南水北調(diào)計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀與對(duì)策

《南水北調(diào)計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀與對(duì)策》由會(huì)員分享，可在線閱讀，更多相關(guān)《南水北調(diào)計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀與對(duì)策（5頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、南水北調(diào)計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀與對(duì)策 南水北調(diào)計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀與對(duì)策 2019/05/31 摘要：南水北調(diào)中線工程自建成以來(lái)，在生產(chǎn)、辦公系統(tǒng)等方面實(shí)現(xiàn)了數(shù)字化和信息化，信息系統(tǒng)的安全就顯得日益重要。本文針對(duì)南水北調(diào)中線工程網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀進(jìn)行分析，總結(jié)了計(jì)算機(jī)網(wǎng)絡(luò)存在的技術(shù)和管理方面的安全隱患，并針對(duì)安全隱患提出了相應(yīng)的防范措施。研究所得成果為類似工程的網(wǎng)絡(luò)安全工作提供參考。 關(guān)鍵詞：南水北調(diào)中線工程；網(wǎng)絡(luò)威脅；網(wǎng)絡(luò)安全；防范措施 南

2、水北調(diào)中線工程計(jì)算機(jī)信息系統(tǒng)主要分為應(yīng)用系統(tǒng)、應(yīng)用支撐平臺(tái)、數(shù)據(jù)存儲(chǔ)與管理系統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)、通信系統(tǒng)、系統(tǒng)運(yùn)行實(shí)體環(huán)境等部分。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在南水北調(diào)工程中的全面應(yīng)用，為了避免因網(wǎng)絡(luò)安全問(wèn)題造成不利影響，需要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全隱患進(jìn)行防范，以保障計(jì)算機(jī)信息系統(tǒng)的平穩(wěn)運(yùn)行。 1計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀 南水北調(diào)中線干線工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)分為控制專網(wǎng)、業(yè)務(wù)內(nèi)網(wǎng)、業(yè)務(wù)外網(wǎng)3張網(wǎng)絡(luò)，每張網(wǎng)絡(luò)承載不同業(yè)務(wù)系統(tǒng)，具有不同的網(wǎng)絡(luò)結(jié)構(gòu)及安全防護(hù)級(jí)別。網(wǎng)絡(luò)之間具有明顯的邊界，每張網(wǎng)絡(luò)又可以分為中線局、分局、管理處、現(xiàn)地站4層網(wǎng)絡(luò)結(jié)構(gòu)?？刂茖＞W(wǎng)承載閘站遠(yuǎn)程監(jiān)控系統(tǒng)，閘站遠(yuǎn)程監(jiān)控系統(tǒng)

3、是南水北調(diào)中線干線核心生產(chǎn)信息系統(tǒng)，負(fù)責(zé)各現(xiàn)地（閘）站設(shè)置各類數(shù)據(jù)、圖像、話音等數(shù)據(jù)的采集，并對(duì)閘站遠(yuǎn)程控制。業(yè)務(wù)內(nèi)網(wǎng)主要承載工程防洪、安全監(jiān)測(cè)、水質(zhì)監(jiān)測(cè)信息、工程管理、視頻監(jiān)控等輔助型生產(chǎn)信息系統(tǒng)，以及綜合辦公、財(cái)務(wù)、視頻會(huì)議等辦公類信息系統(tǒng)。業(yè)務(wù)外網(wǎng)主要負(fù)責(zé)互聯(lián)網(wǎng)訪問(wèn)及應(yīng)用系統(tǒng)的對(duì)外應(yīng)用發(fā)布。 2計(jì)算機(jī)網(wǎng)絡(luò)安全隱患 計(jì)算機(jī)網(wǎng)絡(luò)的主要作用是信息傳輸，在傳輸過(guò)程中面臨著很多安全隱患，主要分為技術(shù)方面和管理方面。 2.1技術(shù)隱患 （1）規(guī)劃設(shè)計(jì)不合理。網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)初期就應(yīng)該針對(duì)系統(tǒng)需要承載的業(yè)務(wù)系統(tǒng)、覆蓋范圍、訪問(wèn)模式進(jìn)行相應(yīng)的安

4、全設(shè)計(jì)，特別是像南水北調(diào)中線干線這種橫跨多個(gè)省份的大型網(wǎng)絡(luò)系統(tǒng)，需要對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行合理的規(guī)劃，設(shè)計(jì)網(wǎng)絡(luò)安全防范區(qū)域，并針對(duì)不同區(qū)域的安全風(fēng)險(xiǎn)程度進(jìn)行安全防護(hù)方案的制定。網(wǎng)絡(luò)結(jié)構(gòu)的不合理將導(dǎo)致網(wǎng)路系統(tǒng)加大針對(duì)業(yè)務(wù)系統(tǒng)、地理區(qū)域進(jìn)行單獨(dú)的安全防范的難度，降低安全防范的效果。（2）計(jì)算機(jī)病毒。計(jì)算機(jī)病毒是最常見(jiàn)的安全威脅，具有潛伏性、破壞性、繁殖性、傳染性、針對(duì)性、隱蔽性和可觸發(fā)性等特征。計(jì)算機(jī)病毒的危害主要通過(guò)病毒破壞或竊取主機(jī)、系統(tǒng)、數(shù)據(jù)等信息資產(chǎn)造成信息系統(tǒng)、生產(chǎn)系統(tǒng)的性能下降，功能喪失。（3）網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊指借助計(jì)算機(jī)技術(shù)，主動(dòng)的、有針對(duì)性的對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)、信息系統(tǒng)中的特定或非特定目標(biāo)

5、進(jìn)行攻擊破壞、信息盜取。這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，網(wǎng)絡(luò)攻擊可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。 2.2管理隱患 （1）網(wǎng)絡(luò)配置不當(dāng)。網(wǎng)絡(luò)配置管理不當(dāng)會(huì)形成安全漏洞，使病毒、攻擊者可以通過(guò)安全漏洞使用網(wǎng)絡(luò)技術(shù)手段進(jìn)行攻擊、破壞。（2）人為操作失誤。操作人員不嚴(yán)謹(jǐn)、不規(guī)范的操作方式可能會(huì)對(duì)系統(tǒng)造成嚴(yán)重的破壞，造成網(wǎng)絡(luò)中斷、系統(tǒng)崩潰、數(shù)據(jù)丟失等后果。（3）管理制度的缺失。如果沒(méi)有網(wǎng)絡(luò)安全相關(guān)規(guī)章制度和管理規(guī)范，容易形成管理漏洞。例如缺乏認(rèn)證、授權(quán)機(jī)制，缺少對(duì)關(guān)鍵系統(tǒng)的防范措施，或者用戶安全意識(shí)不強(qiáng)、口令選擇不慎，將自己的賬號(hào)隨意轉(zhuǎn)借給他人或與別人

6、分享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。 3計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)對(duì)策 3.1技術(shù)層面防范措施 根據(jù)業(yè)務(wù)的重要性，南水北調(diào)中線工程干線網(wǎng)路系統(tǒng)劃分為3個(gè)子網(wǎng)絡(luò)，依據(jù)建設(shè)期網(wǎng)絡(luò)系統(tǒng)規(guī)劃，每張網(wǎng)承載不同的業(yè)務(wù)系統(tǒng)，每張網(wǎng)絡(luò)根據(jù)業(yè)務(wù)的重要性部署不同級(jí)別的安全防護(hù)策略。每張網(wǎng)絡(luò)內(nèi)部又劃分為總局、分局、管理處、現(xiàn)地站4個(gè)層次，并且劃分了服務(wù)器區(qū)、運(yùn)維管理區(qū)等區(qū)域，各區(qū)域間有清晰的邊界，方便進(jìn)行防護(hù)。 3.1.1網(wǎng)絡(luò)邊界的防范（1）網(wǎng)絡(luò)間防護(hù)。業(yè)務(wù)內(nèi)網(wǎng)需要控制專網(wǎng)閘站監(jiān)控系統(tǒng)的數(shù)據(jù)，在控制專網(wǎng)、業(yè)務(wù)內(nèi)網(wǎng)之間部署了網(wǎng)閘設(shè)備，用于將業(yè)務(wù)需要的位于控制專網(wǎng)的數(shù)據(jù)

7、擺渡到業(yè)務(wù)內(nèi)網(wǎng)。數(shù)據(jù)擺渡與數(shù)據(jù)傳輸有本質(zhì)上的區(qū)別，數(shù)據(jù)擺渡采用私有協(xié)議，控制專網(wǎng)、業(yè)務(wù)內(nèi)網(wǎng)的雙方并不知道對(duì)方的存在，也無(wú)法直接建立連接，數(shù)據(jù)只能從控制專網(wǎng)單方向擺渡到業(yè)務(wù)內(nèi)網(wǎng)，從而實(shí)現(xiàn)控制專網(wǎng)與業(yè)務(wù)內(nèi)網(wǎng)的隔離。（2）分局間的防護(hù)。在各分局之間均部署了防火墻、入侵檢測(cè)設(shè)備用于區(qū)域防護(hù)，防火墻和入侵防御系統(tǒng)主要通過(guò)策略限制非法訪問(wèn)，即使局部發(fā)生入侵，也能保證其他區(qū)域的安全。（3）互聯(lián)網(wǎng)出口防護(hù)?；ヂ?lián)網(wǎng)出口安全風(fēng)險(xiǎn)較大，是內(nèi)網(wǎng)網(wǎng)絡(luò)與外部的一個(gè)出口，互聯(lián)網(wǎng)出口應(yīng)該進(jìn)行重點(diǎn)防護(hù)，中線干線部署了防火墻、上網(wǎng)行為管理、入侵檢測(cè)、入侵防御、抗DDOS、病毒防火墻等多種防護(hù)設(shè)備。（4）服務(wù)器區(qū)防護(hù)。服務(wù)器區(qū)部署

8、防火墻、WAF等設(shè)備對(duì)關(guān)鍵系統(tǒng)進(jìn)行了安全防護(hù)，保證業(yè)務(wù)系統(tǒng)的安全。 3.1.2重要業(yè)務(wù)系統(tǒng)的防范針對(duì)重要的業(yè)務(wù)系統(tǒng)部署的WAF防火墻，能夠?qū)崟r(shí)監(jiān)控業(yè)務(wù)狀態(tài)，防止業(yè)務(wù)系統(tǒng)網(wǎng)站被非法篡改。部署防DDOS攻擊設(shè)備，防止來(lái)自互聯(lián)網(wǎng)的病毒對(duì)業(yè)務(wù)系統(tǒng)的DDOS攻擊而造成系統(tǒng)癱瘓。為保障網(wǎng)絡(luò)安全，南水北調(diào)中線工程做出如下防范措施。（1）授權(quán)與認(rèn)證。中線干線控制專網(wǎng)承載著核心業(yè)務(wù)，控制專網(wǎng)部署了網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，接入控制專網(wǎng)的終端需要首先通過(guò)認(rèn)證，只有使用經(jīng)過(guò)授權(quán)的移動(dòng)介質(zhì)才能接入專網(wǎng)，能夠有效避免信息泄漏或病毒導(dǎo)入。（2）行為防范與審計(jì)?；ヂ?lián)網(wǎng)行為管理與審計(jì)：在互聯(lián)網(wǎng)出口部署上網(wǎng)行為管理系統(tǒng)，能

9、夠通過(guò)該系統(tǒng)對(duì)用戶互聯(lián)網(wǎng)的行為進(jìn)行限制并審計(jì)。數(shù)據(jù)庫(kù)審計(jì)：部署了數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，能夠?qū)I(yè)務(wù)系統(tǒng)、操作人員的數(shù)據(jù)操作進(jìn)行審計(jì)。運(yùn)維管理與審計(jì)：部署了運(yùn)維管理與審計(jì)系統(tǒng)，可以對(duì)各級(jí)運(yùn)維人員進(jìn)行授權(quán)，只有經(jīng)過(guò)認(rèn)證并具有授權(quán)的人員才能夠?qū)υO(shè)備進(jìn)行操作，運(yùn)維人員通過(guò)堡壘主機(jī)進(jìn)行任何操作都會(huì)被記錄下來(lái)。（3）漏洞防范。為保證信息安全，南水北調(diào)中線工程部署了漏洞掃描系統(tǒng)，對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)進(jìn)行安全掃描，以便及時(shí)發(fā)現(xiàn)設(shè)備、系統(tǒng)存在的安全漏洞。部署了安全配置核查系統(tǒng)，對(duì)網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)進(jìn)行安全配置基線核查，以便及時(shí)發(fā)現(xiàn)設(shè)備、系統(tǒng)在安全配置上的缺陷。網(wǎng)絡(luò)安全人員會(huì)對(duì)掃描出的安全漏洞、缺陷及時(shí)進(jìn)行修

10、復(fù)，保證設(shè)備、系統(tǒng)的安全。（4）病毒防治。為防范病毒由互聯(lián)網(wǎng)進(jìn)入南水北調(diào)中線工程內(nèi)部網(wǎng)絡(luò)，南水北調(diào)中線干線在互聯(lián)網(wǎng)出口部署了防病毒網(wǎng)絡(luò)設(shè)備，對(duì)進(jìn)出互聯(lián)網(wǎng)的數(shù)據(jù)進(jìn)行病毒查殺，一旦通過(guò)分析發(fā)現(xiàn)數(shù)據(jù)與病毒特征一致，將阻斷數(shù)據(jù)傳輸，避免病毒數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)內(nèi)部。在網(wǎng)絡(luò)內(nèi)部各分局之間的邊界通過(guò)防火墻設(shè)備屏蔽部分已知病毒端口，例如勒索病毒445端口，避免內(nèi)網(wǎng)局部出現(xiàn)病毒后在全網(wǎng)擴(kuò)散造成病毒傳播。在所用用戶終端的電腦要求安全防護(hù)、病毒查殺軟件，防止病毒通過(guò)終端用戶電腦進(jìn)入網(wǎng)絡(luò)內(nèi)部。（5）數(shù)據(jù)加密。南水北調(diào)中線工程針對(duì)核心生產(chǎn)系統(tǒng)-閘站監(jiān)控系統(tǒng)建設(shè)了數(shù)據(jù)傳輸加密防護(hù)，實(shí)現(xiàn)控制專網(wǎng)由系統(tǒng)服務(wù)器至前端現(xiàn)地（閘）站之間

11、的網(wǎng)絡(luò)數(shù)據(jù)以加密的方式進(jìn)行傳輸，保證數(shù)據(jù)無(wú)法被非法篡改，即使數(shù)據(jù)被截獲也無(wú)法識(shí)別，實(shí)現(xiàn)傳輸數(shù)據(jù)的安全可靠。 3.2管理層面防范措施 （1）建設(shè)網(wǎng)絡(luò)安全管理體系。頒布一系列網(wǎng)絡(luò)安全管理辦法，涵蓋信息安全管理制度、信息安全管理機(jī)構(gòu)、系統(tǒng)建設(shè)信息安全管理、運(yùn)行維護(hù)信息安全管理等方面。（2）提高網(wǎng)絡(luò)安全人員業(yè)務(wù)水平。提高網(wǎng)絡(luò)管理人員的業(yè)務(wù)素質(zhì)是一個(gè)重要的任務(wù)，為網(wǎng)絡(luò)安全管理人員和操作人員提供安全技術(shù)培訓(xùn)知識(shí)，加強(qiáng)業(yè)務(wù)技術(shù)培訓(xùn)，提高技能，注重網(wǎng)絡(luò)系統(tǒng)的安全管理，防止破壞網(wǎng)絡(luò)安全事故的發(fā)生。（3）提升網(wǎng)絡(luò)安全意識(shí)。開(kāi)展網(wǎng)絡(luò)安全教育，學(xué)習(xí)網(wǎng)絡(luò)安全法和安全常識(shí)，提升全員網(wǎng)絡(luò)安全

12、意識(shí)，提高員工的責(zé)任感，提升網(wǎng)絡(luò)安全防范能力。 4結(jié)語(yǔ) 南水北調(diào)中線計(jì)算機(jī)信息系統(tǒng)的安全管理是一個(gè)全方位、多層次的問(wèn)題，是一個(gè)不斷需要完善和提升的過(guò)程，是一個(gè)與計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊作斗爭(zhēng)，人員安全意識(shí)持續(xù)提升的過(guò)程。網(wǎng)絡(luò)的安全不能一勞永逸地單靠技術(shù)手段解決，沒(méi)有任何一種技術(shù)可以保證網(wǎng)絡(luò)絕對(duì)安全。因此，筆者認(rèn)為，要做好內(nèi)部網(wǎng)絡(luò)安全工作，不僅需要過(guò)硬的技術(shù)手段、周密的安全策略，更需要不斷提高系統(tǒng)管理人員和使用人員的安全意識(shí)。上述是筆者多年從事計(jì)算機(jī)信息系統(tǒng)管理得出的經(jīng)驗(yàn)總結(jié)，結(jié)合南水北調(diào)中線建管局網(wǎng)絡(luò)安全管理項(xiàng)目的心得體會(huì)，希望可以為其他類似工程的網(wǎng)絡(luò)安全建設(shè)提供一些思路。