南水北調中線工程計算機網絡安全現狀及防范措施

趙化眾，劉芳浩，康 正

（1.億陽信通股份有限公司，北京100000；2.南水北調中線干線工程建設管理局天津分局，天津300000）

南水北調中線工程計算機信息系統主要分為應用系統、應用支撐平臺、數據存儲與管理系統、計算機網絡系統、通信系統、系統運行實體環境等部分。隨著計算機網絡技術在南水北調工程中的全面應用，為了避免因網絡安全問題造成不利影響，需要對計算機網絡安全隱患進行防范，以保障計算機信息系統的平穩運行。

1 計算機網絡安全現狀

南水北調中線干線工程計算機網絡系統分為控制專網、業務內網、業務外網3張網絡，每張網絡承載不同業務系統，具有不同的網絡結構及安全防護級別。網絡之間具有明顯的邊界，每張網絡又可以分為中線局、分局、管理處、現地站4層網絡結構。

控制專網承載閘站遠程監控系統，閘站遠程監控系統是南水北調中線干線核心生產信息系統，負責各現地（閘）站設置各類數據、圖像、話音等數據的采集，并對閘站遠程控制。

業務內網主要承載工程防洪、安全監測、水質監測信息、工程管理、視頻監控等輔助型生產信息系統，以及綜合辦公、財務、視頻會議等辦公類信息系統。

業務外網主要負責互聯網訪問及應用系統的對外應用發布。

2 計算機網絡安全隱患

計算機網絡的主要作用是信息傳輸，在傳輸過程中面臨著很多安全隱患，主要分為技術方面和管理方面。

2.1 技術隱患

（1）規劃設計不合理。網絡系統的設計初期就應該針對系統需要承載的業務系統、覆蓋范圍、訪問模式進行相應的安全設計，特別是像南水北調中線干線這種橫跨多個省份的大型網絡系統，需要對網絡結構進行合理的規劃，設計網絡安全防范區域，并針對不同區域的安全風險程度進行安全防護方案的制定。網絡結構的不合理將導致網路系統加大針對業務系統、地理區域進行單獨的安全防范的難度，降低安全防范的效果。

（2）計算機病毒。計算機病毒是最常見的安全威脅，具有潛伏性、破壞性、繁殖性、傳染性、針對性、隱蔽性和可觸發性等特征。計算機病毒的危害主要通過病毒破壞或竊取主機、系統、數據等信息資產造成信息系統、生產系統的性能下降，功能喪失。

（3）網絡攻擊。網絡攻擊指借助計算機技術，主動的、有針對性的對計算機網絡系統、信息系統中的特定或非特定目標進行攻擊破壞、信息盜取。這是計算機網絡所面臨的最大威脅，網絡攻擊可對計算機網絡造成極大的危害，并導致機密數據的泄漏。

2.2 管理隱患

（1）網絡配置不當。網絡配置管理不當會形成安全漏洞，使病毒、攻擊者可以通過安全漏洞使用網絡技術手段進行攻擊、破壞。

（2）人為操作失誤。操作人員不嚴謹、不規范的操作方式可能會對系統造成嚴重的破壞，造成網絡中斷、系統崩潰、數據丟失等后果。

（3）管理制度的缺失。如果沒有網絡安全相關規章制度和管理規范，容易形成管理漏洞。例如缺乏認證、授權機制，缺少對關鍵系統的防范措施，或者用戶安全意識不強、口令選擇不慎，將自己的賬號隨意轉借給他人或與別人分享等都會對網絡安全帶來威脅。

3 計算機網絡安全防護對策

3.1 技術層面防范措施

根據業務的重要性，南水北調中線工程干線網路系統劃分為3個子網絡，依據建設期網絡系統規劃，每張網承載不同的業務系統，每張網絡根據業務的重要性部署不同級別的安全防護策略。每張網絡內部又劃分為總局、分局、管理處、現地站4個層次，并且劃分了服務器區、運維管理區等區域，各區域間有清晰的邊界，方便進行防護。

3.1.1 網絡邊界的防范

（1）網絡間防護。業務內網需要控制專網閘站監控系統的數據，在控制專網、業務內網之間部署了網閘設備，用于將業務需要的位于控制專網的數據擺渡到業務內網。數據擺渡與數據傳輸有本質上的區別，數據擺渡采用私有協議，控制專網、業務內網的雙方并不知道對方的存在，也無法直接建立連接，數據只能從控制專網單方向擺渡到業務內網，從而實現控制專網與業務內網的隔離。

（2）分局間的防護。在各分局之間均部署了防火墻、入侵檢測設備用于區域防護，防火墻和入侵防御系統主要通過策略限制非法訪問，即使局部發生入侵，也能保證其他區域的安全。

（3）互聯網出口防護。互聯網出口安全風險較大，是內網網絡與外部的一個出口，互聯網出口應該進行重點防護，中線干線部署了防火墻、上網行為管理、入侵檢測、入侵防御、抗DDOS、病毒防火墻等多種防護設備。

（4）服務器區防護。服務器區部署防火墻、WAF等設備對關鍵系統進行了安全防護，保證業務系統的安全。

3.1.2 重要業務系統的防范

針對重要的業務系統部署的WAF防火墻，能夠實時監控業務狀態，防止業務系統網站被非法篡改。部署防DDOS攻擊設備，防止來自互聯網的病毒對業務系統的DDOS攻擊而造成系統癱瘓。為保障網絡安全，南水北調中線工程做出如下防范措施。

（1）授權與認證。中線干線控制專網承載著核心業務，控制專網部署了網絡準入系統，接入控制專網的終端需要首先通過認證，只有使用經過授權的移動介質才能接入專網，能夠有效避免信息泄漏或病毒導入。

（2）行為防范與審計。互聯網行為管理與審計：在互聯網出口部署上網行為管理系統，能夠通過該系統對用戶互聯網的行為進行限制并審計。數據庫審計：部署了數據庫審計系統，能夠對業務系統、操作人員的數據操作進行審計。運維管理與審計：部署了運維管理與審計系統，可以對各級運維人員進行授權，只有經過認證并具有授權的人員才能夠對設備進行操作，運維人員通過堡壘主機進行任何操作都會被記錄下來。

（3）漏洞防范。為保證信息安全，南水北調中線工程部署了漏洞掃描系統，對網絡設備、服務器、應用系統進行安全掃描，以便及時發現設備、系統存在的安全漏洞。部署了安全配置核查系統，對網絡、服務器、操作系統進行安全配置基線核查，以便及時發現設備、系統在安全配置上的缺陷。網絡安全人員會對掃描出的安全漏洞、缺陷及時進行修復，保證設備、系統的安全。

（4）病毒防治。為防范病毒由互聯網進入南水北調中線工程內部網絡，南水北調中線干線在互聯網出口部署了防病毒網絡設備，對進出互聯網的數據進行病毒查殺，一旦通過分析發現數據與病毒特征一致，將阻斷數據傳輸，避免病毒數據進入網絡內部。在網絡內部各分局之間的邊界通過防火墻設備屏蔽部分已知病毒端口，例如勒索病毒445端口，避免內網局部出現病毒后在全網擴散造成病毒傳播。在所用用戶終端的電腦要求安全防護、病毒查殺軟件，防止病毒通過終端用戶電腦進入網絡內部。

（5）數據加密。南水北調中線工程針對核心生產系統-閘站監控系統建設了數據傳輸加密防護，實現控制專網由系統服務器至前端現地（閘）站之間的網絡數據以加密的方式進行傳輸，保證數據無法被非法篡改，即使數據被截獲也無法識別，實現傳輸數據的安全可靠。

3.2 管理層面防范措施

（1）建設網絡安全管理體系。頒布一系列網絡安全管理辦法，涵蓋信息安全管理制度、信息安全管理機構、系統建設信息安全管理、運行維護信息安全管理等方面。

（2）提高網絡安全人員業務水平。提高網絡管理人員的業務素質是一個重要的任務，為網絡安全管理人員和操作人員提供安全技術培訓知識，加強業務技術培訓，提高技能，注重網絡系統的安全管理，防止破壞網絡安全事故的發生。

（3）提升網絡安全意識。開展網絡安全教育，學習網絡安全法和安全常識，提升全員網絡安全意識，提高員工的責任感，提升網絡安全防范能力。

4 結語

南水北調中線計算機信息系統的安全管理是一個全方位、多層次的問題，是一個不斷需要完善和提升的過程，是一個與計算機病毒、網絡攻擊作斗爭，人員安全意識持續提升的過程。網絡的安全不能一勞永逸地單靠技術手段解決，沒有任何一種技術可以保證網絡絕對安全。因此，筆者認為，要做好內部網絡安全工作，不僅需要過硬的技術手段、周密的安全策略，更需要不斷提高系統管理人員和使用人員的安全意識。上述是筆者多年從事計算機信息系統管理得出的經驗總結，結合南水北調中線建管局網絡安全管理項目的心得體會，希望可以為其他類似工程的網絡安全建設提供一些思路。