趙化眾，劉芳浩，康 正

（1.億陽信通股份有限公司，北京100000；2.南水北調中線干線工程建設管理局天津分局，天津300000）

南水北調中線工程計算機信息系統(tǒng)主要分為應用系統(tǒng)、應用支撐平臺、數(shù)據(jù)存儲與管理系統(tǒng)、計算機網(wǎng)絡系統(tǒng)、通信系統(tǒng)、系統(tǒng)運行實體環(huán)境等部分。隨著計算機網(wǎng)絡技術在南水北調工程中的全面應用，為了避免因網(wǎng)絡安全問題造成不利影響，需要對計算機網(wǎng)絡安全隱患進行防范，以保障計算機信息系統(tǒng)的平穩(wěn)運行。

1 計算機網(wǎng)絡安全現(xiàn)狀

南水北調中線干線工程計算機網(wǎng)絡系統(tǒng)分為控制專網(wǎng)、業(yè)務內網(wǎng)、業(yè)務外網(wǎng)3張網(wǎng)絡，每張網(wǎng)絡承載不同業(yè)務系統(tǒng)，具有不同的網(wǎng)絡結構及安全防護級別。網(wǎng)絡之間具有明顯的邊界，每張網(wǎng)絡又可以分為中線局、分局、管理處、現(xiàn)地站4層網(wǎng)絡結構。

控制專網(wǎng)承載閘站遠程監(jiān)控系統(tǒng)，閘站遠程監(jiān)控系統(tǒng)是南水北調中線干線核心生產(chǎn)信息系統(tǒng)，負責各現(xiàn)地（閘）站設置各類數(shù)據(jù)、圖像、話音等數(shù)據(jù)的采集，并對閘站遠程控制。

業(yè)務內網(wǎng)主要承載工程防洪、安全監(jiān)測、水質監(jiān)測信息、工程管理、視頻監(jiān)控等輔助型生產(chǎn)信息系統(tǒng)，以及綜合辦公、財務、視頻會議等辦公類信息系統(tǒng)。

業(yè)務外網(wǎng)主要負責互聯(lián)網(wǎng)訪問及應用系統(tǒng)的對外應用發(fā)布。

2 計算機網(wǎng)絡安全隱患

計算機網(wǎng)絡的主要作用是信息傳輸，在傳輸過程中面臨著很多安全隱患，主要分為技術方面和管理方面。

2.1 技術隱患

（1）規(guī)劃設計不合理。網(wǎng)絡系統(tǒng)的設計初期就應該針對系統(tǒng)需要承載的業(yè)務系統(tǒng)、覆蓋范圍、訪問模式進行相應的安全設計，特別是像南水北調中線干線這種橫跨多個省份的大型網(wǎng)絡系統(tǒng)，需要對網(wǎng)絡結構進行合理的規(guī)劃，設計網(wǎng)絡安全防范區(qū)域，并針對不同區(qū)域的安全風險程度進行安全防護方案的制定。網(wǎng)絡結構的不合理將導致網(wǎng)路系統(tǒng)加大針對業(yè)務系統(tǒng)、地理區(qū)域進行單獨的安全防范的難度，降低安全防范的效果。

（2）計算機病毒。計算機病毒是最常見的安全威脅，具有潛伏性、破壞性、繁殖性、傳染性、針對性、隱蔽性和可觸發(fā)性等特征。計算機病毒的危害主要通過病毒破壞或竊取主機、系統(tǒng)、數(shù)據(jù)等信息資產(chǎn)造成信息系統(tǒng)、生產(chǎn)系統(tǒng)的性能下降，功能喪失。

（3）網(wǎng)絡攻擊。網(wǎng)絡攻擊指借助計算機技術，主動的、有針對性的對計算機網(wǎng)絡系統(tǒng)、信息系統(tǒng)中的特定或非特定目標進行攻擊破壞、信息盜取。這是計算機網(wǎng)絡所面臨的最大威脅，網(wǎng)絡攻擊可對計算機網(wǎng)絡造成極大的危害，并導致機密數(shù)據(jù)的泄漏。

2.2 管理隱患

（1）網(wǎng)絡配置不當。網(wǎng)絡配置管理不當會形成安全漏洞，使病毒、攻擊者可以通過安全漏洞使用網(wǎng)絡技術手段進行攻擊、破壞。

（2）人為操作失誤。操作人員不嚴謹、不規(guī)范的操作方式可能會對系統(tǒng)造成嚴重的破壞，造成網(wǎng)絡中斷、系統(tǒng)崩潰、數(shù)據(jù)丟失等后果。

（3）管理制度的缺失。如果沒有網(wǎng)絡安全相關規(guī)章制度和管理規(guī)范，容易形成管理漏洞。例如缺乏認證、授權機制，缺少對關鍵系統(tǒng)的防范措施，或者用戶安全意識不強、口令選擇不慎，將自己的賬號隨意轉借給他人或與別人分享等都會對網(wǎng)絡安全帶來威脅。

3 計算機網(wǎng)絡安全防護對策

3.1 技術層面防范措施

根據(jù)業(yè)務的重要性，南水北調中線工程干線網(wǎng)路系統(tǒng)劃分為3個子網(wǎng)絡，依據(jù)建設期網(wǎng)絡系統(tǒng)規(guī)劃，每張網(wǎng)承載不同的業(yè)務系統(tǒng)，每張網(wǎng)絡根據(jù)業(yè)務的重要性部署不同級別的安全防護策略。每張網(wǎng)絡內部又劃分為總局、分局、管理處、現(xiàn)地站4個層次，并且劃分了服務器區(qū)、運維管理區(qū)等區(qū)域，各區(qū)域間有清晰的邊界，方便進行防護。

3.1.1 網(wǎng)絡邊界的防范

（1）網(wǎng)絡間防護。業(yè)務內網(wǎng)需要控制專網(wǎng)閘站監(jiān)控系統(tǒng)的數(shù)據(jù)，在控制專網(wǎng)、業(yè)務內網(wǎng)之間部署了網(wǎng)閘設備，用于將業(yè)務需要的位于控制專網(wǎng)的數(shù)據(jù)擺渡到業(yè)務內網(wǎng)。數(shù)據(jù)擺渡與數(shù)據(jù)傳輸有本質上的區(qū)別，數(shù)據(jù)擺渡采用私有協(xié)議，控制專網(wǎng)、業(yè)務內網(wǎng)的雙方并不知道對方的存在，也無法直接建立連接，數(shù)據(jù)只能從控制專網(wǎng)單方向擺渡到業(yè)務內網(wǎng)，從而實現(xiàn)控制專網(wǎng)與業(yè)務內網(wǎng)的隔離。

（2）分局間的防護。在各分局之間均部署了防火墻、入侵檢測設備用于區(qū)域防護，防火墻和入侵防御系統(tǒng)主要通過策略限制非法訪問，即使局部發(fā)生入侵，也能保證其他區(qū)域的安全。

（3）互聯(lián)網(wǎng)出口防護。互聯(lián)網(wǎng)出口安全風險較大，是內網(wǎng)網(wǎng)絡與外部的一個出口，互聯(lián)網(wǎng)出口應該進行重點防護，中線干線部署了防火墻、上網(wǎng)行為管理、入侵檢測、入侵防御、抗DDOS、病毒防火墻等多種防護設備。

（4）服務器區(qū)防護。服務器區(qū)部署防火墻、WAF等設備對關鍵系統(tǒng)進行了安全防護，保證業(yè)務系統(tǒng)的安全。

3.1.2 重要業(yè)務系統(tǒng)的防范

針對重要的業(yè)務系統(tǒng)部署的WAF防火墻，能夠實時監(jiān)控業(yè)務狀態(tài)，防止業(yè)務系統(tǒng)網(wǎng)站被非法篡改。部署防DDOS攻擊設備，防止來自互聯(lián)網(wǎng)的病毒對業(yè)務系統(tǒng)的DDOS攻擊而造成系統(tǒng)癱瘓。為保障網(wǎng)絡安全，南水北調中線工程做出如下防范措施。

（1）授權與認證。中線干線控制專網(wǎng)承載著核心業(yè)務，控制專網(wǎng)部署了網(wǎng)絡準入系統(tǒng)，接入控制專網(wǎng)的終端需要首先通過認證，只有使用經(jīng)過授權的移動介質才能接入專網(wǎng)，能夠有效避免信息泄漏或病毒導入。

（2）行為防范與審計。互聯(lián)網(wǎng)行為管理與審計：在互聯(lián)網(wǎng)出口部署上網(wǎng)行為管理系統(tǒng)，能夠通過該系統(tǒng)對用戶互聯(lián)網(wǎng)的行為進行限制并審計。數(shù)據(jù)庫審計：部署了數(shù)據(jù)庫審計系統(tǒng)，能夠對業(yè)務系統(tǒng)、操作人員的數(shù)據(jù)操作進行審計。運維管理與審計：部署了運維管理與審計系統(tǒng)，可以對各級運維人員進行授權，只有經(jīng)過認證并具有授權的人員才能夠對設備進行操作，運維人員通過堡壘主機進行任何操作都會被記錄下來。

（3）漏洞防范。為保證信息安全，南水北調中線工程部署了漏洞掃描系統(tǒng)，對網(wǎng)絡設備、服務器、應用系統(tǒng)進行安全掃描，以便及時發(fā)現(xiàn)設備、系統(tǒng)存在的安全漏洞。部署了安全配置核查系統(tǒng)，對網(wǎng)絡、服務器、操作系統(tǒng)進行安全配置基線核查，以便及時發(fā)現(xiàn)設備、系統(tǒng)在安全配置上的缺陷。網(wǎng)絡安全人員會對掃描出的安全漏洞、缺陷及時進行修復，保證設備、系統(tǒng)的安全。

（4）病毒防治。為防范病毒由互聯(lián)網(wǎng)進入南水北調中線工程內部網(wǎng)絡，南水北調中線干線在互聯(lián)網(wǎng)出口部署了防病毒網(wǎng)絡設備，對進出互聯(lián)網(wǎng)的數(shù)據(jù)進行病毒查殺，一旦通過分析發(fā)現(xiàn)數(shù)據(jù)與病毒特征一致，將阻斷數(shù)據(jù)傳輸，避免病毒數(shù)據(jù)進入網(wǎng)絡內部。在網(wǎng)絡內部各分局之間的邊界通過防火墻設備屏蔽部分已知病毒端口，例如勒索病毒445端口，避免內網(wǎng)局部出現(xiàn)病毒后在全網(wǎng)擴散造成病毒傳播。在所用用戶終端的電腦要求安全防護、病毒查殺軟件，防止病毒通過終端用戶電腦進入網(wǎng)絡內部。

（5）數(shù)據(jù)加密。南水北調中線工程針對核心生產(chǎn)系統(tǒng)-閘站監(jiān)控系統(tǒng)建設了數(shù)據(jù)傳輸加密防護，實現(xiàn)控制專網(wǎng)由系統(tǒng)服務器至前端現(xiàn)地（閘）站之間的網(wǎng)絡數(shù)據(jù)以加密的方式進行傳輸，保證數(shù)據(jù)無法被非法篡改，即使數(shù)據(jù)被截獲也無法識別，實現(xiàn)傳輸數(shù)據(jù)的安全可靠。

3.2 管理層面防范措施

（1）建設網(wǎng)絡安全管理體系。頒布一系列網(wǎng)絡安全管理辦法，涵蓋信息安全管理制度、信息安全管理機構、系統(tǒng)建設信息安全管理、運行維護信息安全管理等方面。

（2）提高網(wǎng)絡安全人員業(yè)務水平。提高網(wǎng)絡管理人員的業(yè)務素質是一個重要的任務，為網(wǎng)絡安全管理人員和操作人員提供安全技術培訓知識，加強業(yè)務技術培訓，提高技能，注重網(wǎng)絡系統(tǒng)的安全管理，防止破壞網(wǎng)絡安全事故的發(fā)生。

（3）提升網(wǎng)絡安全意識。開展網(wǎng)絡安全教育，學習網(wǎng)絡安全法和安全常識，提升全員網(wǎng)絡安全意識，提高員工的責任感，提升網(wǎng)絡安全防范能力。

4 結語

南水北調中線計算機信息系統(tǒng)的安全管理是一個全方位、多層次的問題，是一個不斷需要完善和提升的過程，是一個與計算機病毒、網(wǎng)絡攻擊作斗爭，人員安全意識持續(xù)提升的過程。網(wǎng)絡的安全不能一勞永逸地單靠技術手段解決，沒有任何一種技術可以保證網(wǎng)絡絕對安全。因此，筆者認為，要做好內部網(wǎng)絡安全工作，不僅需要過硬的技術手段、周密的安全策略，更需要不斷提高系統(tǒng)管理人員和使用人員的安全意識。上述是筆者多年從事計算機信息系統(tǒng)管理得出的經(jīng)驗總結，結合南水北調中線建管局網(wǎng)絡安全管理項目的心得體會，希望可以為其他類似工程的網(wǎng)絡安全建設提供一些思路。