智慧農業管理系統的網絡安全研究與實現

呂圣林 覃廣榮 喬柳彥

(廣西農業職業技術學院， 南寧 530007)

當前,我國正處在傳統農業向現代農業轉型的過度期,隨著智慧農業——互聯網+農業的經營模式成為現代農業的重要內容,但在智慧農業應用中,智慧農業的關鍵部分智慧農業管理系統存在著網絡安全隱患,大多數忽略了系統的網絡安全建設,直接把智慧農業管理系統裸露在互聯網中,很容易遭到來自網絡上的各種攻擊,導致信息的泄露、傳播不健康的信息或者造成智慧農業系統的癱瘓等。 因此,農業部印發了《2018 年農業部網絡安全與信息化工作要點》,第十一條闡述了加強智慧化農業網絡安全能力建設的要求:提升網絡安全防護能力,貫徹落實信息系統網絡安全等級保護制度,切實做好信息系統的定級、備案、測評、整改等工作,重點加強我部關鍵信息基礎設施和重要信息系統的安全防護能力建設,逐步更新、完善網絡安全防護設備……[1],為智慧農業管理系統的網絡安全工作做出了很好的指導意見。

1 智慧農業管理系統網絡安全面臨的主要威脅

隨著全球信息高速公路的建設完善,整個世界正在迅速地融為一體。 農業作為第一產業無不例外也快速融入全球的信息化浪潮中,因此智慧化農業管理系統孕育而生。 該系統充分利用網絡上的信息和資源,有效的保障農產品供給鏈、農產品質量安全、農民增收。 但是信息和資源的廣泛共享,也產生了各種各樣的問題,其中智慧化農業管理系統的網絡安全問題尤為突出。

1.1 操作系統和應用軟件存在的漏洞或“后門”

在互聯網技術的發展過程中,操作系統和軟件的網絡通信的協議、規則為實現特定的功能及通信的一體化,幾乎都存在或多或少的安全漏洞或“后門”,眾多的各類服務器、瀏覽器、軟件等都被發現存在網絡安全隱患[4]。 目前,尚未研發出任何一款沒有漏洞的操作系統和應用軟件。 根據這一特性就給了故意危害互聯網安全的人有了可乘之機,破壞網絡的資源信息或者傳播不健康的信息。

1.2 TCP/IP 協議的缺陷

互聯網在早期的時候主要是考慮各種計算機網絡的入網互連、資源共享的問題,忽略了網絡安全的問題,互聯網通信的核心協議TCP/IP 協議,實際上是一個協議簇,任何人都可以把自己的意見作為文檔發布,被認可的文檔成為Internent 標準的TCP/IP協議,但TCP/IP 協議缺乏相應的安全機制,特別是到網絡局部故障時,為了不影響信息的傳輸TCP/IP協議中很多端口是默認打開的,存在著網絡安全隱患。

1.3 黑客的攻擊

對智慧化農業管理系統而言,黑客(Hackers)即是在不經過同意的情況下,通過各種手段去使用、篡改、非法發表、破壞網絡的各種資源或者計算機信息的人稱為黑客。 黑客常用的攻擊方法很多,包括:尋找操作系統、軟件的漏洞或“后門”攻擊；使用“IP spoofing”的技術冒充合法用戶攻擊等攻擊手段。 黑客是智慧化農業管理系統網絡安全的主要威脅。

1.4 來自企業內部的網絡安全隱患

智慧化農業管理系統的網絡安全主要靠企業內部人員的充分重視。 網絡安全管理員如何做到對企業內部員工進行網絡安全宣傳。 包括:不打開來源不明的電子郵件和應用軟件；不隨便安裝來源不明APP；在不能確保網絡安全的地方禁止使用移動存儲設備等等,盡量避免企業內部員工的誤操作、網絡資源的濫用和惡意行為。 在資金方面給予支持,確保網絡安全軟件、硬件設備的更新、完善,這樣能有效的消除來自企業內部的網絡安全隱患。

2 智慧農業管理系統的網絡安全防范措施

智慧農業管理系統的網絡安全防范主要采取閉環式的立體防御,這是按照網絡攻擊的時間節點劃分的,即為事前預測、事中防御、事中檢測和事后響應,這一系列的防御組成一個循環閉合的立體防御體系,讓網絡攻擊無從下手,如圖1 所示。

圖1 立體防御體系示意圖

2.1 事前預測

智慧農業管理系統在遭受到網絡攻擊事件發生前,通過大數據網絡安全事件感知平臺獲取到的網絡攻擊威脅特點,并將這樣威脅情況通知“事中”、“事后”的相關網絡安全設備。 網站安全檢測系統定期、定時的對內網的服務器、終端、網絡設備等進行漏洞掃描,把網絡攻擊扼殺于萌芽狀態。 例如:2017 年5月大面積爆發的“WannaCry”勒索病毒,影響了全球150 多個國家,造成了巨大的損失。 其實2017 年4月微軟公司就針對“WannaCry”勒索病毒攻擊的SMB 系統漏洞發布了MS17-010 補丁,更新了MS17-010 補丁這個補丁,“WannaCry”勒索病毒就無法進行攻擊。 其次,“WannaCry”勒索病毒的攻擊預警在很多網絡安全事件感知平臺已經發布了預警。 但是“WannaCry”勒索病毒還是攻擊了全球150多個國家,造成了巨大的損失,包括:英國醫療系統、俄羅斯電信公司,美國迪士尼最新的影片《加勒比海盜5:死無對證》還沒有上映片源就被盜和我國的教育系統等,這些系統就沒有能做到“事前預測”及時更新系統補丁,也沒有重視網絡安全預警平臺的信息而造成了不可挽回的損失。

事前通過大數據云平臺預測獲取外部威脅情報,內部通過旁路的方式部署漏洞掃描系統,及時的對企業的門戶網站服務器、辦公協同管理平臺服務器等服務器進行定期的漏洞掃描,評估系統的安全狀況,減少智慧農業管理系統遭受來自網絡的攻擊。這是保障智慧農業管理系統網絡安全的前提條件。

2.2 事中防御、檢測

智慧農業管理系統在遭受到網絡攻擊時,通過防火墻、入侵防護系統等設備進行防御和檢測,隔離阻斷網絡攻擊。 入侵檢測是對防火墻有益的補充,被認為是防火墻之后的第二道安全閘門。 防火墻和入侵檢測聯動防御,組成了入侵檢測系統,有效的把智慧農業管理系統所在的網絡和互聯網隔離開,7×24 小時的對內網、外網的進行實時監控,并且發現攻擊時可以主動的、快速的阻斷、隔離攻擊,大大的提高了網絡的安全性。

如廣西農業職業技術學院智慧農業管理系統,在網絡邊界處部署入侵防護系統,防護來自外部網絡的攻擊與可疑行為。 入侵防護系統包括防火墻、入侵檢測和邊界交換機能有效的將廣西農業職業技術學院智慧農業管理系統和互聯網隔離。 它能實時檢測網絡中的通信數據包并且對智慧農業管理系統的服務器進行IP 地址轉換,一旦發現入侵行為就進行有效的防護和記錄。 主動的將帶有攻擊信息的數據包隔離或者阻斷,禁止攻擊數據流進入內網,從而有效保障內部信息系統的安全。 同時在服務器交換機旁路部署入侵監測系統,對來自智慧農業管理系統內、外部的入侵攻擊行為進行監測、告警,及時告知系統管理員,對攻擊來源進行追溯和排查,同時加強策略部署,有效保護智慧農業系統服務器的安全。因此,事中防御、檢測是保障智慧農業管理系統的網絡安全的關鍵環節。

2.3 事后響應

智慧農業管理系統在遭受到網絡攻擊后,對內部用戶、業務系統的異常行為進行持續的檢測,發現潛在風險時盡可能減少損失。 如果有內網的終端包括計算機、交換機等被來自網絡攻擊破壞,閉環式的立體防御網絡安全系統將采取兩種響應機制:第一,自動響應及時追溯攻擊的來源并且隔離攻擊。 第二,人工響應由網絡安全管理員配置交換機的ACL或者物理斷網的形式隔離感染源。

3 以廣西農業職業技術學院防范勒索病毒為例說明

勒索病毒經過幾代的升級,以勒索數字貨幣為主要目的。 以廣西農業職業技術學院智慧農業管理系統預防勒索病毒升級版GandCrab 結合RDP 合體攻擊,結合“WannaCry”病毒以及常規的安全防護策略[3]為例說明網絡安全防范的方法。

3.1 通過大數據網絡安全事件感知平臺

例如:卡巴斯基、深信服安全事件感知云平臺中獲取到GandCrab 病毒的特性,該病毒主要通過電子郵件和U 盤進行傳播,攻擊服務器、智能終端的3389、445、139 等端口,從而控制本地設備,對本地設備的文件進行加密,需繳納以數字貨幣為主的贖金后才能解密文件。

3.2 網絡攻擊事情中設備獲取到GandCrab 病毒的特性

關閉服務器的3389、445、139 等端口,對于確實要開啟遠程桌面的終端設備,通過“echo”修改遠程桌面3389 端口,如圖2 所示的方法建立批處理文件修改遠程桌面的端口。 做好服務器數據備份；禁止服務器接入U 盤、移動硬盤等可執行擺渡攻擊的設備；及時升級服務器的補丁、殺毒軟件的病毒庫。

圖2 建立批處理文件修改遠程桌面端口的方法

3.3 在交換機上配置ACL

例如:permit udp x x(為IP 網段)eq 3389139、deny tcp any any eq 3389139 等命令禁止終端設備相互訪問3389、139 等端口的形式處理。

3.4 對于接入智慧農業管理系統內網的智能終端

例如:計算機、平板電腦等進行數據備份；在不能確保網絡安全的情況下,禁止接入U 盤、移動硬盤等可執行擺渡攻擊的設備；及時升級智能終端的補丁、殺毒軟件的病毒庫。

4 結論和展望

智慧農業管理系統采用在發生網絡攻擊“事前”“事中”“事后”閉環式的立體網絡安全防御,在不影響智慧農業管理系統使用的情況下提高了網絡安全的防護標準,提升智慧農業管理系統的網絡信息安全管理能力與水平,營造“清朗”安全的網絡天空[5]。