淮委网络安全能力提升建设与成效

孙冶，程伟

（1.淮河水利委员会水文局（信息中心），安徽 蚌埠 233001；2.安徽淮河水资源科技有限公司，安徽 蚌埠 233000）

伴随着计算机网络技术的全面发展，网络在全球各行业之间的覆盖面越来越大，在网络给人们带来了便利的同时，互联网的性质决定了它本身就带有信息泄露和数据被破坏的可能性，时至今日，在网络入侵与攻击事件的日益猖獗的前提下，网络安全防护的重要性逐渐显现出来。虽然如今采用了各种防护技术，如防火墙、安全态势感知、代理服务器、杀毒软件等，网络攻击仍对国家安全和经济造成了危害。

1 淮委网络安全现状

基于淮河水利委员会（以下简称淮委）网络安全能力提升与IPV6 网络设备改造项目，淮委已建立较为完备的安全基础设施，建成政务内网涉密信息系统的分级保护体系和政务外网重要信息系统三级等级保护体系；淮委政务外网安全防护以计算机信息系统三级安全等级保护为标准，对淮委政务外网、淮河数据容灾备份中心以及沂沭泗局外网三个节点部署的重要信息系统进行安全等级保护建设。

每个节点建设内容包括核心交换区、终端区、公众信息系统区（二级）、三级信息系统区以及安全管理区等五个区域的安全防护体系建设，完成物理安全、网络安全、主机安全、应用安全、数据安全、安全管理等六个安全方面的安全防护。

2 网络安全重要性

“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。”习近平总书记高度重视网络安全工作。网络是信息化社会的重要基础，网络空间是国家安全和经济社会发展的关键领域。没有网络安全就没有国家安全，没有信息化就没有现代化。网络安全已经成为我国面临的最复杂、最现实、最严峻的非传统安全问题之一。

网络安全问题涉及国家安全。在互联网时代，国际争端中最危险的手段，已经由军事行动向网络攻击渗透控制转变，某些国家利益互联网技术的差距，可以获取其他国家的各类秘密情报，控制舆论舆情，窃听军事行动等，网络安全已是国家安全的重要组成。

网络安全影响社会稳定。2022 年，伊朗各地加油站网络系统遭到黑客的恶意攻击，同时该国家的一部分城市的电子屏幕也遭到网络攻击，显示出了不恰当和反政府言论，造成该国大量愤怒的车主在加油站排起长队，使得一时间社会治安极度不稳定。

网络安全影响人民利益。网络犯罪已屡见不鲜，黑客与网络罪犯利用网络安全知识，对企业重要服务器植入勒索病毒，重要文件一旦感染就被锁定，需要解密的秘钥才可以破解，获得秘钥的方法就是向网络黑客付费购买。美国最大的成品油管道运营商于2022 年就遭受了黑客勒索攻击，运输系统运作被中断，美国东部沿海的燃油管道运输陷入瘫痪，造成全球油价攀升。

3 网络安全建设

淮委目前已建设具备网络安全预警及态势感知的综合立体网络安全防护体系。实现安全信息采集、存储和处理分析，实现对服务器、网络、应用系统、数据等资产的管理，所有的资产能够对应到单位、人，资产的配置信息能够详细的进行汇总、统计。集成入侵检测系统，对安全事件进行汇总分析，结合资产和应用情况进行全面诊断，实时发现当前网络中存在的安全隐患和威胁。集成主机安全漏洞扫描、web 安全漏洞扫描、沙箱等设备，对网络设备、终端、应用系统、服务器的脆弱性进行评估和汇总展示，针对存在的脆弱性及高中漏洞，构建知识库。

3.1 监测预警能力建设

构建安全态势感知系统，通过将攻击链模型、ATT&CK 模型、威胁知识图谱融入平台威胁建模和关联分析，在有效发现威胁事件同时结合全流量数据取证溯源，提升分析研判准确度，通过安全编排响应自动化能力将淮委安全经验固化，降低处置响应时间，提升安全人员技术能力。结合恶意文件分析、WEBshell 检测和异常行为检测，强化传统威胁检测和高级威胁检测，全面提升威胁感知能力。

3.2 纵深防御能力建设

物理环境安全：采用基于国产密码算法的安全门禁系统和视频监控系统，对重要物理区域（如计算机集中办公区、设备机房等）出入人员的身份进行鉴别。

网络通信安全：为项目建设新的服务器与存储资源池，并配置相应的防火墙，路由器等网络设备，实现边界防护功能。

服务器安全：在现有中心机房虚拟机安全加固系统的基础上，增加主机防护授权，实现主机加固功能；增加防病毒授权，提升服务器防病毒能力。

云平台防护：建立纵深安全防护能力的云计算安全防护手段，从预防、检测、防护、响应等多种类型安全考虑，形成淮委“多方协同、纵深防护、全局可视、主动响应、持续提升”的云计算安全体系，保障云计算应用安全。

终端安全：针对国产操作系统终端，升级终端管控系统，通过系统细化访问控制策略配置，对可疑终端进行高效检测，实现终端管理可视可控，增加终端开机密钥认证授权，实现终端安全接入功能。

3.3 重要数据安全防护

充分考虑数据安全的全生命周期安全管理，结合数据安全合规性管理、个人信息安全保护、重要数据安全保护来设计多种安全应用场景。通过数据梳理与风险评估、数据访问安全、数据库审计与防护、业务数据脱敏、网络数据外发监控和数据安全风险感知等方面来完成应用与数据安全的防护。

3.4 密码认证建设

在互联网出口区部署具有商密资质的安全认证网关或SSLVPN 设备，实现链路加密，保证数据通信完整性，实现重要数据的机密性和访问控制信息的完整性与安全接入认证；运维管理用户侧通过SSL 协议登录安全网关与服务器密码机及证书等实现数据签名验证，验证成功后跳转到堡垒机，实现堡垒机内敏感数据、访问控制信息的完整性。部署日志审计系统，联动服务器密码机，实现日志记录完整性。

在安全管理区域部署堡垒机、安全网关和服务器密码机，在运维管理用户侧终端侧部署USBKEY、国密数字证书和国密浏览器，确保设备及人员身份的真实性。运维管理用户侧通过SSL 协议登录安全网关与服务器密码机及证书等实现数据签名验证，验证成功后跳转到堡垒机，实现堡垒机内敏感数据、访问控制信息的完整性。部署日志审计系统，联动服务器密码机，实现日志记录完整性。

在业务系统区域部署安全网关、签名验证服务器并联动服务器密码机，在移动APP 端部署协同签名验签系统，密钥在移动组件及服务器端独立生成和独立存储。从而实现重要用户访问的真实性，防止非授权人员登录，确保数据的机密性和真实性。

4 网络安全建设成效

在2020 年以来的多次公安部组织的网络安全攻防演练与水利部组织的网络安全攻防演习中，淮委作为水利行业协同防守单位，平均每天可感知网络威胁攻击4000 件，封堵恶意攻击者IP 地址150 条以上，通过对网络攻击行为，流量分析，钓鱼邮件等进行研判分析，网络安全小组成员及时处理安全事件，消除安全隐患，连续三年获得网络资产“零失陷”的好成绩，依托网络安全建设，淮委各系统目前运行正常，消除了各类安全漏洞，系统未遭受恶意攻击，数据未遭到窃取。

5 总结

淮委网络安全能力提升建设从安全监测感知、安全防御、安全审计、安全管理等角度构建集防护、检测、响应、恢复于一体的安全防护体系，全面提升网络安全防护能力，切实保障淮委网络信息安全。夯实了淮委网络安全的核心地位，提升了淮委网络安全保障能力。在现有网络安全防护措施的基础上，提升了网络安全的监测预警、纵深防御和应急处置能力。造就一批适应未来技术发展的干部队伍。通过安全提升建设和培训，拓展管理人员对网络安全的视野，提高安全决策处置能力，增强管理人员的网络安全相关知识技能，提高实际工作中态势感知技术的管理和应用能力，逐步成长为既熟悉水利业务又掌握网络安全技术的专业人才，提高了淮委网络安全管理技术水平■