杨 旭，李元杰，成 萌

（1．水利部信息中心，北京 100053；2．水利部小浪底水利枢纽管理中心，河南 郑州 450000；3．北京六方云信息技术有限公司，北京 100085）

0 引言

随着信息技术的迅猛发展和广泛应用，特别是我国国民经济和社会信息化进程的全面加快，网络与信息系统的基础性、全局性作用日益增强，信息网络已成为国家和社会发展的新一代重要战略资源。网络运营者要履行安全保护义务，保障网络免受干扰、破坏及未经授权的访问，防止网络数据泄露、被窃取和篡改。近年来，国家相继出台《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等网络安全相关的法律法规文件[1–3]，明确指出，要维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益。

水利是国家关键信息基础设施的重要行业之一，水利部肩负着水利关键信息基础设施安全保护和监督管理职责，需要保障和促进水利信息化建设的健康发展。水利行业下级单位较多，包括 7个流域管理机构在内的直属单位及 32个省级水行政主管部门。随着水利网信建设水平的不断提档升级，各级水利部门（单位）开展的网络安全管理工作日趋繁重，对水利行业开展网络安全监管，已然成为水利网信高质量发展不可或缺的一部分。因此，为保障水利网信高质量发展，亟须建立水利网络安全工作平台，辅助相关部门以过程化、规范化、结构化的运作方式开展水利网络安全管理工作。

1 存在问题与改进思路

1.1 存在问题

水利行业信息系统数量多，区域分布广泛，网络安全管理工作面临巨大的挑战，相关部门在落实监管工作中面临较大的困难，具体表现在以下 4个方面[4–5]：

1）监管工作繁重。日常水利监管工作涉及水利行业各单位月报、季报、检查、排查等方面，工作琐碎且繁重，重复工作多，统计分析工作量大。

2）系统类型多样。包括网络、平台、信息系统、工控系统等多种类型系统，安全管理侧重点不同。

3）存在信息孤岛。各直属单位、地方水利管理部门的等级保护（以下简称等保）数据信息没有通过信息化手段统一收集、存储和管理。

4）缺少自动化管理手段。水利网络安全工作缺少自动化、标准化、流程化工具。

1.2 改进思路

为更好地开展水利行业网络安全管理工作，履行水利关键信息基础设施保护工作部门职责，采取“纵向组织”和“横向配合”相结合的工作思路建设水利网络安全工作平台，实现网络安全管理工作的自动化、流程化、标准化，有效解决当前行业监管存在的困难和短板，提升网络安全管理效率。水利网络安全工作平台按照“一整、一符、四化”的设计思路，贴合水利网络安全工作业务进行建设。

1.2.1 一整

一整指整合水利行业各级单位业务系统信息，建立动态更新机制，实时掌握行业系统数量及等保相关数据。

1.2.2 一符

一符指符合水利行业网络安全管理模式。针对水利关键信息基础设施、等保三级系统资产进行检查检测，对网络安全管理中发现的不合规项，下发整改通知并持续跟踪，建立既符合网络安全管理需要、又符合水利行业业务管理的流程。

1.2.3 四化

四化包括以下内容：

1）自动化。提供更简洁的操作方式，在开展行业网络安全检查检测时，通过水利网络安全工作平台自动生成定制化检查任务，并对任务进行实时监控，推进检查任务顺利进行。

2）流程化。以全生命周期的形式覆盖定级、备案、自评估、整改过程，用户只需按流程进行操作便可完成业务系统的等保自评估工作。

3）常态化。以水利网络安全监管工作为核心，将监管融入日常信息化工作，有效促进各单位网络安全工作的常态化。

4）标准化。支持安全性评价，评价指标标准化，建立和不断完善知识库，为管理决策提供参考。

2 平台设计

2.1 整体架构设计

水利网络安全工作平台通过 B/S 提供服务，基于标准的 J2EE 开放式架构，采用 MVVM（Model-View-ViewModel）设计模式，面向对象进行灵活性设计，兼容第三方移动平台，实现 PC、移动端的统一协同联动，为用户构建一套稳定、高效、安全、可靠的应用系统。水利网络安全工作平台具备良好的扩展性和兼容性，通过非对称加密机制，保证信息的传输安全。所应用的技术组件能与其他平台进行良好的集成，极大提高了应用系统的自动化处理能力和交互性，并提供集成接口实现与第三方软件产品的无缝对接，支持安全管理业务扩展到移动终端平台。

水利网络安全工作平台整体架构示意图如图1所示。具体四层架构分析如下：

图1 平台整体架构示意图

1）应用业务层。应用业务层提供业务服务，负责和用户进行交互。安全通报、重要时期保障（以下简称重保）任务、等保管理、安全检查、安全评估、安全教育、数据上报、风险预警等应用业务，都关联着日志记录，和水利网络安全工作平台管理通过用户信息进行交互，在移动服务中也有着同样的功能。

2）数据处理层。数据处理层进行数据处理分析[6]，包括数据预处理、分布式大数据计算、数据分析等处理，其中：数据预处理，经历从数据校验、清洗到转换的流程；分布式大数据计算，包括分布式存储、RESTful、弹性扩展、实时搜索等内容；数据分析，包括单位、信息系统、修改、关联性、等级、时间等分析内容。数据处理全过程都有日志记录，并和水利网络安全工作平台管理模块进行交互。

3）基础设施层。基础设施层是应用业务层、数据处理层的基础，为其他各层提供基础类库服务，包括数据的高可用、中间件、操作系统、内存缓存、消息队列、数据库存储、文件存储等，其他层调用基础设施层需通过日志进行记录。

4）运行环境层。运行环境层作为水利网络安全工作平台整体架构的最底层，为整个平台的运行提供稳定保证，包含信息安全系统、操作系统环境、虚拟化系统和数据存储环境。

2.2 功能模块设计

水利网络安全工作平台以日常监管业务为核心，依托平台开展水利行业等保信息统计、安全检查信息填报、安全事件报送等工作。水利网络安全工作平台基于安全通报、重保任务、安全检查、安全评估等主要功能模块，以模板定制、在线上报、事件工单下发、自动统计分析等形式，将等保、监督检查、联防联控等业务融入工作平台，实现对网络安全信息的实时收集和集中管理，对存在的安全漏洞和风险及时进行通报、预警和反馈，为水利行业日常开展安全监管提供数据支撑，提高管理工作效率。平台功能模块设计图如图2所示。

图2 平台功能模块设计图

2.2.1 安全通报

信息通报机制是及时发现网络安全风险隐患、应对网络安全威胁和挑战、有效处置网络安全事件的重要支撑，贯穿水利行业网络安全全过程。建设水利网络安全工作平台前，水利部通过蓝信移动端发通报，无法跟踪及形成闭环。通过工作平台安全通报模块，可实时收集网络安全漏洞信息，并对相关单位及时进行通报预警，为水利行业及时排查网络安全漏洞，处置相关风险提供保障。

通过水利网络安全工作平台不仅可定制通报模板，还可自动跟踪通报情况，逾期会提醒。通报模块工作流程如图3所示。

图3 通报模块工作流程示意图

2.2.2 等保管理

等保管理核心功能是等级保护。《中华人民共和国网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”，这条规定使等保制度上升到法律层面，在法律上确定了等保在网络安全领域的核心地位。水利部高度重视等保制度的落实工作，定期组织水利行业开展等保信息上报和统计，通过等保工作发现单位信息系统存在的安全隐患和不足，通过安全整改提高信息系统的安全防护能力，合理规避风险，保障全行业网络与信息系统的安全稳定运行。通过工作平台等保管理模块，实现水利网络安全监管各个工作环节的工作流程，包括等保信息的收集、统计分析、综合汇总，提高水利行业等保信息管理效率。

通过要求各单位按等保要求填报定级、备案、评测及整改信息，对业务系统开展合规建设，及时发现水利行业存在的风险隐患，对不合规的系统进行督促整改，将系统安全做到可视、可管、可控。等保工作流程如图4所示。

图4 等保工作流程示意图

2.2.3 重保任务

重保主要在水利网络安全工作平台定制下发任务，并通过蓝信移动端、短信形式下发各单位，对未及时反馈的单位进行通知提醒，最终对各单位安全反馈信息进行统计汇总，并可视化展示汇总信息。通过水利网络安全工作平台与移动业务实时通信，提升信息上报的效率，高效推动水利行业网络安全零报告制度的执行，支撑完成国家网络与信息安全信息通报中心在重要时期部署的安全保障任务。重保工作流程如图5所示。

图5 重保工作流程示意图

2.2.4 安全检查

网络安全检查主要包括安全检查、自定义下发、自定义检查等模块。水利网络安全工作平台安全检查模块联动等保模块系统信息，可为水利行业开展网络安全专项排查提供支持。通过自定义表单下发任务，统一上报汇总，统计分析检查，形成水利行业检查结果，可提升工作效率。网络安全检查工作流程如图6所示。

图6 网络安全检查工作流程示意

2.3 设计创新点分析

水利网络安全工作平台设计创新点主要体现在以下几方面：

1）基于分布式大数据技术实现平台的快速检索、大数据量动态分析展示和高弹性扩展[7]。强大的搜索功能，可按分布式搜索的方式快速检索，通过类似配置的语言，快速筛选数据并对数据进行分析。完美的展示功能，可展示非常详细的图表信息，且可定制展示内容，将数据可视化发挥得淋漓尽致。分布式功能，能解决大型集群运维工作很多问题，包括监控、预警、安全信息收集解析等。

2）高度灵活定制选项的低代码编程方式实现安全态势数据的自定义上报。可根据用户需求，自定义需上报统计的功能项，灵活且适应性强。动态模板设置业务内容，实现零代码、低耦合。通过页面简单编辑拖拽，水利网络安全工作平台自适应布局，即可完成模板制作，供用户使用，所见即所得，充分满足安全管理业务需求。

3）借助自动化的数据融合技术实现全程的在线闭环业务处理。水利网络安全工作平台同步优化各单位具体网络安全工作业务流程，并实现自动统计汇总功能；自动汇聚数据，进行数据业务模型和容错机制管理，及时提供数据进行告警提醒，将网络安全工作人员从重复繁琐的统计、汇总、督促、检查、盯梢等工作中解放出来。

4）通过移动端配合 PC 端实现高危安全事件的及时送达、响应与处置。移动端与水利网络安全工作平台采用多信息通道、长连接通信技术，对安全事件实时进行告警提醒；采用数据安全加密技术，对数据进行双钥加固，提高数据的安全性；利用大数据多并发任务推送数据信息，可毫秒级完成信息推送。移动端提供响应应急处置机制，可一键下发下级单位，进行通告预警。

3 应用运行分析

水利网络安全工作平台极大提升了水利行业网络安全监管效率，主要体现在以下几方面：

1）促进了水利行业网络安全建设的标准化。依托过程化、规范化、结构化的网络安全管理方式，在对大数据分析汇总的前提下，水利部上级主管部门为下级单位网络安全建设提供了标准化、规范化、精确化的指导，水利网络安全工作平台部署以来，各级单位网络安全建设日趋完善和统一。

2）实现了水利行业网络安全态势的动态掌控。随着水利网络安全工作平台的顺利部署，水利部形成了一套完善的信息收集与反馈机制，包括周期性（月度、季度、年度）数据报送、风险隐患实时通报、重要时期重点保障、信息系统等保建设实时统计等。

3）有效提高了网络安全管理工作的效率。依托水利部详细的组织结构信息，水利网络安全工作平台为各级单位分配了 Web 端和手机端的账户和使用权限，明确了管理责任并落实到人，依托平台完善的信息收集机制和人性化的数据填报方式，可及时、快速、准确、便捷地收集大量数据并在内置 AI算法的分析下完成数据的分类汇总，化繁为简，日常网络安全管理时间可节省 80% 以上。

4）实现了数据的实时、安全和集中化管理。水利网络安全工作平台实现了对采集数据的归一化、索引和数据预处理的存储功能，采用加密传输方式，将数据分别送至分布式文件系统和内存中。同时按照国家有关法律法规，数据至少存储 180 d，对于关键重要数据，进行定期加密备份处理。

4 结语

本研究通过构建水利网络安全工作平台，利用大数据、人工智能、移动互联网等新技术，针对水利行业网络安全监管涉及的等保、安全检查、重保等业务需求，研发网络安全数据处理模型和流程工具，实现行业网络安全工作的统一管理，实现安全业务自动办理、安全信息分析查询、安全数据集中展示，提升了水利行业网络安全监管工作效率，对智慧水利建设提供了支撑保障，对其他行业开展网络安全监管具有一定的参考价值。

水利作为关键信息基础设施的重要行业之一，网络安全是水利信息化发展的基础，为提升工作效能，后续水利网络安全管理工作平台将与水利行业态势感知平台进行对接，实现网络安全规划建设，网络安全运行，自动化安全监测预警与风险处置，着力提升安全监管水平，筑牢水利网络安全防线，促进水利网信事业发展。