林 林，王冠華，繆 綸，王樹偉

（中國水利水電科學研究院 信息網(wǎng)絡中心，北京 100038）

0 引言

隨著網(wǎng)絡技術的發(fā)展及其應用領域的不斷拓寬，網(wǎng)絡對人們生活的影響力與日俱增。但隨著互聯(lián)網(wǎng)絡的縱深發(fā)展，網(wǎng)絡安全問題也相伴而生。為保障網(wǎng)絡的正常運行和提供優(yōu)質服務，一些安全防護技術已經(jīng)被廣泛應用，例如防火墻、殺毒軟件、入侵檢測等。但隨著網(wǎng)絡技術的發(fā)展及其應用的廣泛普及，網(wǎng)絡攻擊的類型和數(shù)量都在不斷增加，使用單一、靜態(tài)的安全防護技術和方法已經(jīng)遠遠不能滿足網(wǎng)絡應用的要求。對于網(wǎng)絡安全領域中日益突出的問題，需要研究動態(tài)、主動、多層次的安全防御技術。

本文主要針對水利科研領域的計算機網(wǎng)絡應用特點，從實際情況出發(fā)，研究、組織、規(guī)劃一套具有較強針對性的集成化網(wǎng)絡安全模型，以管理為核心，以策略為執(zhí)行手段，采用風險評估、防護、檢測、響應、恢復為循環(huán)的網(wǎng)絡安全防御過程，建立包括主動防護和被動防護互為補充的，多層次的網(wǎng)絡安全防御體系，保障水利科研領域的計算機網(wǎng)絡應用安全。

1 國內外研究現(xiàn)狀

目前流行的計算機網(wǎng)絡安全模型主要起源于美國國家安全局提出的信息安全技術框架（IATF）[1]。在 IATF 中定義了對一個系統(tǒng)進行信息安全保障的過程及系統(tǒng)中所有部件的安全需求。在 IATF 框架中，信息安全保障措施被分成防護（Protection）、檢測（Detection）、響應（Reaction）和恢復（Restoration）4 個部分，即 PDRR 模型[2-3]。防護、檢測、響應和恢復組成了一個完整動態(tài)的安全循環(huán)，在核心安全策略的指導下實現(xiàn)網(wǎng)絡系統(tǒng)的安全保障。

隨著網(wǎng)絡應用的普及和發(fā)展，計算機病毒和網(wǎng)絡攻擊不斷增強，PDRR 模型不能反映網(wǎng)絡安全的動態(tài)螺旋上升過程。為了使模型能夠更貼切地描述網(wǎng)絡安全的本質規(guī)律，人們在 PDRR 模型的基礎上添加了風險評估（Assessment）和安全策略（Policy），即 APPDRR 模型[4]。該模型包含了網(wǎng)絡安全的相對性和動態(tài)螺旋上升的過程，網(wǎng)絡安全由此被描述成為一個不斷改進的過程。PDRR 和 APPDRR 安全模型都是偏重于理論研究的描述型安全模型。

在實際應用中，安全人員往往需要的是偏重于安全生命周期和工程實施的工程安全模型，從而給予網(wǎng)絡安全建設和管理工作以直接指導。由此提出 PADIMEE（工程安全模型）[5]，此模型包含以下幾個主要部分：安全策略（Policy）、安全評估（Assessment）、設計（Design）、實施（Implementation）、管理（Management）、緊急響應（Emergency Response）和安全教育（Education）。

網(wǎng)絡安全技術未來的發(fā)展趨勢將從單一到不斷多元化，從靜態(tài)防護到動態(tài)防護和動、靜態(tài)防護相結合，從無序管理到遵循策略進行管理。針對特定的行業(yè)或組織，往往需要根據(jù)其網(wǎng)絡系統(tǒng)的實際運行情況選用不同的安全模型，以適應特定行業(yè)或組織網(wǎng)絡安全的特殊要求，達到有效保障網(wǎng)絡資源安全的目標[6]。

2 網(wǎng)絡安全模型研究

2.1 水利科研環(huán)境下網(wǎng)絡安全需求特點

水利科研機構具有水利專業(yè)的特點，又具有區(qū)別于政府機構、企業(yè)的特點。因此水利科研機構的網(wǎng)絡主要具有以下特點：

1）水利科研機構地域分散性。水利科研單位分支機構較多，遍布各個流域、子流域。野外工作者及各個分支機構需要及時將采集到的水利信息、數(shù)據(jù)匯總傳輸。在這樣地域分散的環(huán)境下工作，同時要保證對網(wǎng)絡接入的便利性和安全性。

2）瞬時高流量。水利科研實驗數(shù)據(jù)量大，常采用高性能計算設備，單位時間內的數(shù)據(jù)吞吐量大；水利科研行業(yè)受季節(jié)影響明顯，雨季、旱季來臨，數(shù)據(jù)量劇增，容易造成網(wǎng)絡擁堵。

3）安全性和開放性?？蒲芯W(wǎng)絡的國際國內交流頻繁，網(wǎng)站宣傳、資料傳輸、共享具有一定的開放性；同時，科研過程中使用或產(chǎn)生的敏感數(shù)據(jù)，通過內部網(wǎng)絡交流傳輸，要求具有較高的保密性。

針對水利科研網(wǎng)絡特點，提供一個穩(wěn)定、高速的，具有安全傳輸和交流的網(wǎng)絡對水利科研機構至關重要。

2.2 網(wǎng)絡安全模型研究

根據(jù)水利科研行業(yè)網(wǎng)絡安全需求及應用特點，基于 PDRR，APPDRR，PADIMEE 等安全模型，提出以管理為核心，以策略為實施手段，通過評估、防護、檢測、響應、恢復 5 部分組成的循環(huán)過程的MPAPPDRR 模型。構建管理和技術相結合，具有多層防護、實時反饋、可動態(tài)調整完善的網(wǎng)絡安全防御技術體系，如圖1 所示。

圖1 水利科研網(wǎng)絡安全防御體系

區(qū)別于以往的模型，這里的管理既包括網(wǎng)絡安全管理防御體系，也包括該體系通過策略對網(wǎng)絡安全防御技術體系中各部分的調控?！叭旨夹g，七分管理”是網(wǎng)絡安全領域的一句至理名言[7]，即網(wǎng)絡安全中的 30% 依靠計算機系統(tǒng)信息安全設備和技術保障，而 70% 則依靠用戶安全管理意識的提高及管理模式的更新。由此可見，管理在網(wǎng)絡安全中具有重要地位。具體管理手段的實施是通過執(zhí)行制定的策略實現(xiàn)的，策略需根據(jù)不同的網(wǎng)絡需要制定，處于整個網(wǎng)絡安全工作中的指導地位，建立在防護、檢測、響應等諸環(huán)節(jié)之上。

部署網(wǎng)絡安全防御體系，首先要進行網(wǎng)絡環(huán)境的風險評估。分析現(xiàn)有網(wǎng)絡安全設備和策略，以及國際互聯(lián)網(wǎng)上的攻擊手段、內部應用需求等，根據(jù)風險評估的結果為管理手段和網(wǎng)絡安全策略提供數(shù)據(jù)依據(jù)；網(wǎng)絡安全的第一道保護是防護，在防護后使用檢測來探測那些無法使用防護手段攔截的網(wǎng)絡攻擊和病毒；探測到攻擊后迅速啟動響應對外來攻擊行為做出反應；當系統(tǒng)受到攻擊并造成損壞時，及時使用備份好的數(shù)據(jù)或系統(tǒng)對網(wǎng)絡服務進行恢復，保障網(wǎng)絡服務在最短的時間內恢復到正常。這種以管理為核心、策略為指導，以風險評估-防護-檢測-響應-恢復為循環(huán)過程的網(wǎng)絡安全模型，形成了水利科研領域網(wǎng)絡安全應用的具有多層次防護能力、動態(tài)螺旋式上升趨勢的網(wǎng)絡安全防御系統(tǒng)。

3 網(wǎng)絡安全應用實踐

中國水利水電科學研究院（以下簡稱中國水科院 IWHR）是全國水利水電行業(yè)多學科綜合性科學研究和技術開發(fā)中心。中國水科院局域網(wǎng)絡系統(tǒng)（IWHRLAN）是全院進行信息傳輸、數(shù)據(jù)交換、資源共享和學術交流的基礎設施，也是全院各類科學研究、科學實驗、技術開發(fā)和科研管理工作的重要信息交流平臺，確保高速、優(yōu)質、安全、可靠的網(wǎng)絡服務是正常開展科研工作的基礎。

應用水利科研環(huán)境下的的網(wǎng)絡安全防御體系，結合中國水科院的網(wǎng)絡安全實際需求，中國水科院采用先進的網(wǎng)絡安全設施，結合自主開發(fā)的網(wǎng)絡安全應用軟件，在網(wǎng)絡安全和信息化建設工作中獲得了良好效果。具體實踐主要體現(xiàn)在風險評估等 6 個方面。

3.1 風險評估

評估主要分為收集、統(tǒng)計網(wǎng)絡運行數(shù)據(jù)，及分析、評估網(wǎng)絡安全狀況 2 個步驟[8]。首先收集中國水科院網(wǎng)絡系統(tǒng)的軟件和硬件資產(chǎn)情況。硬件資產(chǎn)包括科學計算集群，以及網(wǎng)絡、網(wǎng)絡安全、存儲、終端等設備；軟件資產(chǎn)包括公文管理等辦公系統(tǒng)、網(wǎng)站群、郵件系統(tǒng)、內網(wǎng)安全管理系統(tǒng)、各專業(yè)應用系統(tǒng)等。還需收集來自國際互聯(lián)網(wǎng)的攻擊手段、黑客攻擊形式、流行病毒等信息。將收集到的信息進行統(tǒng)計分析，研究現(xiàn)有的網(wǎng)絡安全防御體系能否有效阻止來自網(wǎng)絡的攻擊和保障網(wǎng)絡用戶業(yè)務的安全高效運轉，再根據(jù)評估結果改進管理手段，調整策略，升級網(wǎng)絡安全軟、硬件。IWHR 網(wǎng)絡的風險評估階段按規(guī)定的周期進行，評估結果為實施管理和制定策略提供了第一手資料。

3.2 防護手段

防護手段主要包括：1）中國水科院局域網(wǎng)絡與國際互聯(lián)網(wǎng)邏輯隔離截面處配置防火墻，抵御外來網(wǎng)絡攻擊；2）部署外網(wǎng) DMZ 區(qū)。外網(wǎng) DMZ 區(qū)內架設了網(wǎng)站服務器群、郵件和應用服務器等，并在DMZ 區(qū)出口處部署防病毒網(wǎng)關和 Web 應用防火墻等防護設備，確保整個服務器群對惡意代碼和黑客攻擊具有較強防御能力；3）部署反垃圾郵件網(wǎng)關，降低垃圾郵件傳輸量，并有效避免郵件系統(tǒng)資源浪費和過多消耗網(wǎng)絡帶寬資源；4）部署虛擬專用網(wǎng)（VPN）設備，實現(xiàn)通信加密防護，保證遠程和移動用戶對組織內部網(wǎng)絡的安全訪問，也可使外阜分支機構與總部實現(xiàn)網(wǎng)絡互聯(lián)，共享內部網(wǎng)絡資源；5）配備網(wǎng)站防篡改系統(tǒng)，實時監(jiān)控網(wǎng)站群各 Web 站點，防止黑客和病毒等對網(wǎng)站的網(wǎng)頁、電子文檔、圖片等進行破壞或非法修改。中國水科院網(wǎng)絡環(huán)境安全體系整體架構如圖2 所示。

圖2 中國水科院網(wǎng)絡環(huán)境安全體系整體架構

防病毒系統(tǒng)的應用是網(wǎng)絡安全防護中的必要措施，中國水科院的防病毒體系建設包括在每臺終端機上安裝客戶端防病毒軟件，在服務器上安裝基于服務器的防病毒軟件，在邊界路由內接入防病毒網(wǎng)關。同時，通過技術手段確保對所有防病毒產(chǎn)品進行統(tǒng)一的防病毒策略制定和管理。從而建立全方位、多層次的病毒防護體系，有效避免網(wǎng)絡系統(tǒng)受到病毒的破壞干擾。

3.3 檢測手段

檢測手段的實施能夠檢測出防護手段無法攔截的病毒、黑客入侵等行為，是防護手段后的又一道防線。檢測手段的實施是對防護手段的有效補充，能夠在入侵成功之前進行識別，減少因為入侵造成的損失。

中國水科院的檢測手段包括在網(wǎng)絡出口處單臂接入侵防御系統(tǒng)（IDS），提供對非法入侵行為進行實時檢測，分析用戶和系統(tǒng)的活動情況，核查系統(tǒng)配置和安全漏洞，評估系統(tǒng)重要資源和敏感數(shù)據(jù)文件的完整性，識別已知的攻擊行為，統(tǒng)計分析異常行為等防護功能。采用單臂接入侵防御系統(tǒng)，是為了在探測入侵的同時，盡可能降低對網(wǎng)絡傳輸速度和正常應用功能的影響。另外，入侵檢測系統(tǒng)還肩負著收集入侵攻擊的相關信息作為證據(jù)的功能。

中國水科院的檢測手段還包括多層次部署自主研發(fā)的漏洞掃描軟件，依據(jù)安全策略定期（或事件驅動隨機）進行設備、端口、系統(tǒng)等的掃描，發(fā)現(xiàn)應用系統(tǒng)本身存在的及配置不當所造成的安全漏洞；通過網(wǎng)絡遠程檢測、端口掃描、系統(tǒng)漏洞掃描等方法，發(fā)現(xiàn)目標網(wǎng)絡和本地主機的安全性脆弱點；使用網(wǎng)絡管理系統(tǒng)，自動生成網(wǎng)絡拓撲圖，動態(tài)監(jiān)測網(wǎng)絡流量和交換機的通斷狀態(tài)及來自網(wǎng)絡內部的攻擊數(shù)據(jù)流；在網(wǎng)絡機房安裝監(jiān)視系統(tǒng)，實時監(jiān)測機房溫度、濕度、市電通斷和設備運行情況。

檢測手段在中國水科院安全策略指導下實施，定時進行自動檢測或隨機進行人工檢測，發(fā)現(xiàn)異常情況，及時提交給響應階段進行針對性處理。

3.4 響應階段

響應措施包括記錄和報告檢測過程中的異常情況，以及收到告警信息后針對異常情況采取的處理措施。中國水科院的響應措施包括事件日志、短信報警、郵件報警等；采取的處理措施包括檢查安全事件發(fā)生的根源，實施安全隔離操作，調整安全設備的防護策略，切斷隔離網(wǎng)絡等操作。響應措施還包括統(tǒng)計、分析入侵攻擊模型，對相關策略進行改進；將發(fā)現(xiàn)的軟件產(chǎn)品安全漏洞信息通報給生產(chǎn)廠商，并要求及時答復和必要時提供產(chǎn)品現(xiàn)場升級服務。檢測到入侵之后，只有及時響應，才能充分發(fā)揮網(wǎng)絡安全模型的作用。

3.5 恢復階段

響應階段實施了隔離、斷網(wǎng)等操作后，需要及時進行恢復階段的處理。在網(wǎng)絡故障后的第一時間，將網(wǎng)絡恢復到能夠正常運轉，對外提供正常服務的狀態(tài)。為了能夠盡快實施恢復，必須注重在日常網(wǎng)絡運行維護中的備份工作，依據(jù)備份策略進行數(shù)據(jù)、系統(tǒng)和關鍵應用的備份。

同時也需要根據(jù)不同應用設定相應的備份策略。如網(wǎng)站數(shù)據(jù)采用備份服務器進行定期備份，內部網(wǎng)絡資源使用 NAS 系統(tǒng)進行定期數(shù)據(jù)備份，對于保障應用不間斷的財務、科研、公文等辦公系統(tǒng)的數(shù)據(jù)，則采用雙機熱備技術進行實時數(shù)據(jù)備份，以保障應用系統(tǒng)的高可用性。另外，針對探測到的系統(tǒng)漏洞進行及時修復，也是恢復階段實施的重點內容。提供的解決方案中，根據(jù)應用需求開發(fā)了文件數(shù)據(jù)恢復軟件，對刪除的重要文件、數(shù)據(jù)等提供拯救性的數(shù)據(jù)恢復。

3.6 管理手段和策略

通常情況下網(wǎng)絡安全采用的技術種類繁多，如防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)、身份認證、數(shù)據(jù)加密、安全審計等。這些安全技術能夠在某一特定方面發(fā)揮一定的作用，但大部分產(chǎn)品的功能分散，各安全產(chǎn)品間又沒有提供有效的統(tǒng)一管理調度機制，不能互相支撐和協(xié)同處理，從而使安全產(chǎn)品的應用效能無法得到充分發(fā)揮，給管理者造成困難，這時管理手段就起到重要的調節(jié)、分配作用。

中國水科院網(wǎng)絡安全管理手段包括對人、技術和政策的管理。對人的管理主要包括：要求介入網(wǎng)絡系統(tǒng)的人定期參加安全技術培訓，嚴格按照相關政策和安全制度及策略執(zhí)行；做到事前預案，事中分析和事后備案；逐步提高管理人員的安全意識。對政策的管理主要包括：對國家和行業(yè)相關政策的學習和執(zhí)行，對本單位網(wǎng)絡安全政策的制定和執(zhí)行監(jiān)督，并根據(jù)國家、行業(yè)的政策和風險評估分析結果對本單位的相應策略進行調整。對技術的管理，通過在機房部署網(wǎng)絡信息采集器、在辦公室布設監(jiān)視屏幕，通過網(wǎng)絡管理、機房監(jiān)視等系統(tǒng)監(jiān)控網(wǎng)絡運行狀態(tài)；對多個網(wǎng)絡安全系統(tǒng)進行集成，在統(tǒng)一界面中監(jiān)測網(wǎng)絡中各安全設備的運行狀態(tài)，對產(chǎn)生的大量日志和報警信息進行匯總、分析、審計，同時完成安全產(chǎn)品的升級、攻擊事件警報、啟動響應機制等安全管理功能，實現(xiàn)對網(wǎng)絡安全的統(tǒng)一管理。

管理手段的實施是通過策略實現(xiàn)的。策略的制定包含人的因素，人既是策略制定者，也是在策略指導下的執(zhí)行者。策略的制定也受到政策的影響。通過策略的執(zhí)行，網(wǎng)絡安全各設備和系統(tǒng)協(xié)調運作，形成統(tǒng)一的有機整體，全面抵御來自互聯(lián)網(wǎng)和內部的入侵及攻擊。

在策略的指導下，進行網(wǎng)絡環(huán)境風險評估，分析現(xiàn)有網(wǎng)絡環(huán)境，根據(jù)評估結果為管理手段和網(wǎng)絡安全策略提供數(shù)據(jù)依據(jù)；防護作為被動防御與主動防御的結合，配合及時響應和恢復，完成網(wǎng)絡防御安全周期，再進入下一輪的風險評估。安全模型中各個環(huán)節(jié)緊密相聯(lián)，互為補充，構建起層層防護的、展現(xiàn)出動態(tài)螺旋式上升趨勢的網(wǎng)絡安全防御體系。

4 結語

網(wǎng)絡技術的發(fā)展日新月異，來自網(wǎng)絡的威脅不斷變化，網(wǎng)絡安全防護技術也在不斷改進。中國水科院網(wǎng)絡安全防御體系通過風險評估不斷調整防御策略，改進管理手段，使用防護、檢測、響應、恢復等步驟應對和處理網(wǎng)絡攻擊，通過不斷自我完善和加固，提高網(wǎng)絡安全性能，確保全院計算機網(wǎng)絡系統(tǒng)正常、高速、安全、可靠的運行，從而有效保障了全院科學研究、技術開發(fā)和科研管理工作的順利發(fā)展。

2010 年，中國水科院開始采用本文提出的網(wǎng)絡安全防御體系，部署立體安全防護后，黑客入侵數(shù)量、垃圾郵件數(shù)量、病毒干擾事件均顯著降低，從 2010 年至今有效攔截各類黑客攻擊 1 萬 6 千余起，未發(fā)生 1 例成功非法入侵和篡改網(wǎng)頁事件，亦無干涉正常工作的大范圍病毒爆發(fā)。實踐證明，MPAPPDRR 安全模型及基于該模型建立的網(wǎng)絡安全防御體系，在中國水科院的應用中效果良好。我國水利科研領域各單位具有水利行業(yè)特點，面臨的問題和需求與中國水科院相似，可應用或借鑒本文提出的網(wǎng)絡安全模型，從而更加方便有效地解決網(wǎng)絡安全問題。該模型具有一定推廣價值和較好應用前景。

[1]寇申海，楊格蘭. 網(wǎng)絡信息安全體系架構分析與工程實施策略[J]. 湖南城市學院學報（自然科學版），2005 (1):72-75.

[2]魏永紅，李天智，張志，等. 網(wǎng)絡信息安全防御體系探討[J]. 河北省科學院學報，2006 (1): P26-28.

[3]周海剛，邱正倫，肖軍模. 網(wǎng)絡主動防御安全模型及體系結構[J]. 解放軍理工大學學報（自然科學版），2005 (1):40-43

[4]潘潔，劉愛潔. 基于 APPDRR 模型的網(wǎng)絡安全系統(tǒng)研究[J]. 電信工程技術與標準化，2009 (7): 27-28.

[5]費欣毅. 基于 PADIMEE 模型的網(wǎng)絡信息安全防護探討[J].科技資訊，2012 (5): 21-22.

[6]楊波. 校園網(wǎng)的網(wǎng)絡信息安全分析與研究[D]. 蘭州大學，2007: 35-36.

[7]劉萍，曾陳萍. 計算機網(wǎng)絡安全及防范技術探討[J]. 科技創(chuàng)業(yè)月刊，2007 (1): 194-195.

[8]黃偉力，李瑞，關睿. 計算機網(wǎng)絡信息安全評估系統(tǒng)[J].河北建筑科技學院學報，2005 (2): 47-50.