APP下载

广东省水利网络安全综合防御体系设计

2022-10-27黄宏基王战友

水利信息化 2022年5期
关键词:水利部署网络安全

黄宏基,王战友

(广东省防汛保障与农村水利中心,广东 广州 510635)

0 引言

近年来,全球网络安全形势严峻,网络安全事件层出不穷。广东省信息化程度较高,面临的网络安全形势尤为严峻。全国网络安全和信息化工作会议指出“没有网络安全就没有国家安全,没有信息化就没有现代化”[1],这就要求大家适应信息化时代,要有互联网思维,用好互联网技术的同时提高用网和治网的水平。水利部在推进数字孪生流域建设工作会议上强调,要守住安全底线,完善水利网络安全体系,增强关键信息基础设施和重要数据防护能力,确保数字孪生流域运行安全[2]。

广东水利承担着广东省防洪、蓄洪、调水、灌溉、航运、水力发电等涉及重大国计民生的职责,在网络安全新形势下,水利部、广东省委省政府对水利网络安全高度重视。《中华人民共和国网络安全法》明确指出,水利行业是我国七大重要行业和领域关键信息基础设施之一,要求各级网络运营者在网络安全等级保护制度的基础上对关键信息基础设施实行重点保护[3]。水利被列入重点保护行业和领域,这对水利网络安全工作提出了更高要求。只有严格落实网络安全防护等级和措施,提高水利网络安全事件的应急处置能力和水平,才能牢牢把握防范网络安全重大风险的主动权。

广东省一直非常重视网络安全工作,通过构建水利网络安全综合防御体系,落实“三化六防”措施,不断提升广东省水利信息系统特别是关键信息基础设施的“动态防御,主动防御,纵深防御,精准防护,整体防护,联防联控”能力,建立健全水利网络安全保障体系,有效提升广东省水利系统网络安全综合防御能力。

1 当前水利网络安全存在的问题与风险

水利网络安全的保护对象主要包括水利基础信息网络、水利业务应用系统、水利工程控制系统、水利大数据应用、云计算平台、物联网等[4]。水利网络安全主要包括通信网络、应用系统、水利数据及管理安全4个层面。

1.1 通信网络安全

通信网络是数据信息传输的重要通道,由于数据信息传输涉及面宽广,通信网络往往是网络攻击者入侵信息系统的重要途径。通过对广东省水利行业出现的网络安全事件进行分析,发现通信网络是极其重要薄弱环节之一。网络攻击者一般采用窃听、探测等方式收集有用的信息,通过 IP 欺骗、分布式拒绝服务攻击(DDoS)等方式进行网络攻击[5]。当前水利通信网络安全问题主要体现如下:

1)网络边界安全防护能力缺乏。安全设备老旧且单一,网络错综复杂,基础安全防护设备策略设置简单,未在关键位置布置流量探针,缺乏整体的边界安全防护能力,各区域未做到合理划分。

2)访问控制环节薄弱。网络边界作为内部和外部数据进出的第1道关卡,一些水行政主管部门只部署了防火墙这类基础安全设备,网络体系不具备防病毒、防攻击等安全防护功能。很多水行政主管部门为了远程办公的便捷,开通了连接到单位内部的虚拟专用网络(VPN)通道,但 VPN 账户和口令设置过于简单,VPN 虽然提供了异地办公的便捷,但也给网络边界带来很大的安全隐患。

3)安全审计困难。当前水利业务系统较多,计算机、服务器、网络设备等网络资产数量庞大,部分水行政主管部门由于缺乏日志审计系统,仅仅通过运维人员人工操作,给资产排查带来了很大障碍,难以对数量庞大的设备日常运行状况进行有效分析,难以保障信息系统及设备出现故障后及时追根溯源。

1.2 应用系统安全

应用系统往往是安全漏洞的高发区,广东省水利信息系统数量多,但由于信息系统建设时间久远,技术架构相对落后,应用系统普遍存在高中危漏洞、弱口令、恶意软件等高风险问题。这些问题若得不到及时解决,将导致应用系统成为网络攻击者入侵内部网络的跳板。由于各级水行政主管部门的应用系统除了对接其他政府机构业务,还要面向公众服务,虽然对接互联网的应用系统基本部署在隔离区域(DMZ),但缺少对高级可持续威胁(APT),Web,DDoS 等攻击的网络安全防护措施。

1.3 水利数据安全

水利应用系统及其服务器中保存着大量与水文、水情、移民、GIS 等有关的重要敏感数据,数据一旦遭到破坏、篡改、泄露,或者被网络入侵者非法获取、利用,将对国家安全、公共利益或者个人及组织的合法权益造成不同程度的危害[6]86。为避免此类数据被网络攻击者恶意利用,水行政主管部门应按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》,加强对水利数据的安全管理,建立广东省数据分类分级保护制度,确定水利重要数据的具体目录,对列入目录的数据进行重点保护,实行更加严格的管理。各级水行政主管部门应落实数据安全主体责任,建立首席数据官制度,明确职责范围,保障数据安全。水利数据源部门应对数据做好安全规划工作,建立全生命周期的水利数据安全防护基线,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力[7]。

1.4 管理安全

各级水行政主管部门虽然都基本制定了网络安全管理制度,但个别水行政主管部门管理制度落实不到位,网络安全管理制度与实际执行不一致,常常成为整个安全体系的薄弱环节。存在的主要问题为:1)部分基层水利单位网络安全责任边界划分不清晰,未建立完善的网络安全管理制度和安全预案;2)基层工作人员意识淡薄,部分单位未能定期开展网络安全培训;3)未能定期开展安全漏洞扫描或对发现的安全漏洞未及时修复。

2 水利网络安全总体架构

针对当前水利网络安全存在的问题与挑战,按照中共中央网络安全和信息化委员会办公室、水利部、公安部等有关部门网络安全等级保护的要求,搭建广东省水利综合防御体系总体架构,架构以国家网络安全法等法律法规政策作为1个顶层规范指引,以标准规范、专业支持作为2项基本支撑,贯穿运营、技术和管理3个体系。水利综合防御体系建设总体架构图如图1所示。

图1 水利综合防御体系建设总体架构图

1)在管理体系方面,完善水利网络安全“闭环管理”。广东省水利厅作为省级水利行政主管部门,应严格履行本地区水利网络安全监管职责。省内各级水行政主管部门应认真落实水利网络安全责任制度,健全组织机构,建立水利网络安全和信息化领导小组,各级领导小组应加强对水利网络安全运管、运维等人员管理。在日常排查中应加强对已有和在建资产管理,及时根据网络安全形势优化安全防护设备策略,建立水利网络安全预案并做好应急演练。根据出现的网络安全事件,按照应急预案,及时向上级部门报告,迅速处理事件的同时保存相关证据,为下一步追踪溯源做好准备。

2)在技术体系方面,在“一个中心、三重防护”的基础上增加应用数据安全,形成“一个中心、四重防护”。水利网络安全技术体系以安全计算环境、区域边界、通信网络为防护基础措施[8],以数据保护为核心,建立一个健全的安全管理中心,推动水利网络安全从传统的被动防御向主动防御建设。同时,针对物理环境、通信网络、设备和计算、应用数据等方面的安全问题,严格按照商用密码技术要求,建立依托密码技术的水利信息化密码体系,真正做到从底层数据开始,全方位保障整个网络系统的安全。

3)在运营体系方面,在日常运营中把安全管理中心扩充升级为全网的运营中心,打通管理、技术、运营3个层面,按照“三化六防”的要求,落实日常运营的常态化、体系化、实战化,在防御方面做到动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控,全面提升水利网络安全的防护和运营保障能力。

3 水利网络分区分域设计

以强化水利网络安全防护为目标,按照网络安全等级保护 2.0 定级要求,打造具有广东省水利特点的“分区分域、多重防护”的水利网络安全综合防御体系。在不同的区域设置逻辑隔离或物理隔离,实现对网络架构分区分域。为了更好地设置安全防护策略,对具有相同防护要求的网络设备划分到同一区域。针对不同防护要求的区域,部署不同类型的安全设备,达到多层防护的目的。

根据网络安全等级保护分级保护的基本要求,将水利信息网络按照业务使用的特点划分为若干个不同安全保护等级的安全区域,依次为政务接入区、互联网区、DMZ 业务区、办公区、核心应用区、安全运维管理区、内部业务应用区、核心交换区8个区域,具体如图2所示。其中,在政务接入区链接水利部、省政务外网,广东省水利网络与水利部及省政务外网通过防火墙等安全设备进行逻辑隔离,在实际使用过程中,省级及以下单位网络安全等级保护第二级系统数量较多,同时也有部分重要系统被确定为网络安全等级保护第三级系统,根据业务信息、系统服务安全被破坏时所侵害的客体程度确认系统的网络安全保护等级,对不同网络安全等级的系统进行不同区域的部署。DMZ 业务区用于部署需要与外部网络进行交互的网络安全等级保护第二级及以下系统;内部业务应用区用于部署内部交互的网络安全等级保护第二级及以下系统;核心应用区在第二级系统安全保护环境的基础上,通过第三级安全标准进行设计,主要用于部署内部网络安全等级保护第三级的重要信息系统。

图2 网络架构分区分域

在分区分域的基础上,采用“分区、分域、分业务”的隔离机制,层层逐级加强防护[9],建设具有水利特色的“一个中心、四重防护”的网络安全综合防御系统。具体情况如下:

1)第一重防护,计算环境安全防护。作为网络系统安全保护的核心和基础,安全计算环境是通过对应用系统、数据库、主机、服务器等加强安全机制服务,对信息数据进行处理、存储及实施安全策略,以此保证应用设备在运行过程中的安全,为业务应用系统不被入侵破坏和正常运行提供基础环境保障。

2)第二重防护,区域边界安全防护。加强对区域边界连接的保护和控制,对数据进出边界实施数据检查、访问控制等安全策略,确保在安全策略外且存在安全风险的数据能够被有效隔离在边界外[10]。

3)第三重防护,通信网络安全防护。通过对信息传输双方实施身份鉴别验证、建立安全通道等安全策略,确保数据在传输过程中不被篡改、窃听和破坏[11],有效保障传输过程中的网络安全。

4)第四重防护,应用数据安全防护。通过建立数据安全治理体系,对数据资产进行全面梳理,根据水利业务特点,将数据进行分类分级,分为一般、重要、核心数据等,实现对数据资产的安全管理。利用身份鉴别、数据加密、访问控制等安全策略,保障应用数据在传输交换过程的安全。为避免数据丢失,提高数据的安全性,建立一套异地的数据灾备系统,常见的容灾建设可分为同城容灾、异地容灾、双活数据中心、两地三中心等[6]86。

5)一个安全管理中心。通过安全管理中心可对计算环境、区域边界、通信网络及应用数据4个方面实行统一的安全策略管理,实现对数据传递的监测、监管和审计,达到安全态势感知的目的。该中心从功能上可划分为审计管理、安全管理和系统管理3个模块,各模块对应管理员不同的操作权限和管理范围。通过不同的模块功能,确保整个网络架构的配置可信、可制约、可追溯,实施全程审计追踪。

通过建立“一个中心、四重防护”的防御架构,网络安全防护可以达到3个目的:1)通过计算环境、安全区域边界、通信网络的安全防护,有力防止网络攻击者的破坏,让网络攻击者“难进入”;2)通过对数据的安全加密,让网络攻击者“难看懂,难改掉,难使用”;3)通过安全管理中心的监测和审计功能,提高对网络安全事件的追踪溯源能力,让网络攻击者尽管入侵了网络,也可以通过审计倒追攻击者,让攻击者“难走脱”。

4 水利网络安全分区部署设计

依据网络安全等级保护 2.0 的核心思想,按照公安部“三化六防”的能力要求,结合水利信息化建设现状,在运营、技术与管理三大体系上抓重点,下功夫,多项并重。在规划设计水利网络安全总体方案中,有以下5个方面要求:

1)计算环境安全通过安全漏洞扫描、渗透测试、数据库审计、防病毒软件、应用防火墙等技术保障。

2)区域边界安全通过防火墙、上网行为管理、深度数据包检测、高级持续性威胁、终端准入管理系统等技术保障。

3)通信网络安全通过虚拟专用网、虚拟局域网、核心节点双机冗余、网闸等技术保障。

4)应用数据安全防护方面,在数据端进行数据治理,包括数据梳理、质量管理、分类分级等,根据数据安全能力成熟度模型(DSMM),对数据处理者进行数据安全能力成熟度测评,确定相应的能力成熟度等级[12],以保障数据安全。

5)安全管理中心由安全运营中心、日志审计平台、运维审计系统等组成,贯穿网络架构的管理、技术、运营体系,实现对网络的统一安全策略管理,达到动态、主动、纵深防御的目的。

“一个中心、四重防护”在具体的网络架构中的部署方式如图3所示。详细的水利网络安全分区部署如下:

图3 基于“一个中心、四重防护”的水利网络安全分区部署

1)政务接入区。该区域是整个水利内部网络的主要出口之一,除链接水利部外,还链接广东省内各级水行政主管部门及其他同级政府部门的网络,属于单位内部区域和电子政务外网区域的关键网络边界。此区域的网络安全设备应具有承载业务高峰期最大业务量的处理和线路带宽能力,在满足冗余备份的要求下应具备 HA(Highly Available)双机冗余架构。为应对日益复杂的网络安全威胁,根据水利部水利信息网及广东省电子政务网的网络安全等级保护要求,应做好区域的分区隔离,在接入区需部署2台万兆高端下一代防火墙进行防护,并开启高级防病毒、入侵防御等功能,针对各类专网对内部网络的访问需要,做好访问权限的控制,实现各区域高级别的访问控制。

2)互联网区。该区域由于面向互联网侧(外部网络),因此是边界防护的重中之重,通过逻辑隔离的方式提高边界的防护能力。在边界通过部署高端防火墙(含入侵防御及流量控制模块),配套部署上网行为管理、防毒墙、负载均衡等安全设备,形成多方位的边界防护体系。

3)DMZ 业务区。该区域为位于外部网络和内部网络之间的一个缓冲区,用以部署面向公众提供服务的应用,此区域受外部攻击机会大,往往是网络安全问题的高发区域。根据网络运营者部署要求和网络安全等级保护定级指南,此区域一般需要部署与外部网络进行交互的网络安全等级保护第二级或以下系统。DMZ 业务区设计要求如下:a.为实时监测非法网络行为,展现网络安全态势,在互联网出口处部署深度流量检测探针,检测或限制从外部发起的网络攻击行为;b.在 DMZ 区部署2台万兆高端 Web 应用防火墙,加强对 Web 应用攻击的防护,以对 Web 应用的攻击和入侵实现有效防御。

4)办公区。该区域为单位内部办公网络区域,用户终端众多,用户安全技术水平参差不齐,管理难度大,是病毒高发区[13]。为加强网络病毒防控,在办公区出口部署2套防毒墙设备,并部署防病毒软件协同防护,实现“边界防病毒网关 + 内部防病毒软件”的防护架构,有效防止病毒进入内部网络。除此之外,为加强对办公内部区域的管理,增加准入管理系统,提高对外部终端网络的安全性审核,防范非法终端的接入,实现外网接入设备的授权、身份验证、安全规范管理等一系列标准流程。

5)安全运维管理区。该区域主要是为运维人员提供日常网络安全管理、问题追踪溯源的一个管理区域。为便于运维管理人员对全网的统一安全管理,在此区域统一部署安全产品,并通过配置统一的安全策略,让各种安全产品协同工作。此区域主要部署的安全产品包括日志审计系统、一体化资产管理平台、运维审计系统、防病毒系统、安全漏洞扫描系统、APT 攻击预警平台、终端准入系统及整体可视化的安全管理平台。安全运维管理区具有其独特性且在安全管理中非常重要,该区域与核心交换区之间通过部署2台防火墙进行逻辑隔离。

6)内部业务应用区。该区域主要部署内部交互的业务应用系统,根据网络运营者部署要求和网络安全等级保护定级指南,此区域一般部署内部交互的网络安全等级保护第二级或以下系统。此区域应用系统较多,也是安全防护的建设重点,在网络设计中通过部署2台高端防火墙来提高全方位的边界安全防护,同时为加强此区域的数据库安全防护,部署的数据库审计系统可以与安全运维管理区进行复用。

7)核心应用区。根据网络运营者部署要求和网络安全等级保护定级指南,此区域一般部署网络安全定级较高的系统,广东省水利行业信息系统网络安全等级保护最高为第三级。该区域主要部署水利重要系统(如关键信息基础设施、生产系统、网络安全等级保护第三级系统、重要数据库等),因此该区域需要很高的安全隔离度。在网络设计中部署2 台网闸,满足高级别安全等级保护系统的物理隔离能力,并对内部资源区和外部访问策略进行安全控制,起到对核心应用区域与外区域的访问控制保护作用。为加强对重要应用系统的保护,在数据容灾的基础上,在异地建立一套完整的与本地生产系统一样的备份系统,一旦发生灾难情形,可以通过远程系统迅速接管原来的业务,以有效保障重要系统的继续运行。

8)核心交换区。该区域主要部署水利网络的核心交换机、汇聚交换机等关键节点设备,同时在核心区域还可以通过部署深度流量检测探针,检测从内部网络发起的网络攻击行为。

在分区部署建设的基础上,通过建立安全态势感知平台和网络资产数据库管理中心来强化网络安全的综合防御能力。具体做法为:1)建立本单位的网络安全态势感知平台,通过采集本地网络安全设备的告警日志,运用大数据对网络安全行为事件进行分类、分析,利用安全算法模型对威胁风险进行挖掘分析,形成安全预警。基于安全事件、威胁、预警,形成全局水利网络安全态势情况,实现可视化感知,达到多角度、多维度的动态实时展示。2)建立本单位的网络资产数据库管理中心,对网络资产按照安全设备、网络设备、服务器、终端主机进行分类管理,做好各类资产包括名称、地址、MAC、责任人、上架位置、部署形态等基础信息运维。

5 结语

水利作为国家关键信息基础设施的重要行业之一,水利网络和应用系统能否稳定和安全运行,将直接影响水利工控管理、防汛救灾、水资源管理、山洪预警等各项工作的顺利开展[14],因此做好水利网络安全工作对社会高质量发展有着重要的意义。通过对广东省水利网络架构进行分区分域设计,提出“一个中心、四重防护”的部署架构,针对不同的区域进行不同的安全策略部署,在构建水利网络安全架构时,按照最小权限的原则对水利网络实现分区分域管理,实施严格的安全防护策略,有效提升网络安全的综合防御能力。网络安全是一个动态和持续的过程,网络安全综合防御需要不断地应对问题和完善策略,水利网络安全和信息化工作关乎到我国水利改革发展全局,扎实做好水利网络安全工作,提升水利网络安全防护能力,特别是水利关键信息基础设施网络安全防护能力[15],是一项极其重要的工作。

猜你喜欢

水利部署网络安全
一种基于Kubernetes的Web应用部署与配置系统
低碳经济下水利行业的发展
信息技术对水利规划的作用研究
晋城:安排部署 统防统治
水利预算绩效管理问题分析
部署
水患变水利 保护安阳“母亲河”
新量子通信线路保障网络安全
上网时如何注意网络安全?
部署“萨德”意欲何为?