呂圣林 覃廣榮 喬柳彥
(廣西農(nóng)業(yè)職業(yè)技術(shù)學(xué)院, 南寧 530007)
當(dāng)前,我國正處在傳統(tǒng)農(nóng)業(yè)向現(xiàn)代農(nóng)業(yè)轉(zhuǎn)型的過度期,隨著智慧農(nóng)業(yè)——互聯(lián)網(wǎng)+農(nóng)業(yè)的經(jīng)營模式成為現(xiàn)代農(nóng)業(yè)的重要內(nèi)容,但在智慧農(nóng)業(yè)應(yīng)用中,智慧農(nóng)業(yè)的關(guān)鍵部分智慧農(nóng)業(yè)管理系統(tǒng)存在著網(wǎng)絡(luò)安全隱患,大多數(shù)忽略了系統(tǒng)的網(wǎng)絡(luò)安全建設(shè),直接把智慧農(nóng)業(yè)管理系統(tǒng)裸露在互聯(lián)網(wǎng)中,很容易遭到來自網(wǎng)絡(luò)上的各種攻擊,導(dǎo)致信息的泄露、傳播不健康的信息或者造成智慧農(nóng)業(yè)系統(tǒng)的癱瘓等。 因此,農(nóng)業(yè)部印發(fā)了《2018 年農(nóng)業(yè)部網(wǎng)絡(luò)安全與信息化工作要點》,第十一條闡述了加強智慧化農(nóng)業(yè)網(wǎng)絡(luò)安全能力建設(shè)的要求:提升網(wǎng)絡(luò)安全防護能力,貫徹落實信息系統(tǒng)網(wǎng)絡(luò)安全等級保護制度,切實做好信息系統(tǒng)的定級、備案、測評、整改等工作,重點加強我部關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全防護能力建設(shè),逐步更新、完善網(wǎng)絡(luò)安全防護設(shè)備……[1],為智慧農(nóng)業(yè)管理系統(tǒng)的網(wǎng)絡(luò)安全工作做出了很好的指導(dǎo)意見。
隨著全球信息高速公路的建設(shè)完善,整個世界正在迅速地融為一體。 農(nóng)業(yè)作為第一產(chǎn)業(yè)無不例外也快速融入全球的信息化浪潮中,因此智慧化農(nóng)業(yè)管理系統(tǒng)孕育而生。 該系統(tǒng)充分利用網(wǎng)絡(luò)上的信息和資源,有效的保障農(nóng)產(chǎn)品供給鏈、農(nóng)產(chǎn)品質(zhì)量安全、農(nóng)民增收。 但是信息和資源的廣泛共享,也產(chǎn)生了各種各樣的問題,其中智慧化農(nóng)業(yè)管理系統(tǒng)的網(wǎng)絡(luò)安全問題尤為突出。
在互聯(lián)網(wǎng)技術(shù)的發(fā)展過程中,操作系統(tǒng)和軟件的網(wǎng)絡(luò)通信的協(xié)議、規(guī)則為實現(xiàn)特定的功能及通信的一體化,幾乎都存在或多或少的安全漏洞或“后門”,眾多的各類服務(wù)器、瀏覽器、軟件等都被發(fā)現(xiàn)存在網(wǎng)絡(luò)安全隱患[4]。 目前,尚未研發(fā)出任何一款沒有漏洞的操作系統(tǒng)和應(yīng)用軟件。 根據(jù)這一特性就給了故意危害互聯(lián)網(wǎng)安全的人有了可乘之機,破壞網(wǎng)絡(luò)的資源信息或者傳播不健康的信息。
互聯(lián)網(wǎng)在早期的時候主要是考慮各種計算機網(wǎng)絡(luò)的入網(wǎng)互連、資源共享的問題,忽略了網(wǎng)絡(luò)安全的問題,互聯(lián)網(wǎng)通信的核心協(xié)議TCP/IP 協(xié)議,實際上是一個協(xié)議簇,任何人都可以把自己的意見作為文檔發(fā)布,被認(rèn)可的文檔成為Internent 標(biāo)準(zhǔn)的TCP/IP協(xié)議,但TCP/IP 協(xié)議缺乏相應(yīng)的安全機制,特別是到網(wǎng)絡(luò)局部故障時,為了不影響信息的傳輸TCP/IP協(xié)議中很多端口是默認(rèn)打開的,存在著網(wǎng)絡(luò)安全隱患。
對智慧化農(nóng)業(yè)管理系統(tǒng)而言,黑客(Hackers)即是在不經(jīng)過同意的情況下,通過各種手段去使用、篡改、非法發(fā)表、破壞網(wǎng)絡(luò)的各種資源或者計算機信息的人稱為黑客。 黑客常用的攻擊方法很多,包括:尋找操作系統(tǒng)、軟件的漏洞或“后門”攻擊;使用“IP spoofing”的技術(shù)冒充合法用戶攻擊等攻擊手段。 黑客是智慧化農(nóng)業(yè)管理系統(tǒng)網(wǎng)絡(luò)安全的主要威脅。
智慧化農(nóng)業(yè)管理系統(tǒng)的網(wǎng)絡(luò)安全主要靠企業(yè)內(nèi)部人員的充分重視。 網(wǎng)絡(luò)安全管理員如何做到對企業(yè)內(nèi)部員工進行網(wǎng)絡(luò)安全宣傳。 包括:不打開來源不明的電子郵件和應(yīng)用軟件;不隨便安裝來源不明APP;在不能確保網(wǎng)絡(luò)安全的地方禁止使用移動存儲設(shè)備等等,盡量避免企業(yè)內(nèi)部員工的誤操作、網(wǎng)絡(luò)資源的濫用和惡意行為。 在資金方面給予支持,確保網(wǎng)絡(luò)安全軟件、硬件設(shè)備的更新、完善,這樣能有效的消除來自企業(yè)內(nèi)部的網(wǎng)絡(luò)安全隱患。
智慧農(nóng)業(yè)管理系統(tǒng)的網(wǎng)絡(luò)安全防范主要采取閉環(huán)式的立體防御,這是按照網(wǎng)絡(luò)攻擊的時間節(jié)點劃分的,即為事前預(yù)測、事中防御、事中檢測和事后響應(yīng),這一系列的防御組成一個循環(huán)閉合的立體防御體系,讓網(wǎng)絡(luò)攻擊無從下手,如圖1 所示。
圖1 立體防御體系示意圖
智慧農(nóng)業(yè)管理系統(tǒng)在遭受到網(wǎng)絡(luò)攻擊事件發(fā)生前,通過大數(shù)據(jù)網(wǎng)絡(luò)安全事件感知平臺獲取到的網(wǎng)絡(luò)攻擊威脅特點,并將這樣威脅情況通知“事中”、“事后”的相關(guān)網(wǎng)絡(luò)安全設(shè)備。 網(wǎng)站安全檢測系統(tǒng)定期、定時的對內(nèi)網(wǎng)的服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等進行漏洞掃描,把網(wǎng)絡(luò)攻擊扼殺于萌芽狀態(tài)。 例如:2017 年5月大面積爆發(fā)的“WannaCry”勒索病毒,影響了全球150 多個國家,造成了巨大的損失。 其實2017 年4月微軟公司就針對“WannaCry”勒索病毒攻擊的SMB 系統(tǒng)漏洞發(fā)布了MS17-010 補丁,更新了MS17-010 補丁這個補丁,“WannaCry”勒索病毒就無法進行攻擊。 其次,“WannaCry”勒索病毒的攻擊預(yù)警在很多網(wǎng)絡(luò)安全事件感知平臺已經(jīng)發(fā)布了預(yù)警。 但是“WannaCry”勒索病毒還是攻擊了全球150多個國家,造成了巨大的損失,包括:英國醫(yī)療系統(tǒng)、俄羅斯電信公司,美國迪士尼最新的影片《加勒比海盜5:死無對證》還沒有上映片源就被盜和我國的教育系統(tǒng)等,這些系統(tǒng)就沒有能做到“事前預(yù)測”及時更新系統(tǒng)補丁,也沒有重視網(wǎng)絡(luò)安全預(yù)警平臺的信息而造成了不可挽回的損失。
事前通過大數(shù)據(jù)云平臺預(yù)測獲取外部威脅情報,內(nèi)部通過旁路的方式部署漏洞掃描系統(tǒng),及時的對企業(yè)的門戶網(wǎng)站服務(wù)器、辦公協(xié)同管理平臺服務(wù)器等服務(wù)器進行定期的漏洞掃描,評估系統(tǒng)的安全狀況,減少智慧農(nóng)業(yè)管理系統(tǒng)遭受來自網(wǎng)絡(luò)的攻擊。這是保障智慧農(nóng)業(yè)管理系統(tǒng)網(wǎng)絡(luò)安全的前提條件。
智慧農(nóng)業(yè)管理系統(tǒng)在遭受到網(wǎng)絡(luò)攻擊時,通過防火墻、入侵防護系統(tǒng)等設(shè)備進行防御和檢測,隔離阻斷網(wǎng)絡(luò)攻擊。 入侵檢測是對防火墻有益的補充,被認(rèn)為是防火墻之后的第二道安全閘門。 防火墻和入侵檢測聯(lián)動防御,組成了入侵檢測系統(tǒng),有效的把智慧農(nóng)業(yè)管理系統(tǒng)所在的網(wǎng)絡(luò)和互聯(lián)網(wǎng)隔離開,7×24 小時的對內(nèi)網(wǎng)、外網(wǎng)的進行實時監(jiān)控,并且發(fā)現(xiàn)攻擊時可以主動的、快速的阻斷、隔離攻擊,大大的提高了網(wǎng)絡(luò)的安全性。
如廣西農(nóng)業(yè)職業(yè)技術(shù)學(xué)院智慧農(nóng)業(yè)管理系統(tǒng),在網(wǎng)絡(luò)邊界處部署入侵防護系統(tǒng),防護來自外部網(wǎng)絡(luò)的攻擊與可疑行為。 入侵防護系統(tǒng)包括防火墻、入侵檢測和邊界交換機能有效的將廣西農(nóng)業(yè)職業(yè)技術(shù)學(xué)院智慧農(nóng)業(yè)管理系統(tǒng)和互聯(lián)網(wǎng)隔離。 它能實時檢測網(wǎng)絡(luò)中的通信數(shù)據(jù)包并且對智慧農(nóng)業(yè)管理系統(tǒng)的服務(wù)器進行IP 地址轉(zhuǎn)換,一旦發(fā)現(xiàn)入侵行為就進行有效的防護和記錄。 主動的將帶有攻擊信息的數(shù)據(jù)包隔離或者阻斷,禁止攻擊數(shù)據(jù)流進入內(nèi)網(wǎng),從而有效保障內(nèi)部信息系統(tǒng)的安全。 同時在服務(wù)器交換機旁路部署入侵監(jiān)測系統(tǒng),對來自智慧農(nóng)業(yè)管理系統(tǒng)內(nèi)、外部的入侵攻擊行為進行監(jiān)測、告警,及時告知系統(tǒng)管理員,對攻擊來源進行追溯和排查,同時加強策略部署,有效保護智慧農(nóng)業(yè)系統(tǒng)服務(wù)器的安全。因此,事中防御、檢測是保障智慧農(nóng)業(yè)管理系統(tǒng)的網(wǎng)絡(luò)安全的關(guān)鍵環(huán)節(jié)。
智慧農(nóng)業(yè)管理系統(tǒng)在遭受到網(wǎng)絡(luò)攻擊后,對內(nèi)部用戶、業(yè)務(wù)系統(tǒng)的異常行為進行持續(xù)的檢測,發(fā)現(xiàn)潛在風(fēng)險時盡可能減少損失。 如果有內(nèi)網(wǎng)的終端包括計算機、交換機等被來自網(wǎng)絡(luò)攻擊破壞,閉環(huán)式的立體防御網(wǎng)絡(luò)安全系統(tǒng)將采取兩種響應(yīng)機制:第一,自動響應(yīng)及時追溯攻擊的來源并且隔離攻擊。 第二,人工響應(yīng)由網(wǎng)絡(luò)安全管理員配置交換機的ACL或者物理斷網(wǎng)的形式隔離感染源。
勒索病毒經(jīng)過幾代的升級,以勒索數(shù)字貨幣為主要目的。 以廣西農(nóng)業(yè)職業(yè)技術(shù)學(xué)院智慧農(nóng)業(yè)管理系統(tǒng)預(yù)防勒索病毒升級版GandCrab 結(jié)合RDP 合體攻擊,結(jié)合“WannaCry”病毒以及常規(guī)的安全防護策略[3]為例說明網(wǎng)絡(luò)安全防范的方法。
例如:卡巴斯基、深信服安全事件感知云平臺中獲取到GandCrab 病毒的特性,該病毒主要通過電子郵件和U 盤進行傳播,攻擊服務(wù)器、智能終端的3389、445、139 等端口,從而控制本地設(shè)備,對本地設(shè)備的文件進行加密,需繳納以數(shù)字貨幣為主的贖金后才能解密文件。
關(guān)閉服務(wù)器的3389、445、139 等端口,對于確實要開啟遠程桌面的終端設(shè)備,通過“echo”修改遠程桌面3389 端口,如圖2 所示的方法建立批處理文件修改遠程桌面的端口。 做好服務(wù)器數(shù)據(jù)備份;禁止服務(wù)器接入U 盤、移動硬盤等可執(zhí)行擺渡攻擊的設(shè)備;及時升級服務(wù)器的補丁、殺毒軟件的病毒庫。
圖2 建立批處理文件修改遠程桌面端口的方法
例如:permit udp x x(為IP 網(wǎng)段)eq 3389139、deny tcp any any eq 3389139 等命令禁止終端設(shè)備相互訪問3389、139 等端口的形式處理。
例如:計算機、平板電腦等進行數(shù)據(jù)備份;在不能確保網(wǎng)絡(luò)安全的情況下,禁止接入U 盤、移動硬盤等可執(zhí)行擺渡攻擊的設(shè)備;及時升級智能終端的補丁、殺毒軟件的病毒庫。
智慧農(nóng)業(yè)管理系統(tǒng)采用在發(fā)生網(wǎng)絡(luò)攻擊“事前”“事中”“事后”閉環(huán)式的立體網(wǎng)絡(luò)安全防御,在不影響智慧農(nóng)業(yè)管理系統(tǒng)使用的情況下提高了網(wǎng)絡(luò)安全的防護標(biāo)準(zhǔn),提升智慧農(nóng)業(yè)管理系統(tǒng)的網(wǎng)絡(luò)信息安全管理能力與水平,營造“清朗”安全的網(wǎng)絡(luò)天空[5]。