浅谈苏北运河网络安全规划设计及攻击防范技术

【摘要】随着水运江苏之智慧运河建设进程的不断深入，苏北运河充分融合信息系统、互联网、传感器等现代技术，整合航道信息资源，以互联互通的方式全面建成智慧化信息系统。智慧运河全面建成后，面临网络DDOS攻击、勒索病毒、SQL注入、暴力破解、数据泄密等等网络信息安全形势越来严峻。苏北运河必须重视网络安全顶层设计，采取行之有效的网络安全管理技术，保障网络信息系统稳定运行。本文着重讨论如何提高苏北运河网络安全和防范网络攻击采取的相应技术和方法，主要包括网络的安全隔离和安全访问控制策略、网络攻击防范技术、网络安全管理等几个方面。

【关键词】网络安全；规划设计；攻击防范

1引言

苏北运河是我国电煤等重点物资运输的交通大动脉、我国“一纵两横两网”的内河主要通道之一，也是江苏省干线航道网最重要的组成部分。苏北运河智慧化的实现就是要依靠科学安全高效网络规划设计来做底层技术支撑。随着智能运行调度系统和养护管理系统、船闸PLC控制系统等各软件的投入使用，协同对办公系统、航闸养护系统、视频监控感知系统等应用系统的安全是必须重点关注。网络安全是实现“远程集控、统一调度、智能监测”的船闸运行管理新模式的技术支撑，也是推动船闸“自主运行、少人值守”的关键要素。

2正文

苏北处早在2012年就建成了处机关、闸站、用户的三级网络结构体系，机关中心至闸站和用户网络主链路采用36芯骨干通信光缆的10Gbps专线光缆，用2.5GMbps作为备份冗余链路。该网络连通苏北运河451km，采用隔点跳纤的方式，南北形成双环，在同一根缆线上保持主备业务同时运行，依托骨干光缆网络传输，协同办公系统和江苏省航道收费系统、航闸养护系统、档案系统等各类业务系统在网络上运行，实现了水运智慧化发展。

2.1网络安全规划

2.1.1网络安全现状

航闸建设对管理自动化、网络应用的要求越来越高，先后建成的苏北运河智能调度系统、档案系统、视频监控系统、船讯通、PLC集中控制系统等等，未严格按照安全等级要求、防护要求、验证方式等划分应用子网，而是应用到同一网络上，各个应用系统之间，尤其是涉及互联网应用的重点地段监控系统没有进行网络安全隔离，最初的防护也只是在互联网接入口上加装了一台包过滤防火墙，网络用户权限都是平等的，没有根据应用不同和安全等级不同进行等级划分。这容易给网络攻击、非法访问、病毒的蔓延大开方便之门。随着苏北运河智能调度系统、财务系统、PLC控制系统、档案系统、协同办公系统等安全性要求越来越高，数据资源保护是重要工作。

2.1.2网络安全规划

为加强防御体系建设，在依据现有网络的前提下，充分了解各类网络应用的安全等级、安全要求，利用各种成熟的安全技术，对现有网络进行了规划设计，以提高网络安全的同时，最大程度的提高网络应用效率，最大限度提高网络安全管理水平。

优化网络安全策略配置、建立健全网络安全制度，开展网络意识教育，使用强密码和多因素认证、及时更新和升级软件、安装防火墙和安全软件、定期备份数据、进行安全审查和渗透测试，这些关键措施是可以有效帮助我们更好地保护信息系统安全，构建强大的互联网安全防御体系。

2.2网络通信安全措施

2.2.1网络结构安全

网络隔离技术上分为逻辑隔离和物理隔离，从各种应用系统的安全等级和安全要求考虑把网络划分为办公子网、生产子网、互联网监控网来进行网络隔离，使不同网络应用按照安全等级分类，不同的子网不能够相互访问或者根据制定的访问控制策略有控制的进行访问。办公系统、财务系统逻辑分离划分为办公子网，视频监控系统、智能调度系统、控制系统逻辑分离划分为生产子网，连接互联网的视频监控系统独立出来，与企业网之间进行物理隔离，形成独立的互联网监控网。

2.2.2安全访问控制

访问控制是信息安全领域中至关重要的一环，是保护信息安全的重要措施。安全访问控制通过在系统区域边界部署防火墙或其它访问控制设备，设置访问控制策略，实现边界协议过滤。从便于管理维护及安全性的角度考虑，通过在关键网络区域边界部署专业的访问控制设备，实现对区域边界的访问控制。访问控制措施满足了以下功能需求：

1．应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；

2．应在会话处于非活跃一定时间或会话结束后终止网络连接；

3．应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。

安全访问措施如下：

（1）在网络结构中，需要对各区域的边界进行访问控制，对于关键区域，应采用部署防火墙的方式实现网络区域边界端口的访问控制，其它区域，应考虑通过交换机的VLAN划分ACL以及防火墙的访问控制等功能的方式实现访问控制。

（2）根据应用子网的划分要求，在总部机关按建筑物分布新增三台华为5720汇聚交换机，核心交换机更换为2台华为S7706，增加了核心交换机冗余，形成双核心交换网络，保障了链路可用性，提高了数据的高速转发能力。应用子网的划分采用Vlan技术，在接入层交换机端口进行划分，按不同的业务划分不同的Vlan。

访问控制可以通过多种方式实现，包括基于角色的访问控制RBAC）、基于策略的访问控制ABAC）等。RBAC通过将用户分配到不同的角色，并为每个角色分配特定的权限，实现对用户访问的控制。ABAC则根据事先定义的策略来控制用户的访问权限，更加灵活。总的来说，访问控制是保护信息安全的重要措施，有效的访问控制可以防止信息泄露和系统遭受攻击。在建立访问控制策略时，需要综合考虑安全性和便利性，确保系统既安全又高效

4．制定网络安全访问控制策略，内部信息网和互联网之间只允许网络控制中心访问互联网的任何地址和任何端口。只允许党务、财务采购人员访问互联网8080端口，只允许网络控制中心技术人员访问和配置防火墙地址和控制端口，其他的端口均禁止访问。办公子网和调度子网之间，允许办公子网的地址访问调度子网的任何地址和任何端口。允许调度子网访问办公子网电子邮件110、25端口。允许调度子网访问办公网服务器地址段的8080、20、21端口，禁止调度子网访问财务、人事地址段和任何端口。

2.2.3网络设备防护

通过部署防火墙设备，利用其虚拟防火墙功能，实现不同区域之间的安全隔离和访问控制。同时，在数据中心内部区域与网络互联区之间部署防火墙。在内部区域网和互联网之间安装了华为USG6350防火墙，使内部区域网不受来自互联网网络攻击和非法接入。

主要实现以下安全功能：

（1）实现纵向专网与业务网的双向访问控制；

（2）实现核心网络与应用服务区、数据交换区之间端口访问控制，关闭不必要端口；

（3）实现应用层协议命令级的访问控制；

（4）实现长链接的管理与控制。

网络设备防护应具备鉴别登录用户身份、限制网络设备管理员登录地址、处理登录失败、防止网络远程管理被窃听等功能。

2.3网络攻击防范技术

企业网络的攻击来自于内网和外网，根据单位的互联网连接模式来看，来自外网的攻击的方式主要是病毒传播和种植木马以及Ddos攻击（分布式拒绝服务）。内部局域网的攻击也是网络攻击的重要方式，根据网络的拓扑结构和安全部署，来自内部的攻击主要有系统漏洞攻击和ARP欺骗。根据不同的攻击方式，在现有设备和技术的情况下制定了相应的防范设计技术。

2.3.1防范来自外部的网络攻击技术

针对来自病毒和木马的攻击，主要在各个应用子网上部署可定时升级病毒库，在关键位置主机上防病毒软件，实现交叉查毒、杀毒。同时制定严格规定，限制未经过认证和查毒处理的软件安装、禁止使用来自外部优盘等。

2.3.2防范来自内部的网络攻击技术

针对系统漏洞攻击的原理，需要在各个应用子网部署AWVS漏洞扫描工具，定时的网络内的联网主机和服务器进行漏洞扫描检测安全漏洞，在网络服务器上定时提供系统漏洞补丁，便于网内用户及时下载安装。网内主机上禁止安装盗版系统软件，根据系统补丁的发布及时安装操作系统漏洞补丁。

2.4网络安全管理

2.4.1网络安全分级管理

网络安全管理工作遵循“积极利用、依法管理、科学发展、确保安全”方针，坚持“谁主管谁负责，谁建设谁负责，谁运行谁负责”原则，实行分级管理和分工负责。网络内使用的IP地址进行安全管理，统一管理、统一分配。

2.4.2网络安全管理

在计算机网络系统中，绝对的安全是不存在的，网络安全实现的一个前提是制定一个全面的安全管理规章制度，运用一切可以使用的工具和技术，尽一切可能去控制、减小一切非法的行为，尽可能地把不安全的因素降到最低，根据使用人、网络应用、网络设备等方面制定了网络安全管理办法并严格执行，大力加强安全新技术应用，强化人员的安全防范意识和技能教育。

2.4.3网络接入安全

信息网络安全实行统一领导、统一规划、分级管理制度，涉及有关安全的活动，必须经安全审批、复核。接入人员必须经过审批同意后经用户、密码认证后接入网络。对于网络设备的管理采用双人负责制，保证设备的安全性。

2.4.5网络安全检测及预警

网络安全职能部门组织开展网络安全监测、预警和事件处置，负责网络运行阶段同步贯彻落实国家网络安全政策、网络安全管理和技术要求；按照网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生网络安全事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

3结束语

综上所述，随着苏北运河智慧化发展水平不断提高，面对复杂多变的网络攻击，苏北运河将进一步探索航闸业务与新一代网络信息技术深度融合，实现基础设施管养的数字化、航闸运行的智能化、网络运行安全化，将京杭运河苏北段打造成“绿色、高效、安全、智慧”的现代化运河。