海洋信息系統的安全問題與對策研究

劉 豐，韓 偉

（國家海洋信息中心 天津 300171）

海洋信息系統的安全問題與對策研究

劉 豐，韓 偉

（國家海洋信息中心 天津 300171）

如何做到信息化與信息安全協調發展成為海洋信息化進一步面臨的一個主要問題。從我國信息化和信息安全的形式出發，分析海洋信息系統安全狀況，指出海洋信息安全方面存在的問題，提出了加強網絡與信息安全的措施。

海洋信息；海洋網絡；網絡安全；信息安全

1 概述

進入21世紀，信息化對全球經濟社會發展的影響愈加深刻，信息化水平以及信息化程度已經成為衡量一個國家和地區發達程度的重要標準之一。

隨著海洋系統信息化進程的推進，各信息系統不斷的建設和推廣，并且逐步成為海洋系統的重要基礎設施。因此，信息系統安全問題已經被提到戰略性高度。對于海洋信息系統來說，一個完整的安全體系，應當以整體安全策略為基礎，在其上使用安全技術措施，建立相應的安全管理體系，實現對系統的安全保護。

2 網絡信息安全現狀與問題

當今信息時代，計算機網絡已經成為一種社會經濟發展不可缺少的物質基礎。然而由于計算機網絡具有復雜性和動態性的特點，因此在管理層面上難以實施有效的保證安全；而計算機網絡也存在大量的缺陷和人為疏忽，致使網絡很容易受到計算機病毒、黑客或惡意軟件代碼的侵害。

根據國家計算機網絡應急技術處理協調中心（CNCERT/CC）的統計，2010年2月我國大陸地區被篡改的網站數量為2 304個，其中政府網站被篡改的數量為403個，這嚴重地威脅到國家安全、社會秩序、公共利益和社會公眾的合法權益。2012年2月20—26日期間，境內感染網絡病毒的主機數約為200.1萬個，其中，被木馬或被僵尸程序控制的主機約為29.9萬個，境內感染飛科（Conficker）蠕蟲的主機約為170.3萬個［1］。

從木馬或僵尸程序受控主機在我國大陸的分布情況來看，主機感染量較大的都在我國沿海省市，其中排名前3位的分別是廣東省4.34萬（約占中國內地總感染量的14.5%）、江蘇省2.55萬（約占中國內地總感染量的8.6%）、和浙江省2.03萬（約占中國內地總感染量的6.8%）［2］。從數據來看，海洋信息安全面臨著巨大的挑戰。

3 對策研究

3.1 建設目標

海洋信息安全體系建設的目標是建設一個由策略、防護、檢測和響應組成的完整安全體系，從而最大限度地保護信息不受諸多威脅的侵犯，確保連續性，將損失和風險降低到最低程度。為保證系統的安全運行，安全系統建設確定以下具體建設目標。

（1）在系統各個網絡上建立比較完整的安全防護體系，為核心業務應用提供安全可靠的網絡環境。網絡安全需要分級、分層次的防護措施，充分利用現階段的各種防護產品，加強網絡信息系統的基礎安全防護。

（2）實現多級的安全訪問控制功能。按照“縱深防御，重點保護”的策略，對網絡中的不同級別的資源實現不同程度的防護強度和不同的訪問控制力度。

（3）實現對重要信息的傳輸加密保護。建立以VPN為基礎的數據傳輸加密系統，防止信息在網絡傳輸中被竊取和破壞。

（4）做好網絡安全基礎建設。做好網絡邊界和安全域邊界的隔離和保護，通過部署防火墻或安全隔離系統，防止非法訪問；部署網絡入侵防御和漏洞掃描系統，加強對網絡非法活動的監測，及時修補網絡和系統的漏洞；部署應用和網絡的審計系統，追蹤和審計應用和網絡操作行為，做到有據可查；根據數字海洋各應用系統安全狀況，做好其他安全產品的部署和實施。

（5）完善各業務系統網絡全方位的病毒防范體系。采用包括客戶端、服務器、郵件以及防病毒硬件網關等系列產品構筑強大有效的網絡防病毒體系。

（6）完善重要應用系統的數據和關鍵的主機系統冗余備份系統。建立數據備份系統，包括異地容災建設，以保證關鍵業務的系統和數據有效備份。

（7）完善簡易身份認證系統和授權系統。為了滿足業務系統對身份認證和授權系統的急迫要求，需要先建立內部以數字證書為基礎的簡易身份認證系統和授權系統。對于注冊賬號可采用的認證方式包括口令、CA證書、雙因素和雙向等認證方式。

（8）完善有效的安全管理機制和組織體系。要培養和建立起一支網絡信息安全的技術隊伍和管理隊伍，保證各級網絡系統安全技術和管理落實到人。在制定實用的可操作的安全管理制度的前提下，強化安全意識和培訓，加強安全管理制度的執行力度，確保海洋局各級機構各項業務的安全運行。

3.2 策略原則

在海洋信息安全體系建設過程中，應該遵循“統籌規劃、分步實施、安全可靠、經濟實用、靈活方便、統一標準、統一規范”的原則進行。要遵循的主要原則如下。

（1）業務需求的原則：系統信息安全體系建設的目標和安全行為應根據業務的目標和需要進行，并接受業務管理的指導。

（2）可靠性原則：系統信息安全體系在基本不影響應用系統功能和效率的前提下，必須做到穩定、可靠地不間斷運行。

（3）可擴展性原則：系統信息安全體系必須允許增加新的安全組件與安全功能，保證系統安全性不斷增長的需要。

（4）標準化原則：系統信息安全體系建設的各個環節都必須符合國家關于信息安全的法律和法規。

（5）可管理性原則：系統信息安全體系必須可管理，做到分布式安全布控，集中式安全管理。

（6）經濟適用原則：系統信息安全體系的設計要在安全需求、安全風險和安全成本之間進行科學的平衡、比較和折中，使系統信息安全體系安全、經濟、適用，易用、性能價格比合理。

（7）聯合共建的原則：在系統信息安全體系建設過程中，充分利用現有的安全資源，發揮企業的積極性和安全系統集成商、安全產品供應商、安全技術服務商的積極性，促進安全技術廣泛的應用和共享，避免重復設計和重復建設。

（8）統籌規劃、分步實施的原則：做好統籌規劃工作，制定總體方案，采取邊建設、邊服務的分步實施方針，確保工程建設的順利進行，避免出現重大的投資失誤或因系統不能有效發揮作用而影響投資的效益。

（9）嚴格監督的原則：建立相應組織，采取有效措施，對工程質量、工程進度和投資狀況進行嚴格的論證、把關和監督，確保項目工程有計劃、按步驟地順利進行。

4 海洋信息系統安全體系建設內容及分析

通過分析《國家信息系統安全保護等級基本要求》的相關標準，對等級保護的安全層級劃分為安全技術與安全管理兩大部分，對于海洋信息系統的安全建設也將從這兩個方面進行著手。

4.1 技術安全解決措施

4.1.1 物理安全

機房具有較強防震、防風和防雨等能力。完全與用水設備隔離。機房出入口安排專人值守，記錄進入人員，機房的來訪人員經過申請審批流程，安排工作人員一起陪同，并限制和監視其活動范圍。對機房劃分區域進行管理，區域和區域之間設置物理隔離裝置，在重要區域前設置過渡區域。在機房的門口配置電子門禁系統。各種設備放置在機柜內，設置明顯的標記。所有線路鋪設在防靜電地板下的線槽內。安裝視屏監控系統。機房所在的建筑安裝避雷裝置，海洋信息系統安全體系如圖1所示。

圖1 整體安全體系

機房內安裝自動氣體滅火系統，在值班室設置控制臺，以達到自動檢測火情，自動報警，自動滅火等功能。機房墻面采用耐火的彩鋼板。在機房的地板下面安裝漏水檢測系統，一旦漏水系統將及時報警。每個機柜都連接接地放靜電。機房地板采用防靜電地板。將房內設置機房專用恒溫恒濕機，并且合理地分配機房專用空調位置，達到合理溫度和濕度調節效果。在機房的四周安裝溫度和濕度的實時監控系統。當溫度和濕度超出了設定范圍值，系統將自動報警。電源線和通信線路隔離鋪設，避免相互干擾。磁介質部署電磁屏蔽裝置。

4.1.2 網絡安全

為業務專網和外界物理隔離。主干網絡帶寬為采用155MCPOS結構，完全滿足業務高峰期的需要。采用VPN技術。制定重要業務系統各子網之間的訪問控制策略，重要網段的邊界處均部署防火墻，并通過防火墻安全策略實現各網段間邏輯隔離。按照不同的地域和業務劃分虛擬子網、網段分配地址段。根據各個業務部門的工作職能和業務重要性，控制各子網之間的訪問。按照業務重要性為業務分配帶寬。

并在網絡邊界部署防火墻，啟用訪問控制功能，控制端口，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議的控制，限制網絡最大流量數及網絡連接數。

部署集中安全審計系統，對網絡設備運行狀況、網絡流量和用戶行為等進行日志記錄。并進行分析，生成審計報表。將邊界和網絡設備日志集中管理并定期進行審計。

在網絡邊界部署非法外聯檢測系統服務器，通過外聯方式對終端用戶進行監控，如各種撥號行為，發現違規外聯行為時實時阻斷，通過網絡間的連通性來判斷終端主機是否已經外聯，如果發現已經外聯，按照管理員預設的動作，執行提示終端用戶、禁用網卡、向管理員告警等動作。整體達到嚴密的外聯監控效果。

在網絡邊界部署入侵防御系統，能夠精確識別并實時防范各種網絡攻擊和濫用行為。通過深入到七層的分析與檢測，實時阻斷網絡流量中隱藏的病毒、蠕蟲、木馬、間諜軟件和網頁篡改等攻擊和惡意行為，實現對網絡應用、網絡基礎設施和網絡性能的全面保護。部署防毒網關在網絡邊界處對惡意代碼進行檢測和清除，建立病毒庫的定期更新升級要求并嚴格執行，定期檢查病毒庫的更新情況。用SSH加密傳輸替代Telnet遠程管理方式；并能使用其他身份審核方式以保證用戶登陸的可信性。

4.1.3 主機安全

對登錄操作系統和數據庫系統的用戶進行身份表示和鑒別。增加主機口令策略中對口令長度，口令復雜，口令生命周期，新舊口令的替換的策略。采用證書加上USB－key認證的方式。啟用安全審計策略。

建立訪問控制策略，依據最小原則授予用戶權限；對主機內無用、多余的賬戶進行刪除。對賬號采用分級最小化原則管理。

部署主機審計系統，審計功能與用戶標志與鑒別、自主訪問控制、標記及強制訪問控制等安全功能的設計緊密結合。使用空間清理和數據擦寫工具確保動態分配與管理的資源，在保持信息安全的情況下被再利用，確保非授權用戶不能查找在使用后返還系統的記錄介質中的信息內容；確保非授權用戶不能查找系統現已分配給他的記錄介質中以前的信息內容。

在重要服務器網段部署IDS/IPS，及時發現入侵行為并及時通過多種方式報警、阻斷。能夠記錄入侵的源IP、攻擊類型、攻擊的目的、攻擊的時間并在發生嚴重入侵事件時提供警報。服務器上部署瑞星防病毒軟件，統一管理，保持及時升級；防病毒軟件和防病毒網關協同工作，建立統一防毒體系，保證安全性。建立運控系統，對主機和其他網絡設備的CPU、硬盤、內存以及占用網絡帶寬等資源進行實時監控。

4.1.4 應用安全

系統提供單點登錄的控制模塊，使用證書USB－key和用戶名密碼的身份鑒別技術時間身份鑒別，定義鑒別嘗試允許次數，并通過延長鑒別失敗超出允許次數后，再次允許鑒別的時間間隔來限制重復嘗試，并對此過程進行記錄。用于身份鑒別的用戶名/口令對應當在信道中加密傳輸。對用戶的來源進行控制和監控。定期審計身份鑒別日志，對發現的異常進行及時處理，對累積性事件進行必要的趨勢分析。

部署安全審計系統，覆蓋事件的日期、時間、發起者信息、類型、描述和結果等內容，審計記錄的內容應盡可能詳細；系統生成的日志最好采取一次性存儲設備，以防篡改，可采取集中異地存儲的形式，防止數據被破壞或篡改；應當設立單獨的日志審計人員維護和管理數據。對網絡環境下運行的數據庫管理系統，應建立分布式的審計系統，并以審計中心進行管理和控制。

使用專用的磁盤空間擦寫工具和內存釋放工具，保證在使用后的信息不被未授權人員獲得。

4.1.5 數據安全及備份恢復

系統管理數據、鑒別信息和重要業務數據在傳輸和存儲過程中完整性受到破壞時，系統應具有監測并能采取必要恢復措施的功能。

在數據傳輸的邊界部署加密機。實現系統管理數據、鑒別信息和重要業務數據傳輸和存儲保密性。

在保存、修改和傳輸數據時，對于敏感信息，例如賬號、密碼和證件號碼等字段采用事先約定對稱加密算法進行加密。

在本地建立磁盤陣列和磁帶庫并安裝相應的存儲備份軟件，建立存儲備份機制，完整的數據每周備份一次，差異備份每天進行一次，備份的時間在每天凌晨，數據量最小時進行備份。

采用SAN網絡存儲，選用管線磁盤存儲陣列和光纖帶庫作為存儲載體，選用光纖交換機作為存儲網絡的交換部件，用于連接數據庫服務器、光纖磁盤存儲陣列和光纖帶庫，配合專用的數據庫、存儲管理、備份恢復軟件共同構建一個全光纖、全冗余的SAN存儲網絡環境。避免單點故障。提供網絡設備、通信線路和數據處理系統的硬件冗余，保證系統的高可用性。

4.2 安全管理體系建設

海洋信息系統所在的各個單位成立專門的運行管理機構負責信息系統的運行維護與安全管理工作，配備專門的運行維護管理人員，并制定安全管理制度，制定網絡與信息安全應急預案以應對突發的網絡與信息安全事件。

4.2.1 增強相關工作人員的安全防范意識

當前信息安全管理工作中首要的突出的問題是工作人員的安全意識淡薄，安全措施責任落實不明確。因此，在實際工作中，我們要不斷增強相關工作人員的安全防范意識，時時刻刻，在頭腦中繃緊安全這根弦。從根本上杜絕因工作人員的粗心大意而造成的安全問題。同時，加大對工作人員的安全技能培訓力度，工作人員安全知識的掌握程度直接關系到信息系統安全保障應用程度。因此，對工作人員采取必要的安全技能培訓，并且不斷豐富他們的業務知識。建立一支政治可靠、技術精湛、作風優良的內部技術人員隊伍［3］。

4.2.2 建立健全相關的安全管理制度

目前，我國在網絡信息安全方面制定了相當數量的法律、法規及一些規范性的文件，但仍有許多不足之處。如缺乏統一標準、監管成本高、可操作性不強等。因此我們應充分認識到依法保障和促進信息系統健康發展的重要性，盡快完善相應法律、法規建設，使信息安全管理有法可依。

5 結束語

信息系統安全包含了計算機、網絡技術、通信技術和編碼解碼技術等多種學科。信息系統受到威脅也是信息技術發展的產物。這是一個相互發展的對手技術。信息系統存在漏洞，從兩個環節看：一是系統自身的脆弱導致的；二是外來黑客技術的迅速發展。另外一個主要的方面是信息系統的安全管理薄弱導致的。信息系統安全在很大程度上是建立在對信息系統的管理上。海洋各單位要保證信息安全系統無懈可擊，則良好的管理機制是不可缺少的。因此，要從技術和管理兩個方面來做好信息安全工作。各海洋單位在可以接受成本的范圍內，對癥下藥，同時可以采用整體防御與重點保護相結合的方法維護系統安全。

［1］ 詹全中，陳嵐.淺談水利網絡與信息安全體系［J］.水利信息化，2010（10）.

［2］ 國家互聯網應急中心.國家信息中心2011年度報告.［EB/OL］［2012－05－06］.http：//www.cert.org.cn，2011.

［3］ 王慶海.加強金融系統中計算機信息安全建設［J］.計算機光盤軟件與應用，2010（12）.