水利部海委漳卫南局网络安全防护体系建设

摘 要:水利部海委漳卫南局积极践行可持续发展治水思路,以信息化促进水利现代化。通过重点项目的建设,以项目带动信息化、以信息化提供水管理,在信息化基础设施、业务应用系统和行业管理等方面取得较大进展。各项水利防汛应用系统相继建成并投入使用,在流域水利管理中发挥着越来越重要的作用。目前全局网络终端用户已超过500户,而仅有连通功能的网络是无法满足日益增长的需要的,针对网络用户在安全方面存在的漏洞和隐患,利用简单的技术防范措施已无法解决。必须调整网络整体结构,采用先进可靠的防病毒技术和有效的网络管理,形成保证网络和信息安全的全方位的网络安全防护体系。

关键词:网络安全 安全防护 体系 中图分类号:f426.91 文献标识码:a 文章编号:1674-098x(2011)12(b)-0101-01 1 威胁分析

由于防汛内部网络连接互联网,网络的使用者既有来自互联网的用户,也包括来自内部的员工,因此内部网络面临来自内、外两个方面的安全威胁: 1.1 外部威胁 ①黑客扫描和渗透攻击

internet网络中的恶意入侵者可能因为政治、商业目的或随机目的对企业网络发起恶意扫描和渗透式入侵,通过渗透或绕过防火墙,

进入企业网络,获取、篡改甚至破坏敏感的数据,乃至破坏正常业务。

②病毒或蠕虫侵袭

internet网络上大量肆虐的网络蠕虫病毒具备渗透防火墙的传播能力,他们可以穿透防火墙进入防汛网络;一旦遭受了病毒和蠕虫的侵袭,不仅会造成网络和系统处理性能的下降,同时也会对核心敏感数据造成严重的威胁,甚至造成网络拥塞,导致业务的中断。 ③ddos/dos攻击

ddos攻击出现在10年前,是一种技术含量不高,单攻击效果显著的攻击。由于近些年僵尸网络的发展,ddos攻击重新成为恶意入侵者的新宠,直接威胁网络的可用性。 1.2 内部威胁

①无意识的外部风险引入

内部网络中,由于安全技能和安全意识存在差异,员工可能通过访问挂马网站、下载包含病毒的恶意程序,从而无意识的通过互联网络将internet上危险的、恶意的木马程序和恶意代码下载到内部网络执行,甚至将internet上的蠕虫、网络病毒传播进入内部网络,这将对防汛网络的安全带来严重威胁。 ③网络资源滥用导致新风险

员工因为各种im即时通讯软件、网络在线游戏、p2p下载软件、在线视频、浏览工作无关网站导致网络资源滥用、网络性能下降,严重影响正常工作,形成新的威胁。

④网络应用导致合规性问题 2 建设网络安全防护体系

对于漳卫南局自身特点,合理运用网络安全技术,建立适应性的安全运行机制。从技术上最大限度的保证信息安全。 2.1 网络安全关键技术

由防火墙、入侵检测系统、路由器、网络交换机等硬件构成了网络防护体系的硬件系统。由pki公钥安全体系、网络防病毒系统、网络管理监控系统、漏洞扫描系统、等构成网络防护体系的软件系统。

2.2 网络安全防护体系各部分的功能与作用 2.2.1 防火墙

防火墙是内部网络安全的第一道屏障,一个安全、可靠、稳定的防火墙能极大限度的提高一个内部网络的安全性。防火墙可以过滤不安全的服务和不安全的用户进入网络,同时可以利用安全策略机制更好的保护内部网络。 2.2.2 ids(入侵检测系统)

入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它监测内部网络上的包,扑捉危险或恶意的动作。它有用户定义的规则运行,对指定的端口进行监测、扫描等。它能识别内部网络的的攻击,当发现有可疑的用户行为发生时,立即保持跟踪并监测、记录该用户的行为。

2.2.3 路由器

路由器是一种连接多个网络的网络设备。它将不同的网络或网段的连通,从而构成一个更大的网络。在漳卫南局网络中,局机关网络与下属局网络之间就是通过路由器连接的。因此在路由器上应制定必要的过滤规则,滤掉被屏蔽的ip地址和有安全隐患的服务。 2.2.4 网络交换机

目前,漳卫南局各子网络采用的是以交换机为中心,以路由器为边界的网络格局。在各子网络中都有一台核心交换机,其最关键的工作是访问控制功能和三层交换功能。访问控制对于交换机就是利用访问控制列表acl来实现用户对数据包按照源和目的地址、协议、源和目的端口等各项的不同要求进行筛选和过滤。还有一项非常关键的工作就是划分vlan。 2.2.5 pki公钥安全体系

利用pki(公钥安全体系)实现对应用系统的安全保护:

①数字签名与认证。应用系统须利用ca(认证中心)提供的数字证书进行应用级的身份认证,对文件和数据进行数字签名和认证,保证文件和数据的完整性。

②数据加密。对重要的数据进行加密存储。 2.2.6 漏洞扫描系统。

在内部网中建立操作系统漏洞管理服务器,对网络内所有联网主机的操作系统进行监控,一旦发现存在系统漏洞或者安全隐患,立即强制其安装相应的系统补丁或者组件。

2.2.7 网络防病毒系统

建立网络病毒网关与网络版的查杀病毒软件(趋势网络防毒墙)相结合,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。从局机关到下属单位,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的、完整的企业网病毒防护体系,有效地控制病毒的传播,保证网络的安全稳定。 2.2.8 网络管理系统

采用网强公司的综合网络管理系统进行网络流量状况的检测,保证网络能够有效、平稳、安全地运行。并通过对网络设备流量数据的采集和分析,向维护部门提供相应的运行数据。网络管理员可以通过网管系统对网络上的数据流量进行统计,对传输质量进行监控分析,评估网络性能,并对性能进行调试和负载平衡。 3 计算机网络安全管理

在汛期,漳卫南局每天都有大量的实时水雨情和工情等信息通过防汛水利计算机网络传输和发布,因此计算机网络安全的重要性不言而喻。有效的技术手段只是网络安全的基础工作,但仅靠网络安全技术是绝对无法确保信息安全的。严格的计算机网络安全管理制度,才能充分发挥网络安全技术的效能,才能使网络信息更加安全可靠。 4 结语

创建适合漳卫南局的网络安全防护体系,将是实现漳卫南局信息化建设的有力保障。但建立水利信息安全体系是一个复杂而又庞大

的系统工程,涉及的问题也比较多。只有继续对计算机网络安全体系进行深入的研究和探讨,才能更好的实现网络安全,保证水利信息化建设的正常进行。