水利信息化網絡安全防護體系分析

前言：尋找寫作靈感？中文期刊網用心挑選的水利信息化網絡安全防護體系分析，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：水利工程的信息化水平對工程運行管理日趨重要，合理可行的網絡安全防護體系對水利信息化建設及可靠運行起著至關重要的安全保障作用。依據新要求搭建與水利工程相匹配的“一個中心、三重防護”的安全保護架構，助力安全防護體系的建設，為水利工程信息化發展提供安全可靠值得信任的有力支撐。

關鍵詞：水利工程；信息化；網絡安全

水利工程是我國國民經濟和社會發展的重要物質基礎,在水資源利用、防洪排澇、生態環境保護、防災減災等方面對推動國民經濟發展做出了重大的貢獻，同時也在農業、工業、居民生活、生態環境等生產管理過程中發揮了極其重要的作用。隨著信息技術的不斷發展，物聯網、云計算、大數據、人工智能等概念相繼提出，而水利技術的發展階段也逐漸由自動化向信息化、智慧化方向轉變。信息化利用多種技術手段，盡可能多地感知水資源、水環境及各種水利要素相關數據，通過信息傳輸、存儲、處理等步驟，依托建模和預測做出相應決策，有助于有效解決水利行業的各種問題，提高水資源利用率和水利工程規劃、設計、建設和運行維護的效率和效益，有效保護水資源與水環境和防災減災，實現人水和諧。在水利行業技術發展大趨勢以及國家方針政策的引領下，水利信息化的建設已經越來越重要，信息化已滲透到水利工作每一個環節。隨著新時期以水利信息化帶動水利現代化的發展戰略的確立，全面推進水利信息化發展，安全體系是水利信息化體系的重要組成部分，通信網絡也成為整個水利工作的神經系統，水利信息在數據量上日益龐大，在數據類型上也呈現多樣性，因此在數據采集、系統運行過程中易出現較多的安全問題，不利于系統的安全運轉。網絡安全防護是信息化系統的重要支撐和保障，對信息化系統建設、實施意義重大，信息化發展的速度越快，信息化面臨的安全問題也就會越多越復雜，這就需要水利信息化相關建設單位、設計單位及管理單位，不斷強化網絡及信息安全設施、安全管理和有關制度標準建設，搭建合理可靠的網絡安全防護體系，為水利信息化發展提供強有力的保障，確保水利信息化的健康發展。本文對照新的網絡等級保護要求，對系統設備配置及方案研究的差異進行簡要分析。

1建立水利信息化網絡安全防護體系的必要性分析

1.1技術發展趨勢要求

隨著移動互聯網、云計算、大數據、物聯網等一系列新興IT技術的發展，各個水利信息化建設面臨著新的發展機遇，新技術的發展為水利信息化的迅速發展提供了技術支撐，促使水利行業迎來全面升級的“2.0時代”，網絡逐步邁向萬物互聯，使得世界萬物聯結更加緊密，同樣也對信息安全造成一定的隱患。近年來，針對水利系統的試探攻擊急劇上升，水利數據中心網絡和應用系統能否穩定和安全運行，將直接影響水利工程控制管理、防汛抗災、水資源管理、水環境、水生態保護等各項工作的順利開展，因此網絡安全作為水利信息化發展的安全保障，未來勢必越來越重要。

1.2政策要求

近年來，《中華人民共和國網絡安全法》《網絡安全等級保護條例》等一系列法律法規的相繼實施，加速推進了網絡安全的建設和發展，同時國家明確了信息化及網絡安全的建設在國家建設發展過程中的重要作用?！度珖畔⒒l展“十三五”規劃》提出了“立體化監測、精細化管理、智能化決策和便捷化服務，數字水利向智慧水利轉變”的水利信息化建設思路，水利部先后印發的《加快推進智慧水利指導意見》《智慧水利總體方案》《水利網信水平提升三年行動方案（2019—2021年》《水利網絡安全管理辦法》等要求持續推進水利信息化建設工作。在新時代“水利工程補短板、水利行業強監管”的水利改革發展總基調中，明確提出網絡安全與信息化為水利工程四大短板之一，同時也是水利行業強監管的重要支撐。由上可見，國家政策層面及行業發展層面均明確了信息化網絡安全防護的必要性以及迫切性。合理可靠的網絡安全防護配置在水利工程規劃、設計、建設及運行過程中均具有不可替代的地位，在整個信息化系統運行中發揮著極其重要的作用。

1.3水利信息化網絡安全防護體系現狀及存在的問題

目前，水利信息系統主要依靠通用系統和硬件構建基礎網絡，水利工程水利信息專網的安全設計主要是從網絡架構、物理鏈路及機房安全、網絡安全傳輸、數據監測、安全審計等方面搭建安全體系[1]。信息安全風險方向主要有攻擊方法、系統漏洞、自動化攻擊工具等，主要體現在主機系統方面、網絡通信方面、應用系統方面及安全管理方面。（1）主機系統方面。水利控制網絡相對封閉，一直以來都依賴于隔離方式，如物理上的控制網絡孤島、密碼、口令等，正是由于這種獨立性及封閉性，一些基于病毒庫的殺毒軟件無法適用于工業環境，導致主機防護失效。另外，傳統殺毒軟件在工業環境中也存在誤殺、誤報、兼容性差、占用資源高、升級頻繁、病毒庫更新滯后等問題。（2）網絡通信方面。傳統水利工業網絡邊界無有效防護措施，導致網絡威脅可直接穿過不同網絡層級，直達底層工控系統。工業網絡缺乏審計監測措施，網絡傳輸處于黑盒狀態，無法及時發現病毒攻擊和誤操作等行為。隨著水利工程數據需求的提高，采用了多種類型的傳輸方式，部分采用租用公共網絡的情況，相應增加了數據及指令傳輸過程中被分析、竊取及篡改的機會。而在未來，越來越多的數據將會被更廣泛地開放及利用，部分水利系統將會更廣泛地暴露在互聯網環境下，且會繼續擴大，從而不可避免地帶來更多的網絡通信安全問題。（3）應用系統方面。水利信息系統各業務應用模塊的開發多為定制開發，應用系統在對外服務中存在安全隱患。常見的應用安全威脅有網頁非法篡改、跨站腳本攻擊、緩沖區溢出、非法輸入、強制訪問等。（4）安全管理方面。近年來，各水利管理部門逐步提高安全管理水平，通過設置專門的運維管理人員、制定安全管理制度等方式切實減少了安全管理方面的問題，但是仍有些管理部門還存在制度落實不到位、制度缺乏針對性和制度執行不嚴格等問題。一些常規問題依然存在，如U盤濫用、私搭網絡、安裝非法軟件等行為。另外，對于有的工程或管理部門外委或購買服務的第三方運維者存在運維操作不透明、運維過程管控不到位等問題。

2水利信息化網絡安全防護體系差異

2.1網絡安全防護體系選擇依據

水利網絡安全是國家網絡安全的重要組成部分，構建水利信息系統網絡安全保障體系主要依據國家和行業標準以及各地區各單位的網絡安全辦法[2]?！缎畔踩夹g網絡安全等級保護基本要求》（GB∕T22239-2019）《信息安全技術網絡安全等級保護測評要求》（GB∕T28448-2019）《信息安全技術網絡安全等級保護安全設計技術要求》（GB∕T25070-2019）等標準規范的實施，標志著網絡安全等級保護2.0系列標準的正式實施。新的標準規范除了嚴格執行《中華人民共和國網絡安全法》、針對共性安全保護目標提出通用安全設計技術要求外，同時針對云計算、移動互聯、物聯網、工業控制和大數據等新技術、新應用領域的特殊安全保護目標制定了特殊的技術要求。隨著人工智能、區塊鏈、5G、工業互聯網、大數據、云計算、物聯網等具有顛覆性的戰略性新技術突飛猛進，網絡安全面臨的問題日趨多樣化，新技術的發展為網絡安全攻防手段和管理技術提出了新的更高的要求[3]。

2.2網絡安全防護體系對比

等級保護1.0相關標準規范中以信息系統安全為主體，等級保護對象為信息系統，從整體出發，對信息系統包含的各個系統明確相關技術要求。在等級保護2.0相關標準規范中，等級保護對象對信息系統進行細分，除安全通用要求外，還針對云計算、移動互聯、物聯網、工業控制和大數據等新技術、新應用領域的特殊要求統一制定安全擴展要求，便于對各類型安全保護目標明確網絡安全保護策略。依照“三個體系、一個中心、三重防護”的安全保護架構，通過對計算環境、安全區域邊界和網絡通信域進行分別防護，設置相應的防護策略，達到部分與整體的有機結合，保障計算環境、區域邊界及網絡通信傳輸的可信性，使得其在整個生命周期中都建立有完整的信任鏈，確保它們始終都在安全管理中心的統一管控下有序的運行，實現“積極防御、主動防護”，實現各類水利項目機密性、完整性、可用性、可控性和不可否認性的安全目標[4]。2.0標準規范與1.0標準規范相比，在名稱、內容及控制措施分類結構上均有調整，將基本要求內容調整為安全通用要求和安全擴展要求（含云計算、移動互聯、物聯網、工業控制系統），相當于在橫向上拓展了對于云計算、移動互聯網、物聯網、工業控制系統的安全要求，突出了“一個中心、三重防護”，打造了縱深防御和精細化防御體系，同時強化了密碼技術+可信計算技術，從算法上形成了主動防御態勢[5]?？刂拼胧┑姆诸悘募夹g部分及管理部分，由之前的10個分類調整為8個分類。其中，技術層面上調整為物理環境安全、網絡和通信安全、設備和計算安全、應用和數據安全；管理部分明確為安全策略和管理制度、安全管理機構和人員、安全建設管理和安全運維管理，在技術要求及管理要求方面更強調“安全”2個字。

3水利信息化網絡安全防護體系設計建議

網絡安全防護設計需要更多關注差異點，突出關注點，以原則定方案，以方案優化設備配置，確保方案合理和設備配置最優。物理環境是一個比較容易忽略的因素，因此在設計過程中要重視機房環境的建設，尤其是根據不同系統重要程度，對數據機房的等級制定比較明確的要求，在設計階段需提高相應要求，盡可能地以智能監測方式輔助提高環境監測水平，提高數據機房的安全可靠，同時也要考慮水利工程管理機構設置特點。根據業務功能不同，安全通信網絡對水利工程控制網與管理網分別組網，從物理上保證網絡的完全隔離，避免網絡交叉；同時，為保證不同網絡間信息可靠傳輸，在信息交互處配置可靠的隔離設備，對照工控網絡安全要求，在控制區域配置所需的網絡防護設備。對于管理信息網可劃分不同VLAN，構建各子網絡，保證不同信息的獨立傳輸，各網絡接口及信息傳輸點均考慮所對應的防護設備。根據網絡結構，不同網絡區域統籌考慮區域邊界設備配置，保證邊界防護設備配置明確、功能劃分清晰。針對較分散的采用無線傳輸網絡的數據采集點應對標移動互聯及物聯網安全擴展要求，加強邊界防護意識。安全計算環境重點針對數據計算主機、服務器及各應用系統，通過主機加固或主機衛士等設備，保證設備的運行安全。安全管理中心在保證各類防護設備配置的同時，需要配置統一的平臺管理設備，保證各主要防護設備都在中心設備的監視管理范圍內。在各個層面配置完成后，同時考慮等級保護測評相關事項，確保系統能正常通過相對應定級標準的測評，避免測評過程中產生過多扣分項而對技術方案進行調整的情況出現。在水利信息化網絡安全防護體系構建過程中，要從規劃設計階段入手，首先從技術層面上確保安全防護體系的完整性及可靠性，要緊跟水利工程信息化系統發展趨勢，適當調整相應設備配置，并要有整體謀劃意識，參照網絡安全設備算法及策略中由被動預防轉變為主動防御的發展態勢，選擇合理的配置方案，確保在工程建設階段嚴格落實相應的設計方案，助力運維階段水利工程信息系統的安全可靠運行，以技術為支撐，鋪路搭橋，為網絡安全防護管理部分要求提供條件，同時也為水利信息化的發展提供安全保障。

4結語

面對當前相對嚴峻的網絡安全形勢，對水利行業而言，要保障水利信息系統可靠運行，就需要建設可靠先進的網絡安全防護體系，以一套完善的安全防護體系抵御可能出現的各種安全漏洞及風險攻擊，體系的建立需要技術層面與管理層面的雙管齊下、互相協同配合才能完成。在水利信息化實施過程中，技術層面上應充分依據國家最新的規程規范及地方要求，結合水利主要建設任務，根據信息系統類型制定合理可行的網絡安全等級保護方案，提前謀劃，力求從方案選擇及設備配置上避免或減少后續系統運行過程中可能發生的網絡安全問題，通過明確不同防護等級對應的的網絡安全系統設備配置，提高系統的安全性以及可靠性；同時，管理層面上從制度、機構、人員、建設管理及運維等多個維度上統一要求，在技術防護完備的情況下，封堵人為漏洞，強化制度落實、人員管理，打造完備的安全防護體系，為水利事業發揮出更大的經濟效益及社會效益保駕護航。

作者：趙慧 周紅娟 單位：中水北方勘測設計研究有限責任公司 中國水利水電建設工程咨詢渤海有限公司