基于智慧船閘的網(wǎng)絡(luò)安全策略

闞國春

摘 要：目前，信息化技術(shù)獲得跨越式發(fā)展，越來越多的企事業(yè)單位都認(rèn)識到依托先進的IT技術(shù)構(gòu)建自身的業(yè)務(wù)和運營平臺將極大地提升運營效率。信息化運行尤其依賴于計算機系統(tǒng)，而這一系統(tǒng)又尤其依賴于互聯(lián)網(wǎng)。現(xiàn)如今，持續(xù)擴大的互聯(lián)網(wǎng)規(guī)模，伴隨發(fā)展的還有日益復(fù)雜的互聯(lián)網(wǎng)結(jié)構(gòu)，為了更好地運行計算機應(yīng)用系統(tǒng)和計算機網(wǎng)絡(luò)，網(wǎng)絡(luò)安全問題需要提高標(biāo)準(zhǔn)。本文以施橋船閘為例，研究探索在踐行智慧船閘時，作為網(wǎng)絡(luò)管理人員應(yīng)該如何應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，思考如何將網(wǎng)絡(luò)變得更加安全可靠。

關(guān)鍵詞：智慧船閘;網(wǎng)絡(luò)系統(tǒng);安全策略

1 前言

智慧船閘主要是指依靠先進的控制技術(shù)、通信技術(shù)、傳感器技術(shù)等，將潮流的AI技術(shù)、大數(shù)據(jù)技術(shù)、5G及云技術(shù)等技術(shù)有效集成，充分應(yīng)用于船閘通航管理服務(wù)中，在船舶過閘時發(fā)揮其高效、準(zhǔn)確作用的綜合管理控制系統(tǒng)，利用這些先進的技術(shù)提高船閘的運行效率，減少船民的過閘等待時間和經(jīng)濟成本，從而為船員提供更加周到的服務(wù)。

施橋船閘管理所位于古城揚州市南郊的施橋鎮(zhèn)，管理著三座大型現(xiàn)代化船閘，是蘇北運河過長江向北十個梯級過船樞紐的第一道船閘，素有蘇北運河“南大門”之稱。施橋船閘下游距長江6.5公里，上游距邵伯船閘23.5公里，年雙向設(shè)計通過能力為1.5億噸，船閘常年有10多個省市的船舶通過，是煤炭、建材水運的重要通道，2016年以來，因黃沙等建材運量增多等原因，施橋船閘已經(jīng)成為蘇北運河最為繁忙的船閘，2017年通過量首超3億噸達(dá)3.29億噸，創(chuàng)下全國內(nèi)河船閘之最，全年有42次日通過量超百萬噸。

近年來，施橋船閘大力推動智慧船閘建設(shè)，創(chuàng)新管理模式，提高船閘通過能力，優(yōu)化工作流程，提高過閘效率，在服務(wù)地方經(jīng)濟和國民經(jīng)濟發(fā)展中日益發(fā)揮著十分重要的作用。但隨著網(wǎng)絡(luò)的產(chǎn)生和應(yīng)用，網(wǎng)絡(luò)安全問題也隨之出現(xiàn)。如何加強網(wǎng)絡(luò)安全，確保生產(chǎn)高效運行，每個計算機用戶，特別是企事業(yè)單位網(wǎng)絡(luò)用戶，安全措施必須足夠。

2 研究背景

網(wǎng)絡(luò)安全策略的實施是一項系統(tǒng)工程，它涉及許多方面。因此不僅要對平時的外部網(wǎng)絡(luò)威脅多加考慮，而且還要足夠重視網(wǎng)絡(luò)管理和內(nèi)部網(wǎng)絡(luò)所存在的安全隱患，不能孤立地看待任何一個安全隱患和安全措施。因為有可能會呈現(xiàn)出多方面的安全隱患爆發(fā)途徑，因此所采取的安全措施都必須是相互關(guān)聯(lián)的。比如黑客攻擊和病毒入侵等非常典型的事件，全是借助網(wǎng)絡(luò)實施的攻擊行為，而且?guī)缀趺繒r每刻都在發(fā)生，遍及全球。除此之外，比如非法截取和更改用戶郵件，用戶的非法操作和訪問，惡意軟件的攻擊和入侵等都是普遍存在的安全事實。

目前病毒感染不再是防范的唯一對象，還要防范以網(wǎng)絡(luò)為載體的非法訪問、攻擊和入侵，將安全隱患在單位網(wǎng)絡(luò)中的發(fā)生劃分為外網(wǎng)和內(nèi)網(wǎng)兩部分，很多情況下內(nèi)部網(wǎng)絡(luò)安全威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)絡(luò)，內(nèi)部實施病毒入侵和攻擊更加容易，針對這些安全問題，所實施的安全策略可以通過防護病毒網(wǎng)絡(luò)版系統(tǒng)的專業(yè)安裝來執(zhí)行，在此過程中還要對內(nèi)部網(wǎng)絡(luò)安全管理要持續(xù)提升強度和質(zhì)量，對于系統(tǒng)本身安全措施和防火墻過濾策略都要配置好，對于系統(tǒng)安全補丁要第一時間安裝，有條件的還可以在外網(wǎng)、內(nèi)網(wǎng)中安裝IPS系統(tǒng)、網(wǎng)絡(luò)嗅探器、網(wǎng)絡(luò)掃描檢測、IDS，還可以考慮將網(wǎng)絡(luò)安全隔離系統(tǒng)給予一定的配置，對內(nèi)、外網(wǎng)絡(luò)進行安全審查;安全管理內(nèi)部網(wǎng)絡(luò)要持續(xù)加強，嚴(yán)格實行“最小權(quán)限”原則，恰當(dāng)?shù)挠脩魴?quán)限要在各用戶間配置好;同時對一些敏感數(shù)據(jù)進行加密保護，對數(shù)據(jù)還可以進行數(shù)字簽名措施;根據(jù)單位實際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。

3 船閘網(wǎng)絡(luò)安全需求及隱患

一般單位網(wǎng)絡(luò)普遍應(yīng)用數(shù)據(jù)庫、電子郵件、HTTP、FTP、TCP/IP等這些常見的標(biāo)準(zhǔn)和技術(shù)，將豐富的通信形式作為技術(shù)依托，實現(xiàn)廣域連接。在飛速的信息流中，信息的處理、存儲、傳輸?shù)榷缄P(guān)系到行業(yè)內(nèi)部消息。所以加以保護有關(guān)的信息資源是非常必要的，還要管理和控制服務(wù)資源。

3.1 施橋船閘網(wǎng)絡(luò)安全需求

施橋船閘是有著100多名職工的中小型網(wǎng)絡(luò)單位，主要是依靠船閘智能調(diào)度系統(tǒng)服務(wù)水運事業(yè)。單位網(wǎng)絡(luò)主要分為內(nèi)網(wǎng)與外網(wǎng)，網(wǎng)內(nèi)現(xiàn)有計算機約100余臺，服務(wù)器的操作系統(tǒng)包含 Windows Server 2003和Windows Server 2008，客戶機的操作系統(tǒng)是含有Windows XP、Windows 7、Windows 10，客戶機在工作組的模式下運行。單位對網(wǎng)絡(luò)的依賴性很強，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著智慧交通體系的建設(shè)，智慧船閘也已成為當(dāng)下發(fā)展的主流趨勢，因此構(gòu)建健全的網(wǎng)絡(luò)安全體系以滿足智慧船閘對網(wǎng)絡(luò)安全的需求是重中之重。

3.2 施橋船閘網(wǎng)絡(luò)安全隱患

網(wǎng)絡(luò)內(nèi)部和外部都會受到網(wǎng)絡(luò)入侵，辦公信息安全和網(wǎng)絡(luò)系統(tǒng)都會因為網(wǎng)絡(luò)攻擊而受到危害，一般可以將危害具體總結(jié)為：

（1）借助木馬程序來使得非法用戶對計算機系統(tǒng)進行控制，將計算機上的資料刪除或者任意復(fù)制。

（2）設(shè)置的共享權(quán)限和口令策略不夠安全，計算機上的資料可以由其他用戶借助網(wǎng)絡(luò)完成復(fù)制。

（3）保密文件可以由病毒自行散發(fā)，比如說這種SirCam病毒。這種病毒會將電腦中的Word Excel等資料以郵件附件形式向其他郵件傳送，甚至有美國聯(lián)邦調(diào)查局（FBI）的一些資料也以這種方式發(fā)送出去。

（4）對于網(wǎng)絡(luò)中明文傳輸?shù)臄?shù)據(jù)可以借助網(wǎng)絡(luò)偵聽（Sniff）實現(xiàn)截獲，比如像FTP、Telnet、電子郵件等資料在利用簡單編碼或者明文進行傳輸過程中，存在被非法用戶半路截獲的可能，從而導(dǎo)致泄漏資料。

（5）中斷服務(wù)。對于辦公網(wǎng)絡(luò)來講，就是以網(wǎng)絡(luò)為載體實現(xiàn)有關(guān)辦公流程的網(wǎng)絡(luò)化和自動化，現(xiàn)如今主要應(yīng)用的辦公網(wǎng)絡(luò)是辦公自動化系統(tǒng)（OA），假設(shè)該系統(tǒng)受到攻擊，系統(tǒng)很有可能無法提供服務(wù)，造成辦公自動化中斷，使得辦公效率下降，甚至工作流程更為混亂。

3.3 施橋船閘網(wǎng)絡(luò)安全需求分析

通過了解施橋船閘的需求與現(xiàn)狀，為實現(xiàn)網(wǎng)絡(luò)安全建設(shè)和改造升級網(wǎng)絡(luò)系統(tǒng)，運行網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性予以提高，保證單位各類信息系統(tǒng)的安全性。對于客戶端的計算機準(zhǔn)備采用安全手段來進行保護，將用戶在客戶端計算機中的文件操作和目錄操作進行記錄，旨在有手段實現(xiàn)單位對計算機使用情況的實時查看和追蹤，旨在避免外來計算機入侵單位網(wǎng)絡(luò)系統(tǒng)。借助改造優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，使得管理者能夠?qū)崟r監(jiān)控和管理軟件安裝、登錄用戶權(quán)限、網(wǎng)絡(luò)中服務(wù)器等方面應(yīng)用。因此需要：

（1）構(gòu)建良好的環(huán)境確保單位物理設(shè)備的安全;

（2）進行科學(xué)有效的VLAN劃分，內(nèi)網(wǎng)安全實時控制;

（3）安裝防火墻體系;

（4）組建入侵檢測系統(tǒng);

（5）安裝防病毒服務(wù)器;

（6）加強對網(wǎng)絡(luò)資源的管理;

（7）增加訪問控制策略;

（8）增加信息加密策略。

4 施橋船閘網(wǎng)絡(luò)安全策略

4.1 訪問控制策略

非法訪問予以有效避免是訪問控制的基本目標(biāo)，可以實現(xiàn)用戶安全控制服務(wù)器和關(guān)鍵網(wǎng)絡(luò)?，F(xiàn)如今應(yīng)用非常普遍的網(wǎng)絡(luò)訪問控制設(shè)備就是防火墻，這一設(shè)備借助端口號、IP地址等實施設(shè)置和控制有關(guān)的安全代理等方法，完成隔離外部網(wǎng)絡(luò)和內(nèi)部被保護網(wǎng)絡(luò)。

單位網(wǎng)絡(luò)在安全規(guī)則方面能夠?qū)σ欢尉W(wǎng)絡(luò)、一組主機、單獨主機，以網(wǎng)絡(luò)協(xié)議為基礎(chǔ)完成基本的設(shè)置，完成有關(guān)的安全規(guī)則編輯;完成安全規(guī)則基于網(wǎng)絡(luò)通訊接口進行設(shè)置，僅僅放開其中部分服務(wù)端口，以服務(wù)于單位保護對象;可以按照具體時間來完成設(shè)置，旨在將訪問控制順利實現(xiàn);安全規(guī)則基于網(wǎng)絡(luò)服務(wù)進行設(shè)置。

可使用帶行為管理的防火墻或者設(shè)置代理服務(wù)器（如SQUID）進行行為管理，方便有效地對單位內(nèi)部局域網(wǎng)進行監(jiān)管與控制。

4.2 信息加密策略

對于網(wǎng)內(nèi)的控制信息、口令、文件資料、數(shù)據(jù)借助信息加密起到保護目的，同時還對傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)加以保護。密鑰網(wǎng)絡(luò)加密中是需要的，密匙通常指生活、生產(chǎn)過程中各種加密技術(shù)的使用，可以高效地監(jiān)管企事業(yè)機密和個人資料，管理密鑰的有關(guān)行為稱之為密鑰管理，比如破解、解密、加密等行為都屬于密鑰管理。

端點加密、節(jié)點加密、鏈路加密是常用的網(wǎng)絡(luò)加密的三種方法。對于網(wǎng)絡(luò)節(jié)點中的鏈路信息進行保護是鏈路加密主要目的;對于目的節(jié)點和源節(jié)點之間的傳輸鏈路提供保護是節(jié)點加密的目的;對于目的端用戶和源端用戶有關(guān)數(shù)據(jù)提供保護是端端加密的目的。

（1）鏈路加密?？梢詫⑵涠x為在線加密，任何消息的加密操作都需要在傳輸之前，對于接收到的每一個節(jié)點信息都需要解密，對于消息在下一個鏈路中再完成加密，進行信息傳輸。一直到最終的目的地，中間要進行多重的加密、解密操作，確保數(shù)據(jù)傳輸安全。

（2）節(jié)點加密。要求以明文形式來傳輸路由信息和報頭，這樣就能對如何在中間節(jié)點處理消息的信息進行獲取，大致一致于鏈路加密和其他信息加密形式。在網(wǎng)絡(luò)節(jié)點處，節(jié)點加密是禁止明文形式出現(xiàn)的，對于實現(xiàn)收到的信息解密，之后再加密傳輸，期間要采用不同的密鑰。對于網(wǎng)絡(luò)數(shù)據(jù)傳輸安全，節(jié)點加密效果非常好，但是攻擊者對于通信業(yè)務(wù)的分析采用節(jié)點解密形式予以防范卻是存在缺陷的。

（3）端端加密。可以將其定義為包加密或者脫線加密，從源點到終點，在傳輸數(shù)據(jù)過程中允許以密文形式存在。在到達(dá)終點之前，不進行端端加密消息的解密，主要就是由于整個傳輸過程中，這些消息均受到保護。通常，在對敏感信息進行傳輸過程中必須應(yīng)用端端加密形式。

最有效的網(wǎng)絡(luò)安全技術(shù)之一就是密碼技術(shù)。依托網(wǎng)絡(luò)進行加密操作，對于非授權(quán)用戶的入網(wǎng)或者搭線竊聽可以有效地防止，這也是一種對惡意軟件進行防范的有效措施。

4.3 數(shù)據(jù)備份策略

施橋船閘目前對信息化的依賴比較高，服務(wù)器及數(shù)據(jù)的穩(wěn)定性被給予很高的要求，實現(xiàn)這樣的目的，除了采購質(zhì)量良好的硬件設(shè)施外，還可以有效地利用私有云實現(xiàn)信息備份和災(zāi)難冗余。對于需要高度可靠性的用戶，這樣的方式可以使文件信息的安全有保障，正常情況本機存儲，私有云自動備份，當(dāng)工作設(shè)備的系統(tǒng)出現(xiàn)故障時，備份設(shè)備可以隨時異地提供數(shù)據(jù)讀取，保證單位整體的正常運轉(zhuǎn)。同時使用UPS對重要設(shè)備進行不間斷的供電，保證硬件設(shè)施的良好運行。

5 結(jié)語

近幾年，互聯(lián)網(wǎng)技術(shù)獲得跨越式發(fā)展，在這一過程中伴隨而生的巨大問題就是網(wǎng)絡(luò)安全問題。這是一個普遍存在、覆蓋面廣的復(fù)雜性問題，同時還會涉及到違法犯罪等活動。而在涉及到以下簡單的網(wǎng)絡(luò)安全問題時，僅僅確保無關(guān)人員無法完成讀取信息，或者不能對傳輸?shù)男畔⑦M行修改。網(wǎng)絡(luò)安全問題中，部分對象無權(quán)使用網(wǎng)絡(luò)，但是卻試圖借助一些軟件來實現(xiàn)遠(yuǎn)程服務(wù)，竊取一些信息。對于合法消息重播和截獲問題也是安全性處理的對象。

本文從建設(shè)智慧船閘角度對于解決基礎(chǔ)網(wǎng)絡(luò)設(shè)施安全進行了描述，旨在為單位提供信息的完整性、認(rèn)證性、保密性的保護機制，避免網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)、服務(wù)遭到破壞或者侵?jǐn)_?，F(xiàn)在較為普遍應(yīng)用的方法有加密技術(shù)、認(rèn)證技術(shù)、防火墻等，由于越來越大的運行規(guī)模，使得單位網(wǎng)絡(luò)涉及的安全性問題呈現(xiàn)復(fù)雜化特征。因此，維護網(wǎng)絡(luò)安全將是一件關(guān)鍵任務(wù)。在此過程中要對安全因素綜合考慮，將有關(guān)的安全防范技術(shù)進行相互結(jié)合，采取科學(xué)有效的安全防范措施，保證網(wǎng)絡(luò)安全。

參考文獻：

[1] 王加雪，錢江.智慧船閘[M].東南大學(xué)出版社，2018

[2] [美]本·斯派維 喬伊·愛徹利維亞. Hadoop安全大數(shù)據(jù)平臺的隱私保護[M].人民郵電出版社，2017

[3] 劉化君. 網(wǎng)絡(luò)安全與管理[M].電子工業(yè)出版社，2019.

[4] （美）Saadat Malik 網(wǎng)絡(luò)安全原理與實踐[M].人民郵電出版社，2019.