水利信息化网络通信系统设计方案研究

杨 凯

（水利部海河水利委员会海河下游管理局，天津 300061）



水利信息化网络通信系统设计方案研究

杨 凯

（水利部海河水利委员会海河下游管理局，天津 300061）

摘 要：信息技术日新月异，网络安全变得尤为重要，而水利信息化发展相对滞后，基层水利单位内部网络通信结构决定信息安全的等级水平，目前均存在一定风险。以海河下游管理局为例，分析现有网络情况及信息环境存在的风险问题，结合自身结构特征及信息设备国产化的必然趋势，采用一套新形势下的网络安全防御体系，通过增加抗拒绝服务、入侵检测、漏洞扫描、网络审计和网络管理等系统，可全面提升网络防御能力和信息安全等级。

关键词：水利信息化；网络通信系统；信息安全；网络结构；抗拒绝服务；入侵检测；漏洞扫描；网络审计

0 引言

当今世界，信息技术革命日新月异，对国际政治、经济、文化、社会、军事等领域发展产生了深刻影响。信息化和经济全球化相互促进，互联网已经融入社会生活方方面面，深刻改变了人们的生产和生活方式。可以说“没有网络安全，就没有国家安全”[1]。水利是国家农业命脉，是整个国民经济的重要组成部分。我国的水利行业基础脆弱，水利信息化的发展相对滞后。尤其在 2013 年斯诺登事件[2]之后，水利行业网络安全问题成为热点。加快推进水利信息网络安全建设，既是水利行业自身发展的需要，也是以科学发展观创建和谐社会的要求。以海河下游管理局为例，通过分析网络基础环境现状，结合当前信息安全存在的风险，在三层网络架构基础上，在互联网入口部署抗拒绝系统，在核心交换区域部署入侵检测和漏洞扫描系统，在安全区域部署网络综合设计和管理系统，将防火墙模式转变为主动防御架构，整体提升安全等级。

1 网络结构现状分析

1.1 基础网络环境取得一定程度提升

根据国家信息系统安全等级保护要求和《水利网络与信息安全体系建设基本技术要求》，紧密结合海河水利委员会（以下简称海委）信息安全现状和需求，通过海委重要信息系统安全等级保护项目的建设，目前已配备海河下游管理局机关机房物理安全设施，根据安全等级进行分区分域防护，重新划分接入网络区域；增加关键节点防护设备，配备网络安全防护设施；对三级应用系统进行应用安全改造；完善数据存储备份系统；完善信息安全管理制度、应急预案及保障措施等工作。

现已初步构建海河下游管理局信息安全防护体系，与海委实现高度统一协防，整体提高本局政务外网信息系统的安全保障能力和防护水平，确保网络与信息系统的安全运行。

1.2 信息安全环境仍存在一定风险

2014 年全年，国家信息安全漏洞共享平台（以下简称 CNVD）共收集 9 120 个漏洞，其中 2 375 个高危漏洞，主要包括应用程序、Web 应用、操作系统和安全产品等漏洞，较往年有明显的增长[3]。同时一些厂商的路由器、交换机也被发现存在后门漏洞，攻击者通常通过某个预留端口访问设备，或者通过厂商预留超级用户和口令，在相邻网络内获取到路由器的 root 权限，进而植入木马完全控制用户的路由器。

海河下游管理局信息化机房 2008 年初建设，使用已近 7 年，机房基础环境于 2013 年进行过升级改造，网络设备一直使用至今。其中网络交换区域使用的路由器、交换机、防火墙等核心设备主要采用外国品牌产品，网络安全设备仅有 1 台网康进行网络行为监控，无法满足对整个系统的监控。在使用中已出现各类硬件故障，由于厂家停产、产品线更迭等原因，已无法进行维修和安全升级改造，网络结构存在一些隐患。

此外，服务器操作系统使用微软公司的 Windows Server 2008，数据库使用 Oracle 和 SQL Server。终端区域主要使用 Windows XP 和 Windows 7，并装有低版本 IE 浏览器。产品在使用过程中存在一些不可升级的安全漏洞，留下后门程序，增加遇到攻击的风险，信息安全问题不容乐观。因此，对整个信息化网络结构和核心设备进行升级显得尤为重要。

2 网络通信系统技术分析

2.1 骨干通信系统模型设计

海河下游管理局网络通信系统采用常见的层次化模型设计，即将网络架构设计的网络分为核心层（网络的高速交换主干）、汇聚层（提供基于策略的连接）、接入层 （将工作站接入网络）3 个层次，模型如图 1 所示。

图 1 三层网络结构模型

1）核心层模块。核心层应该具有可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等特点。在核心层中，应该采用高带宽的千兆以上交换机。核心层设备采用双机冗余热备份是非常必要的，也可以使用负载均衡功能，改善网络性能。

2）汇聚层模块。汇聚层必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路。需要具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源或目的地址过滤等多种功能。通常采用支持三层交换技术和 VLAN 的交换机，以达到网络隔离和分段的目的。

3）接入层模块。接入层是最终用户与网络的接口，提供在本地网段访问应用系统的能力，主要解决相邻用户之间的互访需求，并且为这些访问提供足够的带宽。接入层还应适当负责一些用户管理功能，如地址、用户的认证等，以及用户信息收集工作，如用户的 IP 和 MAC 地址、访问日志等。

图 2 网络拓扑结构

2.2 双核心构架改进

三层网络结构是企业通信平台常用的网络设计模型，优点是易管理，响应速度快，扩展性好，冗余性良好，结构清晰。目前海河下游管理局驻地包括 3 座行政大楼，核心应用业务 30 余套，终端设备200 余台。根据单位规模、核心应用业务和终端用户个数及资金情况，选用网络拓扑结构双核心架构，主要采用 2 台核心交换设备作为核心层的冗余设计模式，汇聚层采用双链路连接方式接入核心层设备，实现链路冗余备份、流量负载均衡功能，如图 2所示。优点如下：

1）双核心设计，有效保证设备稳定、可靠、安全高效地处理全网数据传输。

2）核心交换区域采用双机热备模式，有效连接汇聚层设备，降低核心区域的交换压力。

3）网络层次明确、简洁，数据传输有效、稳定。

2.3 网络关键设备选型

核心路由器选择 H3C SR6608，核心交换机选择 H3C S7510E，核心防火墙选择 USG 一体化安全网关，行为监控选择深信服科技 NC-130，核心设备传输速度均达到 10 000 Mbit/s，包转发率达到144 Mp/s，具备丰富的接口。接入层选择 H3C S3100V2作为数据信息集合点，具有最佳路由选择、路由协议重新分配、三层 VLAN 间的路由转发、多 QoS 服务保障等作用。同时最大程度减轻核心层负担，保障数据在核心层高速转发。并且核心设备均为政府采购产品，在保障性能的同时保障设备的安全。

3 网络安全提升方案

海河下游管理局网络通信系统除部署三层网络交换结构外，还增加相应网络安全设备，以提升主动防御能力，主要包括抗拒绝服务、入侵检测、漏洞扫描、网络综合审计和管理等系统。其中在互联网入口与防火墙之间部署抗拒绝服务系统提高外部防御能力，防火墙与核心交换之间部署入侵检测系统提高局域网内部检测能力，在局域网部署漏洞扫描、网络综合审计和管理等系统组建网管区域，提高对网络设备、服务器、个人终端，以及操作系统、数据库、应用程序的全面监控。

图 3 分布式拒绝服务攻击体系结构

3.1 抗拒绝服务系统

DoS（Denial of Service 拒绝服务）和 DDoS （Distributed Denial of Service 分布式拒绝服务）攻击是目前互联网上最流行的攻击方式。黑客通过操控多台傀儡主机向目标主机或服务器发送大量看似合法的网络包，造成网络阻塞或服务器资源耗尽而导致拒绝服务，如图 3 所示。国家互联网应急中心（CNCERT）发布的《2011 年中国互联网网络安全态势报告》中指出，DDoS 攻击仍然是影响互联网安全的主要因素，并且呈现出频率高、规模大和转嫁攻击的特点[4]。

防火墙设计原理一般没有考虑对 DDoS 攻击的检测机制，无法准确检测攻击包和正常包。通常采用阈值设置方式进行防御，会导致部分正常用户被拒绝服务。防火墙一旦遭受大流量 DDoS 攻击，会成为网络瓶颈，导致网络瘫痪。

因此在海河下游管理局网络通信系统互联网入口与防火墙之间部署异常流量检测、流量清洗系统及管理中心，作为核心网络的流量清洗中心，用于过滤 DDoS 攻击，解决方案如图 4 所示。

图 4 抗拒绝解决方案

1）异常流量检测系统（ADM-Detector，以下简称 Detector）。通过对不同网络节点的流量进行实时关联分析，发现异常流量和 DDoS 攻击，并及时通知流量清洗系统对这些流量进行清洗。

2）异常流量清洗系统（ADM-Guard，以下简称Guard）。根据 Detector 提供的信息，完成后续对异常流量的牵引、DDoS 流量清洗、P2P 带宽控制、流量回注等。

3）异常流量管理中心（ADM-Manager，以下简称 Manager）。Guard 和 Detector 均具备自管理的能力，但在规模部署的环境中，可以通过 Manager 对多台 Guard 和 Detector 设备进行统一管理，包括检测和清洗策略下发、状态监控、系统升级、日志集中等。

3.2 入侵检测系统

防火墙是一种主要的周边安全解决方案，在网络架构中起到核心防御作用，通常能够在网络级提供访问控制，但防火墙的通信端口是开放的，是网络外部用户进入交换机的重要通道，黑客可以采用攻击手段穿过防火墙攻击服务器。入侵检测系统是防火墙的补充解决方案，主要通过对网络数据包的截取分析，查找具有攻击特性和不良企图的数据包。通常检测部分传感器 Sensor 布置在网络通信1 个交换机的镜象端口，听取流经网络的所有数据包，查找匹配的包，以得到入侵的信息源。入侵检测被认为是防火墙之后的第 2 道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内、外部攻击和误操作的实时保护。

因此需要在海河下游管理局通信网络核心节点部署入侵检测与管理系统引擎，具体实施方案如图 5所示。其中，入侵检测与管理系统引擎主要功能为原始数据读取、数据分析、事件产生、策略匹配、事件处理、通讯等，工作流程如图 6 所示。

图 5 分布式检测部署

入侵检测与管理系统控制中心由主页、威胁展示、流量统计、日志报表、常用配置、高级配置、用户管理、帮助等几个大模块组成，主要功能为通信、事件读取、事件显示、策略定制、日志分析、事件帮助等。

3.3 漏洞扫描系统

CNVD 每周均会在网站 http://www.c- nvd.org.cn/发布漏洞周报，以第 15 期（2015 年 4 月 6—12 日）为例，该周共收集、整理信息安全漏洞 112 个，其中高危漏洞 37 个、中危漏洞 68 个、低危漏洞 7 个。这些漏洞中，可利用实施远程攻击的漏洞有 104 个，收录的漏洞中，已有 104 个漏洞由厂商提供了修补方案[5]。漏洞扫描系统采用基于应用、主机、目标的漏洞和网络的检测技术。检测内容主要包括检查应用软件包的设置、操作系统内核、文件属性、操作系统补丁、系统被攻击崩溃的可能性等问题。海河下游管理局网络通信系统采用标准的机架式独立硬件设计，漏洞扫描系统采用 B/S 设计架构，采用旁路方式接入网络，如图 7 所示。

图 6 入侵检测与管理系统引擎工作流程图

图 7 漏洞扫描系统部署方案

同时，漏洞扫描系统需要支持扩展无线安全模块，可实时发现所覆盖区域内的无线设备、终端和信号分布情况，协助管理员识别非法无线设备、终端，帮助涉密单位发现无线信号，并可以进一步发现对无线设备不安全配置所存在的无线安全隐患。

3.4 网络综合审计系统

海河下游管理局网络通信系统网络综合审计系统主要对用户业务网络进行安全审计，采集、分析和识别网络数据流，监视网络系统的运行状态，记录网络事件，发现安全隐患，并且对网络活动的相关信息进行存储、分析和审计[6]。包括：数据库类协议（Oracle，Informix，DB2，DB2-DAS，Microsoft SQL Server，Sybase，MySQL，PostgreSQL，Teradata，Cache，Sybase），运营维护类协议（Telnet，Rlogin，X11），文件操作类协议（FTP， NFS，SunRPC/PCNFSD，Windows 网上邻居），互联网类协议（HTTP，SMTP，POP3），以及其他一些协议类型（Windows 远程桌面，Radius，自定义协议）。部署方案如图 8 所示。

图 8 网络综合审计系统部署方案

综合审计系统包括以下几部分：

1）审计管理控制中心。通过 IE 登录系统 Web控制台，提供管理操作界面、策略管理、审计查询、审计报表输出等管理操作。

2）审计数据中心。安装在用户业务网络中，实现审计信息的接收、存储，提供管理操作界面、策略管理、审计查询、审计报表输出等管理操作功能。

3）审计引擎。挂接在交换机的镜像端口上或者串接在网络中，捕获并解析通信数据，根据安全策略允许、审计或阻断通信。

3.5 网络管理系统

海河下游管理局网络通信系统中的网络管理系统实现以下几个功能：

1）对系统的整体监控。帮助运维人员从总体上查看网络中各种资源的可用、不可用、健康及亚健康的数量等情况；运维人员可直接根据资源类型、异常等级、恢复状态、确认状态和时间范围等查看资源异常信息。

2）对系统的实时监控。可以查看所有资源实时运行情况，如资源名称、资源类型、管理 IP、异常状态、地域、CPU、MEU、可用率、健康度及接口详细信息等，并可导出 Excel，PDF 及 HTML 格式。

3）对全局的动态掌控。包括层次化拓扑图，实时展现各级网络设备和链路的运行情况；地域拓扑图，分支机构网络分布与运行情况一目了然；业务拓扑图，按照用户的业务组织和服务水平管理，建立业务模型和逻辑关系。

4）对异常与故障进行有效的管理。根据资源类型、指标类型、等级、确认、恢复、地域、时间段及关键字等进行筛选与查询，进行故障根源分析，从而针对性地查看相关资源的异常信息，并可以进行详细信息查看、确认、删除及导出。可对故障进行分级管理，包括特急﹑较急﹑一般﹑提示及恢复等不同等级。

4 网络通信系统方案概算

海河下游管理局网络通信系统方案设计的网络和安全设备采购采用政府集中采购模式，主要通过筛选中央政府采购网（http://www.zycg. gov.cn/）上公布的协议供货商，确定协议供货单位，集中采购中标设备。供货商和中标产品厂商均通过安全审核，既规范资金使用，又保证设备安全性。方案可根据实际网络结构及资金情况调整选择具体产品型号，主要设备及选型如表 1 所示，其中列举设备主要适用于百兆网络出口，用户终端 200 台规模的局域网环境，参考 2014 年 10 月网站信息。

5 结语

在海河下游管理局网络通信系统核心部位部署国产设备的同时，配备抗拒绝、入侵检测、漏洞扫描、网络审计和管理等系统组成的主动防御体系，组成一套新形势下的网络架构。本方案可安全有效地抵御外部攻击，提升网络防御水平，提高系统安全等级，从安全角度可满足一般水利行政事业单位及中小企业用户需求。并且本建设项目投资必要、技术成熟、方案可行、设备可靠，具有一定的推广性。同时需要加强内部网络维护人员的值班制度，定期访问安全设备，记录设备运行状况及整体网络情况，以及时发现潜在安全问题。

表 1 主要设备级选型

参考文献：

[1] 百度百科. 中央网络安全和信息化领导小组 [EB/OL]. [2015-06-12]. http://baike.baidu.com/view/12245910.htm.

[2] 百度百科. 棱镜计划 [EB/OL]. [2015-06-12]. http://baike. baidu.com/view/10688863.htm.

[3] 国家信息安全漏洞共享平台 [EB/OL]. [2015-06-12]. http://www.cnvd.org.cn/flaw/statistic.

[4] 国家互联网控制中心. 2011 年我国互联网网络安全态势综述 [R]. 北京：国家互联网控制中心，2011.

[5] 国家信息安全漏洞共享平台. 2015 年 CNVD 漏洞周报第15 期 [EB/OL]. [2015-06-12].http:// www.cnvd.org.cn/ webinfo/show/3609.

[6] 胡颖梅. 网络审计风险问题研究[D]. 太原：山西财经大学，2013: 16-17.

[7] 网强信息技术（上海）有限公司. 网强 IT 综合管理系统用户手册[S]. 上海：网强信息技术（上海）有限公司，2014: 22-36.

Research on Design Scheme of Network Communication System about Water Resources Information

YANG Kai
(Haihe River Lower Reaches Administration Bureau, Haihe River Waiver Conservancy Commission, the Ministry of Water Resources, Tianjin 300061, China)

Abstact:With the great development of information technology, information security has become particularly important. The current water resources informatization development has fallen behind relatively. For water conservancy units, communication structure of internal network determines the level of information security. Taking institution in network structure of Haihe River Lower Reaches Administration Bureau as an example, this paper analyzes the current network situation and the security risks, and puts forward a set of network security system, which has fully considered the network structure feature and localization of informatization facility. With the configuration of DoS resistance, intrusion detection, vulnerability scanning, network audit and network management, domestic defensive ability of network and information security has been promoted comprehensively.

Key words:water resources informatization; network communication system; information security; network structure; DoS resistance; intrusion detection; vulnerability scanning; network audit

中图分类号：TV39

文献标识码：A

文章编号：1674-9405(2016)02 -0045-06

收稿日期：2015-06-25

作者简介：杨 凯（1987-），男，甘肃榆中人，硕士，主要研究方向：电子与通信工程、计算机系统集成。