宗華麗

（海河水利委員會(huì)水利信息網(wǎng)絡(luò)中心，天津 300170）

海委計(jì)算機(jī)網(wǎng)絡(luò)安全和防范策略簡(jiǎn)介

宗華麗

（海河水利委員會(huì)水利信息網(wǎng)絡(luò)中心，天津 300170）

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的日新發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已成為我們工作生活不可或缺的工具，隨之而來(lái)的安全問(wèn)題如網(wǎng)絡(luò)漏洞、黑客攻擊、網(wǎng)絡(luò)負(fù)載等成為計(jì)算機(jī)網(wǎng)絡(luò)健康運(yùn)行時(shí)刻需要警覺(jué)的事情。在分析海委網(wǎng)絡(luò)安全存在問(wèn)題的基礎(chǔ)上，描述海委計(jì)算機(jī)網(wǎng)絡(luò)安全防范采取的措施和防范策略。

計(jì)算機(jī)；網(wǎng)絡(luò)安全；惡意攻擊；海委

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，人們對(duì)于信息網(wǎng)絡(luò)的認(rèn)識(shí)更加充分，對(duì)于網(wǎng)絡(luò)平臺(tái)共享資源的應(yīng)用更加順暢，但是相應(yīng)的各種網(wǎng)絡(luò)安全問(wèn)題諸如系統(tǒng)軟硬件Bug、黑客攻擊、網(wǎng)絡(luò)堵塞、人們網(wǎng)絡(luò)安全意識(shí)薄弱等造成信息被竊取、個(gè)人的隱私和財(cái)產(chǎn)受到威脅，網(wǎng)絡(luò)安全問(wèn)題日益成為國(guó)家和個(gè)人重視的事情。筆者在具體介紹海委計(jì)算機(jī)網(wǎng)絡(luò)現(xiàn)狀的基礎(chǔ)上，通過(guò)對(duì)海委計(jì)算機(jī)網(wǎng)絡(luò)存在的安全問(wèn)題進(jìn)行剖析，闡述了海委計(jì)算機(jī)網(wǎng)絡(luò)采取的安全防范策略和措施。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全概述

計(jì)算機(jī)網(wǎng)絡(luò)安全（Network Security）一般是指利用網(wǎng)絡(luò)技術(shù)及管理措施，使在一個(gè)網(wǎng)絡(luò)環(huán)境內(nèi)數(shù)據(jù)的完整性、保密性及可實(shí)用性得到保護(hù)。網(wǎng)絡(luò)安全從物理安全和邏輯安全兩個(gè)方面來(lái)確保計(jì)算機(jī)網(wǎng)絡(luò)的高可靠性。其中，物理安全是系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)免于被破壞或者丟失；邏輯安全即保證信息的完整性、保密性和可用性。參照ISO給出的計(jì)算機(jī)安全定義，筆者認(rèn)為計(jì)算機(jī)網(wǎng)絡(luò)安全是指“保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件和數(shù)據(jù)資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠性地正常運(yùn)行和網(wǎng)絡(luò)服務(wù)正常有序。”

1.1 網(wǎng)絡(luò)安全的特性

由于計(jì)算機(jī)網(wǎng)絡(luò)本身具有開放性、共享性，這就決定了它的脆弱性，而網(wǎng)絡(luò)系統(tǒng)自身也具有一些固有的弱點(diǎn)，一些非授權(quán)用戶利用這些弱點(diǎn)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行非法訪問(wèn)，使網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)完整性受到嚴(yán)重威脅。

筆者主要從硬件、操作系統(tǒng)、應(yīng)用程序、網(wǎng)絡(luò)漏洞、管理5個(gè)方面闡述網(wǎng)絡(luò)安全的特性。

（1）硬件是網(wǎng)絡(luò)安全的基礎(chǔ)保障，其合理配置關(guān)系到硬件的正常運(yùn)行，保障數(shù)據(jù)傳輸?shù)恼鎸?shí)性以及數(shù)據(jù)的備份能力等。

（2）這里所指的操作系統(tǒng)是指網(wǎng)絡(luò)中的各種計(jì)算機(jī)操作系統(tǒng)、各種存儲(chǔ)設(shè)備的數(shù)據(jù)庫(kù)系統(tǒng)，操作系統(tǒng)的穩(wěn)定性能夠保證各類服務(wù)器系統(tǒng)不被攻擊破壞，確保硬件防火墻的設(shè)置、用戶權(quán)限的配置以及重要數(shù)據(jù)的備份能力。

（3）應(yīng)用程序環(huán)節(jié)的健康合理使用是網(wǎng)絡(luò)安全的重要一環(huán)。往往一些病毒、木馬植入用戶計(jì)算機(jī)就是由于用戶不恰當(dāng)使用應(yīng)用程序?qū)е碌?。所以，?guī)范化安裝應(yīng)用程序、配備常用防護(hù)殺毒軟件并且及時(shí)更新應(yīng)用程序是保障網(wǎng)絡(luò)安全的重要環(huán)節(jié)。

（4）網(wǎng)絡(luò)漏洞則是通過(guò)網(wǎng)絡(luò)硬件設(shè)備如防火墻、入侵檢測(cè)等防止非授權(quán)用戶的攻擊和破壞。

（5）管理方面要求嚴(yán)防死守，對(duì)整個(gè)網(wǎng)絡(luò)的本地安全策略和網(wǎng)絡(luò)管理流程精心梳理，從制度上嚴(yán)格遵守執(zhí)行，明確突發(fā)情況時(shí)如何采取應(yīng)急措施，以保證網(wǎng)絡(luò)服務(wù)器等設(shè)備及數(shù)據(jù)的安全。

網(wǎng)絡(luò)物理安全是指網(wǎng)絡(luò)硬件的安全，它是整個(gè)網(wǎng)絡(luò)安全的基礎(chǔ)保障。要做到網(wǎng)絡(luò)物理安全必須在建設(shè)網(wǎng)絡(luò)初期就應(yīng)該重視設(shè)計(jì)，搭建好之后要有專門的硬件安全防線（如智能路由、硬件防火墻以及智能交換機(jī)等），同時(shí)要對(duì)網(wǎng)絡(luò)定期進(jìn)行漏洞病毒掃描，做到數(shù)據(jù)備份。在此基礎(chǔ)上，管理制度管理手段是維持網(wǎng)絡(luò)健康運(yùn)行的靈魂，只有這樣才能保障網(wǎng)絡(luò)的健康活躍性。

1.2 海委計(jì)算機(jī)網(wǎng)絡(luò)安全性概述

海委計(jì)算機(jī)網(wǎng)絡(luò)開發(fā)建設(shè)使用較早，很多設(shè)備老化、網(wǎng)絡(luò)速度過(guò)慢、延遲過(guò)高的現(xiàn)象時(shí)有發(fā)生。海委政務(wù)外網(wǎng)之前對(duì)上網(wǎng)流量沒(méi)有限制，造成一些用戶使用一些P2P軟件，強(qiáng)行占用網(wǎng)絡(luò)帶寬，將其他用戶流量降到最低，導(dǎo)致一些用戶反映網(wǎng)速過(guò)慢；由于互聯(lián)網(wǎng)和電子政務(wù)外網(wǎng)銜接監(jiān)控不嚴(yán)格，加之局域網(wǎng)內(nèi)部監(jiān)管不力，網(wǎng)絡(luò)中的Arp病毒及各種網(wǎng)絡(luò)病毒泛濫；另外，海委數(shù)據(jù)機(jī)房服務(wù)器比較陳舊，導(dǎo)致上網(wǎng)高峰期出現(xiàn)不穩(wěn)定現(xiàn)象，數(shù)據(jù)的容災(zāi)備份能力也比較弱，更加成為海委政務(wù)外網(wǎng)安全性的弱點(diǎn)。

經(jīng)過(guò)近幾年項(xiàng)目實(shí)施和資金投入，海委建成了自己局域網(wǎng)絡(luò)的防護(hù)屏障，以保障海委日常辦公的正常開展。海委電子政務(wù)安全設(shè)備部署情況，如圖1所示。

圖1 海委電子政務(wù)外網(wǎng)安全設(shè)備部署拓?fù)鋱D

從圖1可以看出，海委已經(jīng)建成具有多層硬件防火墻、智能路由及交換設(shè)備、入侵檢測(cè)、行為監(jiān)控、抗DOS攻擊、網(wǎng)絡(luò)審計(jì)、負(fù)載均衡等屏障的防護(hù)體系，從物理安全上保障了海委政務(wù)外網(wǎng)的安全。

2 海委計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)措施

2.1 網(wǎng)絡(luò)訪問(wèn)控制措施

（1）防火墻（Firewall）應(yīng)用。防火墻是用于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，按照特定的規(guī)則，允許或限制數(shù)據(jù)傳輸?shù)耐ㄟ^(guò)。一般而言，用于服務(wù)器端的是硬件防火墻，用于客戶端的是軟件防火墻。防火墻的應(yīng)用極大提高了網(wǎng)絡(luò)訪問(wèn)的安全性。

（2）訪問(wèn)控制列表（Access Control List，簡(jiǎn)稱ACL）設(shè)置。訪問(wèn)控制列表是一系列的規(guī)則，由于在網(wǎng)絡(luò)交換機(jī)和路由器之間需要相關(guān)的網(wǎng)絡(luò)接口，這些接口是網(wǎng)絡(luò)安全的第一道關(guān)口，ACL是這些接口用到的指令來(lái)規(guī)范數(shù)據(jù)出入海委電子政務(wù)外網(wǎng)，以保障數(shù)據(jù)傳輸?shù)陌踩浴?/p>

（3）虛擬局域網(wǎng)（Virtual Local Area Network，簡(jiǎn)稱VLAN）設(shè)立。虛擬局域網(wǎng)是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶不受物理位置的限制，可以根據(jù)功能因素將其組織起來(lái)進(jìn)行通信。VLAN用于內(nèi)部局域網(wǎng)絡(luò)的虛擬IP地址劃分，用邏輯地址管理實(shí)際的政務(wù)外網(wǎng)內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備，使用VLAN技術(shù)來(lái)隔離網(wǎng)絡(luò)內(nèi)部計(jì)算機(jī)，確保整個(gè)網(wǎng)絡(luò)更加安全。

（4）IP與MAC地址綁定。海委政務(wù)外網(wǎng)的每臺(tái)計(jì)算機(jī)終端都是IP與MAC地址綁定的，防止IP地址被盜造成的網(wǎng)絡(luò)無(wú)法運(yùn)行、數(shù)據(jù)丟失等后果。由于每臺(tái)機(jī)器的MAC都是唯一的，所以通過(guò)綁定IP地址減少了虛擬IP所造成的隱患。

2.2 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)（IDS）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行實(shí)時(shí)監(jiān)控的系統(tǒng)，不同于防火墻的被動(dòng)防御，它是發(fā)現(xiàn)可疑傳輸主動(dòng)采取措施的網(wǎng)絡(luò)安全設(shè)備。IDS是一種監(jiān)聽設(shè)備，不用跨接任何鏈路，無(wú)需網(wǎng)絡(luò)流量便可工作。因此，在海委政務(wù)外網(wǎng)拓?fù)鋱D上IDS配備在互聯(lián)網(wǎng)入口處，這樣IDS可監(jiān)視所有所關(guān)注的流量。

IDS根據(jù)入侵檢測(cè)可分為異常檢測(cè)和誤用檢測(cè)，前者是根據(jù)已設(shè)立的系統(tǒng)正常訪問(wèn)模式來(lái)檢測(cè)，不符合該模式的均為入侵；后者則是將所有可能發(fā)生的不利入侵建立一個(gè)模型庫(kù)來(lái)匹配來(lái)訪者的身份，符合該模型的定位為入侵。檢測(cè)技術(shù)也是基于這兩種策略衍生出來(lái)的，分為基于異常情況的和基于標(biāo)志性的，目前這兩種檢測(cè)技術(shù)相結(jié)合應(yīng)用的場(chǎng)景較多。

2.3 網(wǎng)絡(luò)漏洞掃描系統(tǒng)

漏洞掃描技術(shù)是一種重要的網(wǎng)絡(luò)安全技術(shù)。通過(guò)漏洞掃描，網(wǎng)絡(luò)管理員能夠了解網(wǎng)絡(luò)的配置和各種應(yīng)用服務(wù)，能夠及時(shí)發(fā)現(xiàn)安全漏洞，分析網(wǎng)絡(luò)安全等級(jí)并及時(shí)更正系統(tǒng)不當(dāng)配置，給安全漏洞打補(bǔ)丁，在安全威脅之前做好防范工作。漏洞掃描跟防火墻、入侵檢測(cè)系統(tǒng)相互配合，提高了網(wǎng)絡(luò)安全性。

2.4 抗DDoS攻擊、行為監(jiān)控策略

海委電子政務(wù)外網(wǎng)還架設(shè)有抗DDoS攻擊設(shè)備以及行為監(jiān)控設(shè)備，通過(guò)抗DDoS攻擊設(shè)備能夠更加安全保障海委數(shù)據(jù)機(jī)房服務(wù)器的健康高效運(yùn)轉(zhuǎn)、行為監(jiān)控設(shè)備能夠?qū)Τ鋈牒Ｎ娮诱?wù)外網(wǎng)的數(shù)據(jù)實(shí)行雙向監(jiān)控，更加保障數(shù)據(jù)傳輸?shù)陌踩浴?/p>

2.5 病毒防護(hù)體系

計(jì)算機(jī)病毒也是威脅網(wǎng)絡(luò)安全的一大因素，病毒的破壞性不同，但是只要它存在就會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)損害。因此，一個(gè)好的防病毒體系不僅可以防御病毒的入侵，還能保護(hù)工作人員的本地文件，能夠給網(wǎng)絡(luò)管理人員減輕很多不必要的工作負(fù)擔(dān)。

2.6 安全管理平臺(tái)和管理措施

為了有效地管理海委電子政務(wù)外網(wǎng)、保障其高效安全的運(yùn)行，通過(guò)水資源項(xiàng)目，海委建設(shè)了一套安全管理平臺(tái)，這樣能夠從技術(shù)上對(duì)海委網(wǎng)絡(luò)進(jìn)行管理。根據(jù)海委已經(jīng)建設(shè)的統(tǒng)一用戶庫(kù)，可以對(duì)每個(gè)使用海委電子政務(wù)外網(wǎng)的用戶進(jìn)行身份認(rèn)證和安全審計(jì)。這樣一來(lái)，每個(gè)用戶訪問(wèn)政務(wù)外網(wǎng)都是單點(diǎn)登錄，可以有效減少出現(xiàn)越權(quán)操作、非法纂改的現(xiàn)象。

對(duì)于非授權(quán)用戶非法進(jìn)入政務(wù)外網(wǎng)系統(tǒng)，網(wǎng)絡(luò)安全管理平臺(tái)會(huì)出現(xiàn)告警通知系統(tǒng)管理員，同時(shí)自動(dòng)屏蔽非法操作。網(wǎng)絡(luò)安全管理平臺(tái)有其單獨(dú)的日志管理，對(duì)于任何訪問(wèn)操作都進(jìn)行相應(yīng)的登記，以便發(fā)生特殊情況時(shí)查詢。

3 結(jié)語(yǔ)

任何網(wǎng)絡(luò)的健康與否與網(wǎng)絡(luò)安全密切相關(guān)，若做不到安全則網(wǎng)絡(luò)遲早會(huì)出現(xiàn)癱瘓等問(wèn)題。一個(gè)健康安全的網(wǎng)絡(luò)需要很多方面的保障，為此海委已經(jīng)逐步建立起自己的政務(wù)外網(wǎng)安全防護(hù)體系，在網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)安全管理方面能夠做到以下幾點(diǎn)：

（1）嚴(yán)格登錄權(quán)限設(shè)置，不同的級(jí)別賦予不同的使用權(quán)限，以達(dá)到盡量減少不必要的數(shù)據(jù)損失。

（2）政務(wù)外網(wǎng)堅(jiān)持一一對(duì)應(yīng)的原則，每個(gè)人根據(jù)自己權(quán)限的不同所了解到的信息也有所不同，這樣防止重要或者特殊信息泄露的情況。

（3）網(wǎng)絡(luò)管理員要嚴(yán)格對(duì)各種權(quán)限進(jìn)行級(jí)別分類和監(jiān)管，以保障網(wǎng)絡(luò)使用的安全。

隨著科學(xué)技術(shù)手段的提高、各級(jí)部門重視程度的加強(qiáng)以及管理人員素質(zhì)水平的提升，海委網(wǎng)絡(luò)安全防護(hù)體系也將日臻完善。

水利部督查組檢查上海國(guó)家地下水監(jiān)測(cè)工程建設(shè)情況

9月21—22日，水利部督查組來(lái)滬監(jiān)督檢查上海市國(guó)家地下水監(jiān)測(cè)工程建設(shè)情況，上海市水務(wù)局總工程師胡欣陪同檢查。督查組實(shí)地查看了外環(huán)西河泵閘和張家塘泵站等地下水監(jiān)測(cè)井站點(diǎn)，詢問(wèn)了現(xiàn)場(chǎng)施工進(jìn)展情況，檢查了各類檔案資料，并對(duì)現(xiàn)場(chǎng)施工進(jìn)行了檢查指導(dǎo)。在匯報(bào)會(huì)上，督查組聽取了相關(guān)情況介紹，并就做好下階段重點(diǎn)工作提出意見和建議。

國(guó)家地下水監(jiān)測(cè)工程是由水利部和國(guó)土資源部聯(lián)合開展的建設(shè)項(xiàng)目，涉及全國(guó)31個(gè)省（市、自治區(qū)）。上海市建設(shè)任務(wù)包括新建地下水監(jiān)測(cè)井91個(gè)，總進(jìn)尺8 254 m。市水文總站受部項(xiàng)目辦的委托，開展上海市建設(shè)任務(wù)的項(xiàng)目管理工作。上海市監(jiān)測(cè)井建設(shè)于2016年12月開工，目前已完成監(jiān)測(cè)井77眼，達(dá)到總井?dāng)?shù)的85%，預(yù)計(jì)2018年4月全面完成。

（摘自2017年9月30日水利部網(wǎng)）

TP393.08

A

1004-7328（2017）05-0063-03

10.3969/j.issn.1004-7328.2017.05.021

2017—05—20

宗華麗（1984—），女，碩士，工程師，主要從事水利網(wǎng)絡(luò)管理及信息安全工作。