赵化众，刘芳浩，康 正

（1.亿阳信通股份有限公司，北京100000；2.南水北调中线干线工程建设管理局天津分局，天津300000）

南水北调中线工程计算机信息系统主要分为应用系统、应用支撑平台、数据存储与管理系统、计算机网络系统、通信系统、系统运行实体环境等部分。随着计算机网络技术在南水北调工程中的全面应用，为了避免因网络安全问题造成不利影响，需要对计算机网络安全隐患进行防范，以保障计算机信息系统的平稳运行。

1 计算机网络安全现状

南水北调中线干线工程计算机网络系统分为控制专网、业务内网、业务外网3张网络，每张网络承载不同业务系统，具有不同的网络结构及安全防护级别。网络之间具有明显的边界，每张网络又可以分为中线局、分局、管理处、现地站4层网络结构。

控制专网承载闸站远程监控系统，闸站远程监控系统是南水北调中线干线核心生产信息系统，负责各现地（闸）站设置各类数据、图像、话音等数据的采集，并对闸站远程控制。

业务内网主要承载工程防洪、安全监测、水质监测信息、工程管理、视频监控等辅助型生产信息系统，以及综合办公、财务、视频会议等办公类信息系统。

业务外网主要负责互联网访问及应用系统的对外应用发布。

2 计算机网络安全隐患

计算机网络的主要作用是信息传输，在传输过程中面临着很多安全隐患，主要分为技术方面和管理方面。

2.1 技术隐患

（1）规划设计不合理。网络系统的设计初期就应该针对系统需要承载的业务系统、覆盖范围、访问模式进行相应的安全设计，特别是像南水北调中线干线这种横跨多个省份的大型网络系统，需要对网络结构进行合理的规划，设计网络安全防范区域，并针对不同区域的安全风险程度进行安全防护方案的制定。网络结构的不合理将导致网路系统加大针对业务系统、地理区域进行单独的安全防范的难度，降低安全防范的效果。

（2）计算机病毒。计算机病毒是最常见的安全威胁，具有潜伏性、破坏性、繁殖性、传染性、针对性、隐蔽性和可触发性等特征。计算机病毒的危害主要通过病毒破坏或窃取主机、系统、数据等信息资产造成信息系统、生产系统的性能下降，功能丧失。

（3）网络攻击。网络攻击指借助计算机技术，主动的、有针对性的对计算机网络系统、信息系统中的特定或非特定目标进行攻击破坏、信息盗取。这是计算机网络所面临的最大威胁，网络攻击可对计算机网络造成极大的危害，并导致机密数据的泄漏。

2.2 管理隐患

（1）网络配置不当。网络配置管理不当会形成安全漏洞，使病毒、攻击者可以通过安全漏洞使用网络技术手段进行攻击、破坏。

（2）人为操作失误。操作人员不严谨、不规范的操作方式可能会对系统造成严重的破坏，造成网络中断、系统崩溃、数据丢失等后果。

（3）管理制度的缺失。如果没有网络安全相关规章制度和管理规范，容易形成管理漏洞。例如缺乏认证、授权机制，缺少对关键系统的防范措施，或者用户安全意识不强、口令选择不慎，将自己的账号随意转借给他人或与别人分享等都会对网络安全带来威胁。

3 计算机网络安全防护对策

3.1 技术层面防范措施

根据业务的重要性，南水北调中线工程干线网路系统划分为3个子网络，依据建设期网络系统规划，每张网承载不同的业务系统，每张网络根据业务的重要性部署不同级别的安全防护策略。每张网络内部又划分为总局、分局、管理处、现地站4个层次，并且划分了服务器区、运维管理区等区域，各区域间有清晰的边界，方便进行防护。

3.1.1 网络边界的防范

（1）网络间防护。业务内网需要控制专网闸站监控系统的数据，在控制专网、业务内网之间部署了网闸设备，用于将业务需要的位于控制专网的数据摆渡到业务内网。数据摆渡与数据传输有本质上的区别，数据摆渡采用私有协议，控制专网、业务内网的双方并不知道对方的存在，也无法直接建立连接，数据只能从控制专网单方向摆渡到业务内网，从而实现控制专网与业务内网的隔离。

（2）分局间的防护。在各分局之间均部署了防火墙、入侵检测设备用于区域防护，防火墙和入侵防御系统主要通过策略限制非法访问，即使局部发生入侵，也能保证其他区域的安全。

（3）互联网出口防护。互联网出口安全风险较大，是内网网络与外部的一个出口，互联网出口应该进行重点防护，中线干线部署了防火墙、上网行为管理、入侵检测、入侵防御、抗DDOS、病毒防火墙等多种防护设备。

（4）服务器区防护。服务器区部署防火墙、WAF等设备对关键系统进行了安全防护，保证业务系统的安全。

3.1.2 重要业务系统的防范

针对重要的业务系统部署的WAF防火墙，能够实时监控业务状态，防止业务系统网站被非法篡改。部署防DDOS攻击设备，防止来自互联网的病毒对业务系统的DDOS攻击而造成系统瘫痪。为保障网络安全，南水北调中线工程做出如下防范措施。

（1）授权与认证。中线干线控制专网承载着核心业务，控制专网部署了网络准入系统，接入控制专网的终端需要首先通过认证，只有使用经过授权的移动介质才能接入专网，能够有效避免信息泄漏或病毒导入。

（2）行为防范与审计。互联网行为管理与审计：在互联网出口部署上网行为管理系统，能够通过该系统对用户互联网的行为进行限制并审计。数据库审计：部署了数据库审计系统，能够对业务系统、操作人员的数据操作进行审计。运维管理与审计：部署了运维管理与审计系统，可以对各级运维人员进行授权，只有经过认证并具有授权的人员才能够对设备进行操作，运维人员通过堡垒主机进行任何操作都会被记录下来。

（3）漏洞防范。为保证信息安全，南水北调中线工程部署了漏洞扫描系统，对网络设备、服务器、应用系统进行安全扫描，以便及时发现设备、系统存在的安全漏洞。部署了安全配置核查系统，对网络、服务器、操作系统进行安全配置基线核查，以便及时发现设备、系统在安全配置上的缺陷。网络安全人员会对扫描出的安全漏洞、缺陷及时进行修复，保证设备、系统的安全。

（4）病毒防治。为防范病毒由互联网进入南水北调中线工程内部网络，南水北调中线干线在互联网出口部署了防病毒网络设备，对进出互联网的数据进行病毒查杀，一旦通过分析发现数据与病毒特征一致，将阻断数据传输，避免病毒数据进入网络内部。在网络内部各分局之间的边界通过防火墙设备屏蔽部分已知病毒端口，例如勒索病毒445端口，避免内网局部出现病毒后在全网扩散造成病毒传播。在所用用户终端的电脑要求安全防护、病毒查杀软件，防止病毒通过终端用户电脑进入网络内部。

（5）数据加密。南水北调中线工程针对核心生产系统-闸站监控系统建设了数据传输加密防护，实现控制专网由系统服务器至前端现地（闸）站之间的网络数据以加密的方式进行传输，保证数据无法被非法篡改，即使数据被截获也无法识别，实现传输数据的安全可靠。

3.2 管理层面防范措施

（1）建设网络安全管理体系。颁布一系列网络安全管理办法，涵盖信息安全管理制度、信息安全管理机构、系统建设信息安全管理、运行维护信息安全管理等方面。

（2）提高网络安全人员业务水平。提高网络管理人员的业务素质是一个重要的任务，为网络安全管理人员和操作人员提供安全技术培训知识，加强业务技术培训，提高技能，注重网络系统的安全管理，防止破坏网络安全事故的发生。

（3）提升网络安全意识。开展网络安全教育，学习网络安全法和安全常识，提升全员网络安全意识，提高员工的责任感，提升网络安全防范能力。

4 结语

南水北调中线计算机信息系统的安全管理是一个全方位、多层次的问题，是一个不断需要完善和提升的过程，是一个与计算机病毒、网络攻击作斗争，人员安全意识持续提升的过程。网络的安全不能一劳永逸地单靠技术手段解决，没有任何一种技术可以保证网络绝对安全。因此，笔者认为，要做好内部网络安全工作，不仅需要过硬的技术手段、周密的安全策略，更需要不断提高系统管理人员和使用人员的安全意识。上述是笔者多年从事计算机信息系统管理得出的经验总结，结合南水北调中线建管局网络安全管理项目的心得体会，希望可以为其他类似工程的网络安全建设提供一些思路。