水利信息網(wǎng)絡(luò)安全問題研究

胡勇

（松遼水利委員會水文局（信息中心），吉林長春130021）

水利信息網(wǎng)絡(luò)安全問題研究

胡勇

（松遼水利委員會水文局（信息中心），吉林長春130021）

隨著水利信息化的深入開展，水利信息網(wǎng)絡(luò)中存在的安全問題也日益突顯出來。本文對水利信息網(wǎng)絡(luò)可能遭受的各種威脅及攻擊進(jìn)行了分析，并提出了一些可行的應(yīng)對策略。

安全問題；水利信息網(wǎng)絡(luò)；風(fēng)險；防御

水利信息化是我國信息化建設(shè)的重要組成部分，也是實現(xiàn)水利現(xiàn)代化的必然途徑。水利信息化從水利信息的采集、傳輸、存儲、處理和服務(wù)全面實現(xiàn)數(shù)字化、網(wǎng)絡(luò)化和信息化，全面提高水利事業(yè)的效率和效能。但是在實際應(yīng)用過程中，存在著一些安全問題和威脅，影響著水利信息網(wǎng)絡(luò)的穩(wěn)定和安全性。

1　水利信息網(wǎng)絡(luò)存在的安全問題

1.1硬件設(shè)備的不穩(wěn)定性問題

水利信息網(wǎng)站建設(shè)了專用機房，大多數(shù)機房配置UPS電源和空調(diào)設(shè)備，采取了防雷、防靜電、防火等措施，部分單位機房還配置門禁、視頻監(jiān)控等設(shè)施。但仍有一些機構(gòu)的硬件設(shè)備仍然不足，或者設(shè)備老化，沒有及時更換。例如有些機構(gòu)缺少備份設(shè)備，沒有災(zāi)難恢復(fù)系統(tǒng)

1.2應(yīng)用系統(tǒng)環(huán)境安全問題

應(yīng)用安全威脅主要是指應(yīng)用系統(tǒng)在應(yīng)用層面所面臨的安全風(fēng)險。應(yīng)用系統(tǒng)多為定制開發(fā)，在對外服務(wù)中存在安全隱患：緩沖區(qū)溢出、目錄日歷漏洞、軟件運行出錯，或無法運行等。

1.3黑客的攻擊

黑客利用計算機網(wǎng)絡(luò)的漏洞侵入網(wǎng)絡(luò)，對網(wǎng)絡(luò)進(jìn)行惡意攻擊，意圖使網(wǎng)絡(luò)癱瘓；或者通過獲取管理員密碼，從而竊取數(shù)據(jù)，達(dá)到控制對方計算機的目的，影響整個網(wǎng)絡(luò)的運行和使用，并帶來了巨大的經(jīng)濟損失。

1）外部風(fēng)險。信息網(wǎng)絡(luò)上只要有1臺機器同時連接在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)上，整個水利信息網(wǎng)絡(luò)就暴露在互聯(lián)網(wǎng)上，就存在受黑客攻擊的危險。

2）內(nèi)部風(fēng)險。內(nèi)部職工對自身網(wǎng)絡(luò)的結(jié)構(gòu)應(yīng)用比較熟悉，自己攻擊或內(nèi)外勾結(jié)泄漏重要信息，都將可能導(dǎo)致系統(tǒng)的癱瘓，信息的破壞或泄密。內(nèi)部攻擊的防范難度比較大，內(nèi)部人員可以繞過防火墻對網(wǎng)站進(jìn)行攻擊，對信息網(wǎng)站的威脅更大。

1.4計算機病毒的威脅

計算機病毒爆發(fā)，輕則使計算機運行速度迅速變慢，重則使計算機軟件系統(tǒng)癱瘓，甚至?xí)茐挠嬎銠C硬件，使其報廢。病毒一旦進(jìn)入計算機后就會隱藏起來，以此躲避用戶的發(fā)現(xiàn)。它們會躲避在正常的文件當(dāng)中，甚至?xí)粩喔淖冏约海源藖硖颖軞⒍拒浖牟闅?。病毒可以攻擊計算機的軟件、硬件和數(shù)據(jù)，包括操作系統(tǒng)、系統(tǒng)數(shù)據(jù)區(qū)、內(nèi)存、網(wǎng)絡(luò)系統(tǒng)等。

隨著計算機和互聯(lián)網(wǎng)的發(fā)展，計算機病毒也呈現(xiàn)出了一些新的發(fā)展趨勢：傳播網(wǎng)絡(luò)化、傳播方式多樣化、入侵移動通信工具等。另外，黑客技術(shù)和病毒技術(shù)相互融合，更是不斷威脅著信息網(wǎng)絡(luò)安全。

1.5非授權(quán)訪問

一般把沒有經(jīng)過對方同意，就使用對方網(wǎng)絡(luò)或計算機資源的情況稱為非授權(quán)訪問。 如果未經(jīng)同意，有意避開訪問控制機制，對網(wǎng)絡(luò)或系統(tǒng)非法使用；或者擅自擴大對方給予自己的權(quán)限，越權(quán)訪問信息，都是非授權(quán)訪問。非授權(quán)訪問存在以下幾種訪問形式：攻擊、假冒、非法侵入、合法用戶越權(quán)操作等。

1.6信息泄露或丟失

信息在網(wǎng)絡(luò)的傳輸中，由于沒有加密或者黑客惡意的分析破解信息的流向、流量、長度等參數(shù)，導(dǎo)致信息的泄露或丟失。信息在存儲的過程中，由于管理不善也會造成泄露或者丟失。

2　解決對策

信息安全的威脅嚴(yán)重干擾了水利信息系統(tǒng)及網(wǎng)絡(luò)的安全穩(wěn)定運行，阻礙了我國水利信息網(wǎng)絡(luò)的健康快速發(fā)展，應(yīng)該采取多種方式增強水利信息網(wǎng)絡(luò)防御能力，促進(jìn)水利信息化的持續(xù)、快速、健康發(fā)展。

2.1備份及災(zāi)難恢復(fù)

水利信息網(wǎng)絡(luò)系統(tǒng)的備份與恢復(fù)主要內(nèi)容包括：

1）服務(wù)器的備份。組成水利信息網(wǎng)絡(luò)系統(tǒng)的服務(wù)器有很多，依據(jù)功能及作用的不同其重要性差異也較大，對于不同的服務(wù)器應(yīng)采取不同的安全防護(hù)策略，對于水文防汛等重要服務(wù)器，必須建立熱備份或冷備份機制，要實時做到信息的備份。

2）網(wǎng)絡(luò)備份。主要分為電路備份、拓?fù)溥x型、單點故障排除和保存配置等幾方面內(nèi)容。對于網(wǎng)絡(luò)電路必須建立水利信息網(wǎng)絡(luò)的電路備份體系，對水利信息網(wǎng)絡(luò)系統(tǒng)所使用的路由器、防火墻、交換機等相關(guān)的配置文件應(yīng)給予安全的備份，當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時可以通過備份的配置文件，以恢復(fù)原始的設(shè)置。

3）數(shù)據(jù)的備份。包含系統(tǒng)數(shù)據(jù)備份、應(yīng)用數(shù)據(jù)備份兩方面。為了保證水利信息系統(tǒng)關(guān)鍵數(shù)據(jù)的安全性，必須建立數(shù)據(jù)安全備份或災(zāi)難備份計劃?？梢詫?shù)據(jù)庫進(jìn)行備份，也可以對數(shù)據(jù)文件及日志進(jìn)行備份。

4）災(zāi)難恢復(fù)。水利信息網(wǎng)絡(luò)系統(tǒng)的災(zāi)難恢復(fù)計劃，應(yīng)考慮冗余系統(tǒng)即分布式系統(tǒng)，其目標(biāo)是消除單點故障。當(dāng)故障出現(xiàn)時，冗余系統(tǒng)及時接替進(jìn)行服務(wù)和工作，保證水利信息網(wǎng)絡(luò)的穩(wěn)定運行。

2.2選擇穩(wěn)定安全的應(yīng)用系統(tǒng)環(huán)境

在選擇定制開發(fā)軟件的公司，或者選擇軟件時，盡可能選擇運行穩(wěn)定不出問題、響應(yīng)速度快的應(yīng)用系統(tǒng)。要多渠道了解應(yīng)用系統(tǒng)環(huán)境使用的穩(wěn)定性，要進(jìn)行認(rèn)真的測試后才能選擇，以降低不安全的因素。

2.3網(wǎng)絡(luò)攻擊防范

1）廣域網(wǎng)部分。

為了防止信息網(wǎng)絡(luò)出現(xiàn)問題，結(jié)合地域分布及業(yè)務(wù)流程的實際應(yīng)用情況，可以考慮建設(shè)地域分中心。地域分中心之間形成網(wǎng)狀結(jié)構(gòu)，整個網(wǎng)絡(luò)調(diào)整為星型和網(wǎng)狀相結(jié)合的結(jié)構(gòu)，降低單一星型網(wǎng)絡(luò)的安全風(fēng)險。在信息網(wǎng)絡(luò)上布設(shè)安全設(shè)備，例如在重要服務(wù)器群或需要重點安全防護(hù)的網(wǎng)絡(luò)子網(wǎng)邊界處布設(shè)防火墻等安全設(shè)備。對于黑客的入侵，可以選擇使用入侵檢測系統(tǒng)，以提高信息網(wǎng)絡(luò)的安全性。

2）局域網(wǎng)部分。

水利信息網(wǎng)絡(luò)可以根據(jù)實際應(yīng)用和物理分布情況，劃分不同的子網(wǎng)。將不同風(fēng)險等級保護(hù)的網(wǎng)絡(luò)資源相互隔離，實施相應(yīng)的訪問控制機制，同時進(jìn)行硬件地址與IP地址綁定，并防止出現(xiàn)偽裝，這樣可以降低安全風(fēng)險。

對于水利部門人員對網(wǎng)絡(luò)的使用要嚴(yán)格規(guī)定，內(nèi)外網(wǎng)不能同時使用。劃歸外部網(wǎng)絡(luò)的可以訪問互聯(lián)網(wǎng)，但不能訪問信息網(wǎng)絡(luò)的關(guān)鍵性數(shù)據(jù)，不能訪問信息網(wǎng)絡(luò)的管理后臺；劃歸內(nèi)部網(wǎng)絡(luò)的只能訪問水利信息網(wǎng)絡(luò)的內(nèi)部資源，不能與互聯(lián)網(wǎng)進(jìn)行連接，保證內(nèi)部網(wǎng)絡(luò)的安全。

信息網(wǎng)絡(luò)從內(nèi)部比從外部攻擊更容易攻破。因此，在進(jìn)行安全管理時，還要加強對內(nèi)部設(shè)備和賬戶的監(jiān)控，可以采用硬件設(shè)備進(jìn)行信息傳遞的監(jiān)測，同時對內(nèi)部也要設(shè)置較高級別的安全防護(hù)機制，也可以在內(nèi)部網(wǎng)絡(luò)使用安全防范設(shè)備。

2.4計算機病毒的防治

由于病毒主要來源于internet，通過電子郵件、Web訪問、文件下載和文件共享等方式進(jìn)行傳染，因此水利信息網(wǎng)絡(luò)的防病毒系統(tǒng)應(yīng)重點關(guān)注防火墻、郵件服務(wù)器、工作站、web服務(wù)器和文件服務(wù)器。計算機病毒防治工作應(yīng)包含以下內(nèi)容：l）對傳播途徑進(jìn)行有效的病毒過濾，對可能感染病毒的不同風(fēng)險區(qū)域進(jìn)行有效的隔離；2）在桌面服務(wù)器上部署防病毒系統(tǒng)清除病毒；3）針對郵件系統(tǒng)建立病毒檢測清除系統(tǒng)。在選擇查殺病毒的軟件時，可以選擇網(wǎng)絡(luò)殺毒和安全防護(hù)軟件，減少了維護(hù)及設(shè)置時間。

2.5身份信息驗證

應(yīng)對來自不同風(fēng)險程度網(wǎng)絡(luò)的用戶，采用不同強度的認(rèn)證方式，對不同安全等級的用戶采取合適強度的安全認(rèn)證策略，在滿足應(yīng)用系統(tǒng)安全強度要求的前提下 ，最大限度地降低因安全技術(shù)的使用給應(yīng)用帶來的使用繁瑣性。例如對外部網(wǎng)的用戶采用雙因子身份認(rèn)證方式，既使用帳號加口令，同時使用含身份證書的硬件智能卡來驗證。對于僅使用內(nèi)部網(wǎng)傳輸?shù)闹匾畔⒖刹捎谜獢?shù)字簽名的方式進(jìn)行認(rèn)證。

2.6信息安全保護(hù)

對水利內(nèi)部人員在廣域網(wǎng)上數(shù)據(jù)的保密傳輸，可以采用加密機、加密卡或軟件加密等方式來實現(xiàn)。對遠(yuǎn)程監(jiān)控系統(tǒng)數(shù)據(jù)，安全要求高保密性強的應(yīng)用項目，也可采用端到端加密傳輸措施，利用加密系統(tǒng)的認(rèn)證和加密傳輸，保證水利廣域網(wǎng)傳輸數(shù)據(jù)的機密性、完整性。

3　結(jié)　語

面對當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)與信息安全形勢，要保障水利信息網(wǎng)絡(luò)系統(tǒng)的安全、穩(wěn)定運行，迫切需要建設(shè)水利信息網(wǎng)絡(luò)與信息安全防護(hù)體系。因此，在現(xiàn)有技術(shù)基礎(chǔ)之上，還需要建立及完善水利信息網(wǎng)絡(luò)安全體系，保障水利信息的安全和及時傳遞。

［1］林林.網(wǎng)絡(luò)安全模型在水利科研環(huán)境中的應(yīng)用與研究［J］.水利信息化，2013（1）.

［2］程建華．信息安全風(fēng)險管理、評估與控制研究［D］.吉林大學(xué)，2008：25.

［3］詹全忠，陳嵐.淺談水利網(wǎng)絡(luò)與信息安全體系［J］.水利信息化，2010（5）.

［4］宋博.河南水利信息化網(wǎng)絡(luò)安全研究［J］.河南水利與南水北調(diào)，2010（11）.

TP309.5

B

1002－0624（2015）12－0044－02

2015-07-25