《南水北調(diào)計算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀與對策》由會員分享,可在線閱讀,更多相關(guān)《南水北調(diào)計算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀與對策(5頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、南水北調(diào)計算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀與對策
南水北調(diào)計算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀與對策
2019/05/31
摘要:南水北調(diào)中線工程自建成以來,在生產(chǎn)、辦公系統(tǒng)等方面實現(xiàn)了數(shù)字化和信息化,信息系統(tǒng)的安全就顯得日益重要。本文針對南水北調(diào)中線工程網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀進(jìn)行分析,總結(jié)了計算機(jī)網(wǎng)絡(luò)存在的技術(shù)和管理方面的安全隱患,并針對安全隱患提出了相應(yīng)的防范措施。研究所得成果為類似工程的網(wǎng)絡(luò)安全工作提供參考。
關(guān)鍵詞:南水北調(diào)中線工程;網(wǎng)絡(luò)威脅;網(wǎng)絡(luò)安全;防范措施
南
2、水北調(diào)中線工程計算機(jī)信息系統(tǒng)主要分為應(yīng)用系統(tǒng)、應(yīng)用支撐平臺、數(shù)據(jù)存儲與管理系統(tǒng)、計算機(jī)網(wǎng)絡(luò)系統(tǒng)、通信系統(tǒng)、系統(tǒng)運(yùn)行實體環(huán)境等部分。隨著計算機(jī)網(wǎng)絡(luò)技術(shù)在南水北調(diào)工程中的全面應(yīng)用,為了避免因網(wǎng)絡(luò)安全問題造成不利影響,需要對計算機(jī)網(wǎng)絡(luò)安全隱患進(jìn)行防范,以保障計算機(jī)信息系統(tǒng)的平穩(wěn)運(yùn)行。
1計算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀
南水北調(diào)中線干線工程計算機(jī)網(wǎng)絡(luò)系統(tǒng)分為控制專網(wǎng)、業(yè)務(wù)內(nèi)網(wǎng)、業(yè)務(wù)外網(wǎng)3張網(wǎng)絡(luò),每張網(wǎng)絡(luò)承載不同業(yè)務(wù)系統(tǒng),具有不同的網(wǎng)絡(luò)結(jié)構(gòu)及安全防護(hù)級別。網(wǎng)絡(luò)之間具有明顯的邊界,每張網(wǎng)絡(luò)又可以分為中線局、分局、管理處、現(xiàn)地站4層網(wǎng)絡(luò)結(jié)構(gòu)??刂茖>W(wǎng)承載閘站遠(yuǎn)程監(jiān)控系統(tǒng),閘站遠(yuǎn)程監(jiān)控系統(tǒng)
3、是南水北調(diào)中線干線核心生產(chǎn)信息系統(tǒng),負(fù)責(zé)各現(xiàn)地(閘)站設(shè)置各類數(shù)據(jù)、圖像、話音等數(shù)據(jù)的采集,并對閘站遠(yuǎn)程控制。業(yè)務(wù)內(nèi)網(wǎng)主要承載工程防洪、安全監(jiān)測、水質(zhì)監(jiān)測信息、工程管理、視頻監(jiān)控等輔助型生產(chǎn)信息系統(tǒng),以及綜合辦公、財務(wù)、視頻會議等辦公類信息系統(tǒng)。業(yè)務(wù)外網(wǎng)主要負(fù)責(zé)互聯(lián)網(wǎng)訪問及應(yīng)用系統(tǒng)的對外應(yīng)用發(fā)布。
2計算機(jī)網(wǎng)絡(luò)安全隱患
計算機(jī)網(wǎng)絡(luò)的主要作用是信息傳輸,在傳輸過程中面臨著很多安全隱患,主要分為技術(shù)方面和管理方面。
2.1技術(shù)隱患
(1)規(guī)劃設(shè)計不合理。網(wǎng)絡(luò)系統(tǒng)的設(shè)計初期就應(yīng)該針對系統(tǒng)需要承載的業(yè)務(wù)系統(tǒng)、覆蓋范圍、訪問模式進(jìn)行相應(yīng)的安
4、全設(shè)計,特別是像南水北調(diào)中線干線這種橫跨多個省份的大型網(wǎng)絡(luò)系統(tǒng),需要對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行合理的規(guī)劃,設(shè)計網(wǎng)絡(luò)安全防范區(qū)域,并針對不同區(qū)域的安全風(fēng)險程度進(jìn)行安全防護(hù)方案的制定。網(wǎng)絡(luò)結(jié)構(gòu)的不合理將導(dǎo)致網(wǎng)路系統(tǒng)加大針對業(yè)務(wù)系統(tǒng)、地理區(qū)域進(jìn)行單獨的安全防范的難度,降低安全防范的效果。(2)計算機(jī)病毒。計算機(jī)病毒是最常見的安全威脅,具有潛伏性、破壞性、繁殖性、傳染性、針對性、隱蔽性和可觸發(fā)性等特征。計算機(jī)病毒的危害主要通過病毒破壞或竊取主機(jī)、系統(tǒng)、數(shù)據(jù)等信息資產(chǎn)造成信息系統(tǒng)、生產(chǎn)系統(tǒng)的性能下降,功能喪失。(3)網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊指借助計算機(jī)技術(shù),主動的、有針對性的對計算機(jī)網(wǎng)絡(luò)系統(tǒng)、信息系統(tǒng)中的特定或非特定目標(biāo)
5、進(jìn)行攻擊破壞、信息盜取。這是計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅,網(wǎng)絡(luò)攻擊可對計算機(jī)網(wǎng)絡(luò)造成極大的危害,并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。
2.2管理隱患
(1)網(wǎng)絡(luò)配置不當(dāng)。網(wǎng)絡(luò)配置管理不當(dāng)會形成安全漏洞,使病毒、攻擊者可以通過安全漏洞使用網(wǎng)絡(luò)技術(shù)手段進(jìn)行攻擊、破壞。(2)人為操作失誤。操作人員不嚴(yán)謹(jǐn)、不規(guī)范的操作方式可能會對系統(tǒng)造成嚴(yán)重的破壞,造成網(wǎng)絡(luò)中斷、系統(tǒng)崩潰、數(shù)據(jù)丟失等后果。(3)管理制度的缺失。如果沒有網(wǎng)絡(luò)安全相關(guān)規(guī)章制度和管理規(guī)范,容易形成管理漏洞。例如缺乏認(rèn)證、授權(quán)機(jī)制,缺少對關(guān)鍵系統(tǒng)的防范措施,或者用戶安全意識不強(qiáng)、口令選擇不慎,將自己的賬號隨意轉(zhuǎn)借給他人或與別人
6、分享等都會對網(wǎng)絡(luò)安全帶來威脅。
3計算機(jī)網(wǎng)絡(luò)安全防護(hù)對策
3.1技術(shù)層面防范措施
根據(jù)業(yè)務(wù)的重要性,南水北調(diào)中線工程干線網(wǎng)路系統(tǒng)劃分為3個子網(wǎng)絡(luò),依據(jù)建設(shè)期網(wǎng)絡(luò)系統(tǒng)規(guī)劃,每張網(wǎng)承載不同的業(yè)務(wù)系統(tǒng),每張網(wǎng)絡(luò)根據(jù)業(yè)務(wù)的重要性部署不同級別的安全防護(hù)策略。每張網(wǎng)絡(luò)內(nèi)部又劃分為總局、分局、管理處、現(xiàn)地站4個層次,并且劃分了服務(wù)器區(qū)、運(yùn)維管理區(qū)等區(qū)域,各區(qū)域間有清晰的邊界,方便進(jìn)行防護(hù)。
3.1.1網(wǎng)絡(luò)邊界的防范(1)網(wǎng)絡(luò)間防護(hù)。業(yè)務(wù)內(nèi)網(wǎng)需要控制專網(wǎng)閘站監(jiān)控系統(tǒng)的數(shù)據(jù),在控制專網(wǎng)、業(yè)務(wù)內(nèi)網(wǎng)之間部署了網(wǎng)閘設(shè)備,用于將業(yè)務(wù)需要的位于控制專網(wǎng)的數(shù)據(jù)
7、擺渡到業(yè)務(wù)內(nèi)網(wǎng)。數(shù)據(jù)擺渡與數(shù)據(jù)傳輸有本質(zhì)上的區(qū)別,數(shù)據(jù)擺渡采用私有協(xié)議,控制專網(wǎng)、業(yè)務(wù)內(nèi)網(wǎng)的雙方并不知道對方的存在,也無法直接建立連接,數(shù)據(jù)只能從控制專網(wǎng)單方向擺渡到業(yè)務(wù)內(nèi)網(wǎng),從而實現(xiàn)控制專網(wǎng)與業(yè)務(wù)內(nèi)網(wǎng)的隔離。(2)分局間的防護(hù)。在各分局之間均部署了防火墻、入侵檢測設(shè)備用于區(qū)域防護(hù),防火墻和入侵防御系統(tǒng)主要通過策略限制非法訪問,即使局部發(fā)生入侵,也能保證其他區(qū)域的安全。(3)互聯(lián)網(wǎng)出口防護(hù)。互聯(lián)網(wǎng)出口安全風(fēng)險較大,是內(nèi)網(wǎng)網(wǎng)絡(luò)與外部的一個出口,互聯(lián)網(wǎng)出口應(yīng)該進(jìn)行重點防護(hù),中線干線部署了防火墻、上網(wǎng)行為管理、入侵檢測、入侵防御、抗DDOS、病毒防火墻等多種防護(hù)設(shè)備。(4)服務(wù)器區(qū)防護(hù)。服務(wù)器區(qū)部署
8、防火墻、WAF等設(shè)備對關(guān)鍵系統(tǒng)進(jìn)行了安全防護(hù),保證業(yè)務(wù)系統(tǒng)的安全。
3.1.2重要業(yè)務(wù)系統(tǒng)的防范針對重要的業(yè)務(wù)系統(tǒng)部署的WAF防火墻,能夠?qū)崟r監(jiān)控業(yè)務(wù)狀態(tài),防止業(yè)務(wù)系統(tǒng)網(wǎng)站被非法篡改。部署防DDOS攻擊設(shè)備,防止來自互聯(lián)網(wǎng)的病毒對業(yè)務(wù)系統(tǒng)的DDOS攻擊而造成系統(tǒng)癱瘓。為保障網(wǎng)絡(luò)安全,南水北調(diào)中線工程做出如下防范措施。(1)授權(quán)與認(rèn)證。中線干線控制專網(wǎng)承載著核心業(yè)務(wù),控制專網(wǎng)部署了網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),接入控制專網(wǎng)的終端需要首先通過認(rèn)證,只有使用經(jīng)過授權(quán)的移動介質(zhì)才能接入專網(wǎng),能夠有效避免信息泄漏或病毒導(dǎo)入。(2)行為防范與審計?;ヂ?lián)網(wǎng)行為管理與審計:在互聯(lián)網(wǎng)出口部署上網(wǎng)行為管理系統(tǒng),能
9、夠通過該系統(tǒng)對用戶互聯(lián)網(wǎng)的行為進(jìn)行限制并審計。數(shù)據(jù)庫審計:部署了數(shù)據(jù)庫審計系統(tǒng),能夠?qū)I(yè)務(wù)系統(tǒng)、操作人員的數(shù)據(jù)操作進(jìn)行審計。運(yùn)維管理與審計:部署了運(yùn)維管理與審計系統(tǒng),可以對各級運(yùn)維人員進(jìn)行授權(quán),只有經(jīng)過認(rèn)證并具有授權(quán)的人員才能夠?qū)υO(shè)備進(jìn)行操作,運(yùn)維人員通過堡壘主機(jī)進(jìn)行任何操作都會被記錄下來。(3)漏洞防范。為保證信息安全,南水北調(diào)中線工程部署了漏洞掃描系統(tǒng),對網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)進(jìn)行安全掃描,以便及時發(fā)現(xiàn)設(shè)備、系統(tǒng)存在的安全漏洞。部署了安全配置核查系統(tǒng),對網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)進(jìn)行安全配置基線核查,以便及時發(fā)現(xiàn)設(shè)備、系統(tǒng)在安全配置上的缺陷。網(wǎng)絡(luò)安全人員會對掃描出的安全漏洞、缺陷及時進(jìn)行修
10、復(fù),保證設(shè)備、系統(tǒng)的安全。(4)病毒防治。為防范病毒由互聯(lián)網(wǎng)進(jìn)入南水北調(diào)中線工程內(nèi)部網(wǎng)絡(luò),南水北調(diào)中線干線在互聯(lián)網(wǎng)出口部署了防病毒網(wǎng)絡(luò)設(shè)備,對進(jìn)出互聯(lián)網(wǎng)的數(shù)據(jù)進(jìn)行病毒查殺,一旦通過分析發(fā)現(xiàn)數(shù)據(jù)與病毒特征一致,將阻斷數(shù)據(jù)傳輸,避免病毒數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)內(nèi)部。在網(wǎng)絡(luò)內(nèi)部各分局之間的邊界通過防火墻設(shè)備屏蔽部分已知病毒端口,例如勒索病毒445端口,避免內(nèi)網(wǎng)局部出現(xiàn)病毒后在全網(wǎng)擴(kuò)散造成病毒傳播。在所用用戶終端的電腦要求安全防護(hù)、病毒查殺軟件,防止病毒通過終端用戶電腦進(jìn)入網(wǎng)絡(luò)內(nèi)部。(5)數(shù)據(jù)加密。南水北調(diào)中線工程針對核心生產(chǎn)系統(tǒng)-閘站監(jiān)控系統(tǒng)建設(shè)了數(shù)據(jù)傳輸加密防護(hù),實現(xiàn)控制專網(wǎng)由系統(tǒng)服務(wù)器至前端現(xiàn)地(閘)站之間
11、的網(wǎng)絡(luò)數(shù)據(jù)以加密的方式進(jìn)行傳輸,保證數(shù)據(jù)無法被非法篡改,即使數(shù)據(jù)被截獲也無法識別,實現(xiàn)傳輸數(shù)據(jù)的安全可靠。
3.2管理層面防范措施
(1)建設(shè)網(wǎng)絡(luò)安全管理體系。頒布一系列網(wǎng)絡(luò)安全管理辦法,涵蓋信息安全管理制度、信息安全管理機(jī)構(gòu)、系統(tǒng)建設(shè)信息安全管理、運(yùn)行維護(hù)信息安全管理等方面。(2)提高網(wǎng)絡(luò)安全人員業(yè)務(wù)水平。提高網(wǎng)絡(luò)管理人員的業(yè)務(wù)素質(zhì)是一個重要的任務(wù),為網(wǎng)絡(luò)安全管理人員和操作人員提供安全技術(shù)培訓(xùn)知識,加強(qiáng)業(yè)務(wù)技術(shù)培訓(xùn),提高技能,注重網(wǎng)絡(luò)系統(tǒng)的安全管理,防止破壞網(wǎng)絡(luò)安全事故的發(fā)生。(3)提升網(wǎng)絡(luò)安全意識。開展網(wǎng)絡(luò)安全教育,學(xué)習(xí)網(wǎng)絡(luò)安全法和安全常識,提升全員網(wǎng)絡(luò)安全
12、意識,提高員工的責(zé)任感,提升網(wǎng)絡(luò)安全防范能力。
4結(jié)語
南水北調(diào)中線計算機(jī)信息系統(tǒng)的安全管理是一個全方位、多層次的問題,是一個不斷需要完善和提升的過程,是一個與計算機(jī)病毒、網(wǎng)絡(luò)攻擊作斗爭,人員安全意識持續(xù)提升的過程。網(wǎng)絡(luò)的安全不能一勞永逸地單靠技術(shù)手段解決,沒有任何一種技術(shù)可以保證網(wǎng)絡(luò)絕對安全。因此,筆者認(rèn)為,要做好內(nèi)部網(wǎng)絡(luò)安全工作,不僅需要過硬的技術(shù)手段、周密的安全策略,更需要不斷提高系統(tǒng)管理人員和使用人員的安全意識。上述是筆者多年從事計算機(jī)信息系統(tǒng)管理得出的經(jīng)驗總結(jié),結(jié)合南水北調(diào)中線建管局網(wǎng)絡(luò)安全管理項目的心得體會,希望可以為其他類似工程的網(wǎng)絡(luò)安全建設(shè)提供一些思路。