閆曉敏

（河南省水利信息中心，河南 鄭州 450003）

1 一體化交付技術(shù)總體設(shè)計(jì)

技術(shù)針對(duì)越來(lái)越多的水庫(kù)監(jiān)測(cè)站點(diǎn)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題，提出“水利安全一體機(jī)”解決方案。該方案通過(guò)在新建水庫(kù)監(jiān)測(cè)站點(diǎn)部署一臺(tái)水庫(kù)安全一體機(jī)即可滿足監(jiān)測(cè)站的數(shù)據(jù)采集需求、網(wǎng)絡(luò)安全需求、運(yùn)維管理需求等。

該水庫(kù)安全一體機(jī)，以硬件服務(wù)器為載體，通過(guò)虛擬化技術(shù)，以多虛擬機(jī)并行運(yùn)行的方式，承載一個(gè)水庫(kù)安全監(jiān)測(cè)所需要的多種功能，如在該平臺(tái)上可部署：數(shù)據(jù)加密VPN 軟件、行為審計(jì)軟件、防火墻軟件、廣域網(wǎng)優(yōu)化軟件等。

此外，為保證數(shù)據(jù)防篡改和兼容現(xiàn)有的建設(shè)模式，平臺(tái)還提供額外虛擬機(jī)資源，支持整合第三方軟件兼容能力，可部署第三方的數(shù)據(jù)防篡改軟件，以及數(shù)采儀中的數(shù)據(jù)采集軟件等。

該水庫(kù)安全智能監(jiān)控調(diào)度一體機(jī)，通過(guò)采用基于服務(wù)器、存儲(chǔ)的網(wǎng)絡(luò)虛擬化等技術(shù)形式，結(jié)合所見(jiàn)即所得的操作方式讓用戶更快速簡(jiǎn)單地構(gòu)建出分站點(diǎn)業(yè)務(wù)邏輯，實(shí)現(xiàn)了基于虛擬網(wǎng)絡(luò)資源流量的全智能動(dòng)態(tài)實(shí)時(shí)監(jiān)控調(diào)度控制模塊，應(yīng)用功能靈活可伸縮擴(kuò)展，同時(shí)能實(shí)現(xiàn)對(duì)全網(wǎng)流量動(dòng)態(tài)的可視，配置控制界面簡(jiǎn)單直觀，運(yùn)維控制靈活便捷。解決了各監(jiān)測(cè)站點(diǎn)之間對(duì)VPN、防火墻、流量監(jiān)測(cè)、審計(jì)等功能需求，自動(dòng)搭建VPN 隧道，無(wú)須手工設(shè)置IPSec VPN 隧道，實(shí)現(xiàn)即插即用的快速上線。

2 一體化交付技術(shù)路線

基于數(shù)據(jù)全生命周期管理進(jìn)行安全防護(hù)思路，首先深度分析數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用等過(guò)程存在哪些維度安全風(fēng)險(xiǎn)，如網(wǎng)絡(luò)安全風(fēng)險(xiǎn)（內(nèi)網(wǎng)勒索病毒、外部安全威脅）、采集數(shù)據(jù)安全防止私自篡改。然后針對(duì)邊界安全、傳輸安全、全網(wǎng)分支態(tài)勢(shì)安全進(jìn)行防護(hù)和分析。

整體技術(shù)路線分為：首先針對(duì)水庫(kù)安全監(jiān)測(cè)研發(fā)一套融合安全、網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)一體的設(shè)備，并且可以進(jìn)行端對(duì)端傳輸安全加密。其次針對(duì)潛伏威脅，考慮到難以檢測(cè)未知威脅和處置，需要聯(lián)動(dòng)安全平臺(tái)進(jìn)行流量分析，研發(fā)一套可以統(tǒng)一收集各監(jiān)測(cè)站點(diǎn)可疑流量且進(jìn)行風(fēng)險(xiǎn)分析，如展示全網(wǎng)安全攻擊地圖、外聯(lián)風(fēng)險(xiǎn)地圖，此外還可以聯(lián)動(dòng)分支端安全融合一體機(jī)進(jìn)行聯(lián)動(dòng)處置，保證病毒無(wú)法橫向傳播。最后，針對(duì)不同監(jiān)測(cè)站點(diǎn)的業(yè)務(wù)訪問(wèn)和高效運(yùn)維，基于SD-WAN技術(shù)（軟件定義廣域網(wǎng)）中心端部署可視化管理平臺(tái)，對(duì)全網(wǎng)流量進(jìn)行overlay隧道管理和調(diào)度、全網(wǎng)設(shè)備和應(yīng)用進(jìn)行可視化監(jiān)控和分析，全面提升業(yè)務(wù)體驗(yàn)和可靠性，以及極大提升運(yùn)維效率。

3 技術(shù)先進(jìn)性

基于軟件定義技術(shù)構(gòu)建一套以數(shù)據(jù)為核心的立體安全防護(hù)系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)全生命周期管理，從“采集安全、邊界安全、傳輸安全”到“管理、分析”。以海量大數(shù)據(jù)作為驅(qū)動(dòng)、人工智能算法研究為支撐基礎(chǔ)，通過(guò)智能化深度安全防御、持續(xù)實(shí)時(shí)檢測(cè)、快速安全響應(yīng)，構(gòu)建一套基于大網(wǎng)絡(luò)、端點(diǎn)技術(shù)的系統(tǒng)化和智能網(wǎng)絡(luò)化協(xié)同應(yīng)急聯(lián)動(dòng)智能防護(hù)能力體系，有效使保障大型水庫(kù)汛期監(jiān)測(cè)預(yù)警數(shù)據(jù)質(zhì)量安全水平成為中國(guó)新型信息化安全管理能力系統(tǒng)建設(shè)階段的關(guān)鍵核心工作。

3.1 虛擬化構(gòu)筑立體防御壁壘

水庫(kù)安全一體機(jī)支持通過(guò)虛擬化技術(shù)，在設(shè)備上啟用虛擬下一代防火墻功能，提供的安全能力包括：NAT、路由、入侵防護(hù)、訪問(wèn)控制、風(fēng)險(xiǎn)分析、僵尸網(wǎng)絡(luò)檢測(cè)、用戶認(rèn)證、威脅情報(bào)、會(huì)話控制、URL過(guò)濾Web安全防護(hù)、DDoS、敏感信息防泄漏、實(shí)時(shí)漏洞分析等功能，可雙向分析網(wǎng)絡(luò)流量網(wǎng)絡(luò)層、應(yīng)用層、內(nèi)容風(fēng)險(xiǎn)，比同時(shí)部署WAF、傳統(tǒng)防火墻等多種安全設(shè)備的防護(hù)能力更強(qiáng)，可抵御危害更明顯、攻擊更容易、來(lái)源更廣泛的應(yīng)用層攻擊，實(shí)現(xiàn)L-L7 層數(shù)據(jù)中心全面安全加固。與傳統(tǒng)堆疊式安全部署相比較，有效解決了部署多臺(tái)設(shè)備帶來(lái)的性能消耗、單點(diǎn)故障、難以管理的問(wèn)題。

在主機(jī)層面，水庫(kù)安全一體機(jī)支持部署主機(jī)殺毒EDR，以終端資產(chǎn)安全生命周期為中心，通過(guò)預(yù)防、檢測(cè)、防御、響應(yīng)賦予終端強(qiáng)大的對(duì)木馬、病毒、入侵攻擊等威脅的防御能力，通過(guò)EDR人工智能行為分析、云查引擎、全網(wǎng)信譽(yù)庫(kù)、SAVE引擎等技術(shù)全面應(yīng)對(duì)威脅，防御未知新型病毒的感染、傳播，通過(guò)構(gòu)建多維度威脅防御體系，全面解決現(xiàn)有信息系統(tǒng)安全問(wèn)題。

通過(guò)全面部署應(yīng)用EDR，建立多個(gè)安全平臺(tái)聯(lián)動(dòng)機(jī)制，EDR 可與水庫(kù)安全一體機(jī)虛擬下一代防火墻進(jìn)行聯(lián)動(dòng)，實(shí)現(xiàn)威脅的接收與共享。同時(shí)在主機(jī)層面以終端殺毒EDR讓終端具有更持續(xù)的檢測(cè)能力、更精準(zhǔn)的查殺能力、更細(xì)致的隔離策略、更快速地處置能力；在應(yīng)對(duì)高級(jí)威脅的同時(shí)，通過(guò)威脅情報(bào)共享、網(wǎng)端聯(lián)動(dòng)協(xié)同、多層級(jí)響應(yīng)機(jī)制，協(xié)助監(jiān)測(cè)站點(diǎn)快速處置主機(jī)層、網(wǎng)絡(luò)層的安全問(wèn)題，構(gòu)建響應(yīng)快、智能化、輕量級(jí)新一代安全系統(tǒng)。

3.2 可信驗(yàn)證助力數(shù)據(jù)防篡改

針對(duì)出現(xiàn)的對(duì)水庫(kù)監(jiān)測(cè)數(shù)據(jù)不當(dāng)干預(yù)的行為，如強(qiáng)制登陸數(shù)采設(shè)備，違規(guī)篡改監(jiān)測(cè)數(shù)據(jù)、弄虛作假。方案提出在水庫(kù)安全一體機(jī)中啟用防篡改功能機(jī)制，通過(guò)設(shè)備內(nèi)置的數(shù)據(jù)篡改防護(hù)機(jī)制，對(duì)采集的數(shù)據(jù)進(jìn)行二傳機(jī)制比對(duì)，后臺(tái)無(wú)感知灰度處理，最終實(shí)現(xiàn)數(shù)據(jù)的可信采集，且滿足全過(guò)程數(shù)據(jù)審計(jì)溯源，為環(huán)境監(jiān)管及決策提供可靠數(shù)據(jù)保障。

在網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)接收端，增加了實(shí)時(shí)感知所有監(jiān)測(cè)站點(diǎn)數(shù)據(jù)通信中斷，數(shù)據(jù)缺失，有效數(shù)據(jù)不足等異常狀況的特定功能，避免了頻繁地查詢監(jiān)測(cè)數(shù)據(jù)記錄表所造成的阻塞難題。

3.3 軟件定義實(shí)現(xiàn)加密傳輸

針對(duì)監(jiān)測(cè)站點(diǎn)的業(yè)務(wù)訪問(wèn)和高效運(yùn)維，基于SD-WAN 技術(shù)中心端部署可視化管理平臺(tái)，對(duì)全網(wǎng)流量進(jìn)行OVERLAY隧道管理和調(diào)度、全網(wǎng)設(shè)備和應(yīng)用進(jìn)行可視化監(jiān)控和分析，全面提升業(yè)務(wù)體驗(yàn)和可靠性，實(shí)現(xiàn)可靠加密傳輸。

現(xiàn)有的水庫(kù)堤壩安全與數(shù)據(jù)質(zhì)量監(jiān)測(cè)的網(wǎng)絡(luò)大部分?jǐn)?shù)據(jù)是直接通過(guò)電信專線方式傳輸，數(shù)據(jù)的傳輸存儲(chǔ)過(guò)程中都無(wú)經(jīng)過(guò)任何的加密及保護(hù)等機(jī)制，存在容易被外部中間人進(jìn)行竊聽(tīng)、篡改的風(fēng)險(xiǎn)，需要根據(jù)數(shù)據(jù)重要性需要對(duì)傳輸過(guò)程中的數(shù)據(jù)進(jìn)行加密。

方案提出在水庫(kù)安全一體機(jī)中啟用IPSec VPN功能，構(gòu)建起一條網(wǎng)絡(luò)互通的VPN 通道，各監(jiān)測(cè)站點(diǎn)可通過(guò)加密的VPN通道，實(shí)現(xiàn)快速與監(jiān)測(cè)中心的數(shù)據(jù)交互。同時(shí)，IPSec VPN可以與集中管理平臺(tái)無(wú)縫融入，實(shí)現(xiàn)對(duì)各監(jiān)測(cè)站點(diǎn)水庫(kù)安全一體機(jī)進(jìn)行集中式統(tǒng)一的管理，如實(shí)時(shí)監(jiān)控、日志查詢、策略下發(fā)和升級(jí)維護(hù)等，可以降低成本、提高網(wǎng)絡(luò)應(yīng)用效率，管理起來(lái)更為便捷?？紤]業(yè)務(wù)應(yīng)用和需求，IPSec VPN網(wǎng)絡(luò)安全性有五層含義，五大安全保障VPN 得安全性。一是用戶身份安全；二是數(shù)據(jù)傳輸安全；三是內(nèi)網(wǎng)訪問(wèn)權(quán)限安全；四是接入終端安全；五是審計(jì)安全。

3.4 聯(lián)合開(kāi)發(fā)數(shù)采軟件平臺(tái)深度兼容

為避免水庫(kù)站點(diǎn)建設(shè)過(guò)程中網(wǎng)絡(luò)安全建設(shè)與數(shù)據(jù)采集業(yè)務(wù)割裂，各產(chǎn)品獨(dú)立部署不能形成合力，水庫(kù)安全一體機(jī)的服務(wù)器虛擬化功能，滿足監(jiān)測(cè)站點(diǎn)部署數(shù)采軟件需求，提供額外資源，對(duì)數(shù)采業(yè)務(wù)軟件和網(wǎng)絡(luò)安全軟件進(jìn)行整合，靈活提供業(yè)務(wù)的擴(kuò)展性，減少數(shù)采設(shè)備采購(gòu)?fù)顿Y。

水庫(kù)安全一體機(jī)以服務(wù)器虛擬化為底層架構(gòu)，通過(guò)超融合架構(gòu)層擴(kuò)展出存儲(chǔ)、網(wǎng)絡(luò)虛擬化，通過(guò)所畫(huà)即所得的方式靈活快速構(gòu)建出分站點(diǎn)業(yè)務(wù)邏輯，動(dòng)態(tài)調(diào)度和靈活擴(kuò)展虛擬化資源，全網(wǎng)配置直觀簡(jiǎn)易，流量可視，運(yùn)維方便靈活。

此外，在業(yè)務(wù)數(shù)據(jù)存儲(chǔ)安全，平臺(tái)提供VMP 虛擬化平臺(tái)，在整體VMP平臺(tái)上融合備份系統(tǒng)，實(shí)現(xiàn)備份系統(tǒng)簡(jiǎn)單易用，系統(tǒng)根據(jù)用戶設(shè)置好的自動(dòng)備份計(jì)劃定期進(jìn)行自動(dòng)備份，在不處理日常業(yè)務(wù)的時(shí)間里進(jìn)行此項(xiàng)工作，可以增強(qiáng)系統(tǒng)數(shù)據(jù)安全性，提高自動(dòng)處理事務(wù)的能力。

4 總結(jié)

一體化交付技術(shù)能夠整合水庫(kù)所需安全能力，較好地應(yīng)對(duì)網(wǎng)絡(luò)安全事件，實(shí)現(xiàn)對(duì)水庫(kù)監(jiān)控、傳輸、管理和網(wǎng)絡(luò)安全態(tài)勢(shì)能力的綜合管理運(yùn)維，提升水庫(kù)網(wǎng)絡(luò)安全綜合管理效率，適用于不同的水利業(yè)務(wù)單位，能夠?yàn)閷＜覜Q策做出精準(zhǔn)化支撐。