海委計算機網絡安全和防范策略簡介

宗華麗

（海河水利委員會水利信息網絡中心，天津 300170）

海委計算機網絡安全和防范策略簡介

宗華麗

（海河水利委員會水利信息網絡中心，天津 300170）

隨著計算機和網絡技術的日新發展，計算機網絡已成為我們工作生活不可或缺的工具，隨之而來的安全問題如網絡漏洞、黑客攻擊、網絡負載等成為計算機網絡健康運行時刻需要警覺的事情。在分析海委網絡安全存在問題的基礎上，描述海委計算機網絡安全防范采取的措施和防范策略。

計算機；網絡安全；惡意攻擊；海委

隨著計算機網絡技術的快速發展，人們對于信息網絡的認識更加充分，對于網絡平臺共享資源的應用更加順暢，但是相應的各種網絡安全問題諸如系統軟硬件Bug、黑客攻擊、網絡堵塞、人們網絡安全意識薄弱等造成信息被竊取、個人的隱私和財產受到威脅，網絡安全問題日益成為國家和個人重視的事情。筆者在具體介紹海委計算機網絡現狀的基礎上，通過對海委計算機網絡存在的安全問題進行剖析，闡述了海委計算機網絡采取的安全防范策略和措施。

1 計算機網絡安全概述

計算機網絡安全（Network Security）一般是指利用網絡技術及管理措施，使在一個網絡環境內數據的完整性、保密性及可實用性得到保護。網絡安全從物理安全和邏輯安全兩個方面來確保計算機網絡的高可靠性。其中，物理安全是系統設備及相關設施受到物理保護免于被破壞或者丟失；邏輯安全即保證信息的完整性、保密性和可用性。參照ISO給出的計算機安全定義，筆者認為計算機網絡安全是指“保護計算機網絡系統中的硬件、軟件和數據資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網絡系統連續可靠性地正常運行和網絡服務正常有序。”

1.1 網絡安全的特性

由于計算機網絡本身具有開放性、共享性，這就決定了它的脆弱性，而網絡系統自身也具有一些固有的弱點，一些非授權用戶利用這些弱點對網絡系統進行非法訪問，使網絡系統內的數據完整性受到嚴重威脅。

筆者主要從硬件、操作系統、應用程序、網絡漏洞、管理5個方面闡述網絡安全的特性。

（1）硬件是網絡安全的基礎保障，其合理配置關系到硬件的正常運行，保障數據傳輸的真實性以及數據的備份能力等。

（2）這里所指的操作系統是指網絡中的各種計算機操作系統、各種存儲設備的數據庫系統，操作系統的穩定性能夠保證各類服務器系統不被攻擊破壞，確保硬件防火墻的設置、用戶權限的配置以及重要數據的備份能力。

（3）應用程序環節的健康合理使用是網絡安全的重要一環。往往一些病毒、木馬植入用戶計算機就是由于用戶不恰當使用應用程序導致的。所以，規范化安裝應用程序、配備常用防護殺毒軟件并且及時更新應用程序是保障網絡安全的重要環節。

（4）網絡漏洞則是通過網絡硬件設備如防火墻、入侵檢測等防止非授權用戶的攻擊和破壞。

（5）管理方面要求嚴防死守，對整個網絡的本地安全策略和網絡管理流程精心梳理，從制度上嚴格遵守執行，明確突發情況時如何采取應急措施，以保證網絡服務器等設備及數據的安全。

網絡物理安全是指網絡硬件的安全，它是整個網絡安全的基礎保障。要做到網絡物理安全必須在建設網絡初期就應該重視設計，搭建好之后要有專門的硬件安全防線（如智能路由、硬件防火墻以及智能交換機等），同時要對網絡定期進行漏洞病毒掃描，做到數據備份。在此基礎上，管理制度管理手段是維持網絡健康運行的靈魂，只有這樣才能保障網絡的健康活躍性。

1.2 海委計算機網絡安全性概述

海委計算機網絡開發建設使用較早，很多設備老化、網絡速度過慢、延遲過高的現象時有發生。海委政務外網之前對上網流量沒有限制，造成一些用戶使用一些P2P軟件，強行占用網絡帶寬，將其他用戶流量降到最低，導致一些用戶反映網速過慢；由于互聯網和電子政務外網銜接監控不嚴格，加之局域網內部監管不力，網絡中的Arp病毒及各種網絡病毒泛濫；另外，海委數據機房服務器比較陳舊，導致上網高峰期出現不穩定現象，數據的容災備份能力也比較弱，更加成為海委政務外網安全性的弱點。

經過近幾年項目實施和資金投入，海委建成了自己局域網絡的防護屏障，以保障海委日常辦公的正常開展。海委電子政務安全設備部署情況，如圖1所示。

圖1 海委電子政務外網安全設備部署拓撲圖

從圖1可以看出，海委已經建成具有多層硬件防火墻、智能路由及交換設備、入侵檢測、行為監控、抗DOS攻擊、網絡審計、負載均衡等屏障的防護體系，從物理安全上保障了海委政務外網的安全。

2 海委計算機網絡安全防護措施

2.1 網絡訪問控制措施

（1）防火墻（Firewall）應用。防火墻是用于內部網絡與外部網絡之間的網絡安全防護系統，按照特定的規則，允許或限制數據傳輸的通過。一般而言，用于服務器端的是硬件防火墻，用于客戶端的是軟件防火墻。防火墻的應用極大提高了網絡訪問的安全性。

（2）訪問控制列表（Access Control List，簡稱ACL）設置。訪問控制列表是一系列的規則，由于在網絡交換機和路由器之間需要相關的網絡接口，這些接口是網絡安全的第一道關口，ACL是這些接口用到的指令來規范數據出入海委電子政務外網，以保障數據傳輸的安全性。

（3）虛擬局域網（Virtual Local Area Network，簡稱VLAN）設立。虛擬局域網是一組邏輯上的設備和用戶，這些設備和用戶不受物理位置的限制，可以根據功能因素將其組織起來進行通信。VLAN用于內部局域網絡的虛擬IP地址劃分，用邏輯地址管理實際的政務外網內的計算機網絡設備，使用VLAN技術來隔離網絡內部計算機，確保整個網絡更加安全。

（4）IP與MAC地址綁定。海委政務外網的每臺計算機終端都是IP與MAC地址綁定的，防止IP地址被盜造成的網絡無法運行、數據丟失等后果。由于每臺機器的MAC都是唯一的，所以通過綁定IP地址減少了虛擬IP所造成的隱患。

2.2 入侵檢測系統

入侵檢測系統（IDS）是一種對網絡傳輸進行實時監控的系統，不同于防火墻的被動防御，它是發現可疑傳輸主動采取措施的網絡安全設備。IDS是一種監聽設備，不用跨接任何鏈路，無需網絡流量便可工作。因此，在海委政務外網拓撲圖上IDS配備在互聯網入口處，這樣IDS可監視所有所關注的流量。

IDS根據入侵檢測可分為異常檢測和誤用檢測，前者是根據已設立的系統正常訪問模式來檢測，不符合該模式的均為入侵；后者則是將所有可能發生的不利入侵建立一個模型庫來匹配來訪者的身份，符合該模型的定位為入侵。檢測技術也是基于這兩種策略衍生出來的，分為基于異常情況的和基于標志性的，目前這兩種檢測技術相結合應用的場景較多。

2.3 網絡漏洞掃描系統

漏洞掃描技術是一種重要的網絡安全技術。通過漏洞掃描，網絡管理員能夠了解網絡的配置和各種應用服務，能夠及時發現安全漏洞，分析網絡安全等級并及時更正系統不當配置，給安全漏洞打補丁，在安全威脅之前做好防范工作。漏洞掃描跟防火墻、入侵檢測系統相互配合，提高了網絡安全性。

2.4 抗DDoS攻擊、行為監控策略

海委電子政務外網還架設有抗DDoS攻擊設備以及行為監控設備，通過抗DDoS攻擊設備能夠更加安全保障海委數據機房服務器的健康高效運轉、行為監控設備能夠對出入海委電子政務外網的數據實行雙向監控，更加保障數據傳輸的安全性。

2.5 病毒防護體系

計算機病毒也是威脅網絡安全的一大因素，病毒的破壞性不同，但是只要它存在就會對計算機網絡損害。因此，一個好的防病毒體系不僅可以防御病毒的入侵，還能保護工作人員的本地文件，能夠給網絡管理人員減輕很多不必要的工作負擔。

2.6 安全管理平臺和管理措施

為了有效地管理海委電子政務外網、保障其高效安全的運行，通過水資源項目，海委建設了一套安全管理平臺，這樣能夠從技術上對海委網絡進行管理。根據海委已經建設的統一用戶庫，可以對每個使用海委電子政務外網的用戶進行身份認證和安全審計。這樣一來，每個用戶訪問政務外網都是單點登錄，可以有效減少出現越權操作、非法纂改的現象。

對于非授權用戶非法進入政務外網系統，網絡安全管理平臺會出現告警通知系統管理員，同時自動屏蔽非法操作。網絡安全管理平臺有其單獨的日志管理，對于任何訪問操作都進行相應的登記，以便發生特殊情況時查詢。

3 結語

任何網絡的健康與否與網絡安全密切相關，若做不到安全則網絡遲早會出現癱瘓等問題。一個健康安全的網絡需要很多方面的保障，為此海委已經逐步建立起自己的政務外網安全防護體系，在網絡安全策略和網絡安全管理方面能夠做到以下幾點：

（1）嚴格登錄權限設置，不同的級別賦予不同的使用權限，以達到盡量減少不必要的數據損失。

（2）政務外網堅持一一對應的原則，每個人根據自己權限的不同所了解到的信息也有所不同，這樣防止重要或者特殊信息泄露的情況。

（3）網絡管理員要嚴格對各種權限進行級別分類和監管，以保障網絡使用的安全。

隨著科學技術手段的提高、各級部門重視程度的加強以及管理人員素質水平的提升，海委網絡安全防護體系也將日臻完善。

水利部督查組檢查上海國家地下水監測工程建設情況

9月21—22日，水利部督查組來滬監督檢查上海市國家地下水監測工程建設情況，上海市水務局總工程師胡欣陪同檢查。督查組實地查看了外環西河泵閘和張家塘泵站等地下水監測井站點，詢問了現場施工進展情況，檢查了各類檔案資料，并對現場施工進行了檢查指導。在匯報會上，督查組聽取了相關情況介紹，并就做好下階段重點工作提出意見和建議。

國家地下水監測工程是由水利部和國土資源部聯合開展的建設項目，涉及全國31個省（市、自治區）。上海市建設任務包括新建地下水監測井91個，總進尺8 254 m。市水文總站受部項目辦的委托，開展上海市建設任務的項目管理工作。上海市監測井建設于2016年12月開工，目前已完成監測井77眼，達到總井數的85%，預計2018年4月全面完成。

（摘自2017年9月30日水利部網）

TP393.08

A

1004-7328（2017）05-0063-03

10.3969/j.issn.1004-7328.2017.05.021

2017—05—20

宗華麗（1984—），女，碩士，工程師，主要從事水利網絡管理及信息安全工作。