胡勇
(松辽水利委员会水文局(信息中心),吉林长春130021)
水利信息网络安全问题研究
胡勇
(松辽水利委员会水文局(信息中心),吉林长春130021)
随着水利信息化的深入开展,水利信息网络中存在的安全问题也日益突显出来。本文对水利信息网络可能遭受的各种威胁及攻击进行了分析,并提出了一些可行的应对策略。
安全问题;水利信息网络;风险;防御
水利信息化是我国信息化建设的重要组成部分,也是实现水利现代化的必然途径。水利信息化从水利信息的采集、传输、存储、处理和服务全面实现数字化、网络化和信息化,全面提高水利事业的效率和效能。但是在实际应用过程中,存在着一些安全问题和威胁,影响着水利信息网络的稳定和安全性。
1.1硬件设备的不稳定性问题
水利信息网站建设了专用机房,大多数机房配置UPS电源和空调设备,采取了防雷、防静电、防火等措施,部分单位机房还配置门禁、视频监控等设施。但仍有一些机构的硬件设备仍然不足,或者设备老化,没有及时更换。例如有些机构缺少备份设备,没有灾难恢复系统
1.2应用系统环境安全问题
应用安全威胁主要是指应用系统在应用层面所面临的安全风险。应用系统多为定制开发,在对外服务中存在安全隐患:缓冲区溢出、目录日历漏洞、软件运行出错,或无法运行等。
1.3黑客的攻击
黑客利用计算机网络的漏洞侵入网络,对网络进行恶意攻击,意图使网络瘫痪;或者通过获取管理员密码,从而窃取数据,达到控制对方计算机的目的,影响整个网络的运行和使用,并带来了巨大的经济损失。
1)外部风险。信息网络上只要有1台机器同时连接在内部网和互联网上,整个水利信息网络就暴露在互联网上,就存在受黑客攻击的危险。
2)内部风险。内部职工对自身网络的结构应用比较熟悉,自己攻击或内外勾结泄漏重要信息,都将可能导致系统的瘫痪,信息的破坏或泄密。内部攻击的防范难度比较大,内部人员可以绕过防火墙对网站进行攻击,对信息网站的威胁更大。
1.4计算机病毒的威胁
计算机病毒爆发,轻则使计算机运行速度迅速变慢,重则使计算机软件系统瘫痪,甚至会破坏计算机硬件,使其报废。病毒一旦进入计算机后就会隐藏起来,以此躲避用户的发现。它们会躲避在正常的文件当中,甚至会不断改变自己,以此来逃避杀毒软件的查杀。病毒可以攻击计算机的软件、硬件和数据,包括操作系统、系统数据区、内存、网络系统等。
随着计算机和互联网的发展,计算机病毒也呈现出了一些新的发展趋势:传播网络化、传播方式多样化、入侵移动通信工具等。另外,黑客技术和病毒技术相互融合,更是不断威胁着信息网络安全。
1.5非授权访问
一般把没有经过对方同意,就使用对方网络或计算机资源的情况称为非授权访问。 如果未经同意,有意避开访问控制机制,对网络或系统非法使用;或者擅自扩大对方给予自己的权限,越权访问信息,都是非授权访问。非授权访问存在以下几种访问形式:攻击、假冒、非法侵入、合法用户越权操作等。
1.6信息泄露或丢失
信息在网络的传输中,由于没有加密或者黑客恶意的分析破解信息的流向、流量、长度等参数,导致信息的泄露或丢失。信息在存储的过程中,由于管理不善也会造成泄露或者丢失。
信息安全的威胁严重干扰了水利信息系统及网络的安全稳定运行,阻碍了我国水利信息网络的健康快速发展,应该采取多种方式增强水利信息网络防御能力,促进水利信息化的持续、快速、健康发展。
2.1备份及灾难恢复
水利信息网络系统的备份与恢复主要内容包括:
1)服务器的备份。组成水利信息网络系统的服务器有很多,依据功能及作用的不同其重要性差异也较大,对于不同的服务器应采取不同的安全防护策略,对于水文防汛等重要服务器,必须建立热备份或冷备份机制,要实时做到信息的备份。
2)网络备份。主要分为电路备份、拓扑选型、单点故障排除和保存配置等几方面内容。对于网络电路必须建立水利信息网络的电路备份体系,对水利信息网络系统所使用的路由器、防火墙、交换机等相关的配置文件应给予安全的备份,当网络设备出现故障时可以通过备份的配置文件,以恢复原始的设置。
3)数据的备份。包含系统数据备份、应用数据备份两方面。为了保证水利信息系统关键数据的安全性,必须建立数据安全备份或灾难备份计划。可以对数据库进行备份,也可以对数据文件及日志进行备份。
4)灾难恢复。水利信息网络系统的灾难恢复计划,应考虑冗余系统即分布式系统,其目标是消除单点故障。当故障出现时,冗余系统及时接替进行服务和工作,保证水利信息网络的稳定运行。
2.2选择稳定安全的应用系统环境
在选择定制开发软件的公司,或者选择软件时,尽可能选择运行稳定不出问题、响应速度快的应用系统。要多渠道了解应用系统环境使用的稳定性,要进行认真的测试后才能选择,以降低不安全的因素。
2.3网络攻击防范
1)广域网部分。
为了防止信息网络出现问题,结合地域分布及业务流程的实际应用情况,可以考虑建设地域分中心。地域分中心之间形成网状结构,整个网络调整为星型和网状相结合的结构,降低单一星型网络的安全风险。在信息网络上布设安全设备,例如在重要服务器群或需要重点安全防护的网络子网边界处布设防火墙等安全设备。对于黑客的入侵,可以选择使用入侵检测系统,以提高信息网络的安全性。
2)局域网部分。
水利信息网络可以根据实际应用和物理分布情况,划分不同的子网。将不同风险等级保护的网络资源相互隔离,实施相应的访问控制机制,同时进行硬件地址与IP地址绑定,并防止出现伪装,这样可以降低安全风险。
对于水利部门人员对网络的使用要严格规定,内外网不能同时使用。划归外部网络的可以访问互联网,但不能访问信息网络的关键性数据,不能访问信息网络的管理后台;划归内部网络的只能访问水利信息网络的内部资源,不能与互联网进行连接,保证内部网络的安全。
信息网络从内部比从外部攻击更容易攻破。因此,在进行安全管理时,还要加强对内部设备和账户的监控,可以采用硬件设备进行信息传递的监测,同时对内部也要设置较高级别的安全防护机制,也可以在内部网络使用安全防范设备。
2.4计算机病毒的防治
由于病毒主要来源于internet,通过电子邮件、Web访问、文件下载和文件共享等方式进行传染,因此水利信息网络的防病毒系统应重点关注防火墙、邮件服务器、工作站、web服务器和文件服务器。计算机病毒防治工作应包含以下内容:l)对传播途径进行有效的病毒过滤,对可能感染病毒的不同风险区域进行有效的隔离;2)在桌面服务器上部署防病毒系统清除病毒;3)针对邮件系统建立病毒检测清除系统。在选择查杀病毒的软件时,可以选择网络杀毒和安全防护软件,减少了维护及设置时间。
2.5身份信息验证
应对来自不同风险程度网络的用户,采用不同强度的认证方式,对不同安全等级的用户采取合适强度的安全认证策略,在满足应用系统安全强度要求的前提下 ,最大限度地降低因安全技术的使用给应用带来的使用繁琐性。例如对外部网的用户采用双因子身份认证方式,既使用帐号加口令,同时使用含身份证书的硬件智能卡来验证。对于仅使用内部网传输的重要信息可采用摘要数字签名的方式进行认证。
2.6信息安全保护
对水利内部人员在广域网上数据的保密传输,可以采用加密机、加密卡或软件加密等方式来实现。对远程监控系统数据,安全要求高保密性强的应用项目,也可采用端到端加密传输措施,利用加密系统的认证和加密传输,保证水利广域网传输数据的机密性、完整性。
面对当前严峻的网络与信息安全形势,要保障水利信息网络系统的安全、稳定运行,迫切需要建设水利信息网络与信息安全防护体系。因此,在现有技术基础之上,还需要建立及完善水利信息网络安全体系,保障水利信息的安全和及时传递。
[1]林林.网络安全模型在水利科研环境中的应用与研究[J].水利信息化,2013(1).
[2]程建华.信息安全风险管理、评估与控制研究[D].吉林大学,2008:25.
[3]詹全忠,陈岚.浅谈水利网络与信息安全体系[J].水利信息化,2010(5).
[4]宋博.河南水利信息化网络安全研究[J].河南水利与南水北调,2010(11).
TP309.5
B
1002-0624(2015)12-0044-02
2015-07-25