基于一體化交付技術(shù)的水庫安全研究

閆曉敏

（河南省水利信息中心，河南 鄭州 450003）

1 一體化交付技術(shù)總體設計

技術(shù)針對越來越多的水庫監(jiān)測站點出現(xiàn)的網(wǎng)絡安全問題，提出“水利安全一體機”解決方案。該方案通過在新建水庫監(jiān)測站點部署一臺水庫安全一體機即可滿足監(jiān)測站的數(shù)據(jù)采集需求、網(wǎng)絡安全需求、運維管理需求等。

該水庫安全一體機，以硬件服務器為載體，通過虛擬化技術(shù)，以多虛擬機并行運行的方式，承載一個水庫安全監(jiān)測所需要的多種功能，如在該平臺上可部署：數(shù)據(jù)加密VPN 軟件、行為審計軟件、防火墻軟件、廣域網(wǎng)優(yōu)化軟件等。

此外，為保證數(shù)據(jù)防篡改和兼容現(xiàn)有的建設模式，平臺還提供額外虛擬機資源，支持整合第三方軟件兼容能力，可部署第三方的數(shù)據(jù)防篡改軟件，以及數(shù)采儀中的數(shù)據(jù)采集軟件等。

該水庫安全智能監(jiān)控調(diào)度一體機，通過采用基于服務器、存儲的網(wǎng)絡虛擬化等技術(shù)形式，結(jié)合所見即所得的操作方式讓用戶更快速簡單地構(gòu)建出分站點業(yè)務邏輯，實現(xiàn)了基于虛擬網(wǎng)絡資源流量的全智能動態(tài)實時監(jiān)控調(diào)度控制模塊，應用功能靈活可伸縮擴展，同時能實現(xiàn)對全網(wǎng)流量動態(tài)的可視，配置控制界面簡單直觀，運維控制靈活便捷。解決了各監(jiān)測站點之間對VPN、防火墻、流量監(jiān)測、審計等功能需求，自動搭建VPN 隧道，無須手工設置IPSec VPN 隧道，實現(xiàn)即插即用的快速上線。

2 一體化交付技術(shù)路線

基于數(shù)據(jù)全生命周期管理進行安全防護思路，首先深度分析數(shù)據(jù)采集、傳輸、存儲、使用等過程存在哪些維度安全風險，如網(wǎng)絡安全風險（內(nèi)網(wǎng)勒索病毒、外部安全威脅）、采集數(shù)據(jù)安全防止私自篡改。然后針對邊界安全、傳輸安全、全網(wǎng)分支態(tài)勢安全進行防護和分析。

整體技術(shù)路線分為：首先針對水庫安全監(jiān)測研發(fā)一套融合安全、網(wǎng)絡、計算、存儲一體的設備，并且可以進行端對端傳輸安全加密。其次針對潛伏威脅，考慮到難以檢測未知威脅和處置，需要聯(lián)動安全平臺進行流量分析，研發(fā)一套可以統(tǒng)一收集各監(jiān)測站點可疑流量且進行風險分析，如展示全網(wǎng)安全攻擊地圖、外聯(lián)風險地圖，此外還可以聯(lián)動分支端安全融合一體機進行聯(lián)動處置，保證病毒無法橫向傳播。最后，針對不同監(jiān)測站點的業(yè)務訪問和高效運維，基于SD-WAN技術(shù)（軟件定義廣域網(wǎng)）中心端部署可視化管理平臺，對全網(wǎng)流量進行overlay隧道管理和調(diào)度、全網(wǎng)設備和應用進行可視化監(jiān)控和分析，全面提升業(yè)務體驗和可靠性，以及極大提升運維效率。

3 技術(shù)先進性

基于軟件定義技術(shù)構(gòu)建一套以數(shù)據(jù)為核心的立體安全防護系統(tǒng)，實現(xiàn)數(shù)據(jù)全生命周期管理，從“采集安全、邊界安全、傳輸安全”到“管理、分析”。以海量大數(shù)據(jù)作為驅(qū)動、人工智能算法研究為支撐基礎，通過智能化深度安全防御、持續(xù)實時檢測、快速安全響應，構(gòu)建一套基于大網(wǎng)絡、端點技術(shù)的系統(tǒng)化和智能網(wǎng)絡化協(xié)同應急聯(lián)動智能防護能力體系，有效使保障大型水庫汛期監(jiān)測預警數(shù)據(jù)質(zhì)量安全水平成為中國新型信息化安全管理能力系統(tǒng)建設階段的關鍵核心工作。

3.1 虛擬化構(gòu)筑立體防御壁壘

水庫安全一體機支持通過虛擬化技術(shù)，在設備上啟用虛擬下一代防火墻功能，提供的安全能力包括：NAT、路由、入侵防護、訪問控制、風險分析、僵尸網(wǎng)絡檢測、用戶認證、威脅情報、會話控制、URL過濾Web安全防護、DDoS、敏感信息防泄漏、實時漏洞分析等功能，可雙向分析網(wǎng)絡流量網(wǎng)絡層、應用層、內(nèi)容風險，比同時部署WAF、傳統(tǒng)防火墻等多種安全設備的防護能力更強，可抵御危害更明顯、攻擊更容易、來源更廣泛的應用層攻擊，實現(xiàn)L-L7 層數(shù)據(jù)中心全面安全加固。與傳統(tǒng)堆疊式安全部署相比較，有效解決了部署多臺設備帶來的性能消耗、單點故障、難以管理的問題。

在主機層面，水庫安全一體機支持部署主機殺毒EDR，以終端資產(chǎn)安全生命周期為中心，通過預防、檢測、防御、響應賦予終端強大的對木馬、病毒、入侵攻擊等威脅的防御能力，通過EDR人工智能行為分析、云查引擎、全網(wǎng)信譽庫、SAVE引擎等技術(shù)全面應對威脅，防御未知新型病毒的感染、傳播，通過構(gòu)建多維度威脅防御體系，全面解決現(xiàn)有信息系統(tǒng)安全問題。

通過全面部署應用EDR，建立多個安全平臺聯(lián)動機制，EDR 可與水庫安全一體機虛擬下一代防火墻進行聯(lián)動，實現(xiàn)威脅的接收與共享。同時在主機層面以終端殺毒EDR讓終端具有更持續(xù)的檢測能力、更精準的查殺能力、更細致的隔離策略、更快速地處置能力；在應對高級威脅的同時，通過威脅情報共享、網(wǎng)端聯(lián)動協(xié)同、多層級響應機制，協(xié)助監(jiān)測站點快速處置主機層、網(wǎng)絡層的安全問題，構(gòu)建響應快、智能化、輕量級新一代安全系統(tǒng)。

3.2 可信驗證助力數(shù)據(jù)防篡改

針對出現(xiàn)的對水庫監(jiān)測數(shù)據(jù)不當干預的行為，如強制登陸數(shù)采設備，違規(guī)篡改監(jiān)測數(shù)據(jù)、弄虛作假。方案提出在水庫安全一體機中啟用防篡改功能機制，通過設備內(nèi)置的數(shù)據(jù)篡改防護機制，對采集的數(shù)據(jù)進行二傳機制比對，后臺無感知灰度處理，最終實現(xiàn)數(shù)據(jù)的可信采集，且滿足全過程數(shù)據(jù)審計溯源，為環(huán)境監(jiān)管及決策提供可靠數(shù)據(jù)保障。

在網(wǎng)絡服務器的數(shù)據(jù)接收端，增加了實時感知所有監(jiān)測站點數(shù)據(jù)通信中斷，數(shù)據(jù)缺失，有效數(shù)據(jù)不足等異常狀況的特定功能，避免了頻繁地查詢監(jiān)測數(shù)據(jù)記錄表所造成的阻塞難題。

3.3 軟件定義實現(xiàn)加密傳輸

針對監(jiān)測站點的業(yè)務訪問和高效運維，基于SD-WAN 技術(shù)中心端部署可視化管理平臺，對全網(wǎng)流量進行OVERLAY隧道管理和調(diào)度、全網(wǎng)設備和應用進行可視化監(jiān)控和分析，全面提升業(yè)務體驗和可靠性，實現(xiàn)可靠加密傳輸。

現(xiàn)有的水庫堤壩安全與數(shù)據(jù)質(zhì)量監(jiān)測的網(wǎng)絡大部分數(shù)據(jù)是直接通過電信專線方式傳輸，數(shù)據(jù)的傳輸存儲過程中都無經(jīng)過任何的加密及保護等機制，存在容易被外部中間人進行竊聽、篡改的風險，需要根據(jù)數(shù)據(jù)重要性需要對傳輸過程中的數(shù)據(jù)進行加密。

方案提出在水庫安全一體機中啟用IPSec VPN功能，構(gòu)建起一條網(wǎng)絡互通的VPN 通道，各監(jiān)測站點可通過加密的VPN通道，實現(xiàn)快速與監(jiān)測中心的數(shù)據(jù)交互。同時，IPSec VPN可以與集中管理平臺無縫融入，實現(xiàn)對各監(jiān)測站點水庫安全一體機進行集中式統(tǒng)一的管理，如實時監(jiān)控、日志查詢、策略下發(fā)和升級維護等，可以降低成本、提高網(wǎng)絡應用效率，管理起來更為便捷。考慮業(yè)務應用和需求，IPSec VPN網(wǎng)絡安全性有五層含義，五大安全保障VPN 得安全性。一是用戶身份安全；二是數(shù)據(jù)傳輸安全；三是內(nèi)網(wǎng)訪問權(quán)限安全；四是接入終端安全；五是審計安全。

3.4 聯(lián)合開發(fā)數(shù)采軟件平臺深度兼容

為避免水庫站點建設過程中網(wǎng)絡安全建設與數(shù)據(jù)采集業(yè)務割裂，各產(chǎn)品獨立部署不能形成合力，水庫安全一體機的服務器虛擬化功能，滿足監(jiān)測站點部署數(shù)采軟件需求，提供額外資源，對數(shù)采業(yè)務軟件和網(wǎng)絡安全軟件進行整合，靈活提供業(yè)務的擴展性，減少數(shù)采設備采購投資。

水庫安全一體機以服務器虛擬化為底層架構(gòu)，通過超融合架構(gòu)層擴展出存儲、網(wǎng)絡虛擬化，通過所畫即所得的方式靈活快速構(gòu)建出分站點業(yè)務邏輯，動態(tài)調(diào)度和靈活擴展虛擬化資源，全網(wǎng)配置直觀簡易，流量可視，運維方便靈活。

此外，在業(yè)務數(shù)據(jù)存儲安全，平臺提供VMP 虛擬化平臺，在整體VMP平臺上融合備份系統(tǒng)，實現(xiàn)備份系統(tǒng)簡單易用，系統(tǒng)根據(jù)用戶設置好的自動備份計劃定期進行自動備份，在不處理日常業(yè)務的時間里進行此項工作，可以增強系統(tǒng)數(shù)據(jù)安全性，提高自動處理事務的能力。

4 總結(jié)

一體化交付技術(shù)能夠整合水庫所需安全能力，較好地應對網(wǎng)絡安全事件，實現(xiàn)對水庫監(jiān)控、傳輸、管理和網(wǎng)絡安全態(tài)勢能力的綜合管理運維，提升水庫網(wǎng)絡安全綜合管理效率，適用于不同的水利業(yè)務單位，能夠為專家決策做出精準化支撐。