浅谈建设水利信息安全体系建设规则

蒋毛席

摘要：如何做到信息化与信息安全协调发展成为水利信息化进一步发展面临的一个主要问题。从我省信息化和信息安全的形势出发，分析了水利信息化与信息安全状况，指出了水利信息安全方面存在的问题，提出了建设水利信息安全体系建设规则的措施.

关键词：水利信息化 信息安全 规则

随着信息化在各个领域的深入发展，信息安全的重要性也与日俱增。当前我国网络与信息安全工作面临的形势相当严峻，网站被篡改、网络仿冒、网页恶意代码、计算机被植入木马等事件频频发生。根据国家计算机网络应急技术处理协调中心（简称CNCERT/CC）的统计，2012年我国大陆地区被篡改网站的数量为16388个，其中政府网站被篡改的数量为1802个，这严重威胁国家安全、社会秩序、公共利益和社会公众的合法权益。根据国家信息化领导小组的统一部署和安排，我国在全国范围内开展了信息安全等级保护工作，一批信息安全等级保护相关法规、政策文件和标准相继出台，为网络与信息安全体系的建设提供了依据。

1.水利网络与信息安全现状

近年来，水利部党组准确把握水利工作的新形势和新需求，在充分总结治水实践和经验的基础上，提出了从传统水利向现代水利、可持续发展水利转变的治水思路，明确了以水利信息化带动水利现代化的发展方向。伴随着水利事业的发展和改革，水利信息化建设取得了丰硕的成果，逐渐成为现代水事活动的重要支撑，成为水利现代化的重要带动力量。依托国家防汛抗旱指挥系统一期工程、山洪灾害预警系统、水资源监控能力建设和大型灌区信息化试点等信息化重点工程的顺利实施，水利信息化基础设施得到进一步完善，对业务应用的支撑能力显著提高。防汛抗旱、山洪灾害预警系统、水资源监控能力建设、全国水土保持监测管理信息系统等业务应用逐步建成并投入应用。在水利信息化基础设施和业务应用快速发展的同时，作为水利信息化保障环境之一的安全体系逐步建立和发展。

2.技术体系总体框架

水利行业信息安全技术体系框架应该结合等级保护的思路和标准，从多个层面进行建设，通过建立健全统一的信息安全技术支撑层、安全管理支撑层和安全服务支撑层，在水利行业形成有效的安全防护能力、安全监管能力和安全运维能力，为水利行业IT系统的的运行提供安全的网络运行环境和应用安全支撑。

（1）中心机房安全建设

中心机房物理环境安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境，并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。

（2）网络安全

根据国家等级保护的基本要求，水利行业网络层的安全需求主要包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等方面。

安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。安全域的划分可以使安全部署更加清晰、效率更高、更有针对性。为了对水利行业的系统和设施进行有效的安全防护，需要重点对水利行业总部信息网络进行安全域的划分。

网络结构需要具备一定的冗余性，避免单点故障带来的系统瘫痪，同时各部分网络设备的带宽也要能够满足业务高峰时期数据交换需求。

安全域明确定义之后，要在实际的信息系统环境中进行划分并实施相应保护措施，各个安全域边界之间的保护将通过不同的安全技术和安全设备，满足等级保护对于边界防护的要求。

防火墙是设置在不同网络安全域之间的一系列部件的组合。它是不同网络安全域之间信息的唯一出入口，能根据安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。可以实现以下目标：

防火墙能极大地提高网络系统的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以服务器区域和内网变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护区域，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部服务器。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。

如果所有对服务器的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供服务器区域是否受到监测和攻击的详细信息。

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个安区域中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而曝露了服务器区域的某些安全漏洞。使用防火墙就可以隐蔽这些安全漏洞。

根据信息安全保护的要求，水利行业网络边界处需要具备监控端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等行为的能力。建议采用入侵防护技术和抗DOS攻击设备保护水利行业集团网络边界的安全。

根据等级保护的要求，需要在网络边界处对恶意代码进行检测和清除，并维护恶意代码库的升级和检索更新。由于内网办公用户有着访问互联网的需求，因此，更易遭受恶意代码的威胁，建议部署防病毒网关在网络边界处对恶意代码进行检测和阻断。

在网络安全设计方面，根据等級保护要求需要对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录，审计记录要求包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息并能够根据记录数据进行分析，并生成审计报表；对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

终端安全管理系统同时也可以监测内部网中发生的外来主机非法接入、篡改 IP 地址、盗用 IP 地址等不法行为，由监测控制台进行告警。运用用户信息和主机信息匹配方式实时发现接入主机的合法性，及时阻止 IP 地址的篡改和盗用行为，共同保证水利行业网络的边界完整性。

3.主机安全建设

基于主机面临的身份认证的风险和访问控制的需求，需要对登录操作系统和数据库系统的用户进行身份标识和鉴别，要求配置用户名/口令；采用3种以上字符、长度不少于8位的口令。

一方面要通过安全加固措施制定严格用户权限策略，保证账号、口令等符合安全策略。另一方面通过建立统一的身份鉴别和权限认证网关，实现用户对操作系统、数据库系统登陆的身份认证和权限管理。

部署主机审计管理系统，可以实现对主机的控制、监控、审计和系统管理。

控制功能包括计算机硬件资源控制、软件资源控制、移动存储设备使用控制、IP与MAC地址绑定等。

监控功能包括服务监控、进程监控、硬件操作监控、文件系统监控、打印机监控、非法外联监控、计算机用户账号监控等。

相对于终端管理审计，主机上网行为审计侧重于对内网主机系统的网络行为的审计，这其中包括水利行业内网员工访问网站、页面的审计，外发信息的审计，包括在互联网论坛的留言、通过邮件和MSN等即时通讯软件发送的文件和聊天内容的审计，通过这些行为的审计可以避免企业员工外泄企业机密，同时避免企业员工通过互联网发表的非法、反动言论为企业带来的负面影响，并在第一时间可以定位到发出非法、反动言论的员工。

根据等级保护对于入侵防范的要求，要能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；此外需要能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。

建议将入侵检测系统部署在水利行业网络中的核心，监视并记录网络中的所有访问行为和操作，有效防止非法操作和恶意攻击。同时，网络入侵检测系统还可以形象地重现操作的过程，可帮助安全管理员发现网络安全的隐患。

主机的入侵检测系统，其防护的对象是网络中的应用服务器，或者是网络中异常重要的单机PC。通过对主机配置（运行配置、安全配置、应用配置）、主机资源（服务资源、数据资源等）、主机安全事件等进行监控、防护，保证主机处在一个正常的运行和服务状态，并能够保证存储于主机的信息、数据不被非法的占有、破坏和利用。

等级保护中对服务器的服务质量和系统性能提出了相应的要求，主要包括：应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；限制单个用户对系统资源的最大或最小使用限度。

恶意代码防范

通过在主机终端安装防病毒软件的方式实现对主机系统的恶意代码防护，目前水利行业安装了网络版的杀毒软件，已具备终端的恶意代码防护能力。

4.应用安全

建立应用安全体系的总体思路是：根据系统的统一规划，建立CA认证中心，作为整个网络体系的基础信任设施，以实现数字证书的受理、发放、更新与废止；同时，建立直接服务于各个应用系统的统一认证及授权管理系统，实现基于数字证书的各项安全应用功能，为各个应用系统直接提供可信认证、完整性保护、访问控制、单点登录、权限管理等基本安全服务，进行实现各类应用系统的安全互联互通、安全信息共享、安全应用整合。

通过在水利行业管理服务器区部署漏洞扫描和评估系统可以针对各种网络设备、防火墙设备、应用服务器、数据库服务器和桌面机进行扫描和分析。可以检测出：各种安全漏洞、是否有补丁包、各种已知安全漏洞、后门和木马程序。

漏洞扫描系统可以用形象的图表或报告的方式表示出在一个网络中的安全薄弱环节，并可以提供非常有用的补救建议，如上所述：安装补丁包、升级服务程序、停止不必要的服务、禁止某些用户帐号或加强某些帐号密码强度等，有效地协助网络管理人员改善网络安全状况。

根据等级保护的要求，应用系统应能够对一个时间段内可能的并发会话连接数进行限制；对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；对系统服务水平降低到预先规定的最小值进行检测和报警等。

5.数据安全建设方案

数据完整性检查主要体现在数据在传输过程和存储过程中检测到完整性错误时采取必要的恢复措施。

该部分的建设需要应用系统自身采用数据校验技术对数据进行完整性检查，数据受到破坏后通过备份策略进行数据恢复；同时在数据传输过程中采用VPN技术保障数据传输过程中的数据完整性。对于存储过程中的完整性检查将主要通过配置存储系统对系统管理数据、鉴别信息和重要业务数据存储过程中的完整性进行检测与恢复。

备份与恢复主要包含两方面内容，首先是指数据备份与恢复，另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。

目前大多数省份水利行业已经形成了备份体系，本地备份主要通过备份服务器同时结合磁带库的方式进行数据的备份和恢复。建议未来通过专线方式实现异地的数据备份。

6.安全保障建设

安全服务内容主要包含： 定期的风险评估、安全加固服务、应急响应、安全监控、安全信息通告等服务。

漏洞扫描服务主要是根据已有的安全漏洞知识库，检测网络设备及服务器等各种信息资产所存在的安全隐患和漏洞。

漏洞扫描主要依靠带有安全漏洞知识库的安全扫描工具对信息资产进行基于网络层面安全扫描，其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找，能真实地反映主机系统、网络设备、应用系统所存在的安全问题。

安全加固主要包括“网络设备及网络架构的加固”、“UNIX操作系统的加固” 和“Windows操作系统的加固”等：

包括：设备监控、系统监控、应用监控、日志监控、安全设备监控、安全信息通告、漏洞信息、安全产品评测信息、病毒信息、安全预警

安全服务厂商会根据业界的安全动态分析可能对网络或系统造成严重影响的安全漏洞和重大病毒，会根据行业的情况及时做好安全预警工作，并提供相应的解决措施。

参考文献：

[1]国家计算机网络应急技术处理协调中心.我国网站被篡改情况月度报告[R].2012-02.

[2]水利部水利信息中心.全国水利信息化规划限[M].北京：水利部水利信息中心，2003.

[3]水利部水利信息中心.中国水利信息网发展状况统计报告（2006）[R].北京：水利部水利信息中心，2007.

[4]水利部水利信息中心.全国水利信息化发展“十二五”规划（征求意见稿）[R].北京：水利部水利信息中心，2010.

[5]水利网络与信息安全建设规范.2010.

[6]浅谈水利网络与信息安全体系[J].水利信息化，2010.