賈方（天津市水務局信息管理中心，天津 300074）

水利信息安全管理系統的分析與研究

賈方
（天津市水務局信息管理中心，天津 300074）

水利信息化是我國信息化建設的重要組成部分，水利信息化網絡在實際應用過程中，會遇到各種安全問題的威脅，嚴重影響了水利信息化發(fā)展的安全性和穩(wěn)定性。本文對天津市水務局水利信息化網絡中安全產品的現狀進行了分析，闡述了其網絡安全產品的局限性，提出了水利信息安全管理系統，對系統應具備的功能進行了詳細的分析，對系統的組成進行了研究，并對其關鍵技術的實現展開了深入地討論。

水利信息化 安全管理 聯動策略

1　現況

隨著水利信息化技術的發(fā)展，水利信息化系統在水利事業(yè)中應用越來越廣泛，水利信息化系統涉及的水利信息越來越多，這時一個很重要的問題擺在了人們的面前，那就是水利信息化系統的安全問題。如果水利信息化系統被人攻擊，水利信息被人竊取，將給國家和人民造成巨大的損失。

天津市水務局水利信息化網絡包括防汛抗旱、辦公自動化、水文水資源、水土保持、水質監(jiān)測等各種應用系統，面對當前嚴峻的水利信息安全形勢，為了保障水利信息化系統安全正常的運行，天津市水務局建設了水利信息安全防護體系，其安全基礎設施主要包括防火墻、入侵檢測及漏洞掃描、Web信息防篡改系統、網絡接入控制和安全審計、防病毒軟件、身份認證等安全產品。

這些安全產品在各自的崗位上發(fā)揮著重要的作用，保護著網絡的安全。但是從系統整體安全考慮，這些網絡安全產品都只是各司其職，沒有溝通合作，缺乏統一調度，容易造成信息冗余和資源的浪費，對網絡的保護存在局限性，在遭遇復雜的綜合型攻擊時，安全防護體系就會非常脆弱，將不能保護水利信息化系統的安全。

因此，我們提出水利信息安全管理系統，對這些安全產品進行統一的管理和整體配置，實現各安全產品間的信息互通和聯動合作，讓他們的功能得到充分的發(fā)揮，共同確保整個水利信息化系統的安全。

2　水利信息安全管理系統的功能分析

水利信息安全管理系統是一個綜合的、動態(tài)的安全體系，需要解決各種安全技術和產品的統一管理和協調問題，能實現水利信息系統中的安全設備間的互操作，從整體上提高水利信息系統整體的抵抗攻擊和防御入侵的能力，保持系統及服務的安全性、可靠性和可用性。

水利信息安全管理系統要實時采集各安全設備的安全信息，監(jiān)控各安全設備的運行狀況。所以網絡安全管理平臺要具有高效的安全信息收集和設備監(jiān)控功能，平臺能夠收集各集成安全設備發(fā)出的安全告警信息、系統日志數據等安全信息，這些數據經平臺的綜合分析處理，使平臺監(jiān)控中心能在整體上掌握整個系統的綜合安全狀況，及時發(fā)現影響水利信息系統安全的不當行為。

水利信息安全管理系統要有集中管理功能。能夠對水利信息系統中的多種安全設備進行集中管理，將系統中的各種安全設備發(fā)送的信息數據進行采集，將不同格式的數據進行統一格式化，方便對各信息的整合、歸并與關聯分析，過濾事件中的誤報和冗余事件，產生確定的安全警報，并根據制定的聯動策略對安全設備進行動態(tài)配置，快速調動各安全設備聯動操作，消除水利信息系統受到的安全威脅。

水利信息安全管理系統要保證高安全性［1］，要保證水利信息安全管理系統的安全，保證安全信息采集和處理過程的安全。并且系統中的設備間設置高強度安全通道，保證安全信息傳輸過程中的安全。

水利信息安全管理系統是一個高擴展性平臺［1］，可實現與各種安全設備之間的互通與聯動，支持多種安全設備的統一管理，對新出現的安全技術和產品也保留了開放的擴展接口，易于與新的安全設備相結合。

3　水利信息安全管理系統的整體結構

水利信息安全管理系統分為用戶層，數據采集層、安全管理中心、數據庫支撐層和被管設備層五層結構。

用戶層是安全管理系統的控制平臺，提供方便系統管理員操作的可視化界面。系統安全管理員可以通過網頁査看安全報告、進行策略配置等操作，便于管理和維護系統。

數據采集層的主要工作是從水利信息系統中的各種安全設備上采集安全信息，并初步對這些安全信息進行加密和格式化處理，然后將數據發(fā)送給安全管理中心。

安全管理中心是水利信息安全管理系統的神經中樞，由風險評估模塊，關聯分析模塊，策略響應模塊，數據采集代理控制模塊等組成，支配著安全管理設備的互聯合作。

數據庫支撐層包括事件數據庫、規(guī)則數據庫和策略數據庫。其中，事件數據庫中存放收集的安全信息；規(guī)則數據庫中存放事件關聯的規(guī)則；策略數據庫中存放系統策略。

被管設備層指水利信息系統中的各種被管理的安全設備，防火墻，入侵檢測系統，防病毒系統等。

4　關鍵技術的實現

4.1數據采集

數據釆集指能夠有效、正確、穩(wěn)定的獲取所需要的信息。本系統采用管理者/代理的數據采集方式，在被管理對象（防火墻、IDS等）上安裝數據采集代理Agent。

數據采集代理Agent的主要工作是采集網絡中個安全產品的配置情況、事件日志、運行狀態(tài)、流量統計，安全信息等數據，對數據進行格式化和加密預處理后上報給安全管理中心進行數據處理，同時接收管理中心的控制命令傳輸給被管設備。

數據采集代理Agent是水利信息安全管理系統的一部分，是安全管理系統與安全產品之間、安全產品與宿主機之間、安全產品彼此之間的一個聯系紐帶。但它和系統之間在實現上具有一定的獨立性。采用Agent結構，無論被管安全產品運行何種系統，只要是開發(fā)了支持該系統的Agent，就可以把此安全產品納入本系統的管理之中，使得網絡安全管理系統能夠管理運行于各種系統的安全設備，并且可以很方便地隨時添加或刪除被管部件［4］。

4.2數據處理

在水利信息安全管理系統中，數據處理主要對代理上報的信息進行風險評估，分類，篩選和關聯分析等處理，去除數據中的冗余或錯誤信息，識別威脅，產生應對策略。

數據處理模塊首先分析采集代理上報的數據，此數據是根據一定規(guī)則進行封裝的信息，通過比對信息各字段的值，如在1s內，某兩個信息各字段的值相同，則我們認為產生了冗余事件則去除其中一個冗余信息，并根據字段中安全信息的類型分類存儲到事件數據庫中。同時對此事件進行風險評估和關聯分析。

本系統用實時風險評估技術分析安全信息［3］，動態(tài)地獲得網絡的各種資源的風險信息，從整體上評估水利信息系統網絡和主機的安全狀況，為用戶及時調整網絡安全狀況提供重要的依據。

本系統采取基于規(guī)則的關聯模型［3］對獲得的安全信息進行關聯分析，用來判斷一系列安全事件是否源于同一個攻擊行為并完成攻

············

擊場景的重構，識別出攻擊的類型，攻擊者的身份，得出安全分析報告。

接著對數據進行更進一步的融合，從整體上分析出安全威脅的真正所在，并對其發(fā)展趨勢進行估計，為管理員提供方便直觀的系統安全信息。

4.3聯動控制的實現

本系統聯動控制是通過聯動策略實現的［6］。當數據經過處理后，控制中心判斷需要進行安全產品聯動防御病毒入侵時，控制中心將要求提供給策略響應組件，此組件從策略庫中選擇相應的聯動策略并傳遞給相應的安全設備代理，控制安全設備的運行。

本系統聯動策略包含一個規(guī)則集，每條規(guī)則采用if＜condition ＞then＜action＞模式.一條規(guī)則對應一個配置動作，每一條聯動策略可能由一條規(guī)則組成，也可能由多條規(guī)則組成.每一條規(guī)則對應安全設備的唯一的狀態(tài)變遷過程，它包含的每一個配置動作只包含完成一次狀態(tài)改變的配置［5］。事實上，只有多條規(guī)則分別作用于不同的設備才能夠體現設備的協同聯動性。因此只要系統的當前狀態(tài)和觸發(fā)條件滿足，多個不矛盾規(guī)則中的配置動作可以同時執(zhí)行。

聯動控制技術幫助安全體系有效組合并提升性能。例如防火墻與入侵檢測系統聯動，使防護體系由靜態(tài)到動態(tài)，由平面到立體，提升了防火墻的機動性和實時反應能力，也增強了入侵檢測系統的阻斷功能等。

5　結語

水利信息安全管理系統，是一個更全面、更智能的一體化安全防護體系，能有效的保護水利信息的安全。本文對水利信息安全管理系統的功能進行了詳細的分析，對系統的組成和關鍵技術的實現展開了深入地討論。隨著聯動機制的進一步發(fā)展和成熟，水利信息安全管理系統將更加完善。

［1］伏曉，蔡圣聞，謝立.網絡安全管理技術研究.計算機科學，2009，36 （2）.

［2］邢戈，張玉清，馮登國.網絡安全管理平臺研究.計算機工程，2004，30 （10）.

［3］史簡，郭山清等.統一網絡安全管理平臺的研究與實現.計算機應用研究，2006-9.

［4］薛靜鋒，曹元大.集成化網絡安全管理平臺的設計.北京理工大學學報，2001，21（6）.

［5］馮志偉.網絡安全設備聯動策略的研究與應用.華北電力大學（保定），2014年.

［6］劉勇，常國岑等.HTTP網絡安全管理聯動系統的設計與實現.計算機安全，2002，（20）.

賈方（1983—），女，河北保定人，工學碩士，水利工程師，研究方向：水利信息化。