牟 舵 ，肖尧轩 ，张 飞 ，蒙永务

（1. 水利部珠江水利委员会珠江水利综合技术中心，广东 广州 510611；2. 水利部珠江水利委员会技术咨询中心，广东 广州 510611；3. 水利部珠江水利委员会西江局，广西 南宁 530007）

0 引言

2019年5月，国家标准化管理委员会发布了国家标准 GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》（以下简称等保 2.0），增加了无线网络、云计算、大数据、移动互联及物联网等方面的安全扩展性要求[1]。但从目前珠江流域网信工作开展情况看，网络安全防护主要集中在等保1.0 阶段，网站、网络尚不支持 IPv6（互联网协议第6版），在主动监测预警、新技术防护等方面也较为薄弱，难以支撑新时期珠江流域各省级水行政主管部门的网信工作需求。

遵循“水利工程补短板、水利行业强监管”总基调[2]，围绕补齐珠江流域水利网信工作短板的总目标，开展珠江流域网络安全能力提升和网络 IPv6改造的研究工作，对提升珠江流域网信水平，流域水利事业高质量发展具有重要意义。

1 网络安全现状

1.1 网络安全概况

珠江流域水利网信工作近年来在推进网信基础设施建设，提升网信技术水平，完善体制机制等方面多管齐下取得了积极成果。现已形成纵向上达水利部，下至珠江水利委员会（以下简称珠江委）各委属单位、水情中心和测站，横向与流域各省（区）水行政主管部门及相关地（市）之间互联互通的水利网络安全保障格局。

珠江流域各省级水行政主管部门结合自身条件，依据等保要求对本单位网络进行了分区分域保护，并在各安全区内部署了病毒防护、防火墙、入侵监测及身份认证等系统的防护措施，网络安全防护能力稳步提升。同时各单位通过第三方测评机构完成了相关业务应用的定级备案工作，并制定相关的网络安全管理办法、应急预案等规章制度，为规范网络安全管理工作提供制度支撑。

1.2 网络安全短板

根据近几年的网络安全检查和水利部组织的攻防演练情况发现，目前珠江流域各省级水行政主管部门网络安全的日常管理手段主要基于防火墙、入侵检测、入侵防御及日志审计等安全设备，管理措施侧重于硬件资源监控和系统运维的管理。随着各单位网络架构不断扩展，业务系统和数据资源逐步增多，对网络和应用的“安全、稳定、高效”的运行要求越来越高，现有的安全管理体系和措施手段难以全面满足珠江流域各省级水行政主管部门的网信工作需求。

目前各单位网信工作基于等保 1.0 标准开展，随着新技术的发展和深入应用，等保 1.0 标准相关要求已很难满足当前网络安全工作的需要，特别在云计算、大数据、移动互联网等方面缺乏相关防护标准。《中华人民共和国网络安全法》颁布实施后，2019年5月1日国家标准化管理委员会发布了等保2.0 国家标准体系的3个标准：GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》（等保2.0），GB/T 28448—2019《信息安全技术 网络安全等级保护测评要求》和 GB/T 25070—2019《信息安全技术 网络安全等级保护安全设计技术要求》[3]。与新的等级保护标准要求相比较，珠江流域各省级水行政主管部门的网信工作仍存在部分短板，主要集中在基础设施性能落后等5个方面。

1.2.1 基础设施性能落后

目前珠江流域各省级水行政主管部门基础设施存在的问题较为类似，主要包括以下几点：

1）网络结构划分不够合理，导致服务器之间的访问控制策略无法按最小化原则进行设置；

2）网络中关键设备性能较低，部分安全区缺乏防火墙，无法对终端进行有效管控，日志和漏洞扫描等系统关键设备性能低下；

3）缺乏无线 Wi-Fi 管控系统，无法对通过家用型无线路由器接入本单位网络的终端进行有效控制、识别和定位；

4）缺少智能化、便捷化的网络管理系统，当发生个人终端受病毒、木马感染的事件时，无法准确定位和联动断网防护。

1.2.2 主动监测预警手段缺乏

网络安全监测预警方面，由于软硬件造价较高，珠江流域大部分水利部门缺乏网络安全态势感知、大数据流量分析、主动监测预警等有效手段，难以及时发现问题，安全处理依然很被动。虽然部分单位可通过现有的 APT 攻击（网络战）预警平台和 WAF（Web 应用安全防火墙）等设备对本单位网络的外部攻击情况进行长时间监控，但对本单位局域网内部的攻击无法监测预警，导致通过局域网内部的个人终端、服务器或者从上下级有关单位侧向渗透到本单位的网络攻击无法监测预警。

1.2.3 网络安全意识有待加强

通过分析水利部组织的攻防演练和各单位对自身的网络监控等情况发现，弱口令和远程控制的问题较为严重，在已发现的漏洞中占比分别接近 60%和 20%，漏洞分布如图1所示。虽然各有关单位的网信部门要求相关人员及时采取更改终端弱口令，卸载远程控制软件，关闭445和3389端口等措施，避免个人终端、服务器网遭受攻击，但部分职工依然存在安全意识淡薄、抵触和侥幸心理的情况，没有及时采取相关的防护措施。如果不采取相关措施，可能会出现个人终端、服务器设备、网络设备被植入木马或远程控制，导致出现泄密、服务器宕机、网络中断等重大安全事件。

图1 漏洞分布

1.2.4 新技术安全防护能力缺乏

为方便业务开展，珠江流域各省级水行政主管部门近几年全面应用虚拟化和移动互联等技术。2019年5月印发的《网络安全等级保护基本要求》系列标准（GA/T1390系列），包括通用要求，以及云计算、移动互联、物联网、工业控制等安全扩展要求，对虚拟化、移动互联等新技术提出了明确的防护要求。流域内除个别经济条件较好的单位外，绝大多数单位现有安全防护体系无法实现对虚拟化、移动应用的安全防护，存在较大安全隐患。

1.2.5 网站及网络建设无法全面支持 IPv6

2017年11月中共中央、国务院办公厅印发的《推进互联网协议第六版（IPv6）规模部署行动计划》（厅字〔2017〕47 号）中明确提出，到 2020年末，市地级以上政府外网网站系统全面支持 IPv6[4]。但目前珠江流域各省网络及网站系统还无法全面支持 IPv6，无法满足中共中央、国务院办公厅有关文件精神要求。

2 网络安全能力提升工作思路

针对网络安全问题，应首先对网络安全防御基础设施进行升级改造，提升珠江委网络的安全防护能力。同时，开发建设包括资产管理、风险感知、预警管理等子系统在内的网络安全威胁监测预警系统，建设网络安全威胁信息采集系统用于采集网络内的各类安全威胁数据，将采集到的网络安全相关信息和从水利部威胁情报共享得到的信息进行汇总，从资产、风险和预警等几个维度对网络内可能存在的安全威胁或已经发现的安全事件进行检测分析，并根据分析结果进行预警，为后续安全监测分析提供数据支撑。

通过共享调用水利部网络安全大数据分析平台和决策指挥系统的处置结果和共享数据，结合威胁感知预警系统、一体化运维平台的分析结果，对网络中可能发生的安全事件和威胁进行分析研判，并根据相应的应急预案进行响应处置。

与此同时，利用可视化技术充分展示网络安全威胁感知预警和决策指挥等系统中的分析结果，为安全运维人员实时掌握当前安全状况，跟踪各安全事件处理进程，以及领导宏观掌握珠江委网络安全态势提供技术和数据支撑。总体工作思路如图 2所示。

图2 总体工作思路

2.1 推进网络安全基础设施改造工作

在现有安全防护措施基础上，珠江流域各省级水行政主管部门可着重在网络安全设备升级改造、无线准入控制及网络管理等方面，推进本单位网络安全基础设施改造工作，夯实网络安全体系基础。

2.1.1 升级改造网络安全设备

全面梳理各网络分区的访问策略，按最小权限原则实施严格的接入和访问控制策略。在充分利旧的前提下补充边界防护、数据防泄漏、WAF、数据库审计等安全设备，完善本单位网络安全基础设施防护体系。

2.1.2 建设无线准入控制系统

建设无线准入控制系统，提升本单位园区各区域无线网络防护能力。无线准入控制系统可实现无线网络的接入控制、转发和统计，AP（无线接入点）的配置监控、漫游管理和安全控制等功能。

2.1.3 建设 SDN 系统

建设 SDN（软件定义网络）系统，达到本单位网络范围内的“网随人动”的效果。在不需要做任何网络配置调整、增加运维复杂度的基础上，SDN系统可实现本单位内部职工和个人终端在单位园区内任意角落移动，保持人和终端始终处于既定的隔离网络，延续既定的网络策略，从而降低网络的运维复杂度，同时，可实现与本单位运维平台（如有）的协同联动告警。

2.1.4 完善安全服务体系

1）完善统一身份认证。在各单位已有身份认证系统的基础上，基于水利部下发的多因子认证系统，完善本单位的身份认证系统，为本单位的 PC端和移动端应用提供统一、安全、便捷的认证服务。为确保完善后的身份认证系统能够正常运行，需要部署水利部下发的统一认证中间件。本次完善工作拟先对等级保护3级应用和综合办公等系统与改造后的多因子统一身份认证系统进行集成，以确保利用多因子统一身份认证系统完成用户的身份鉴别校验等工作。

2）完善密码管理。遵循国家密码管理局相关管理要求，结合各单位对密码应用的实际需要，部署密码基础设施平台。密码基础设施平台具有运维、基础密钥、标识密码属性的管理，以及密码资源管理接口、基础密码服务等功能模块，配置密码机等基础设施，并部署水利部统一下发的密码服务中间件，共享水利部统一密码管理软件，开发调用接口。本次完善工作拟先对等级保护3级应用系统与统一密码管理软件进行集成，以确保3级系统利用统一密码管理软件实现系统数据传输过程的加密。

2.2 提升主动监测预警能力

采用多种技术手段采集本单位网络内部网络安全威胁数据，并利用大数据技术对采集的网络安全威胁数据进行深度分析，从而及时发现网络中可能存在的安全威胁或攻击事件，增强本单位网络安全主动监测预警能力。主动监测预警能力主要包括网络安全威胁信息采集、监测预警两部分，主动监测预警示意图如图3所示。

图3 主动监测预警示意图

2.2.1 建设流量采集系统

在本单位各网络分区关键点上的交换机上部署流量探针并进行流量镜像，镜像流量主要包括 TCP会话、HTTP 头部信息及事务、邮件传输行为、文件传输、登录行为、FTP 控制通道等日志数据[5]。流量采集系统将镜像后的流量推送至流量探针，流量探针对相关的镜像流量进行全流量还原和检测，并将相关数据推送至网络安全威胁监测系统，实现网络内异常流量自动感知。流量采集系统主要包括协议解析、流量记录和安全分析等功能。

2.2.2 建设网络安全威胁监测系统

建设网络安全威胁监测系统，利用大数据技术对流量采集系统获取的网络安全威胁数据进行深度分析，从而及时发现网络中可能存在的安全威胁或攻击事件，增强本单位网络安全威胁主动监测能力。网络安全威胁监测系统主要包括资产管理、风险感知、预警管理、安全策略管理、BI 展示等功能。

2.3 提升纵深防御能力

根据珠江流域各省级水行政主管部门在虚拟化、移动互联等方面的业务需要，须进一步提升网络安全纵深防御能力。

2.3.1 建设虚拟化防护系统

虚拟化防护系统是在本单位网络业务应用区的虚拟化平台基础上，部署包括虚拟下一代防火墙、WAF、入侵检测、安全审计和云堡垒机等虚拟化安全防护资源组件，满足等保 2.0关于虚拟化的防护要求。虚拟化防护系统可为虚拟化平台内不同级别的应用按需配置相关的防护资源，实现对不同业务应用区的防护、入侵检测和审计等安全功能。

2.3.2 建设移动应用防护系统

在本单位现有移动应用系统基础上部署移动应用安全防护系统，整合系统沙箱、应用安全加固、链路加密、数据加密、移动端数据防泄漏等能力，为本单位移动应用提供私有的移动应用统一发布平台（支持 IOS 与 Android 移动系统）和全方位的安全防护支撑，包括设备管理、移动应用接入、数据防泄漏等功能。

2.4 开展网站及网络 IPv6 改造

按照急用先建、适度超前、逐步建设的思路，开展珠江流域网站及网络 IPv6 改造工作。

2.4.1 网站 IPv6 改造

按照国家 IPv6 有关要求，结合各单位网站的实际情况，对网站内容进行迁移，对网站硬件服务器、软件和中间件等进行升级改造，改造后的网站可全面支持 IPv6 协议。其中，网站的 IPv6 兼容性改造包括操作系统、网站发布和应用服务器软件、网站发布模板、定制开发应用程序、应用开发接口等的升级和测试。

2.4.2 网络设备 IPv6 改造

流域各单位首先对骨干网节点的网络设备进行升级改造，实现珠江流域骨干网络对 IPv6 的支持；随后逐步完成本单位全部网络设备的 IPv6 升级改造，实现珠江流域网络对 IPv6 的全面支持。

3 网络安全能力提升预期成果

通过开展网络安全基础设施改造、主动监测预警、纵深防御的能力提升及网络 IPv6 改造等工作，珠江流域将基本形成“预警及时、防御有效、响应快捷、安全可控”的网络安全综合防护体系。

3.1 安全防护体系进一步健全

通过网络安全基础设施改造，珠江流域网络安全体系将基本满足等级保护要求，防护范围进一步扩大，成果如下：

1）基本满足等保 2.0 相关防护和测评标准；

2）防护级别与当前一致，即不低于本单位当前等保防护能力；

3）引入 SDN、无线控制等网络管理手段，实现终端、无线网络的有效控制，同时，SDN 和无线控制系统可与本单位的运维平台（如有）协同联动告警，防护范围从原来的机房延伸至终端，安全防护体系进一步健全。

3.2 被动防护向主动防护转变

通过网络安全威胁信息采集、监测预警等系统的建设，将形成集数据采集、安全监测、数据分析和响应处置于一体的主动安全防护体系，把传统的事中单点处理向事前持续预警、事中协同响应和事后回溯优化转变，将有效提升珠江流域各省级水行政主管部门网络安全的主动防御能力。

3.3 边界防护向纵深防护延伸

通过虚拟化、移动应用防护的建设，形成珠江流域各省级水行政主管部门的网络安全防护体系，由传统的网络边界防护层面向网络内部防护层面扩展，防护系统建成后，将基本形成外部攻击可防御，内部攻击可检测的内外协同防护体系。

3.4 网站及网络全面支持 IPv6

通过对网站系统和网络设备的升级改造，实现珠江流域各省网站及网络对 IPv6 的全面支持，满足《推进互联网协议第六版（IPv6）规模部署行动计划》提出的关于加快推进 IPv6 规模部署，构建高速率、广普及、全覆盖、智能化的下一代互联网的有关要求。

4 结语

珠江流域地处粤港澳大湾区、环北部湾经济圈的核心区位，做好网络安全工作对流域经济社会高质量发展具有重要意义。本研究从网络安全基础设施、主动监测预警能力、纵深防御能力、网站及网络 IPv6 改造4个方面探讨了今后珠江流域网信工作的主要思路和预期成果，对流域各省水行政主管单位开展网信工作有一定借鉴意义。由于本研究处于规划研究阶段，着重对今后珠江流域网信工作的思路进行讨论，待研究的相关内容落地后，需要进一步研究态势感知、虚拟化防护、IPv6 改造等工作在珠江流域网信工作中取得的效益。