基于一体化交付技术的水库安全研究

闫晓敏

（河南省水利信息中心，河南 郑州 450003）

1 一体化交付技术总体设计

技术针对越来越多的水库监测站点出现的网络安全问题，提出“水利安全一体机”解决方案。该方案通过在新建水库监测站点部署一台水库安全一体机即可满足监测站的数据采集需求、网络安全需求、运维管理需求等。

该水库安全一体机，以硬件服务器为载体，通过虚拟化技术，以多虚拟机并行运行的方式，承载一个水库安全监测所需要的多种功能，如在该平台上可部署：数据加密VPN 软件、行为审计软件、防火墙软件、广域网优化软件等。

此外，为保证数据防篡改和兼容现有的建设模式，平台还提供额外虚拟机资源，支持整合第三方软件兼容能力，可部署第三方的数据防篡改软件，以及数采仪中的数据采集软件等。

该水库安全智能监控调度一体机，通过采用基于服务器、存储的网络虚拟化等技术形式，结合所见即所得的操作方式让用户更快速简单地构建出分站点业务逻辑，实现了基于虚拟网络资源流量的全智能动态实时监控调度控制模块，应用功能灵活可伸缩扩展，同时能实现对全网流量动态的可视，配置控制界面简单直观，运维控制灵活便捷。解决了各监测站点之间对VPN、防火墙、流量监测、审计等功能需求，自动搭建VPN 隧道，无须手工设置IPSec VPN 隧道，实现即插即用的快速上线。

2 一体化交付技术路线

基于数据全生命周期管理进行安全防护思路，首先深度分析数据采集、传输、存储、使用等过程存在哪些维度安全风险，如网络安全风险（内网勒索病毒、外部安全威胁）、采集数据安全防止私自篡改。然后针对边界安全、传输安全、全网分支态势安全进行防护和分析。

整体技术路线分为：首先针对水库安全监测研发一套融合安全、网络、计算、存储一体的设备，并且可以进行端对端传输安全加密。其次针对潜伏威胁，考虑到难以检测未知威胁和处置，需要联动安全平台进行流量分析，研发一套可以统一收集各监测站点可疑流量且进行风险分析，如展示全网安全攻击地图、外联风险地图，此外还可以联动分支端安全融合一体机进行联动处置，保证病毒无法横向传播。最后，针对不同监测站点的业务访问和高效运维，基于SD-WAN技术（软件定义广域网）中心端部署可视化管理平台，对全网流量进行overlay隧道管理和调度、全网设备和应用进行可视化监控和分析，全面提升业务体验和可靠性，以及极大提升运维效率。

3 技术先进性

基于软件定义技术构建一套以数据为核心的立体安全防护系统，实现数据全生命周期管理，从“采集安全、边界安全、传输安全”到“管理、分析”。以海量大数据作为驱动、人工智能算法研究为支撑基础，通过智能化深度安全防御、持续实时检测、快速安全响应，构建一套基于大网络、端点技术的系统化和智能网络化协同应急联动智能防护能力体系，有效使保障大型水库汛期监测预警数据质量安全水平成为中国新型信息化安全管理能力系统建设阶段的关键核心工作。

3.1 虚拟化构筑立体防御壁垒

水库安全一体机支持通过虚拟化技术，在设备上启用虚拟下一代防火墙功能，提供的安全能力包括：NAT、路由、入侵防护、访问控制、风险分析、僵尸网络检测、用户认证、威胁情报、会话控制、URL过滤Web安全防护、DDoS、敏感信息防泄漏、实时漏洞分析等功能，可双向分析网络流量网络层、应用层、内容风险，比同时部署WAF、传统防火墙等多种安全设备的防护能力更强，可抵御危害更明显、攻击更容易、来源更广泛的应用层攻击，实现L-L7 层数据中心全面安全加固。与传统堆叠式安全部署相比较，有效解决了部署多台设备带来的性能消耗、单点故障、难以管理的问题。

在主机层面，水库安全一体机支持部署主机杀毒EDR，以终端资产安全生命周期为中心，通过预防、检测、防御、响应赋予终端强大的对木马、病毒、入侵攻击等威胁的防御能力，通过EDR人工智能行为分析、云查引擎、全网信誉库、SAVE引擎等技术全面应对威胁，防御未知新型病毒的感染、传播，通过构建多维度威胁防御体系，全面解决现有信息系统安全问题。

通过全面部署应用EDR，建立多个安全平台联动机制，EDR 可与水库安全一体机虚拟下一代防火墙进行联动，实现威胁的接收与共享。同时在主机层面以终端杀毒EDR让终端具有更持续的检测能力、更精准的查杀能力、更细致的隔离策略、更快速地处置能力；在应对高级威胁的同时，通过威胁情报共享、网端联动协同、多层级响应机制，协助监测站点快速处置主机层、网络层的安全问题，构建响应快、智能化、轻量级新一代安全系统。

3.2 可信验证助力数据防篡改

针对出现的对水库监测数据不当干预的行为，如强制登陆数采设备，违规篡改监测数据、弄虚作假。方案提出在水库安全一体机中启用防篡改功能机制，通过设备内置的数据篡改防护机制，对采集的数据进行二传机制比对，后台无感知灰度处理，最终实现数据的可信采集，且满足全过程数据审计溯源，为环境监管及决策提供可靠数据保障。

在网络服务器的数据接收端，增加了实时感知所有监测站点数据通信中断，数据缺失，有效数据不足等异常状况的特定功能，避免了频繁地查询监测数据记录表所造成的阻塞难题。

3.3 软件定义实现加密传输

针对监测站点的业务访问和高效运维，基于SD-WAN 技术中心端部署可视化管理平台，对全网流量进行OVERLAY隧道管理和调度、全网设备和应用进行可视化监控和分析，全面提升业务体验和可靠性，实现可靠加密传输。

现有的水库堤坝安全与数据质量监测的网络大部分数据是直接通过电信专线方式传输，数据的传输存储过程中都无经过任何的加密及保护等机制，存在容易被外部中间人进行窃听、篡改的风险，需要根据数据重要性需要对传输过程中的数据进行加密。

方案提出在水库安全一体机中启用IPSec VPN功能，构建起一条网络互通的VPN 通道，各监测站点可通过加密的VPN通道，实现快速与监测中心的数据交互。同时，IPSec VPN可以与集中管理平台无缝融入，实现对各监测站点水库安全一体机进行集中式统一的管理，如实时监控、日志查询、策略下发和升级维护等，可以降低成本、提高网络应用效率，管理起来更为便捷。考虑业务应用和需求，IPSec VPN网络安全性有五层含义，五大安全保障VPN 得安全性。一是用户身份安全；二是数据传输安全；三是内网访问权限安全；四是接入终端安全；五是审计安全。

3.4 联合开发数采软件平台深度兼容

为避免水库站点建设过程中网络安全建设与数据采集业务割裂，各产品独立部署不能形成合力，水库安全一体机的服务器虚拟化功能，满足监测站点部署数采软件需求，提供额外资源，对数采业务软件和网络安全软件进行整合，灵活提供业务的扩展性，减少数采设备采购投资。

水库安全一体机以服务器虚拟化为底层架构，通过超融合架构层扩展出存储、网络虚拟化，通过所画即所得的方式灵活快速构建出分站点业务逻辑，动态调度和灵活扩展虚拟化资源，全网配置直观简易，流量可视，运维方便灵活。

此外，在业务数据存储安全，平台提供VMP 虚拟化平台，在整体VMP平台上融合备份系统，实现备份系统简单易用，系统根据用户设置好的自动备份计划定期进行自动备份，在不处理日常业务的时间里进行此项工作，可以增强系统数据安全性，提高自动处理事务的能力。

4 总结

一体化交付技术能够整合水库所需安全能力，较好地应对网络安全事件，实现对水库监控、传输、管理和网络安全态势能力的综合管理运维，提升水库网络安全综合管理效率，适用于不同的水利业务单位，能够为专家决策做出精准化支撑。