胡勇

（松遼水利委員會(huì)水文局（信息中心），吉林長(zhǎng)春130021）

水利信息網(wǎng)絡(luò)安全問(wèn)題研究

胡勇

（松遼水利委員會(huì)水文局（信息中心），吉林長(zhǎng)春130021）

隨著水利信息化的深入開展，水利信息網(wǎng)絡(luò)中存在的安全問(wèn)題也日益突顯出來(lái)。本文對(duì)水利信息網(wǎng)絡(luò)可能遭受的各種威脅及攻擊進(jìn)行了分析，并提出了一些可行的應(yīng)對(duì)策略。

安全問(wèn)題；水利信息網(wǎng)絡(luò)；風(fēng)險(xiǎn)；防御

水利信息化是我國(guó)信息化建設(shè)的重要組成部分，也是實(shí)現(xiàn)水利現(xiàn)代化的必然途徑。水利信息化從水利信息的采集、傳輸、存儲(chǔ)、處理和服務(wù)全面實(shí)現(xiàn)數(shù)字化、網(wǎng)絡(luò)化和信息化，全面提高水利事業(yè)的效率和效能。但是在實(shí)際應(yīng)用過(guò)程中，存在著一些安全問(wèn)題和威脅，影響著水利信息網(wǎng)絡(luò)的穩(wěn)定和安全性。

1　水利信息網(wǎng)絡(luò)存在的安全問(wèn)題

1.1硬件設(shè)備的不穩(wěn)定性問(wèn)題

水利信息網(wǎng)站建設(shè)了專用機(jī)房，大多數(shù)機(jī)房配置UPS電源和空調(diào)設(shè)備，采取了防雷、防靜電、防火等措施，部分單位機(jī)房還配置門禁、視頻監(jiān)控等設(shè)施。但仍有一些機(jī)構(gòu)的硬件設(shè)備仍然不足，或者設(shè)備老化，沒(méi)有及時(shí)更換。例如有些機(jī)構(gòu)缺少備份設(shè)備，沒(méi)有災(zāi)難恢復(fù)系統(tǒng)

1.2應(yīng)用系統(tǒng)環(huán)境安全問(wèn)題

應(yīng)用安全威脅主要是指應(yīng)用系統(tǒng)在應(yīng)用層面所面臨的安全風(fēng)險(xiǎn)。應(yīng)用系統(tǒng)多為定制開發(fā)，在對(duì)外服務(wù)中存在安全隱患：緩沖區(qū)溢出、目錄日歷漏洞、軟件運(yùn)行出錯(cuò)，或無(wú)法運(yùn)行等。

1.3黑客的攻擊

黑客利用計(jì)算機(jī)網(wǎng)絡(luò)的漏洞侵入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)進(jìn)行惡意攻擊，意圖使網(wǎng)絡(luò)癱瘓；或者通過(guò)獲取管理員密碼，從而竊取數(shù)據(jù)，達(dá)到控制對(duì)方計(jì)算機(jī)的目的，影響整個(gè)網(wǎng)絡(luò)的運(yùn)行和使用，并帶來(lái)了巨大的經(jīng)濟(jì)損失。

1）外部風(fēng)險(xiǎn)。信息網(wǎng)絡(luò)上只要有1臺(tái)機(jī)器同時(shí)連接在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)上，整個(gè)水利信息網(wǎng)絡(luò)就暴露在互聯(lián)網(wǎng)上，就存在受黑客攻擊的危險(xiǎn)。

2）內(nèi)部風(fēng)險(xiǎn)。內(nèi)部職工對(duì)自身網(wǎng)絡(luò)的結(jié)構(gòu)應(yīng)用比較熟悉，自己攻擊或內(nèi)外勾結(jié)泄漏重要信息，都將可能導(dǎo)致系統(tǒng)的癱瘓，信息的破壞或泄密。內(nèi)部攻擊的防范難度比較大，內(nèi)部人員可以繞過(guò)防火墻對(duì)網(wǎng)站進(jìn)行攻擊，對(duì)信息網(wǎng)站的威脅更大。

1.4計(jì)算機(jī)病毒的威脅

計(jì)算機(jī)病毒爆發(fā)，輕則使計(jì)算機(jī)運(yùn)行速度迅速變慢，重則使計(jì)算機(jī)軟件系統(tǒng)癱瘓，甚至?xí)茐挠?jì)算機(jī)硬件，使其報(bào)廢。病毒一旦進(jìn)入計(jì)算機(jī)后就會(huì)隱藏起來(lái)，以此躲避用戶的發(fā)現(xiàn)。它們會(huì)躲避在正常的文件當(dāng)中，甚至?xí)粩喔淖冏约海源藖?lái)逃避殺毒軟件的查殺。病毒可以攻擊計(jì)算機(jī)的軟件、硬件和數(shù)據(jù)，包括操作系統(tǒng)、系統(tǒng)數(shù)據(jù)區(qū)、內(nèi)存、網(wǎng)絡(luò)系統(tǒng)等。

隨著計(jì)算機(jī)和互聯(lián)網(wǎng)的發(fā)展，計(jì)算機(jī)病毒也呈現(xiàn)出了一些新的發(fā)展趨勢(shì)：傳播網(wǎng)絡(luò)化、傳播方式多樣化、入侵移動(dòng)通信工具等。另外，黑客技術(shù)和病毒技術(shù)相互融合，更是不斷威脅著信息網(wǎng)絡(luò)安全。

1.5非授權(quán)訪問(wèn)

一般把沒(méi)有經(jīng)過(guò)對(duì)方同意，就使用對(duì)方網(wǎng)絡(luò)或計(jì)算機(jī)資源的情況稱為非授權(quán)訪問(wèn)。 如果未經(jīng)同意，有意避開訪問(wèn)控制機(jī)制，對(duì)網(wǎng)絡(luò)或系統(tǒng)非法使用；或者擅自擴(kuò)大對(duì)方給予自己的權(quán)限，越權(quán)訪問(wèn)信息，都是非授權(quán)訪問(wèn)。非授權(quán)訪問(wèn)存在以下幾種訪問(wèn)形式：攻擊、假冒、非法侵入、合法用戶越權(quán)操作等。

1.6信息泄露或丟失

信息在網(wǎng)絡(luò)的傳輸中，由于沒(méi)有加密或者黑客惡意的分析破解信息的流向、流量、長(zhǎng)度等參數(shù)，導(dǎo)致信息的泄露或丟失。信息在存儲(chǔ)的過(guò)程中，由于管理不善也會(huì)造成泄露或者丟失。

2　解決對(duì)策

信息安全的威脅嚴(yán)重干擾了水利信息系統(tǒng)及網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，阻礙了我國(guó)水利信息網(wǎng)絡(luò)的健康快速發(fā)展，應(yīng)該采取多種方式增強(qiáng)水利信息網(wǎng)絡(luò)防御能力，促進(jìn)水利信息化的持續(xù)、快速、健康發(fā)展。

2.1備份及災(zāi)難恢復(fù)

水利信息網(wǎng)絡(luò)系統(tǒng)的備份與恢復(fù)主要內(nèi)容包括：

1）服務(wù)器的備份。組成水利信息網(wǎng)絡(luò)系統(tǒng)的服務(wù)器有很多，依據(jù)功能及作用的不同其重要性差異也較大，對(duì)于不同的服務(wù)器應(yīng)采取不同的安全防護(hù)策略，對(duì)于水文防汛等重要服務(wù)器，必須建立熱備份或冷備份機(jī)制，要實(shí)時(shí)做到信息的備份。

2）網(wǎng)絡(luò)備份。主要分為電路備份、拓?fù)溥x型、單點(diǎn)故障排除和保存配置等幾方面內(nèi)容。對(duì)于網(wǎng)絡(luò)電路必須建立水利信息網(wǎng)絡(luò)的電路備份體系，對(duì)水利信息網(wǎng)絡(luò)系統(tǒng)所使用的路由器、防火墻、交換機(jī)等相關(guān)的配置文件應(yīng)給予安全的備份，當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)可以通過(guò)備份的配置文件，以恢復(fù)原始的設(shè)置。

3）數(shù)據(jù)的備份。包含系統(tǒng)數(shù)據(jù)備份、應(yīng)用數(shù)據(jù)備份兩方面。為了保證水利信息系統(tǒng)關(guān)鍵數(shù)據(jù)的安全性，必須建立數(shù)據(jù)安全備份或?yàn)?zāi)難備份計(jì)劃。可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份，也可以對(duì)數(shù)據(jù)文件及日志進(jìn)行備份。

4）災(zāi)難恢復(fù)。水利信息網(wǎng)絡(luò)系統(tǒng)的災(zāi)難恢復(fù)計(jì)劃，應(yīng)考慮冗余系統(tǒng)即分布式系統(tǒng)，其目標(biāo)是消除單點(diǎn)故障。當(dāng)故障出現(xiàn)時(shí)，冗余系統(tǒng)及時(shí)接替進(jìn)行服務(wù)和工作，保證水利信息網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。

2.2選擇穩(wěn)定安全的應(yīng)用系統(tǒng)環(huán)境

在選擇定制開發(fā)軟件的公司，或者選擇軟件時(shí)，盡可能選擇運(yùn)行穩(wěn)定不出問(wèn)題、響應(yīng)速度快的應(yīng)用系統(tǒng)。要多渠道了解應(yīng)用系統(tǒng)環(huán)境使用的穩(wěn)定性，要進(jìn)行認(rèn)真的測(cè)試后才能選擇，以降低不安全的因素。

2.3網(wǎng)絡(luò)攻擊防范

1）廣域網(wǎng)部分。

為了防止信息網(wǎng)絡(luò)出現(xiàn)問(wèn)題，結(jié)合地域分布及業(yè)務(wù)流程的實(shí)際應(yīng)用情況，可以考慮建設(shè)地域分中心。地域分中心之間形成網(wǎng)狀結(jié)構(gòu)，整個(gè)網(wǎng)絡(luò)調(diào)整為星型和網(wǎng)狀相結(jié)合的結(jié)構(gòu)，降低單一星型網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。在信息網(wǎng)絡(luò)上布設(shè)安全設(shè)備，例如在重要服務(wù)器群或需要重點(diǎn)安全防護(hù)的網(wǎng)絡(luò)子網(wǎng)邊界處布設(shè)防火墻等安全設(shè)備。對(duì)于黑客的入侵，可以選擇使用入侵檢測(cè)系統(tǒng)，以提高信息網(wǎng)絡(luò)的安全性。

2）局域網(wǎng)部分。

水利信息網(wǎng)絡(luò)可以根據(jù)實(shí)際應(yīng)用和物理分布情況，劃分不同的子網(wǎng)。將不同風(fēng)險(xiǎn)等級(jí)保護(hù)的網(wǎng)絡(luò)資源相互隔離，實(shí)施相應(yīng)的訪問(wèn)控制機(jī)制，同時(shí)進(jìn)行硬件地址與IP地址綁定，并防止出現(xiàn)偽裝，這樣可以降低安全風(fēng)險(xiǎn)。

對(duì)于水利部門人員對(duì)網(wǎng)絡(luò)的使用要嚴(yán)格規(guī)定，內(nèi)外網(wǎng)不能同時(shí)使用。劃歸外部網(wǎng)絡(luò)的可以訪問(wèn)互聯(lián)網(wǎng)，但不能訪問(wèn)信息網(wǎng)絡(luò)的關(guān)鍵性數(shù)據(jù)，不能訪問(wèn)信息網(wǎng)絡(luò)的管理后臺(tái)；劃歸內(nèi)部網(wǎng)絡(luò)的只能訪問(wèn)水利信息網(wǎng)絡(luò)的內(nèi)部資源，不能與互聯(lián)網(wǎng)進(jìn)行連接，保證內(nèi)部網(wǎng)絡(luò)的安全。

信息網(wǎng)絡(luò)從內(nèi)部比從外部攻擊更容易攻破。因此，在進(jìn)行安全管理時(shí)，還要加強(qiáng)對(duì)內(nèi)部設(shè)備和賬戶的監(jiān)控，可以采用硬件設(shè)備進(jìn)行信息傳遞的監(jiān)測(cè)，同時(shí)對(duì)內(nèi)部也要設(shè)置較高級(jí)別的安全防護(hù)機(jī)制，也可以在內(nèi)部網(wǎng)絡(luò)使用安全防范設(shè)備。

2.4計(jì)算機(jī)病毒的防治

由于病毒主要來(lái)源于internet，通過(guò)電子郵件、Web訪問(wèn)、文件下載和文件共享等方式進(jìn)行傳染，因此水利信息網(wǎng)絡(luò)的防病毒系統(tǒng)應(yīng)重點(diǎn)關(guān)注防火墻、郵件服務(wù)器、工作站、web服務(wù)器和文件服務(wù)器。計(jì)算機(jī)病毒防治工作應(yīng)包含以下內(nèi)容：l）對(duì)傳播途徑進(jìn)行有效的病毒過(guò)濾，對(duì)可能感染病毒的不同風(fēng)險(xiǎn)區(qū)域進(jìn)行有效的隔離；2）在桌面服務(wù)器上部署防病毒系統(tǒng)清除病毒；3）針對(duì)郵件系統(tǒng)建立病毒檢測(cè)清除系統(tǒng)。在選擇查殺病毒的軟件時(shí)，可以選擇網(wǎng)絡(luò)殺毒和安全防護(hù)軟件，減少了維護(hù)及設(shè)置時(shí)間。

2.5身份信息驗(yàn)證

應(yīng)對(duì)來(lái)自不同風(fēng)險(xiǎn)程度網(wǎng)絡(luò)的用戶，采用不同強(qiáng)度的認(rèn)證方式，對(duì)不同安全等級(jí)的用戶采取合適強(qiáng)度的安全認(rèn)證策略，在滿足應(yīng)用系統(tǒng)安全強(qiáng)度要求的前提下 ，最大限度地降低因安全技術(shù)的使用給應(yīng)用帶來(lái)的使用繁瑣性。例如對(duì)外部網(wǎng)的用戶采用雙因子身份認(rèn)證方式，既使用帳號(hào)加口令，同時(shí)使用含身份證書的硬件智能卡來(lái)驗(yàn)證。對(duì)于僅使用內(nèi)部網(wǎng)傳輸?shù)闹匾畔⒖刹捎谜獢?shù)字簽名的方式進(jìn)行認(rèn)證。

2.6信息安全保護(hù)

對(duì)水利內(nèi)部人員在廣域網(wǎng)上數(shù)據(jù)的保密傳輸，可以采用加密機(jī)、加密卡或軟件加密等方式來(lái)實(shí)現(xiàn)。對(duì)遠(yuǎn)程監(jiān)控系統(tǒng)數(shù)據(jù)，安全要求高保密性強(qiáng)的應(yīng)用項(xiàng)目，也可采用端到端加密傳輸措施，利用加密系統(tǒng)的認(rèn)證和加密傳輸，保證水利廣域網(wǎng)傳輸數(shù)據(jù)的機(jī)密性、完整性。

3　結(jié)　語(yǔ)

面對(duì)當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)與信息安全形勢(shì)，要保障水利信息網(wǎng)絡(luò)系統(tǒng)的安全、穩(wěn)定運(yùn)行，迫切需要建設(shè)水利信息網(wǎng)絡(luò)與信息安全防護(hù)體系。因此，在現(xiàn)有技術(shù)基礎(chǔ)之上，還需要建立及完善水利信息網(wǎng)絡(luò)安全體系，保障水利信息的安全和及時(shí)傳遞。

［1］林林.網(wǎng)絡(luò)安全模型在水利科研環(huán)境中的應(yīng)用與研究［J］.水利信息化，2013（1）.

［2］程建華．信息安全風(fēng)險(xiǎn)管理、評(píng)估與控制研究［D］.吉林大學(xué)，2008：25.

［3］詹全忠，陳嵐.淺談水利網(wǎng)絡(luò)與信息安全體系［J］.水利信息化，2010（5）.

［4］宋博.河南水利信息化網(wǎng)絡(luò)安全研究［J］.河南水利與南水北調(diào)，2010（11）.

TP309.5

B

1002－0624（2015）12－0044－02

2015-07-25