莊 磊

（山東省水利綜合事業(yè)服務中心，山東 濟南 250013）

0 引言

山東省水利信息化建設起步于 20 世紀 90 年代中期（“九五”期間），20 多 a 間，水利信息化從無到有，從單機到網(wǎng)絡，從局部實施到協(xié)同應用，在水利改革發(fā)展中發(fā)揮著越來越重要的作用[1]。特別是“十二五”以來信息化建設快速發(fā)展，形成“一個中心、一個平臺、一張圖表、一套標準”的整體格局。依托國家防汛抗旱指揮系統(tǒng)工程，建成了覆蓋山東全省 16 個市、150 余個縣、數(shù)十個重點水利工程的水利信息骨干網(wǎng)，承載水利數(shù)據(jù)中心、防汛抗旱指揮、雨水情監(jiān)測、應急調(diào)度會商等關鍵業(yè)務應用；依托山東省電子政務網(wǎng)絡，運行了河（湖）長制管理、水資源管理、工程招投標、門戶網(wǎng)站等眾多行業(yè)應用。信息網(wǎng)絡的建設和發(fā)展，為水利數(shù)據(jù)的高效傳輸和整合共享提供了堅實保障，但也帶來與日俱增的安全壓力。在網(wǎng)絡安全形勢日益嚴峻的大環(huán)境下，做好山東省水利系統(tǒng)網(wǎng)絡安全工作，已經(jīng)迫在眉睫。

1 水利網(wǎng)絡安全形勢分析

1.1 信息網(wǎng)絡攻擊與日俱增

目前山東省水利廳配備專業(yè)化安全團隊，全年7×24 h 開展病毒、木馬、蠕蟲、僵尸網(wǎng)絡、緩沖區(qū)溢出攻擊、DDoS（分布式拒絕服務攻擊）、掃描探測等惡性攻擊行為的監(jiān)測，分析，記錄。經(jīng)統(tǒng)計發(fā)現(xiàn)，近年來針對省級水利信息網(wǎng)絡及系統(tǒng)的攻擊數(shù)量逐年上升，2018 年以來，每年攻擊量增長均在 10% 以上。以 2020 年為例，截至 12 月底，國內(nèi)外網(wǎng)絡攻擊累計達 310 萬次，其中：國外攻擊排名前三的國家為美國、法國、英國；國內(nèi)攻擊排名前三的地區(qū)為北京、廣東、山東。攻擊類型主要為脆弱口令與安全掃描、拒絕服務攻擊、惡意掃描、CGI 攻擊、木馬后門和暴力破解等。

1.2 安全運維壓力不斷增大

近年來各級水利部門開發(fā)了大量業(yè)務應用，系統(tǒng)數(shù)量、服務領域、網(wǎng)絡覆蓋、數(shù)據(jù)規(guī)模等不斷拓展。信息化應用已由主要提供行業(yè)支撐，轉(zhuǎn)變?yōu)闉樗?、應急、環(huán)保、自然資源、社會公眾等多領域提供服務；水利信息網(wǎng)絡已由獨立組網(wǎng)，轉(zhuǎn)變?yōu)榕c多種網(wǎng)絡互連互通或交換數(shù)據(jù)，網(wǎng)絡邊界日益模糊。信息化高速發(fā)展的同時導致網(wǎng)絡安全工作壓力隨之劇增，大量增加的信息資產(chǎn)帶來各類安全風險，因此減少資產(chǎn)的脆弱性，提升對抗安全威脅的能力，加強對風險的分析和控制，給網(wǎng)絡安全工作人員增加了巨大壓力，網(wǎng)絡安全運維工作也更加艱巨和復雜。近年來水利信息網(wǎng)絡發(fā)展演變圖如圖1 所示。

圖1 水利信息網(wǎng)絡發(fā)展演變圖

1.3 安全工作機制短板明顯

安全工作機制短板主要表現(xiàn)如下：

1）網(wǎng)絡安全責任落實不到位。未能嚴格按照“誰主管誰負責、誰使用誰負責”等安全基本原則建立清晰明確的網(wǎng)絡安全責任體系，各類要求多停留在文件上，落實效果欠佳。

2）網(wǎng)絡安全人才嚴重欠缺。各級水利部門普遍缺少網(wǎng)絡安全專職人員，經(jīng)常存在會議調(diào)試、設備維修、安全防護等“一肩挑”現(xiàn)象。

3）經(jīng)費保障不到位。對照《水利網(wǎng)絡安全管理辦法》中網(wǎng)絡安全預算不應低于項目預算 5% 的要求，網(wǎng)絡安全投入比例明顯偏低，導致網(wǎng)絡安全建設與管理經(jīng)費不足，重建輕管、忽視安全問題突出。

4）應急處置效果欠佳。普遍存在應急預案操作性差、未及時修訂更新等現(xiàn)象，應急處置技術(shù)力量薄弱，難以高標準開展應急處置工作。

2 水利網(wǎng)絡安全主要舉措

近年來，山東省水利廳根據(jù)網(wǎng)絡運行及系統(tǒng)部署實際，采取了針對性的網(wǎng)絡安全工作舉措：在水利業(yè)務網(wǎng)部署態(tài)勢感知系統(tǒng)，建立常態(tài)化網(wǎng)絡安全監(jiān)測預警機制；在互聯(lián)網(wǎng)開展實戰(zhàn)化網(wǎng)絡安全攻防演練，及時發(fā)現(xiàn)并消除網(wǎng)絡安全隱患。

2.1 業(yè)務網(wǎng)部署網(wǎng)絡安全態(tài)勢感知系統(tǒng)

在當前嚴峻的網(wǎng)絡安全形勢下，傳統(tǒng)防御手段的局限性被持續(xù)放大，如僅能基于特征檢測，依賴單點處理能力，防護設備各自為戰(zhàn)，無法應對連續(xù)性威脅等，而基于大數(shù)據(jù)的安全態(tài)勢感知技術(shù)有效彌補了傳統(tǒng)防御手段的缺陷。通過全網(wǎng)絡收集安全信息要素，基于大數(shù)據(jù)進行數(shù)據(jù)挖掘，建立對網(wǎng)絡安全態(tài)勢的全面認知，能對網(wǎng)絡系統(tǒng)的安全趨勢進行預測，是保障網(wǎng)絡安全的有效手段[2]。

1）部署方式。山東省水利系統(tǒng)態(tài)勢感知系統(tǒng)建設采取“兩級部署、統(tǒng)一管理”的整體架構(gòu)，系統(tǒng)整體邏輯分為數(shù)據(jù)采集、處理、存儲、挖掘及應用 5 個層級[3]。省級水利單位部署網(wǎng)絡態(tài)勢感知平臺，各市水利局及部分直屬單位部署流量采集引擎，安全態(tài)勢感知平臺部署方案如圖2 所示。

圖2 安全態(tài)勢感知平臺部署方案

2）技術(shù)特點。省級態(tài)勢感知平臺采用大數(shù)據(jù)計算技術(shù)架構(gòu)，具有分布式、水平彈性擴展、機器學習和高可靠性等特點。通過元數(shù)據(jù)的統(tǒng)一存儲管理與對全文檢索的良好支持，采用實時關聯(lián)分析、歷史關聯(lián)分析、機器學習、統(tǒng)計分析、OLAP（聯(lián)機分析處理）、數(shù)據(jù)挖掘和惡意代碼分析等多種手段，完成對海量安全元數(shù)據(jù)的分析和挖掘，為各類安全智能應用提供基礎支撐。各市水利局流量采集引擎支持從數(shù)據(jù)包、數(shù)據(jù)流、傳輸協(xié)議直至文件的多維度流量捕獲與檢測，可對數(shù)據(jù)進行協(xié)議解析與內(nèi)容還原，并對其進行檢測。引擎內(nèi)置網(wǎng)絡攻擊行為特征庫，可利用態(tài)勢感知系統(tǒng)大數(shù)據(jù)機器學習能力，有效發(fā)現(xiàn)漏洞、攻擊、僵木蠕等未知安全威脅。

3）取得成果。部署安全態(tài)勢感知系統(tǒng)，實現(xiàn)了對水利業(yè)務網(wǎng)絡安全態(tài)勢的實時感知和動態(tài)監(jiān)測，打造了網(wǎng)絡安全態(tài)勢感知、攻擊可視化溯源分析大屏等可視化平臺，可實時顯示外部、橫向、資產(chǎn)外聯(lián)等威脅內(nèi)容，為運維人員開展攻擊手段、趨勢、溯源等信息的調(diào)查取證提供了保障。安全態(tài)勢感知系統(tǒng)自運行以來，通過對各市安全流量引擎的不間斷分析，發(fā)現(xiàn)了 SQL 注入、遠控木馬、挖礦行為等大量安全隱患，通過組織開展多次服務器和終端的專項安全檢查，有效提升了水利業(yè)務內(nèi)網(wǎng)整體安全水平。

2.2 外網(wǎng)開展實戰(zhàn)化網(wǎng)絡安全攻防演練

在真實的網(wǎng)絡環(huán)境中開展安全攻防演練，是檢驗信息系統(tǒng)防護、監(jiān)測預警和應急處置等能力的重要手段，能夠發(fā)現(xiàn)深層次問題和隱患[4]。攻防演練既要做到對業(yè)務系統(tǒng)具有破壞性、滲透性，又不影響業(yè)務系統(tǒng)的正常使用，各類攻擊性行為應當切實有效，危害可控。為使攻防演練管控有序，需要進行認真部署。

1）活動部署。整體活動分為以下 5 個組別：a. 指揮組。由活動主管機構(gòu)及專家組長組成，負責監(jiān)控演習進程、調(diào)整攻擊策略等。b. 專家組。由安全資深專家組成，負責對各類成果進行審核，并依照規(guī)則進行評分。c. 攻擊組。由安全測試隊伍組成，每支攻擊隊一般由 3 名攻擊手組成。d. 防守組。由各防守單位組成，在演習過程中積極應對攻擊行為，并提交高質(zhì)量防御報告。e. 保障組。負責維護演習活動的所有軟硬件設施，包括網(wǎng)絡環(huán)境、攻擊工具、演習系統(tǒng)部署及大屏信息投放等。

2）實施階段。按照限定攻擊目標的原則，攻擊組在指揮組的監(jiān)督下，使用暴力破解、掃描、數(shù)據(jù)包分析、SQL 注入等工具展開攻擊。實施攻擊前，攻擊組需將準備實施的攻擊目標、對目標的掃描結(jié)果及可能造成的風險等情況向?qū)＜医M報備，審核通過后方可發(fā)起攻擊。專家組采取現(xiàn)場巡查與自動化分析工具相結(jié)合的方式，對攻擊行為進行監(jiān)管、分析、審計和追溯，保障演習過程風險可控，發(fā)現(xiàn)不合規(guī)的攻擊行為時，及時進行阻斷。指揮組根據(jù)網(wǎng)絡攻擊情況，將發(fā)現(xiàn)的緊急或高危漏洞，分發(fā)給相應單位進行應急處置。保障組將攻擊成果（包括攻擊域名、IP、系統(tǒng)描述、截屏圖片、攻擊手段和時間等）實時顯示在成果展示大屏上。網(wǎng)絡安全攻防演練流程圖如圖3 所示。

圖3 網(wǎng)絡安全攻防演練流程圖

3）取得成果。2020 年山東省水利廳對全省 16 個市水利（務）局、6 個廳直屬單位的 160 個互聯(lián)網(wǎng)系統(tǒng)開展實戰(zhàn)化攻防演練，發(fā)現(xiàn)安全隱患漏洞 100 余個。經(jīng)匯總分析，各級水利部門網(wǎng)絡安全問題存在較大共性，具體如下：a. 弱口令問題。目前弱口令已成為主要安全隱患，設置簡單或默認口令，防護形同虛設。b. 系統(tǒng)權(quán)限控制問題。部分系統(tǒng)權(quán)限控制不嚴謹，存在權(quán)限跨越漏洞，造成數(shù)據(jù)泄露或破壞。c. 網(wǎng)絡隔離不嚴問題。部分單位網(wǎng)絡邊界控制較差，內(nèi)外網(wǎng)未進行物理隔離，不具備縱深防御能力。d. 測試（廢棄）系統(tǒng)運行問題。部分測試及廢棄系統(tǒng)部署于業(yè)務網(wǎng)絡且無人維護，可能對正常系統(tǒng)造成破壞。e. 熱點漏洞修補不及時問題。Struts2 框架漏洞、SQL 注入、任意文件上傳等典型漏洞成為滲透主要利用點。f. 系統(tǒng)檢測不及時問題。部分系統(tǒng)或服務器被黑客入侵或利用且長期未發(fā)現(xiàn)。

針對發(fā)現(xiàn)問題，山東省水利廳編制專項整改方案，第一時間發(fā)送至有關部門、單位，督促整改并進行復測，通過建立通報—整改—復測的閉環(huán)式工作機制，有效提升網(wǎng)絡安全水平。

3 水利網(wǎng)絡安全有關對策

近年來水利網(wǎng)絡安全工作證明：山東省水利廳部署的網(wǎng)絡安全態(tài)勢感知系統(tǒng)已初步發(fā)揮成效，能及時發(fā)現(xiàn)網(wǎng)絡攻擊；開展的攻防演練能不斷發(fā)現(xiàn)網(wǎng)絡安全工作短板和不足，檢驗網(wǎng)絡攻擊和抗威脅能力，檢驗和鍛煉網(wǎng)絡安全隊伍，是有效應對網(wǎng)絡安全威脅的重要舉措。但水利系統(tǒng)面臨的網(wǎng)絡安全形勢依然嚴峻，特別是在全省防護體系尚不健全的情況下，網(wǎng)絡安全問題難以避免。做好網(wǎng)絡安全工作，必須集行業(yè)合力，全力做好各項措施落實[5]，具體對策如下：

1）嚴格落實等級保護制度。按照等級保護 2.0相關規(guī)范和《水利網(wǎng)絡安全管理辦法》有關規(guī)定，深入開展網(wǎng)絡安全等級保護測評工作。新建水利信息系統(tǒng)須經(jīng)定級備案及安全測評后方可上線運行，尚未定級備案的已建、在建水利信息系統(tǒng)應及時開展等級保護定級備案工作。信息系統(tǒng)發(fā)生重要信息和關鍵業(yè)務調(diào)整等重大變更時，應重新組織開展定級、備案和安全建設整改等工作。

2）堅決杜絕常見安全隱患。包括但不限于：全面整頓弱、默認、簡易口令，系統(tǒng)密碼應包含數(shù)字、大小寫字母和特殊符號 4 類字符，長度不小于 8 位；加強網(wǎng)絡邊界管理，部署 IPS（入侵防御系統(tǒng)）和WAF（網(wǎng)站應用級入侵防御系統(tǒng)）等安全設備增強檢測保護能力；關閉非必要服務端口，降低外網(wǎng)訪問風險；及時更新操作系統(tǒng)、中間件、數(shù)據(jù)庫等漏洞補丁，修改默認設置；及時清理整頓信息資產(chǎn)，關停測試及廢棄系統(tǒng)，減少信息資產(chǎn)暴露面。

3）全面強化運行維護能力。建立 1 支由部門管理和技術(shù)服務人員組成的業(yè)務強、素質(zhì)好的保障隊伍，是做好運維工作的根本保障。應通過政府購買服務的形式，優(yōu)選一批信譽良好、能力過硬的社會企業(yè)，探索建立長期穩(wěn)定的合作關系。同時要加強日常監(jiān)管和質(zhì)量控制，從嚴從細制定績效指標體系，以制度規(guī)范約束維保行為，以剛性指標評價維護效益，推動運行維護工作從粗放式向精細化轉(zhuǎn)變。

4）切實做好網(wǎng)絡安全應急演練。應急演練以防范信息系統(tǒng)重大風險為目的，建立科學有效、協(xié)調(diào)有序的網(wǎng)絡安全應急管理與處置協(xié)調(diào)機制。應緊密結(jié)合系統(tǒng)建設運行實際，高標準編制應急預案，對可能危害信息系統(tǒng)安全的風險進行有效識別、研判，制定針對性、操作性強的應急措施。同時要加強應急隊伍建設，把應急處置任務明確到部門，落實到個人，并定期進行演練，確保安全事件發(fā)生時反應快速，報告及時，措施得力，操作準確，最大限度地降低事件可能造成的損失。

4 結(jié)語

本研究主要介紹了山東省水利系統(tǒng)網(wǎng)絡安全工作采取的有效措施，從態(tài)勢感知系統(tǒng)、網(wǎng)絡攻防演練的部署實施和取得成效等方面進行了詳細闡述，為水利行業(yè)開展網(wǎng)絡安全工作提供了借鑒。依托態(tài)勢感知系統(tǒng)和攻防演練活動，不僅可提升水利系統(tǒng)網(wǎng)絡安全監(jiān)測預警水平，還可以發(fā)現(xiàn)網(wǎng)絡安全技術(shù)和管理方面的不足，為開展針對性的隱患整改提供支撐，進而助力構(gòu)建主動智能、快速高效的水利網(wǎng)絡安全防線。

今后應從以下 2 個方面著手提升工作效能：

1）擴大態(tài)勢感知應用范圍。目前水利行業(yè)中物聯(lián)網(wǎng)終端、工業(yè)控制、移動辦公等領域應用不斷拓展，擴大態(tài)勢感知系統(tǒng)的監(jiān)測范圍，提升多領域的動態(tài)感知能力勢在必行。

2）提高行業(yè)網(wǎng)絡安全聯(lián)動水平。在網(wǎng)絡安全威脅感知和應急響應方面進一步加強行業(yè)統(tǒng)籌協(xié)調(diào)，嚴格落實水利行業(yè)網(wǎng)絡安全信息通報機制等制度規(guī)范，不斷提高水利行業(yè)的整體網(wǎng)絡安全防護水平。