海事信息網(wǎng)絡(luò)安全防護(hù)策略的思考與實(shí)踐

叢毅

交通運(yùn)輸部南海航海保障中心廣州航標(biāo)處 廣東廣州 510320

1 信息安全的重要性

建設(shè)安全高效網(wǎng)絡(luò)信息系統(tǒng)，利用先進(jìn)信息通信手段進(jìn)行海事監(jiān)管，履行國(guó)際公約，提升海事業(yè)務(wù)服務(wù)質(zhì)量是“中國(guó)海事發(fā)展的重要內(nèi)容之一。近幾年來，隨著國(guó)家對(duì)海事發(fā)展不斷投入，海事網(wǎng)絡(luò)信息系統(tǒng)建設(shè)有了很大的進(jìn)步，經(jīng)過海事人的不斷努力，海事管理網(wǎng)絡(luò)信息系統(tǒng)平臺(tái)已成為世界上幾個(gè)少數(shù)具有影響力的海洋管理信息發(fā)布與信息處理平臺(tái)之一，并在國(guó)際交流與合作領(lǐng)域發(fā)揮著重要作用，這也是我國(guó)國(guó)際威信和監(jiān)管能力越來越高的具體標(biāo)志[1]。但是國(guó)際形勢(shì)變幻莫測(cè)，單邊主義、霸權(quán)主義和恐怖主義依然存在，嚴(yán)重影響了人類的和平進(jìn)步與發(fā)展（如日本對(duì)我釣魚島侵犯、我南海諸島受到的挑戰(zhàn)），一旦機(jī)密信息被泄密、竊取、盜用、惡意篡改，將給國(guó)家?guī)頍o法估量的危害。因此我們必須時(shí)刻提高警惕，要站在謀求國(guó)家發(fā)展，維護(hù)世界和平的戰(zhàn)略高度，以民族復(fù)興的強(qiáng)烈責(zé)任感，在努力推進(jìn)海事網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的同時(shí)，必須進(jìn)一步加強(qiáng)信息安全工作，保證先進(jìn)有效的海洋監(jiān)管能力，維護(hù)國(guó)家海洋權(quán)益和主權(quán)。

2 海事信息網(wǎng)絡(luò)安全的影響因素

隨著各業(yè)務(wù)信息化程度的提升，海事信息網(wǎng)絡(luò)已經(jīng)成為海事監(jiān)管與水上交通信息共享等業(yè)務(wù)的基礎(chǔ)平臺(tái)。各種信息資源在這里得到了有效集成共享。近年來，網(wǎng)絡(luò)入侵事件日益嚴(yán)重，對(duì)海事信息網(wǎng)絡(luò)的安全性產(chǎn)生了極大的威脅。結(jié)合工作中遇到的實(shí)際情況，影響其網(wǎng)絡(luò)安全的因素主要可以歸納為以下幾方面：

（1）松耦合的分布式網(wǎng)絡(luò)結(jié)構(gòu)帶來的安全隱患。海事信息網(wǎng)絡(luò)由各個(gè)分布在不同業(yè)務(wù)單位的網(wǎng)絡(luò)級(jí)聯(lián)而成，網(wǎng)絡(luò)連接的多樣性以及地域上的不均勻分布，使其易受黑客、惡意軟件和其它形式的攻擊。

（2）操作系統(tǒng)、軟件及硬件存在安全漏洞和缺陷。隨著網(wǎng)絡(luò)運(yùn)行的軟硬件環(huán)境越來越復(fù)雜， 這些基礎(chǔ)設(shè)施都無法完全保證其安全可靠；同時(shí)，網(wǎng)絡(luò)的使用者安全意識(shí)薄弱，不能及時(shí)有效的進(jìn)行安全防范，也導(dǎo)致了信息網(wǎng)絡(luò)存在著巨大的安全隱患。

（3）網(wǎng)絡(luò)攻擊手段層出不窮。網(wǎng)絡(luò)攻擊技術(shù)越來越先進(jìn)，攻擊方法也越來越隱蔽，對(duì)網(wǎng)絡(luò)環(huán)境造成破壞性也越來越大，覆蓋面越來越廣。 網(wǎng)絡(luò)安全問題產(chǎn)生的根源是互聯(lián)網(wǎng)分布式架構(gòu)所導(dǎo)致的，各種安全威脅可不受地理位置限制及特定平臺(tái)的約束，而海事信息網(wǎng)絡(luò)由多個(gè)分布在不同地域的節(jié)點(diǎn)連接而成，業(yè)務(wù)運(yùn)行需要多種終端設(shè)備及數(shù)據(jù)系統(tǒng)的接入和訪問，其網(wǎng)絡(luò)安全也因此受到嚴(yán)重影響，給海事信息網(wǎng)絡(luò)的正常工作帶來了巨大的安全威脅與高昂的經(jīng)濟(jì)成本。

3 海事信息網(wǎng)絡(luò)安全的防護(hù)策略

3.1 安全結(jié)構(gòu)建設(shè)

海事局核心交換網(wǎng)建設(shè)采用三層結(jié)構(gòu)模型，分別是核心交換層、匯聚層和接入層，在核心交換層采用雙核心結(jié)構(gòu)，在匯聚交換層采用雙匯聚結(jié)構(gòu)，通過等價(jià)多路徑流量分擔(dān)，實(shí)現(xiàn)雙鏈路的負(fù)載分擔(dān)，同時(shí)保證雙鏈路可靠備份；匯聚層交換機(jī)實(shí)行分組，對(duì)重要安全域的兩臺(tái)交換機(jī)作為一組，同時(shí)兩臺(tái)交換機(jī)通過IRF/CSS 技術(shù)實(shí)現(xiàn)協(xié)同工作，統(tǒng)一管理和不間斷維護(hù)。接入層交換機(jī)通過堆疊技術(shù)實(shí)現(xiàn)端口的高密度，同時(shí)上連兩條鏈路，通過匯聚層的 IRF/CSS 技術(shù)實(shí)現(xiàn)“雙活”負(fù)載分擔(dān)[2]。

3.2 入侵防御

IPS通過設(shè)置檢測(cè)與阻斷策略對(duì)流經(jīng)的每個(gè)報(bào)文進(jìn)行深度檢測(cè)(協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計(jì)分析、事件關(guān)聯(lián)分析等)，辨別事件的侵入、關(guān)聯(lián)、沖擊和方向，一經(jīng)檢測(cè)到藏于其中網(wǎng)絡(luò)威脅，就按照該攻擊的威脅級(jí)別立刻采取相應(yīng)的積極抵御措施（包括向管理中心告警、丟棄該報(bào)文、切斷此次應(yīng)用會(huì)話、切斷此次TCP連接），在積極防御同時(shí)向管理員返回相關(guān)的威脅信息，從而提供對(duì)網(wǎng)絡(luò)系統(tǒng)內(nèi)部IT資源的安全保護(hù)。

3.3 存儲(chǔ)與備份

OA系統(tǒng)、信息專網(wǎng)網(wǎng)站沒有進(jìn)行備份，建議利用二級(jí)云數(shù)據(jù)中心所配置的1臺(tái)3PAR磁盤陣列對(duì)上述系統(tǒng)進(jìn)行定期備份，備份內(nèi)容包括業(yè)務(wù)數(shù)據(jù)及操作系統(tǒng)、應(yīng)用系統(tǒng)、所在安全域網(wǎng)絡(luò)設(shè)備和安全設(shè)備策略的備份。公眾信息服務(wù)網(wǎng)網(wǎng)站部署在公眾信息服務(wù)網(wǎng)實(shí)體機(jī)上，沒有進(jìn)行備份，鑒于網(wǎng)站內(nèi)容多為新聞?lì)惏l(fā)布內(nèi)容，數(shù)據(jù)量較小?？蓚浞菰诒镜卮疟P上，或者將數(shù)據(jù)備份到其他介質(zhì)中。根據(jù)海事信息化頂層設(shè)計(jì)，直屬海事局作為海事二級(jí)數(shù)據(jù)中心，暫不考慮異地備份，部局統(tǒng)建三級(jí)系統(tǒng)的數(shù)據(jù)備份由部海事局統(tǒng)籌考慮。

3.4 完善規(guī)章制度

建立了包括《機(jī)房日常管理制度》、《值班管理制度》、《消防安全管理制度》等一系列管理制度，對(duì)日常工作紀(jì)律和要求都做出了嚴(yán)格的規(guī)定，已逐步形成了職責(zé)明確、行為規(guī)范的安全維護(hù)工作機(jī)制，確保應(yīng)用支撐平臺(tái)的安全管理走上制度化、規(guī)范化的軌道[3]。

4 結(jié)語

海事信息網(wǎng)絡(luò)的安全防護(hù)一方面需要網(wǎng)絡(luò)運(yùn)維管理人員加強(qiáng)學(xué)習(xí)，密切關(guān)注網(wǎng)絡(luò)安全領(lǐng)域的新動(dòng)向，學(xué)習(xí)和掌握新方法，不斷提升技術(shù)應(yīng)用水平，并做好預(yù)防；另一方面還需要網(wǎng)絡(luò)終端用戶積極學(xué)習(xí)網(wǎng)絡(luò)安全管理法規(guī)，提升安全防護(hù)意識(shí)，遵守制定的操作流程和規(guī)范[4]，從信息網(wǎng)絡(luò)內(nèi)的每臺(tái)終端出發(fā)，做好運(yùn)行網(wǎng)絡(luò)安全防護(hù)工作。只有將安全技術(shù)和管理制度進(jìn)行綜合運(yùn)用，才能更有效的保障海事網(wǎng)絡(luò)的運(yùn)行安全，從而為業(yè)務(wù)的穩(wěn)定運(yùn)行提供強(qiáng)有力的支撐和保障。