèi)核、文件屬性、操作系統(tǒng)補(bǔ)丁、系統(tǒng)被攻擊崩潰的可能性等問(wèn)題。海河下游管理局網(wǎng)絡(luò)通信系統(tǒng)采用標(biāo)準(zhǔn)的機(jī)架式獨(dú)立硬件設(shè)計(jì)，漏洞掃描系統(tǒng)采用 B/S 設(shè)計(jì)架構(gòu)，采用旁路方式接入網(wǎng)絡(luò)，如圖 7 所示。

圖 6 入侵檢測(cè)與管理系統(tǒng)引擎工作流程圖

圖 7 漏洞掃描系統(tǒng)部署方案

同時(shí)，漏洞掃描系統(tǒng)需要支持?jǐn)U展無(wú)線安全模塊，可實(shí)時(shí)發(fā)現(xiàn)所覆蓋區(qū)域內(nèi)的無(wú)線設(shè)備、終端和信號(hào)分布情況，協(xié)助管理員識(shí)別非法無(wú)線設(shè)備、終端，幫助涉密單位發(fā)現(xiàn)無(wú)線信號(hào)，并可以進(jìn)一步發(fā)現(xiàn)對(duì)無(wú)線設(shè)備不安全配置所存在的無(wú)線安全隱患。

3.4 網(wǎng)絡(luò)綜合審計(jì)系統(tǒng)

海河下游管理局網(wǎng)絡(luò)通信系統(tǒng)網(wǎng)絡(luò)綜合審計(jì)系統(tǒng)主要對(duì)用戶業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行安全審計(jì)，采集、分析和識(shí)別網(wǎng)絡(luò)數(shù)據(jù)流，監(jiān)視網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)，記錄網(wǎng)絡(luò)事件，發(fā)現(xiàn)安全隱患，并且對(duì)網(wǎng)絡(luò)活動(dòng)的相關(guān)信息進(jìn)行存儲(chǔ)、分析和審計(jì)[6]。包括：數(shù)據(jù)庫(kù)類協(xié)議（Oracle，Informix，DB2，DB2-DAS，Microsoft SQL Server，Sybase，MySQL，PostgreSQL，Teradata，Cache，Sybase），運(yùn)營(yíng)維護(hù)類協(xié)議（Telnet，Rlogin，X11），文件操作類協(xié)議（FTP， NFS，SunRPC/PCNFSD，Windows 網(wǎng)上鄰居），互聯(lián)網(wǎng)類協(xié)議（HTTP，SMTP，POP3），以及其他一些協(xié)議類型（Windows 遠(yuǎn)程桌面，Radius，自定義協(xié)議）。部署方案如圖 8 所示。

圖 8 網(wǎng)絡(luò)綜合審計(jì)系統(tǒng)部署方案

綜合審計(jì)系統(tǒng)包括以下幾部分：

1）審計(jì)管理控制中心。通過(guò) IE 登錄系統(tǒng) Web控制臺(tái)，提供管理操作界面、策略管理、審計(jì)查詢、審計(jì)報(bào)表輸出等管理操作。

2）審計(jì)數(shù)據(jù)中心。安裝在用戶業(yè)務(wù)網(wǎng)絡(luò)中，實(shí)現(xiàn)審計(jì)信息的接收、存儲(chǔ)，提供管理操作界面、策略管理、審計(jì)查詢、審計(jì)報(bào)表輸出等管理操作功能。

3）審計(jì)引擎。掛接在交換機(jī)的鏡像端口上或者串接在網(wǎng)絡(luò)中，捕獲并解析通信數(shù)據(jù)，根據(jù)安全策略允許、審計(jì)或阻斷通信。

3.5 網(wǎng)絡(luò)管理系統(tǒng)

海河下游管理局網(wǎng)絡(luò)通信系統(tǒng)中的網(wǎng)絡(luò)管理系統(tǒng)實(shí)現(xiàn)以下幾個(gè)功能：

1）對(duì)系統(tǒng)的整體監(jiān)控。幫助運(yùn)維人員從總體上查看網(wǎng)絡(luò)中各種資源的可用、不可用、健康及亞健康的數(shù)量等情況；運(yùn)維人員可直接根據(jù)資源類型、異常等級(jí)、恢復(fù)狀態(tài)、確認(rèn)狀態(tài)和時(shí)間范圍等查看資源異常信息。

2）對(duì)系統(tǒng)的實(shí)時(shí)監(jiān)控?？梢圆榭此匈Y源實(shí)時(shí)運(yùn)行情況，如資源名稱、資源類型、管理 IP、異常狀態(tài)、地域、CPU、MEU、可用率、健康度及接口詳細(xì)信息等，并可導(dǎo)出 Excel，PDF 及 HTML 格式。

3）對(duì)全局的動(dòng)態(tài)掌控。包括層次化拓?fù)鋱D，實(shí)時(shí)展現(xiàn)各級(jí)網(wǎng)絡(luò)設(shè)備和鏈路的運(yùn)行情況；地域拓?fù)鋱D，分支機(jī)構(gòu)網(wǎng)絡(luò)分布與運(yùn)行情況一目了然；業(yè)務(wù)拓?fù)鋱D，按照用戶的業(yè)務(wù)組織和服務(wù)水平管理，建立業(yè)務(wù)模型和邏輯關(guān)系。

4）對(duì)異常與故障進(jìn)行有效的管理。根據(jù)資源類型、指標(biāo)類型、等級(jí)、確認(rèn)、恢復(fù)、地域、時(shí)間段及關(guān)鍵字等進(jìn)行篩選與查詢，進(jìn)行故障根源分析，從而針對(duì)性地查看相關(guān)資源的異常信息，并可以進(jìn)行詳細(xì)信息查看、確認(rèn)、刪除及導(dǎo)出?？蓪?duì)故障進(jìn)行分級(jí)管理，包括特急﹑較急﹑一般﹑提示及恢復(fù)等不同等級(jí)。

4 網(wǎng)絡(luò)通信系統(tǒng)方案概算

海河下游管理局網(wǎng)絡(luò)通信系統(tǒng)方案設(shè)計(jì)的網(wǎng)絡(luò)和安全設(shè)備采購(gòu)采用政府集中采購(gòu)模式，主要通過(guò)篩選中央政府采購(gòu)網(wǎng)（http://www.zycg. gov.cn/）上公布的協(xié)議供貨商，確定協(xié)議供貨單位，集中采購(gòu)中標(biāo)設(shè)備。供貨商和中標(biāo)產(chǎn)品廠商均通過(guò)安全審核，既規(guī)范資金使用，又保證設(shè)備安全性。方案可根據(jù)實(shí)際網(wǎng)絡(luò)結(jié)構(gòu)及資金情況調(diào)整選擇具體產(chǎn)品型號(hào)，主要設(shè)備及選型如表 1 所示，其中列舉設(shè)備主要適用于百兆網(wǎng)絡(luò)出口，用戶終端 200 臺(tái)規(guī)模的局域網(wǎng)環(huán)境，參考 2014 年 10 月網(wǎng)站信息。

5 結(jié)語(yǔ)

在海河下游管理局網(wǎng)絡(luò)通信系統(tǒng)核心部位部署國(guó)產(chǎn)設(shè)備的同時(shí)，配備抗拒絕、入侵檢測(cè)、漏洞掃描、網(wǎng)絡(luò)審計(jì)和管理等系統(tǒng)組成的主動(dòng)防御體系，組成一套新形勢(shì)下的網(wǎng)絡(luò)架構(gòu)。本方案可安全有效地抵御外部攻擊，提升網(wǎng)絡(luò)防御水平，提高系統(tǒng)安全等級(jí)，從安全角度可滿足一般水利行政事業(yè)單位及中小企業(yè)用戶需求。并且本建設(shè)項(xiàng)目投資必要、技術(shù)成熟、方案可行、設(shè)備可靠，具有一定的推廣性。同時(shí)需要加強(qiáng)內(nèi)部網(wǎng)絡(luò)維護(hù)人員的值班制度，定期訪問(wèn)安全設(shè)備，記錄設(shè)備運(yùn)行狀況及整體網(wǎng)絡(luò)情況，以及時(shí)發(fā)現(xiàn)潛在安全問(wèn)題。

表 1 主要設(shè)備級(jí)選型

參考文獻(xiàn)：

[1] 百度百科. 中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組 [EB/OL]. [2015-06-12]. http://baike.baidu.com/view/12245910.htm.

[2] 百度百科. 棱鏡計(jì)劃 [EB/OL]. [2015-06-12]. http://baike. baidu.com/view/10688863.htm.

[3] 國(guó)家信息安全漏洞共享平臺(tái) [EB/OL]. [2015-06-12]. http://www.cnvd.org.cn/flaw/statistic.

[4] 國(guó)家互聯(lián)網(wǎng)控制中心. 2011 年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述 [R]. 北京：國(guó)家互聯(lián)網(wǎng)控制中心，2011.

[5] 國(guó)家信息安全漏洞共享平臺(tái). 2015 年 CNVD 漏洞周報(bào)第15 期 [EB/OL]. [2015-06-12].http:// www.cnvd.org.cn/ webinfo/show/3609.

[6] 胡穎梅. 網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)問(wèn)題研究[D]. 太原：山西財(cái)經(jīng)大學(xué)，2013: 16-17.

[7] 網(wǎng)強(qiáng)信息技術(shù)（上海）有限公司. 網(wǎng)強(qiáng) IT 綜合管理系統(tǒng)用戶手冊(cè)[S]. 上海：網(wǎng)強(qiáng)信息技術(shù)（上海）有限公司，2014: 22-36.

Research on Design Scheme of Network Communication System about Water Resources Information

YANG Kai
(Haihe River Lower Reaches Administration Bureau, Haihe River Waiver Conservancy Commission, the Ministry of Water Resources, Tianjin 300061, China)

Abstact:With the great development of information technology, information security has become particularly important. The current water resources informatization development has fallen behind relatively. For water conservancy units, communication structure of internal network determines the level of information security. Taking institution in network structure of Haihe River Lower Reaches Administration Bureau as an example, this paper analyzes the current network situation and the security risks, and puts forward a set of network security system, which has fully considered the network structure feature and localization of informatization facility. With the configuration of DoS resistance, intrusion detection, vulnerability scanning, network audit and network management, domestic defensive ability of network and information security has been promoted comprehensively.

Key words:water resources informatization; network communication system; information security; network structure; DoS resistance; intrusion detection; vulnerability scanning; network audit

中圖分類號(hào)：TV39

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1674-9405(2016)02 -0045-06

收稿日期：2015-06-25

作者簡(jiǎn)介：楊 凱（1987-），男，甘肅榆中人，碩士，主要研究方向：電子與通信工程、計(jì)算機(jī)系統(tǒng)集成。