前言:寻找写作灵感?中文期刊网用心挑选的水利信息化网络安全防护体系分析,希望能为您的阅读和创作带来灵感,欢迎大家阅读并分享。
摘要:水利工程的信息化水平对工程运行管理日趋重要,合理可行的网络安全防护体系对水利信息化建设及可靠运行起着至关重要的安全保障作用。依据新要求搭建与水利工程相匹配的“一个中心、三重防护”的安全保护架构,助力安全防护体系的建设,为水利工程信息化发展提供安全可靠值得信任的有力支撑。
关键词:水利工程;信息化;网络安全
水利工程是我国国民经济和社会发展的重要物质基础,在水资源利用、防洪排涝、生态环境保护、防灾减灾等方面对推动国民经济发展做出了重大的贡献,同时也在农业、工业、居民生活、生态环境等生产管理过程中发挥了极其重要的作用。随着信息技术的不断发展,物联网、云计算、大数据、人工智能等概念相继提出,而水利技术的发展阶段也逐渐由自动化向信息化、智慧化方向转变。信息化利用多种技术手段,尽可能多地感知水资源、水环境及各种水利要素相关数据,通过信息传输、存储、处理等步骤,依托建模和预测做出相应决策,有助于有效解决水利行业的各种问题,提高水资源利用率和水利工程规划、设计、建设和运行维护的效率和效益,有效保护水资源与水环境和防灾减灾,实现人水和谐。在水利行业技术发展大趋势以及国家方针政策的引领下,水利信息化的建设已经越来越重要,信息化已渗透到水利工作每一个环节。随着新时期以水利信息化带动水利现代化的发展战略的确立,全面推进水利信息化发展,安全体系是水利信息化体系的重要组成部分,通信网络也成为整个水利工作的神经系统,水利信息在数据量上日益庞大,在数据类型上也呈现多样性,因此在数据采集、系统运行过程中易出现较多的安全问题,不利于系统的安全运转。网络安全防护是信息化系统的重要支撑和保障,对信息化系统建设、实施意义重大,信息化发展的速度越快,信息化面临的安全问题也就会越多越复杂,这就需要水利信息化相关建设单位、设计单位及管理单位,不断强化网络及信息安全设施、安全管理和有关制度标准建设,搭建合理可靠的网络安全防护体系,为水利信息化发展提供强有力的保障,确保水利信息化的健康发展。本文对照新的网络等级保护要求,对系统设备配置及方案研究的差异进行简要分析。
1建立水利信息化网络安全防护体系的必要性分析
1.1技术发展趋势要求
随着移动互联网、云计算、大数据、物联网等一系列新兴IT技术的发展,各个水利信息化建设面临着新的发展机遇,新技术的发展为水利信息化的迅速发展提供了技术支撑,促使水利行业迎来全面升级的“2.0时代”,网络逐步迈向万物互联,使得世界万物联结更加紧密,同样也对信息安全造成一定的隐患。近年来,针对水利系统的试探攻击急剧上升,水利数据中心网络和应用系统能否稳定和安全运行,将直接影响水利工程控制管理、防汛抗灾、水资源管理、水环境、水生态保护等各项工作的顺利开展,因此网络安全作为水利信息化发展的安全保障,未来势必越来越重要。
1.2政策要求
近年来,《中华人民共和国网络安全法》《网络安全等级保护条例》等一系列法律法规的相继实施,加速推进了网络安全的建设和发展,同时国家明确了信息化及网络安全的建设在国家建设发展过程中的重要作用。《全国水利信息化发展“十三五”规划》提出了“立体化监测、精细化管理、智能化决策和便捷化服务,数字水利向智慧水利转变”的水利信息化建设思路,水利部先后印发的《加快推进智慧水利指导意见》《智慧水利总体方案》《水利网信水平提升三年行动方案(2019—2021年》《水利网络安全管理办法》等要求持续推进水利信息化建设工作。在新时代“水利工程补短板、水利行业强监管”的水利改革发展总基调中,明确提出网络安全与信息化为水利工程四大短板之一,同时也是水利行业强监管的重要支撑。由上可见,国家政策层面及行业发展层面均明确了信息化网络安全防护的必要性以及迫切性。合理可靠的网络安全防护配置在水利工程规划、设计、建设及运行过程中均具有不可替代的地位,在整个信息化系统运行中发挥着极其重要的作用。
1.3水利信息化网络安全防护体系现状及存在的问题
目前,水利信息系统主要依靠通用系统和硬件构建基础网络,水利工程水利信息专网的安全设计主要是从网络架构、物理链路及机房安全、网络安全传输、数据监测、安全审计等方面搭建安全体系[1]。信息安全风险方向主要有攻击方法、系统漏洞、自动化攻击工具等,主要体现在主机系统方面、网络通信方面、应用系统方面及安全管理方面。(1)主机系统方面。水利控制网络相对封闭,一直以来都依赖于隔离方式,如物理上的控制网络孤岛、密码、口令等,正是由于这种独立性及封闭性,一些基于病毒库的杀毒软件无法适用于工业环境,导致主机防护失效。另外,传统杀毒软件在工业环境中也存在误杀、误报、兼容性差、占用资源高、升级频繁、病毒库更新滞后等问题。(2)网络通信方面。传统水利工业网络边界无有效防护措施,导致网络威胁可直接穿过不同网络层级,直达底层工控系统。工业网络缺乏审计监测措施,网络传输处于黑盒状态,无法及时发现病毒攻击和误操作等行为。随着水利工程数据需求的提高,采用了多种类型的传输方式,部分采用租用公共网络的情况,相应增加了数据及指令传输过程中被分析、窃取及篡改的机会。而在未来,越来越多的数据将会被更广泛地开放及利用,部分水利系统将会更广泛地暴露在互联网环境下,且会继续扩大,从而不可避免地带来更多的网络通信安全问题。(3)应用系统方面。水利信息系统各业务应用模块的开发多为定制开发,应用系统在对外服务中存在安全隐患。常见的应用安全威胁有网页非法篡改、跨站脚本攻击、缓冲区溢出、非法输入、强制访问等。(4)安全管理方面。近年来,各水利管理部门逐步提高安全管理水平,通过设置专门的运维管理人员、制定安全管理制度等方式切实减少了安全管理方面的问题,但是仍有些管理部门还存在制度落实不到位、制度缺乏针对性和制度执行不严格等问题。一些常规问题依然存在,如U盘滥用、私搭网络、安装非法软件等行为。另外,对于有的工程或管理部门外委或购买服务的第三方运维者存在运维操作不透明、运维过程管控不到位等问题。
2水利信息化网络安全防护体系差异
2.1网络安全防护体系选择依据
水利网络安全是国家网络安全的重要组成部分,构建水利信息系统网络安全保障体系主要依据国家和行业标准以及各地区各单位的网络安全办法[2]。《信息安全技术网络安全等级保护基本要求》(GB∕T22239-2019)《信息安全技术网络安全等级保护测评要求》(GB∕T28448-2019)《信息安全技术网络安全等级保护安全设计技术要求》(GB∕T25070-2019)等标准规范的实施,标志着网络安全等级保护2.0系列标准的正式实施。新的标准规范除了严格执行《中华人民共和国网络安全法》、针对共性安全保护目标提出通用安全设计技术要求外,同时针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的特殊安全保护目标制定了特殊的技术要求。随着人工智能、区块链、5G、工业互联网、大数据、云计算、物联网等具有颠覆性的战略性新技术突飞猛进,网络安全面临的问题日趋多样化,新技术的发展为网络安全攻防手段和管理技术提出了新的更高的要求[3]。
2.2网络安全防护体系对比
等级保护1.0相关标准规范中以信息系统安全为主体,等级保护对象为信息系统,从整体出发,对信息系统包含的各个系统明确相关技术要求。在等级保护2.0相关标准规范中,等级保护对象对信息系统进行细分,除安全通用要求外,还针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的特殊要求统一制定安全扩展要求,便于对各类型安全保护目标明确网络安全保护策略。依照“三个体系、一个中心、三重防护”的安全保护架构,通过对计算环境、安全区域边界和网络通信域进行分别防护,设置相应的防护策略,达到部分与整体的有机结合,保障计算环境、区域边界及网络通信传输的可信性,使得其在整个生命周期中都建立有完整的信任链,确保它们始终都在安全管理中心的统一管控下有序的运行,实现“积极防御、主动防护”,实现各类水利项目机密性、完整性、可用性、可控性和不可否认性的安全目标[4]。2.0标准规范与1.0标准规范相比,在名称、内容及控制措施分类结构上均有调整,将基本要求内容调整为安全通用要求和安全扩展要求(含云计算、移动互联、物联网、工业控制系统),相当于在横向上拓展了对于云计算、移动互联网、物联网、工业控制系统的安全要求,突出了“一个中心、三重防护”,打造了纵深防御和精细化防御体系,同时强化了密码技术+可信计算技术,从算法上形成了主动防御态势[5]。控制措施的分类从技术部分及管理部分,由之前的10个分类调整为8个分类。其中,技术层面上调整为物理环境安全、网络和通信安全、设备和计算安全、应用和数据安全;管理部分明确为安全策略和管理制度、安全管理机构和人员、安全建设管理和安全运维管理,在技术要求及管理要求方面更强调“安全”2个字。
3水利信息化网络安全防护体系设计建议
网络安全防护设计需要更多关注差异点,突出关注点,以原则定方案,以方案优化设备配置,确保方案合理和设备配置最优。物理环境是一个比较容易忽略的因素,因此在设计过程中要重视机房环境的建设,尤其是根据不同系统重要程度,对数据机房的等级制定比较明确的要求,在设计阶段需提高相应要求,尽可能地以智能监测方式辅助提高环境监测水平,提高数据机房的安全可靠,同时也要考虑水利工程管理机构设置特点。根据业务功能不同,安全通信网络对水利工程控制网与管理网分别组网,从物理上保证网络的完全隔离,避免网络交叉;同时,为保证不同网络间信息可靠传输,在信息交互处配置可靠的隔离设备,对照工控网络安全要求,在控制区域配置所需的网络防护设备。对于管理信息网可划分不同VLAN,构建各子网络,保证不同信息的独立传输,各网络接口及信息传输点均考虑所对应的防护设备。根据网络结构,不同网络区域统筹考虑区域边界设备配置,保证边界防护设备配置明确、功能划分清晰。针对较分散的采用无线传输网络的数据采集点应对标移动互联及物联网安全扩展要求,加强边界防护意识。安全计算环境重点针对数据计算主机、服务器及各应用系统,通过主机加固或主机卫士等设备,保证设备的运行安全。安全管理中心在保证各类防护设备配置的同时,需要配置统一的平台管理设备,保证各主要防护设备都在中心设备的监视管理范围内。在各个层面配置完成后,同时考虑等级保护测评相关事项,确保系统能正常通过相对应定级标准的测评,避免测评过程中产生过多扣分项而对技术方案进行调整的情况出现。在水利信息化网络安全防护体系构建过程中,要从规划设计阶段入手,首先从技术层面上确保安全防护体系的完整性及可靠性,要紧跟水利工程信息化系统发展趋势,适当调整相应设备配置,并要有整体谋划意识,参照网络安全设备算法及策略中由被动预防转变为主动防御的发展态势,选择合理的配置方案,确保在工程建设阶段严格落实相应的设计方案,助力运维阶段水利工程信息系统的安全可靠运行,以技术为支撑,铺路搭桥,为网络安全防护管理部分要求提供条件,同时也为水利信息化的发展提供安全保障。
4结语
面对当前相对严峻的网络安全形势,对水利行业而言,要保障水利信息系统可靠运行,就需要建设可靠先进的网络安全防护体系,以一套完善的安全防护体系抵御可能出现的各种安全漏洞及风险攻击,体系的建立需要技术层面与管理层面的双管齐下、互相协同配合才能完成。在水利信息化实施过程中,技术层面上应充分依据国家最新的规程规范及地方要求,结合水利主要建设任务,根据信息系统类型制定合理可行的网络安全等级保护方案,提前谋划,力求从方案选择及设备配置上避免或减少后续系统运行过程中可能发生的网络安全问题,通过明确不同防护等级对应的的网络安全系统设备配置,提高系统的安全性以及可靠性;同时,管理层面上从制度、机构、人员、建设管理及运维等多个维度上统一要求,在技术防护完备的情况下,封堵人为漏洞,强化制度落实、人员管理,打造完备的安全防护体系,为水利事业发挥出更大的经济效益及社会效益保驾护航。
作者:赵慧 周红娟 单位:中水北方勘测设计研究有限责任公司 中国水利水电建设工程咨询渤海有限公司
