山東省水利系統(tǒng)網(wǎng)絡(luò)安全工作探索

莊 磊

（山東省水利綜合事業(yè)服務(wù)中心，山東 濟(jì)南 250013）

0 引言

山東省水利信息化建設(shè)起步于 20 世紀(jì) 90 年代中期（“九五”期間），20 多 a 間，水利信息化從無到有，從單機(jī)到網(wǎng)絡(luò)，從局部實(shí)施到協(xié)同應(yīng)用，在水利改革發(fā)展中發(fā)揮著越來越重要的作用[1]。特別是“十二五”以來信息化建設(shè)快速發(fā)展，形成“一個(gè)中心、一個(gè)平臺(tái)、一張圖表、一套標(biāo)準(zhǔn)”的整體格局。依托國(guó)家防汛抗旱指揮系統(tǒng)工程，建成了覆蓋山東全省 16 個(gè)市、150 余個(gè)縣、數(shù)十個(gè)重點(diǎn)水利工程的水利信息骨干網(wǎng)，承載水利數(shù)據(jù)中心、防汛抗旱指揮、雨水情監(jiān)測(cè)、應(yīng)急調(diào)度會(huì)商等關(guān)鍵業(yè)務(wù)應(yīng)用；依托山東省電子政務(wù)網(wǎng)絡(luò)，運(yùn)行了河（湖）長(zhǎng)制管理、水資源管理、工程招投標(biāo)、門戶網(wǎng)站等眾多行業(yè)應(yīng)用。信息網(wǎng)絡(luò)的建設(shè)和發(fā)展，為水利數(shù)據(jù)的高效傳輸和整合共享提供了堅(jiān)實(shí)保障，但也帶來與日俱增的安全壓力。在網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻的大環(huán)境下，做好山東省水利系統(tǒng)網(wǎng)絡(luò)安全工作，已經(jīng)迫在眉睫。

1 水利網(wǎng)絡(luò)安全形勢(shì)分析

1.1 信息網(wǎng)絡(luò)攻擊與日俱增

目前山東省水利廳配備專業(yè)化安全團(tuán)隊(duì)，全年7×24 h 開展病毒、木馬、蠕蟲、僵尸網(wǎng)絡(luò)、緩沖區(qū)溢出攻擊、DDoS（分布式拒絕服務(wù)攻擊）、掃描探測(cè)等惡性攻擊行為的監(jiān)測(cè)，分析，記錄。經(jīng)統(tǒng)計(jì)發(fā)現(xiàn)，近年來針對(duì)省級(jí)水利信息網(wǎng)絡(luò)及系統(tǒng)的攻擊數(shù)量逐年上升，2018 年以來，每年攻擊量增長(zhǎng)均在 10% 以上。以 2020 年為例，截至 12 月底，國(guó)內(nèi)外網(wǎng)絡(luò)攻擊累計(jì)達(dá) 310 萬次，其中：國(guó)外攻擊排名前三的國(guó)家為美國(guó)、法國(guó)、英國(guó)；國(guó)內(nèi)攻擊排名前三的地區(qū)為北京、廣東、山東。攻擊類型主要為脆弱口令與安全掃描、拒絕服務(wù)攻擊、惡意掃描、CGI 攻擊、木馬后門和暴力破解等。

1.2 安全運(yùn)維壓力不斷增大

近年來各級(jí)水利部門開發(fā)了大量業(yè)務(wù)應(yīng)用，系統(tǒng)數(shù)量、服務(wù)領(lǐng)域、網(wǎng)絡(luò)覆蓋、數(shù)據(jù)規(guī)模等不斷拓展。信息化應(yīng)用已由主要提供行業(yè)支撐，轉(zhuǎn)變?yōu)闉樗?yīng)急、環(huán)保、自然資源、社會(huì)公眾等多領(lǐng)域提供服務(wù)；水利信息網(wǎng)絡(luò)已由獨(dú)立組網(wǎng)，轉(zhuǎn)變?yōu)榕c多種網(wǎng)絡(luò)互連互通或交換數(shù)據(jù)，網(wǎng)絡(luò)邊界日益模糊。信息化高速發(fā)展的同時(shí)導(dǎo)致網(wǎng)絡(luò)安全工作壓力隨之劇增，大量增加的信息資產(chǎn)帶來各類安全風(fēng)險(xiǎn)，因此減少資產(chǎn)的脆弱性，提升對(duì)抗安全威脅的能力，加強(qiáng)對(duì)風(fēng)險(xiǎn)的分析和控制，給網(wǎng)絡(luò)安全工作人員增加了巨大壓力，網(wǎng)絡(luò)安全運(yùn)維工作也更加艱巨和復(fù)雜。近年來水利信息網(wǎng)絡(luò)發(fā)展演變圖如圖1 所示。

圖1 水利信息網(wǎng)絡(luò)發(fā)展演變圖

1.3 安全工作機(jī)制短板明顯

安全工作機(jī)制短板主要表現(xiàn)如下：

1）網(wǎng)絡(luò)安全責(zé)任落實(shí)不到位。未能嚴(yán)格按照“誰主管誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”等安全基本原則建立清晰明確的網(wǎng)絡(luò)安全責(zé)任體系，各類要求多停留在文件上，落實(shí)效果欠佳。

2）網(wǎng)絡(luò)安全人才嚴(yán)重欠缺。各級(jí)水利部門普遍缺少網(wǎng)絡(luò)安全專職人員，經(jīng)常存在會(huì)議調(diào)試、設(shè)備維修、安全防護(hù)等“一肩挑”現(xiàn)象。

3）經(jīng)費(fèi)保障不到位。對(duì)照《水利網(wǎng)絡(luò)安全管理辦法》中網(wǎng)絡(luò)安全預(yù)算不應(yīng)低于項(xiàng)目預(yù)算 5% 的要求，網(wǎng)絡(luò)安全投入比例明顯偏低，導(dǎo)致網(wǎng)絡(luò)安全建設(shè)與管理經(jīng)費(fèi)不足，重建輕管、忽視安全問題突出。

4）應(yīng)急處置效果欠佳。普遍存在應(yīng)急預(yù)案操作性差、未及時(shí)修訂更新等現(xiàn)象，應(yīng)急處置技術(shù)力量薄弱，難以高標(biāo)準(zhǔn)開展應(yīng)急處置工作。

2 水利網(wǎng)絡(luò)安全主要舉措

近年來，山東省水利廳根據(jù)網(wǎng)絡(luò)運(yùn)行及系統(tǒng)部署實(shí)際，采取了針對(duì)性的網(wǎng)絡(luò)安全工作舉措：在水利業(yè)務(wù)網(wǎng)部署態(tài)勢(shì)感知系統(tǒng)，建立常態(tài)化網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警機(jī)制；在互聯(lián)網(wǎng)開展實(shí)戰(zhàn)化網(wǎng)絡(luò)安全攻防演練，及時(shí)發(fā)現(xiàn)并消除網(wǎng)絡(luò)安全隱患。

2.1 業(yè)務(wù)網(wǎng)部署網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)

在當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)下，傳統(tǒng)防御手段的局限性被持續(xù)放大，如僅能基于特征檢測(cè)，依賴單點(diǎn)處理能力，防護(hù)設(shè)備各自為戰(zhàn)，無法應(yīng)對(duì)連續(xù)性威脅等，而基于大數(shù)據(jù)的安全態(tài)勢(shì)感知技術(shù)有效彌補(bǔ)了傳統(tǒng)防御手段的缺陷。通過全網(wǎng)絡(luò)收集安全信息要素，基于大數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，建立對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的全面認(rèn)知，能對(duì)網(wǎng)絡(luò)系統(tǒng)的安全趨勢(shì)進(jìn)行預(yù)測(cè)，是保障網(wǎng)絡(luò)安全的有效手段[2]。

1）部署方式。山東省水利系統(tǒng)態(tài)勢(shì)感知系統(tǒng)建設(shè)采取“兩級(jí)部署、統(tǒng)一管理”的整體架構(gòu)，系統(tǒng)整體邏輯分為數(shù)據(jù)采集、處理、存儲(chǔ)、挖掘及應(yīng)用 5 個(gè)層級(jí)[3]。省級(jí)水利單位部署網(wǎng)絡(luò)態(tài)勢(shì)感知平臺(tái)，各市水利局及部分直屬單位部署流量采集引擎，安全態(tài)勢(shì)感知平臺(tái)部署方案如圖2 所示。

圖2 安全態(tài)勢(shì)感知平臺(tái)部署方案

2）技術(shù)特點(diǎn)。省級(jí)態(tài)勢(shì)感知平臺(tái)采用大數(shù)據(jù)計(jì)算技術(shù)架構(gòu)，具有分布式、水平彈性擴(kuò)展、機(jī)器學(xué)習(xí)和高可靠性等特點(diǎn)。通過元數(shù)據(jù)的統(tǒng)一存儲(chǔ)管理與對(duì)全文檢索的良好支持，采用實(shí)時(shí)關(guān)聯(lián)分析、歷史關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、統(tǒng)計(jì)分析、OLAP（聯(lián)機(jī)分析處理）、數(shù)據(jù)挖掘和惡意代碼分析等多種手段，完成對(duì)海量安全元數(shù)據(jù)的分析和挖掘，為各類安全智能應(yīng)用提供基礎(chǔ)支撐。各市水利局流量采集引擎支持從數(shù)據(jù)包、數(shù)據(jù)流、傳輸協(xié)議直至文件的多維度流量捕獲與檢測(cè)，可對(duì)數(shù)據(jù)進(jìn)行協(xié)議解析與內(nèi)容還原，并對(duì)其進(jìn)行檢測(cè)。引擎內(nèi)置網(wǎng)絡(luò)攻擊行為特征庫(kù)，可利用態(tài)勢(shì)感知系統(tǒng)大數(shù)據(jù)機(jī)器學(xué)習(xí)能力，有效發(fā)現(xiàn)漏洞、攻擊、僵木蠕等未知安全威脅。

3）取得成果。部署安全態(tài)勢(shì)感知系統(tǒng)，實(shí)現(xiàn)了對(duì)水利業(yè)務(wù)網(wǎng)絡(luò)安全態(tài)勢(shì)的實(shí)時(shí)感知和動(dòng)態(tài)監(jiān)測(cè)，打造了網(wǎng)絡(luò)安全態(tài)勢(shì)感知、攻擊可視化溯源分析大屏等可視化平臺(tái)，可實(shí)時(shí)顯示外部、橫向、資產(chǎn)外聯(lián)等威脅內(nèi)容，為運(yùn)維人員開展攻擊手段、趨勢(shì)、溯源等信息的調(diào)查取證提供了保障。安全態(tài)勢(shì)感知系統(tǒng)自運(yùn)行以來，通過對(duì)各市安全流量引擎的不間斷分析，發(fā)現(xiàn)了 SQL 注入、遠(yuǎn)控木馬、挖礦行為等大量安全隱患，通過組織開展多次服務(wù)器和終端的專項(xiàng)安全檢查，有效提升了水利業(yè)務(wù)內(nèi)網(wǎng)整體安全水平。

2.2 外網(wǎng)開展實(shí)戰(zhàn)化網(wǎng)絡(luò)安全攻防演練

在真實(shí)的網(wǎng)絡(luò)環(huán)境中開展安全攻防演練，是檢驗(yàn)信息系統(tǒng)防護(hù)、監(jiān)測(cè)預(yù)警和應(yīng)急處置等能力的重要手段，能夠發(fā)現(xiàn)深層次問題和隱患[4]。攻防演練既要做到對(duì)業(yè)務(wù)系統(tǒng)具有破壞性、滲透性，又不影響業(yè)務(wù)系統(tǒng)的正常使用，各類攻擊性行為應(yīng)當(dāng)切實(shí)有效，危害可控。為使攻防演練管控有序，需要進(jìn)行認(rèn)真部署。

1）活動(dòng)部署。整體活動(dòng)分為以下 5 個(gè)組別：a. 指揮組。由活動(dòng)主管機(jī)構(gòu)及專家組長(zhǎng)組成，負(fù)責(zé)監(jiān)控演習(xí)進(jìn)程、調(diào)整攻擊策略等。b. 專家組。由安全資深專家組成，負(fù)責(zé)對(duì)各類成果進(jìn)行審核，并依照規(guī)則進(jìn)行評(píng)分。c. 攻擊組。由安全測(cè)試隊(duì)伍組成，每支攻擊隊(duì)一般由 3 名攻擊手組成。d. 防守組。由各防守單位組成，在演習(xí)過程中積極應(yīng)對(duì)攻擊行為，并提交高質(zhì)量防御報(bào)告。e. 保障組。負(fù)責(zé)維護(hù)演習(xí)活動(dòng)的所有軟硬件設(shè)施，包括網(wǎng)絡(luò)環(huán)境、攻擊工具、演習(xí)系統(tǒng)部署及大屏信息投放等。

2）實(shí)施階段。按照限定攻擊目標(biāo)的原則，攻擊組在指揮組的監(jiān)督下，使用暴力破解、掃描、數(shù)據(jù)包分析、SQL 注入等工具展開攻擊。實(shí)施攻擊前，攻擊組需將準(zhǔn)備實(shí)施的攻擊目標(biāo)、對(duì)目標(biāo)的掃描結(jié)果及可能造成的風(fēng)險(xiǎn)等情況向?qū)＜医M報(bào)備，審核通過后方可發(fā)起攻擊。專家組采取現(xiàn)場(chǎng)巡查與自動(dòng)化分析工具相結(jié)合的方式，對(duì)攻擊行為進(jìn)行監(jiān)管、分析、審計(jì)和追溯，保障演習(xí)過程風(fēng)險(xiǎn)可控，發(fā)現(xiàn)不合規(guī)的攻擊行為時(shí)，及時(shí)進(jìn)行阻斷。指揮組根據(jù)網(wǎng)絡(luò)攻擊情況，將發(fā)現(xiàn)的緊急或高危漏洞，分發(fā)給相應(yīng)單位進(jìn)行應(yīng)急處置。保障組將攻擊成果（包括攻擊域名、IP、系統(tǒng)描述、截屏圖片、攻擊手段和時(shí)間等）實(shí)時(shí)顯示在成果展示大屏上。網(wǎng)絡(luò)安全攻防演練流程圖如圖3 所示。

圖3 網(wǎng)絡(luò)安全攻防演練流程圖

3）取得成果。2020 年山東省水利廳對(duì)全省 16 個(gè)市水利（務(wù)）局、6 個(gè)廳直屬單位的 160 個(gè)互聯(lián)網(wǎng)系統(tǒng)開展實(shí)戰(zhàn)化攻防演練，發(fā)現(xiàn)安全隱患漏洞 100 余個(gè)。經(jīng)匯總分析，各級(jí)水利部門網(wǎng)絡(luò)安全問題存在較大共性，具體如下：a. 弱口令問題。目前弱口令已成為主要安全隱患，設(shè)置簡(jiǎn)單或默認(rèn)口令，防護(hù)形同虛設(shè)。b. 系統(tǒng)權(quán)限控制問題。部分系統(tǒng)權(quán)限控制不嚴(yán)謹(jǐn)，存在權(quán)限跨越漏洞，造成數(shù)據(jù)泄露或破壞。c. 網(wǎng)絡(luò)隔離不嚴(yán)問題。部分單位網(wǎng)絡(luò)邊界控制較差，內(nèi)外網(wǎng)未進(jìn)行物理隔離，不具備縱深防御能力。d. 測(cè)試（廢棄）系統(tǒng)運(yùn)行問題。部分測(cè)試及廢棄系統(tǒng)部署于業(yè)務(wù)網(wǎng)絡(luò)且無人維護(hù)，可能對(duì)正常系統(tǒng)造成破壞。e. 熱點(diǎn)漏洞修補(bǔ)不及時(shí)問題。Struts2 框架漏洞、SQL 注入、任意文件上傳等典型漏洞成為滲透主要利用點(diǎn)。f. 系統(tǒng)檢測(cè)不及時(shí)問題。部分系統(tǒng)或服務(wù)器被黑客入侵或利用且長(zhǎng)期未發(fā)現(xiàn)。

針對(duì)發(fā)現(xiàn)問題，山東省水利廳編制專項(xiàng)整改方案，第一時(shí)間發(fā)送至有關(guān)部門、單位，督促整改并進(jìn)行復(fù)測(cè)，通過建立通報(bào)—整改—復(fù)測(cè)的閉環(huán)式工作機(jī)制，有效提升網(wǎng)絡(luò)安全水平。

3 水利網(wǎng)絡(luò)安全有關(guān)對(duì)策

近年來水利網(wǎng)絡(luò)安全工作證明：山東省水利廳部署的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)已初步發(fā)揮成效，能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊；開展的攻防演練能不斷發(fā)現(xiàn)網(wǎng)絡(luò)安全工作短板和不足，檢驗(yàn)網(wǎng)絡(luò)攻擊和抗威脅能力，檢驗(yàn)和鍛煉網(wǎng)絡(luò)安全隊(duì)伍，是有效應(yīng)對(duì)網(wǎng)絡(luò)安全威脅的重要舉措。但水利系統(tǒng)面臨的網(wǎng)絡(luò)安全形勢(shì)依然嚴(yán)峻，特別是在全省防護(hù)體系尚不健全的情況下，網(wǎng)絡(luò)安全問題難以避免。做好網(wǎng)絡(luò)安全工作，必須集行業(yè)合力，全力做好各項(xiàng)措施落實(shí)[5]，具體對(duì)策如下：

1）嚴(yán)格落實(shí)等級(jí)保護(hù)制度。按照等級(jí)保護(hù) 2.0相關(guān)規(guī)范和《水利網(wǎng)絡(luò)安全管理辦法》有關(guān)規(guī)定，深入開展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作。新建水利信息系統(tǒng)須經(jīng)定級(jí)備案及安全測(cè)評(píng)后方可上線運(yùn)行，尚未定級(jí)備案的已建、在建水利信息系統(tǒng)應(yīng)及時(shí)開展等級(jí)保護(hù)定級(jí)備案工作。信息系統(tǒng)發(fā)生重要信息和關(guān)鍵業(yè)務(wù)調(diào)整等重大變更時(shí)，應(yīng)重新組織開展定級(jí)、備案和安全建設(shè)整改等工作。

2）堅(jiān)決杜絕常見安全隱患。包括但不限于：全面整頓弱、默認(rèn)、簡(jiǎn)易口令，系統(tǒng)密碼應(yīng)包含數(shù)字、大小寫字母和特殊符號(hào) 4 類字符，長(zhǎng)度不小于 8 位；加強(qiáng)網(wǎng)絡(luò)邊界管理，部署 IPS（入侵防御系統(tǒng)）和WAF（網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)）等安全設(shè)備增強(qiáng)檢測(cè)保護(hù)能力；關(guān)閉非必要服務(wù)端口，降低外網(wǎng)訪問風(fēng)險(xiǎn)；及時(shí)更新操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)等漏洞補(bǔ)丁，修改默認(rèn)設(shè)置；及時(shí)清理整頓信息資產(chǎn)，關(guān)停測(cè)試及廢棄系統(tǒng)，減少信息資產(chǎn)暴露面。

3）全面強(qiáng)化運(yùn)行維護(hù)能力。建立 1 支由部門管理和技術(shù)服務(wù)人員組成的業(yè)務(wù)強(qiáng)、素質(zhì)好的保障隊(duì)伍，是做好運(yùn)維工作的根本保障。應(yīng)通過政府購(gòu)買服務(wù)的形式，優(yōu)選一批信譽(yù)良好、能力過硬的社會(huì)企業(yè)，探索建立長(zhǎng)期穩(wěn)定的合作關(guān)系。同時(shí)要加強(qiáng)日常監(jiān)管和質(zhì)量控制，從嚴(yán)從細(xì)制定績(jī)效指標(biāo)體系，以制度規(guī)范約束維保行為，以剛性指標(biāo)評(píng)價(jià)維護(hù)效益，推動(dòng)運(yùn)行維護(hù)工作從粗放式向精細(xì)化轉(zhuǎn)變。

4）切實(shí)做好網(wǎng)絡(luò)安全應(yīng)急演練。應(yīng)急演練以防范信息系統(tǒng)重大風(fēng)險(xiǎn)為目的，建立科學(xué)有效、協(xié)調(diào)有序的網(wǎng)絡(luò)安全應(yīng)急管理與處置協(xié)調(diào)機(jī)制。應(yīng)緊密結(jié)合系統(tǒng)建設(shè)運(yùn)行實(shí)際，高標(biāo)準(zhǔn)編制應(yīng)急預(yù)案，對(duì)可能危害信息系統(tǒng)安全的風(fēng)險(xiǎn)進(jìn)行有效識(shí)別、研判，制定針對(duì)性、操作性強(qiáng)的應(yīng)急措施。同時(shí)要加強(qiáng)應(yīng)急隊(duì)伍建設(shè)，把應(yīng)急處置任務(wù)明確到部門，落實(shí)到個(gè)人，并定期進(jìn)行演練，確保安全事件發(fā)生時(shí)反應(yīng)快速，報(bào)告及時(shí)，措施得力，操作準(zhǔn)確，最大限度地降低事件可能造成的損失。

4 結(jié)語

本研究主要介紹了山東省水利系統(tǒng)網(wǎng)絡(luò)安全工作采取的有效措施，從態(tài)勢(shì)感知系統(tǒng)、網(wǎng)絡(luò)攻防演練的部署實(shí)施和取得成效等方面進(jìn)行了詳細(xì)闡述，為水利行業(yè)開展網(wǎng)絡(luò)安全工作提供了借鑒。依托態(tài)勢(shì)感知系統(tǒng)和攻防演練活動(dòng)，不僅可提升水利系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警水平，還可以發(fā)現(xiàn)網(wǎng)絡(luò)安全技術(shù)和管理方面的不足，為開展針對(duì)性的隱患整改提供支撐，進(jìn)而助力構(gòu)建主動(dòng)智能、快速高效的水利網(wǎng)絡(luò)安全防線。

今后應(yīng)從以下 2 個(gè)方面著手提升工作效能：

1）擴(kuò)大態(tài)勢(shì)感知應(yīng)用范圍。目前水利行業(yè)中物聯(lián)網(wǎng)終端、工業(yè)控制、移動(dòng)辦公等領(lǐng)域應(yīng)用不斷拓展，擴(kuò)大態(tài)勢(shì)感知系統(tǒng)的監(jiān)測(cè)范圍，提升多領(lǐng)域的動(dòng)態(tài)感知能力勢(shì)在必行。

2）提高行業(yè)網(wǎng)絡(luò)安全聯(lián)動(dòng)水平。在網(wǎng)絡(luò)安全威脅感知和應(yīng)急響應(yīng)方面進(jìn)一步加強(qiáng)行業(yè)統(tǒng)籌協(xié)調(diào)，嚴(yán)格落實(shí)水利行業(yè)網(wǎng)絡(luò)安全信息通報(bào)機(jī)制等制度規(guī)范，不斷提高水利行業(yè)的整體網(wǎng)絡(luò)安全防護(hù)水平。