闞國(guó)春

摘 要：目前，信息化技術(shù)獲得跨越式發(fā)展，越來(lái)越多的企事業(yè)單位都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升運(yùn)營(yíng)效率。信息化運(yùn)行尤其依賴(lài)于計(jì)算機(jī)系統(tǒng)，而這一系統(tǒng)又尤其依賴(lài)于互聯(lián)網(wǎng)?，F(xiàn)如今，持續(xù)擴(kuò)大的互聯(lián)網(wǎng)規(guī)模，伴隨發(fā)展的還有日益復(fù)雜的互聯(lián)網(wǎng)結(jié)構(gòu)，為了更好地運(yùn)行計(jì)算機(jī)應(yīng)用系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)，網(wǎng)絡(luò)安全問(wèn)題需要提高標(biāo)準(zhǔn)。本文以施橋船閘為例，研究探索在踐行智慧船閘時(shí)，作為網(wǎng)絡(luò)管理人員應(yīng)該如何應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，思考如何將網(wǎng)絡(luò)變得更加安全可靠。

關(guān)鍵詞：智慧船閘;網(wǎng)絡(luò)系統(tǒng);安全策略

1 前言

智慧船閘主要是指依靠先進(jìn)的控制技術(shù)、通信技術(shù)、傳感器技術(shù)等，將潮流的AI技術(shù)、大數(shù)據(jù)技術(shù)、5G及云技術(shù)等技術(shù)有效集成，充分應(yīng)用于船閘通航管理服務(wù)中，在船舶過(guò)閘時(shí)發(fā)揮其高效、準(zhǔn)確作用的綜合管理控制系統(tǒng)，利用這些先進(jìn)的技術(shù)提高船閘的運(yùn)行效率，減少船民的過(guò)閘等待時(shí)間和經(jīng)濟(jì)成本，從而為船員提供更加周到的服務(wù)。

施橋船閘管理所位于古城揚(yáng)州市南郊的施橋鎮(zhèn)，管理著三座大型現(xiàn)代化船閘，是蘇北運(yùn)河過(guò)長(zhǎng)江向北十個(gè)梯級(jí)過(guò)船樞紐的第一道船閘，素有蘇北運(yùn)河“南大門(mén)”之稱(chēng)。施橋船閘下游距長(zhǎng)江6.5公里，上游距邵伯船閘23.5公里，年雙向設(shè)計(jì)通過(guò)能力為1.5億噸，船閘常年有10多個(gè)省市的船舶通過(guò)，是煤炭、建材水運(yùn)的重要通道，2016年以來(lái)，因黃沙等建材運(yùn)量增多等原因，施橋船閘已經(jīng)成為蘇北運(yùn)河最為繁忙的船閘，2017年通過(guò)量首超3億噸達(dá)3.29億噸，創(chuàng)下全國(guó)內(nèi)河船閘之最，全年有42次日通過(guò)量超百萬(wàn)噸。

近年來(lái)，施橋船閘大力推動(dòng)智慧船閘建設(shè)，創(chuàng)新管理模式，提高船閘通過(guò)能力，優(yōu)化工作流程，提高過(guò)閘效率，在服務(wù)地方經(jīng)濟(jì)和國(guó)民經(jīng)濟(jì)發(fā)展中日益發(fā)揮著十分重要的作用。但隨著網(wǎng)絡(luò)的產(chǎn)生和應(yīng)用，網(wǎng)絡(luò)安全問(wèn)題也隨之出現(xiàn)。如何加強(qiáng)網(wǎng)絡(luò)安全，確保生產(chǎn)高效運(yùn)行，每個(gè)計(jì)算機(jī)用戶(hù)，特別是企事業(yè)單位網(wǎng)絡(luò)用戶(hù)，安全措施必須足夠。

2 研究背景

網(wǎng)絡(luò)安全策略的實(shí)施是一項(xiàng)系統(tǒng)工程，它涉及許多方面。因此不僅要對(duì)平時(shí)的外部網(wǎng)絡(luò)威脅多加考慮，而且還要足夠重視網(wǎng)絡(luò)管理和內(nèi)部網(wǎng)絡(luò)所存在的安全隱患，不能孤立地看待任何一個(gè)安全隱患和安全措施。因?yàn)橛锌赡軙?huì)呈現(xiàn)出多方面的安全隱患爆發(fā)途徑，因此所采取的安全措施都必須是相互關(guān)聯(lián)的。比如黑客攻擊和病毒入侵等非常典型的事件，全是借助網(wǎng)絡(luò)實(shí)施的攻擊行為，而且?guī)缀趺繒r(shí)每刻都在發(fā)生，遍及全球。除此之外，比如非法截取和更改用戶(hù)郵件，用戶(hù)的非法操作和訪(fǎng)問(wèn)，惡意軟件的攻擊和入侵等都是普遍存在的安全事實(shí)。

目前病毒感染不再是防范的唯一對(duì)象，還要防范以網(wǎng)絡(luò)為載體的非法訪(fǎng)問(wèn)、攻擊和入侵，將安全隱患在單位網(wǎng)絡(luò)中的發(fā)生劃分為外網(wǎng)和內(nèi)網(wǎng)兩部分，很多情況下內(nèi)部網(wǎng)絡(luò)安全威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)絡(luò)，內(nèi)部實(shí)施病毒入侵和攻擊更加容易，針對(duì)這些安全問(wèn)題，所實(shí)施的安全策略可以通過(guò)防護(hù)病毒網(wǎng)絡(luò)版系統(tǒng)的專(zhuān)業(yè)安裝來(lái)執(zhí)行，在此過(guò)程中還要對(duì)內(nèi)部網(wǎng)絡(luò)安全管理要持續(xù)提升強(qiáng)度和質(zhì)量，對(duì)于系統(tǒng)本身安全措施和防火墻過(guò)濾策略都要配置好，對(duì)于系統(tǒng)安全補(bǔ)丁要第一時(shí)間安裝，有條件的還可以在外網(wǎng)、內(nèi)網(wǎng)中安裝IPS系統(tǒng)、網(wǎng)絡(luò)嗅探器、網(wǎng)絡(luò)掃描檢測(cè)、IDS，還可以考慮將網(wǎng)絡(luò)安全隔離系統(tǒng)給予一定的配置，對(duì)內(nèi)、外網(wǎng)絡(luò)進(jìn)行安全審查;安全管理內(nèi)部網(wǎng)絡(luò)要持續(xù)加強(qiáng)，嚴(yán)格實(shí)行“最小權(quán)限”原則，恰當(dāng)?shù)挠脩?hù)權(quán)限要在各用戶(hù)間配置好;同時(shí)對(duì)一些敏感數(shù)據(jù)進(jìn)行加密保護(hù)，對(duì)數(shù)據(jù)還可以進(jìn)行數(shù)字簽名措施;根據(jù)單位實(shí)際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。

3 船閘網(wǎng)絡(luò)安全需求及隱患

一般單位網(wǎng)絡(luò)普遍應(yīng)用數(shù)據(jù)庫(kù)、電子郵件、HTTP、FTP、TCP/IP等這些常見(jiàn)的標(biāo)準(zhǔn)和技術(shù)，將豐富的通信形式作為技術(shù)依托，實(shí)現(xiàn)廣域連接。在飛速的信息流中，信息的處理、存儲(chǔ)、傳輸?shù)榷缄P(guān)系到行業(yè)內(nèi)部消息。所以加以保護(hù)有關(guān)的信息資源是非常必要的，還要管理和控制服務(wù)資源。

3.1 施橋船閘網(wǎng)絡(luò)安全需求

施橋船閘是有著100多名職工的中小型網(wǎng)絡(luò)單位，主要是依靠船閘智能調(diào)度系統(tǒng)服務(wù)水運(yùn)事業(yè)。單位網(wǎng)絡(luò)主要分為內(nèi)網(wǎng)與外網(wǎng)，網(wǎng)內(nèi)現(xiàn)有計(jì)算機(jī)約100余臺(tái)，服務(wù)器的操作系統(tǒng)包含 Windows Server 2003和Windows Server 2008，客戶(hù)機(jī)的操作系統(tǒng)是含有Windows XP、Windows 7、Windows 10，客戶(hù)機(jī)在工作組的模式下運(yùn)行。單位對(duì)網(wǎng)絡(luò)的依賴(lài)性很強(qiáng)，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著智慧交通體系的建設(shè)，智慧船閘也已成為當(dāng)下發(fā)展的主流趨勢(shì)，因此構(gòu)建健全的網(wǎng)絡(luò)安全體系以滿(mǎn)足智慧船閘對(duì)網(wǎng)絡(luò)安全的需求是重中之重。

3.2 施橋船閘網(wǎng)絡(luò)安全隱患

網(wǎng)絡(luò)內(nèi)部和外部都會(huì)受到網(wǎng)絡(luò)入侵，辦公信息安全和網(wǎng)絡(luò)系統(tǒng)都會(huì)因?yàn)榫W(wǎng)絡(luò)攻擊而受到危害，一般可以將危害具體總結(jié)為：

（1）借助木馬程序來(lái)使得非法用戶(hù)對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行控制，將計(jì)算機(jī)上的資料刪除或者任意復(fù)制。

（2）設(shè)置的共享權(quán)限和口令策略不夠安全，計(jì)算機(jī)上的資料可以由其他用戶(hù)借助網(wǎng)絡(luò)完成復(fù)制。

（3）保密文件可以由病毒自行散發(fā)，比如說(shuō)這種SirCam病毒。這種病毒會(huì)將電腦中的Word Excel等資料以郵件附件形式向其他郵件傳送，甚至有美國(guó)聯(lián)邦調(diào)查局（FBI）的一些資料也以這種方式發(fā)送出去。

（4）對(duì)于網(wǎng)絡(luò)中明文傳輸?shù)臄?shù)據(jù)可以借助網(wǎng)絡(luò)偵聽(tīng)（Sniff）實(shí)現(xiàn)截獲，比如像FTP、Telnet、電子郵件等資料在利用簡(jiǎn)單編碼或者明文進(jìn)行傳輸過(guò)程中，存在被非法用戶(hù)半路截獲的可能，從而導(dǎo)致泄漏資料。

（5）中斷服務(wù)。對(duì)于辦公網(wǎng)絡(luò)來(lái)講，就是以網(wǎng)絡(luò)為載體實(shí)現(xiàn)有關(guān)辦公流程的網(wǎng)絡(luò)化和自動(dòng)化，現(xiàn)如今主要應(yīng)用的辦公網(wǎng)絡(luò)是辦公自動(dòng)化系統(tǒng)（OA），假設(shè)該系統(tǒng)受到攻擊，系統(tǒng)很有可能無(wú)法提供服務(wù)，造成辦公自動(dòng)化中斷，使得辦公效率下降，甚至工作流程更為混亂。

3.3 施橋船閘網(wǎng)絡(luò)安全需求分析

通過(guò)了解施橋船閘的需求與現(xiàn)狀，為實(shí)現(xiàn)網(wǎng)絡(luò)安全建設(shè)和改造升級(jí)網(wǎng)絡(luò)系統(tǒng)，運(yùn)行網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性予以提高，保證單位各類(lèi)信息系統(tǒng)的安全性。對(duì)于客戶(hù)端的計(jì)算機(jī)準(zhǔn)備采用安全手段來(lái)進(jìn)行保護(hù)，將用戶(hù)在客戶(hù)端計(jì)算機(jī)中的文件操作和目錄操作進(jìn)行記錄，旨在有手段實(shí)現(xiàn)單位對(duì)計(jì)算機(jī)使用情況的實(shí)時(shí)查看和追蹤，旨在避免外來(lái)計(jì)算機(jī)入侵單位網(wǎng)絡(luò)系統(tǒng)。借助改造優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，使得管理者能夠?qū)崟r(shí)監(jiān)控和管理軟件安裝、登錄用戶(hù)權(quán)限、網(wǎng)絡(luò)中服務(wù)器等方面應(yīng)用。因此需要：

（1）構(gòu)建良好的環(huán)境確保單位物理設(shè)備的安全;

（2）進(jìn)行科學(xué)有效的VLAN劃分，內(nèi)網(wǎng)安全實(shí)時(shí)控制;

（3）安裝防火墻體系;

（4）組建入侵檢測(cè)系統(tǒng);

（5）安裝防病毒服務(wù)器;

（6）加強(qiáng)對(duì)網(wǎng)絡(luò)資源的管理;

（7）增加訪(fǎng)問(wèn)控制策略;

（8）增加信息加密策略。

4 施橋船閘網(wǎng)絡(luò)安全策略

4.1 訪(fǎng)問(wèn)控制策略

非法訪(fǎng)問(wèn)予以有效避免是訪(fǎng)問(wèn)控制的基本目標(biāo)，可以實(shí)現(xiàn)用戶(hù)安全控制服務(wù)器和關(guān)鍵網(wǎng)絡(luò)。現(xiàn)如今應(yīng)用非常普遍的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制設(shè)備就是防火墻，這一設(shè)備借助端口號(hào)、IP地址等實(shí)施設(shè)置和控制有關(guān)的安全代理等方法，完成隔離外部網(wǎng)絡(luò)和內(nèi)部被保護(hù)網(wǎng)絡(luò)。

單位網(wǎng)絡(luò)在安全規(guī)則方面能夠?qū)σ欢尉W(wǎng)絡(luò)、一組主機(jī)、單獨(dú)主機(jī)，以網(wǎng)絡(luò)協(xié)議為基礎(chǔ)完成基本的設(shè)置，完成有關(guān)的安全規(guī)則編輯;完成安全規(guī)則基于網(wǎng)絡(luò)通訊接口進(jìn)行設(shè)置，僅僅放開(kāi)其中部分服務(wù)端口，以服務(wù)于單位保護(hù)對(duì)象;可以按照具體時(shí)間來(lái)完成設(shè)置，旨在將訪(fǎng)問(wèn)控制順利實(shí)現(xiàn);安全規(guī)則基于網(wǎng)絡(luò)服務(wù)進(jìn)行設(shè)置。

可使用帶行為管理的防火墻或者設(shè)置代理服務(wù)器（如SQUID）進(jìn)行行為管理，方便有效地對(duì)單位內(nèi)部局域網(wǎng)進(jìn)行監(jiān)管與控制。

4.2 信息加密策略

對(duì)于網(wǎng)內(nèi)的控制信息、口令、文件資料、數(shù)據(jù)借助信息加密起到保護(hù)目的，同時(shí)還對(duì)傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)加以保護(hù)。密鑰網(wǎng)絡(luò)加密中是需要的，密匙通常指生活、生產(chǎn)過(guò)程中各種加密技術(shù)的使用，可以高效地監(jiān)管企事業(yè)機(jī)密和個(gè)人資料，管理密鑰的有關(guān)行為稱(chēng)之為密鑰管理，比如破解、解密、加密等行為都屬于密鑰管理。

端點(diǎn)加密、節(jié)點(diǎn)加密、鏈路加密是常用的網(wǎng)絡(luò)加密的三種方法。對(duì)于網(wǎng)絡(luò)節(jié)點(diǎn)中的鏈路信息進(jìn)行保護(hù)是鏈路加密主要目的;對(duì)于目的節(jié)點(diǎn)和源節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)是節(jié)點(diǎn)加密的目的;對(duì)于目的端用戶(hù)和源端用戶(hù)有關(guān)數(shù)據(jù)提供保護(hù)是端端加密的目的。

（1）鏈路加密?？梢詫⑵涠x為在線(xiàn)加密，任何消息的加密操作都需要在傳輸之前，對(duì)于接收到的每一個(gè)節(jié)點(diǎn)信息都需要解密，對(duì)于消息在下一個(gè)鏈路中再完成加密，進(jìn)行信息傳輸。一直到最終的目的地，中間要進(jìn)行多重的加密、解密操作，確保數(shù)據(jù)傳輸安全。

（2）節(jié)點(diǎn)加密。要求以明文形式來(lái)傳輸路由信息和報(bào)頭，這樣就能對(duì)如何在中間節(jié)點(diǎn)處理消息的信息進(jìn)行獲取，大致一致于鏈路加密和其他信息加密形式。在網(wǎng)絡(luò)節(jié)點(diǎn)處，節(jié)點(diǎn)加密是禁止明文形式出現(xiàn)的，對(duì)于實(shí)現(xiàn)收到的信息解密，之后再加密傳輸，期間要采用不同的密鑰。對(duì)于網(wǎng)絡(luò)數(shù)據(jù)傳輸安全，節(jié)點(diǎn)加密效果非常好，但是攻擊者對(duì)于通信業(yè)務(wù)的分析采用節(jié)點(diǎn)解密形式予以防范卻是存在缺陷的。

（3）端端加密?？梢詫⑵涠x為包加密或者脫線(xiàn)加密，從源點(diǎn)到終點(diǎn)，在傳輸數(shù)據(jù)過(guò)程中允許以密文形式存在。在到達(dá)終點(diǎn)之前，不進(jìn)行端端加密消息的解密，主要就是由于整個(gè)傳輸過(guò)程中，這些消息均受到保護(hù)。通常，在對(duì)敏感信息進(jìn)行傳輸過(guò)程中必須應(yīng)用端端加密形式。

最有效的網(wǎng)絡(luò)安全技術(shù)之一就是密碼技術(shù)。依托網(wǎng)絡(luò)進(jìn)行加密操作，對(duì)于非授權(quán)用戶(hù)的入網(wǎng)或者搭線(xiàn)竊聽(tīng)可以有效地防止，這也是一種對(duì)惡意軟件進(jìn)行防范的有效措施。

4.3 數(shù)據(jù)備份策略

施橋船閘目前對(duì)信息化的依賴(lài)比較高，服務(wù)器及數(shù)據(jù)的穩(wěn)定性被給予很高的要求，實(shí)現(xiàn)這樣的目的，除了采購(gòu)質(zhì)量良好的硬件設(shè)施外，還可以有效地利用私有云實(shí)現(xiàn)信息備份和災(zāi)難冗余。對(duì)于需要高度可靠性的用戶(hù)，這樣的方式可以使文件信息的安全有保障，正常情況本機(jī)存儲(chǔ)，私有云自動(dòng)備份，當(dāng)工作設(shè)備的系統(tǒng)出現(xiàn)故障時(shí)，備份設(shè)備可以隨時(shí)異地提供數(shù)據(jù)讀取，保證單位整體的正常運(yùn)轉(zhuǎn)。同時(shí)使用UPS對(duì)重要設(shè)備進(jìn)行不間斷的供電，保證硬件設(shè)施的良好運(yùn)行。

5 結(jié)語(yǔ)

近幾年，互聯(lián)網(wǎng)技術(shù)獲得跨越式發(fā)展，在這一過(guò)程中伴隨而生的巨大問(wèn)題就是網(wǎng)絡(luò)安全問(wèn)題。這是一個(gè)普遍存在、覆蓋面廣的復(fù)雜性問(wèn)題，同時(shí)還會(huì)涉及到違法犯罪等活動(dòng)。而在涉及到以下簡(jiǎn)單的網(wǎng)絡(luò)安全問(wèn)題時(shí)，僅僅確保無(wú)關(guān)人員無(wú)法完成讀取信息，或者不能對(duì)傳輸?shù)男畔⑦M(jìn)行修改。網(wǎng)絡(luò)安全問(wèn)題中，部分對(duì)象無(wú)權(quán)使用網(wǎng)絡(luò)，但是卻試圖借助一些軟件來(lái)實(shí)現(xiàn)遠(yuǎn)程服務(wù)，竊取一些信息。對(duì)于合法消息重播和截獲問(wèn)題也是安全性處理的對(duì)象。

本文從建設(shè)智慧船閘角度對(duì)于解決基礎(chǔ)網(wǎng)絡(luò)設(shè)施安全進(jìn)行了描述，旨在為單位提供信息的完整性、認(rèn)證性、保密性的保護(hù)機(jī)制，避免網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)、服務(wù)遭到破壞或者侵?jǐn)_。現(xiàn)在較為普遍應(yīng)用的方法有加密技術(shù)、認(rèn)證技術(shù)、防火墻等，由于越來(lái)越大的運(yùn)行規(guī)模，使得單位網(wǎng)絡(luò)涉及的安全性問(wèn)題呈現(xiàn)復(fù)雜化特征。因此，維護(hù)網(wǎng)絡(luò)安全將是一件關(guān)鍵任務(wù)。在此過(guò)程中要對(duì)安全因素綜合考慮，將有關(guān)的安全防范技術(shù)進(jìn)行相互結(jié)合，采取科學(xué)有效的安全防范措施，保證網(wǎng)絡(luò)安全。

參考文獻(xiàn)：

[1] 王加雪，錢(qián)江.智慧船閘[M].東南大學(xué)出版社，2018

[2] [美]本·斯派維 喬伊·愛(ài)徹利維亞. Hadoop安全大數(shù)據(jù)平臺(tái)的隱私保護(hù)[M].人民郵電出版社，2017

[3] 劉化君. 網(wǎng)絡(luò)安全與管理[M].電子工業(yè)出版社，2019.

[4] （美）Saadat Malik 網(wǎng)絡(luò)安全原理與實(shí)踐[M].人民郵電出版社，2019.