淺談建設(shè)水利信息安全體系建設(shè)規(guī)則

蔣毛席

摘要：如何做到信息化與信息安全協(xié)調(diào)發(fā)展成為水利信息化進(jìn)一步發(fā)展面臨的一個(gè)主要問題。從我省信息化和信息安全的形勢(shì)出發(fā)，分析了水利信息化與信息安全狀況，指出了水利信息安全方面存在的問題，提出了建設(shè)水利信息安全體系建設(shè)規(guī)則的措施.

關(guān)鍵詞：水利信息化 信息安全 規(guī)則

隨著信息化在各個(gè)領(lǐng)域的深入發(fā)展，信息安全的重要性也與日俱增。當(dāng)前我國(guó)網(wǎng)絡(luò)與信息安全工作面臨的形勢(shì)相當(dāng)嚴(yán)峻，網(wǎng)站被篡改、網(wǎng)絡(luò)仿冒、網(wǎng)頁(yè)惡意代碼、計(jì)算機(jī)被植入木馬等事件頻頻發(fā)生。根據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡(jiǎn)稱CNCERT/CC）的統(tǒng)計(jì)，2012年我國(guó)大陸地區(qū)被篡改網(wǎng)站的數(shù)量為16388個(gè)，其中政府網(wǎng)站被篡改的數(shù)量為1802個(gè)，這嚴(yán)重威脅國(guó)家安全、社會(huì)秩序、公共利益和社會(huì)公眾的合法權(quán)益。根據(jù)國(guó)家信息化領(lǐng)導(dǎo)小組的統(tǒng)一部署和安排，我國(guó)在全國(guó)范圍內(nèi)開展了信息安全等級(jí)保護(hù)工作，一批信息安全等級(jí)保護(hù)相關(guān)法規(guī)、政策文件和標(biāo)準(zhǔn)相繼出臺(tái)，為網(wǎng)絡(luò)與信息安全體系的建設(shè)提供了依據(jù)。

1.水利網(wǎng)絡(luò)與信息安全現(xiàn)狀

近年來，水利部黨組準(zhǔn)確把握水利工作的新形勢(shì)和新需求，在充分總結(jié)治水實(shí)踐和經(jīng)驗(yàn)的基礎(chǔ)上，提出了從傳統(tǒng)水利向現(xiàn)代水利、可持續(xù)發(fā)展水利轉(zhuǎn)變的治水思路，明確了以水利信息化帶動(dòng)水利現(xiàn)代化的發(fā)展方向。伴隨著水利事業(yè)的發(fā)展和改革，水利信息化建設(shè)取得了豐碩的成果，逐漸成為現(xiàn)代水事活動(dòng)的重要支撐，成為水利現(xiàn)代化的重要帶動(dòng)力量。依托國(guó)家防汛抗旱指揮系統(tǒng)一期工程、山洪災(zāi)害預(yù)警系統(tǒng)、水資源監(jiān)控能力建設(shè)和大型灌區(qū)信息化試點(diǎn)等信息化重點(diǎn)工程的順利實(shí)施，水利信息化基礎(chǔ)設(shè)施得到進(jìn)一步完善，對(duì)業(yè)務(wù)應(yīng)用的支撐能力顯著提高。防汛抗旱、山洪災(zāi)害預(yù)警系統(tǒng)、水資源監(jiān)控能力建設(shè)、全國(guó)水土保持監(jiān)測(cè)管理信息系統(tǒng)等業(yè)務(wù)應(yīng)用逐步建成并投入應(yīng)用。在水利信息化基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用快速發(fā)展的同時(shí)，作為水利信息化保障環(huán)境之一的安全體系逐步建立和發(fā)展。

2.技術(shù)體系總體框架

水利行業(yè)信息安全技術(shù)體系框架應(yīng)該結(jié)合等級(jí)保護(hù)的思路和標(biāo)準(zhǔn)，從多個(gè)層面進(jìn)行建設(shè)，通過建立健全統(tǒng)一的信息安全技術(shù)支撐層、安全管理支撐層和安全服務(wù)支撐層，在水利行業(yè)形成有效的安全防護(hù)能力、安全監(jiān)管能力和安全運(yùn)維能力，為水利行業(yè)IT系統(tǒng)的的運(yùn)行提供安全的網(wǎng)絡(luò)運(yùn)行環(huán)境和應(yīng)用安全支撐。

（1）中心機(jī)房安全建設(shè)

中心機(jī)房物理環(huán)境安全策略的目的是保護(hù)網(wǎng)絡(luò)中計(jì)算機(jī)網(wǎng)絡(luò)通信有一個(gè)良好的電磁兼容工作環(huán)境，并防止非法用戶進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。

（2）網(wǎng)絡(luò)安全

根據(jù)國(guó)家等級(jí)保護(hù)的基本要求，水利行業(yè)網(wǎng)絡(luò)層的安全需求主要包括：結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等方面。

安全域是指同一環(huán)境內(nèi)有相同的安全保護(hù)需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網(wǎng)絡(luò)或系統(tǒng)。安全域的劃分可以使安全部署更加清晰、效率更高、更有針對(duì)性。為了對(duì)水利行業(yè)的系統(tǒng)和設(shè)施進(jìn)行有效的安全防護(hù)，需要重點(diǎn)對(duì)水利行業(yè)總部信息網(wǎng)絡(luò)進(jìn)行安全域的劃分。

網(wǎng)絡(luò)結(jié)構(gòu)需要具備一定的冗余性，避免單點(diǎn)故障帶來的系統(tǒng)癱瘓，同時(shí)各部分網(wǎng)絡(luò)設(shè)備的帶寬也要能夠滿足業(yè)務(wù)高峰時(shí)期數(shù)據(jù)交換需求。

安全域明確定義之后，要在實(shí)際的信息系統(tǒng)環(huán)境中進(jìn)行劃分并實(shí)施相應(yīng)保護(hù)措施，各個(gè)安全域邊界之間的保護(hù)將通過不同的安全技術(shù)和安全設(shè)備，滿足等級(jí)保護(hù)對(duì)于邊界防護(hù)的要求。

防火墻是設(shè)置在不同網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)安全策略控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。可以實(shí)現(xiàn)以下目標(biāo)：

防火墻能極大地提高網(wǎng)絡(luò)系統(tǒng)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以服務(wù)器區(qū)域和內(nèi)網(wǎng)變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)區(qū)域，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部服務(wù)器。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。

如果所有對(duì)服務(wù)器的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供服務(wù)器區(qū)域是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。

通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)安區(qū)域中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而曝露了服務(wù)器區(qū)域的某些安全漏洞。使用防火墻就可以隱蔽這些安全漏洞。

根據(jù)信息安全保護(hù)的要求，水利行業(yè)網(wǎng)絡(luò)邊界處需要具備監(jiān)控端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等行為的能力。建議采用入侵防護(hù)技術(shù)和抗DOS攻擊設(shè)備保護(hù)水利行業(yè)集團(tuán)網(wǎng)絡(luò)邊界的安全。

根據(jù)等級(jí)保護(hù)的要求，需要在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除，并維護(hù)惡意代碼庫(kù)的升級(jí)和檢索更新。由于內(nèi)網(wǎng)辦公用戶有著訪問互聯(lián)網(wǎng)的需求，因此，更易遭受惡意代碼的威脅，建議部署防病毒網(wǎng)關(guān)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和阻斷。

在網(wǎng)絡(luò)安全設(shè)計(jì)方面，根據(jù)等級(jí)保護(hù)要求需要對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄，審計(jì)記錄要求包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息并能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。

終端安全管理系統(tǒng)同時(shí)也可以監(jiān)測(cè)內(nèi)部網(wǎng)中發(fā)生的外來主機(jī)非法接入、篡改 IP 地址、盜用 IP 地址等不法行為，由監(jiān)測(cè)控制臺(tái)進(jìn)行告警。運(yùn)用用戶信息和主機(jī)信息匹配方式實(shí)時(shí)發(fā)現(xiàn)接入主機(jī)的合法性，及時(shí)阻止 IP 地址的篡改和盜用行為，共同保證水利行業(yè)網(wǎng)絡(luò)的邊界完整性。

3.主機(jī)安全建設(shè)

基于主機(jī)面臨的身份認(rèn)證的風(fēng)險(xiǎn)和訪問控制的需求，需要對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，要求配置用戶名/口令；采用3種以上字符、長(zhǎng)度不少于8位的口令。

一方面要通過安全加固措施制定嚴(yán)格用戶權(quán)限策略，保證賬號(hào)、口令等符合安全策略。另一方面通過建立統(tǒng)一的身份鑒別和權(quán)限認(rèn)證網(wǎng)關(guān)，實(shí)現(xiàn)用戶對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)登陸的身份認(rèn)證和權(quán)限管理。

部署主機(jī)審計(jì)管理系統(tǒng)，可以實(shí)現(xiàn)對(duì)主機(jī)的控制、監(jiān)控、審計(jì)和系統(tǒng)管理。

控制功能包括計(jì)算機(jī)硬件資源控制、軟件資源控制、移動(dòng)存儲(chǔ)設(shè)備使用控制、IP與MAC地址綁定等。

監(jiān)控功能包括服務(wù)監(jiān)控、進(jìn)程監(jiān)控、硬件操作監(jiān)控、文件系統(tǒng)監(jiān)控、打印機(jī)監(jiān)控、非法外聯(lián)監(jiān)控、計(jì)算機(jī)用戶賬號(hào)監(jiān)控等。

相對(duì)于終端管理審計(jì)，主機(jī)上網(wǎng)行為審計(jì)側(cè)重于對(duì)內(nèi)網(wǎng)主機(jī)系統(tǒng)的網(wǎng)絡(luò)行為的審計(jì)，這其中包括水利行業(yè)內(nèi)網(wǎng)員工訪問網(wǎng)站、頁(yè)面的審計(jì)，外發(fā)信息的審計(jì)，包括在互聯(lián)網(wǎng)論壇的留言、通過郵件和MSN等即時(shí)通訊軟件發(fā)送的文件和聊天內(nèi)容的審計(jì)，通過這些行為的審計(jì)可以避免企業(yè)員工外泄企業(yè)機(jī)密，同時(shí)避免企業(yè)員工通過互聯(lián)網(wǎng)發(fā)表的非法、反動(dòng)言論為企業(yè)帶來的負(fù)面影響，并在第一時(shí)間可以定位到發(fā)出非法、反動(dòng)言論的員工。

根據(jù)等級(jí)保護(hù)對(duì)于入侵防范的要求，要能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警；此外需要能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施。

建議將入侵檢測(cè)系統(tǒng)部署在水利行業(yè)網(wǎng)絡(luò)中的核心，監(jiān)視并記錄網(wǎng)絡(luò)中的所有訪問行為和操作，有效防止非法操作和惡意攻擊。同時(shí)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)還可以形象地重現(xiàn)操作的過程，可幫助安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。

主機(jī)的入侵檢測(cè)系統(tǒng)，其防護(hù)的對(duì)象是網(wǎng)絡(luò)中的應(yīng)用服務(wù)器，或者是網(wǎng)絡(luò)中異常重要的單機(jī)PC。通過對(duì)主機(jī)配置（運(yùn)行配置、安全配置、應(yīng)用配置）、主機(jī)資源（服務(wù)資源、數(shù)據(jù)資源等）、主機(jī)安全事件等進(jìn)行監(jiān)控、防護(hù)，保證主機(jī)處在一個(gè)正常的運(yùn)行和服務(wù)狀態(tài)，并能夠保證存儲(chǔ)于主機(jī)的信息、數(shù)據(jù)不被非法的占有、破壞和利用。

等級(jí)保護(hù)中對(duì)服務(wù)器的服務(wù)質(zhì)量和系統(tǒng)性能提出了相應(yīng)的要求，主要包括：應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度。

惡意代碼防范

通過在主機(jī)終端安裝防病毒軟件的方式實(shí)現(xiàn)對(duì)主機(jī)系統(tǒng)的惡意代碼防護(hù)，目前水利行業(yè)安裝了網(wǎng)絡(luò)版的殺毒軟件，已具備終端的惡意代碼防護(hù)能力。

4.應(yīng)用安全

建立應(yīng)用安全體系的總體思路是：根據(jù)系統(tǒng)的統(tǒng)一規(guī)劃，建立CA認(rèn)證中心，作為整個(gè)網(wǎng)絡(luò)體系的基礎(chǔ)信任設(shè)施，以實(shí)現(xiàn)數(shù)字證書的受理、發(fā)放、更新與廢止；同時(shí)，建立直接服務(wù)于各個(gè)應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證及授權(quán)管理系統(tǒng)，實(shí)現(xiàn)基于數(shù)字證書的各項(xiàng)安全應(yīng)用功能，為各個(gè)應(yīng)用系統(tǒng)直接提供可信認(rèn)證、完整性保護(hù)、訪問控制、單點(diǎn)登錄、權(quán)限管理等基本安全服務(wù)，進(jìn)行實(shí)現(xiàn)各類應(yīng)用系統(tǒng)的安全互聯(lián)互通、安全信息共享、安全應(yīng)用整合。

通過在水利行業(yè)管理服務(wù)器區(qū)部署漏洞掃描和評(píng)估系統(tǒng)可以針對(duì)各種網(wǎng)絡(luò)設(shè)備、防火墻設(shè)備、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和桌面機(jī)進(jìn)行掃描和分析。可以檢測(cè)出：各種安全漏洞、是否有補(bǔ)丁包、各種已知安全漏洞、后門和木馬程序。

漏洞掃描系統(tǒng)可以用形象的圖表或報(bào)告的方式表示出在一個(gè)網(wǎng)絡(luò)中的安全薄弱環(huán)節(jié)，并可以提供非常有用的補(bǔ)救建議，如上所述：安裝補(bǔ)丁包、升級(jí)服務(wù)程序、停止不必要的服務(wù)、禁止某些用戶帳號(hào)或加強(qiáng)某些帳號(hào)密碼強(qiáng)度等，有效地協(xié)助網(wǎng)絡(luò)管理人員改善網(wǎng)絡(luò)安全狀況。

根據(jù)等級(jí)保護(hù)的要求，應(yīng)用系統(tǒng)應(yīng)能夠?qū)σ粋€(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制；對(duì)一個(gè)訪問帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額；對(duì)系統(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警等。

5.數(shù)據(jù)安全建設(shè)方案

數(shù)據(jù)完整性檢查主要體現(xiàn)在數(shù)據(jù)在傳輸過程和存儲(chǔ)過程中檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。

該部分的建設(shè)需要應(yīng)用系統(tǒng)自身采用數(shù)據(jù)校驗(yàn)技術(shù)對(duì)數(shù)據(jù)進(jìn)行完整性檢查，數(shù)據(jù)受到破壞后通過備份策略進(jìn)行數(shù)據(jù)恢復(fù)；同時(shí)在數(shù)據(jù)傳輸過程中采用VPN技術(shù)保障數(shù)據(jù)傳輸過程中的數(shù)據(jù)完整性。對(duì)于存儲(chǔ)過程中的完整性檢查將主要通過配置存儲(chǔ)系統(tǒng)對(duì)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)過程中的完整性進(jìn)行檢測(cè)與恢復(fù)。

備份與恢復(fù)主要包含兩方面內(nèi)容，首先是指數(shù)據(jù)備份與恢復(fù)，另外一方面是關(guān)鍵網(wǎng)絡(luò)設(shè)備、線路以及服務(wù)器等硬件設(shè)備的冗余。

目前大多數(shù)省份水利行業(yè)已經(jīng)形成了備份體系，本地備份主要通過備份服務(wù)器同時(shí)結(jié)合磁帶庫(kù)的方式進(jìn)行數(shù)據(jù)的備份和恢復(fù)。建議未來通過專線方式實(shí)現(xiàn)異地的數(shù)據(jù)備份。

6.安全保障建設(shè)

安全服務(wù)內(nèi)容主要包含： 定期的風(fēng)險(xiǎn)評(píng)估、安全加固服務(wù)、應(yīng)急響應(yīng)、安全監(jiān)控、安全信息通告等服務(wù)。

漏洞掃描服務(wù)主要是根據(jù)已有的安全漏洞知識(shí)庫(kù)，檢測(cè)網(wǎng)絡(luò)設(shè)備及服務(wù)器等各種信息資產(chǎn)所存在的安全隱患和漏洞。

漏洞掃描主要依靠帶有安全漏洞知識(shí)庫(kù)的安全掃描工具對(duì)信息資產(chǎn)進(jìn)行基于網(wǎng)絡(luò)層面安全掃描，其特點(diǎn)是能對(duì)被評(píng)估目標(biāo)進(jìn)行覆蓋面廣泛的安全漏洞查找，能真實(shí)地反映主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)所存在的安全問題。

安全加固主要包括“網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)架構(gòu)的加固”、“UNIX操作系統(tǒng)的加固” 和“Windows操作系統(tǒng)的加固”等：

包括：設(shè)備監(jiān)控、系統(tǒng)監(jiān)控、應(yīng)用監(jiān)控、日志監(jiān)控、安全設(shè)備監(jiān)控、安全信息通告、漏洞信息、安全產(chǎn)品評(píng)測(cè)信息、病毒信息、安全預(yù)警

安全服務(wù)廠商會(huì)根據(jù)業(yè)界的安全動(dòng)態(tài)分析可能對(duì)網(wǎng)絡(luò)或系統(tǒng)造成嚴(yán)重影響的安全漏洞和重大病毒，會(huì)根據(jù)行業(yè)的情況及時(shí)做好安全預(yù)警工作，并提供相應(yīng)的解決措施。

參考文獻(xiàn)：

[1]國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.我國(guó)網(wǎng)站被篡改情況月度報(bào)告[R].2012-02.

[2]水利部水利信息中心.全國(guó)水利信息化規(guī)劃限[M].北京：水利部水利信息中心，2003.

[3]水利部水利信息中心.中國(guó)水利信息網(wǎng)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告（2006）[R].北京：水利部水利信息中心，2007.

[4]水利部水利信息中心.全國(guó)水利信息化發(fā)展“十二五”規(guī)劃（征求意見稿）[R].北京：水利部水利信息中心，2010.

[5]水利網(wǎng)絡(luò)與信息安全建設(shè)規(guī)范.2010.

[6]淺談水利網(wǎng)絡(luò)與信息安全體系[J].水利信息化，2010.