黃河水利委員會網(wǎng)絡(luò)安全工作思路探析

侯俊偉，馮存華，雷 平

（水利部黃河水利委員會信息中心，河南 鄭州 450003）

黃河水利委員會網(wǎng)絡(luò)安全工作思路探析

侯俊偉，馮存華，雷 平

（水利部黃河水利委員會信息中心，河南 鄭州 450003）

描述黃河水利委員會政務(wù)外網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀，指出存在的問題，對如何做好涉及范圍廣、情況復(fù)雜的網(wǎng)絡(luò)安全防護工作，保障水利業(yè)務(wù)系統(tǒng)的安全，進行思路分析，并提出圍繞網(wǎng)絡(luò)安全目標(biāo)、任務(wù)，在水利網(wǎng)絡(luò)安全頂層設(shè)計的指導(dǎo)下，加強安全管理、技術(shù)防護等措施，持之以恒，完善網(wǎng)絡(luò)安全體系的工作思路。

黃河；政務(wù)外網(wǎng)；網(wǎng)絡(luò)安全；工作思路

0 引言

黨中央、國務(wù)院高度重視網(wǎng)絡(luò)安全和信息化工作。習(xí)近平總書記親自擔(dān)任中央網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組組長，指出：網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題，沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化[1]。《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）于 2017年 6月1日頒布施行，進一步將網(wǎng)絡(luò)安全提升到法律層面。

黃河水利委員會（以下簡稱黃委）在多年的網(wǎng)絡(luò)安全工作中，既有成績，也有不足。為發(fā)揮優(yōu)點，總結(jié)經(jīng)驗，避免缺點，彌補不足，需對黃委網(wǎng)絡(luò)安全工作進行分析。

1 網(wǎng)絡(luò)安全現(xiàn)狀

1.1 黃委政務(wù)外網(wǎng)簡介

黃委政務(wù)外網(wǎng)是 20 世紀 80年代以防汛為突破口開始建設(shè)的。黃委信息中心、水文局先后建立了委機關(guān)防汛辦公網(wǎng)絡(luò)、實時水情計算機網(wǎng)絡(luò)等。1993年在此基礎(chǔ)上通過芬蘭貸款項目建立了黃河防洪減災(zāi)網(wǎng)絡(luò)系統(tǒng)。經(jīng)歷 30 a 的發(fā)展，目前已經(jīng)建成上聯(lián)水利部，內(nèi)聯(lián)黃委各單位，外聯(lián)黃河流域各省水利廳、河南省氣象局等單位的龐大計算機廣域網(wǎng)。

黃委政務(wù)外網(wǎng)分四級，實現(xiàn)了黃委機關(guān)、委屬17 個單位、下屬 14 個地市河務(wù)局、4 個中游水土保持監(jiān)督局、56 個縣河務(wù)局、12 個水情分中心、2 個通信管理處、故縣樞紐局、重點水文站、黃河下游78 座引黃涵閘等單位及系統(tǒng)的網(wǎng)絡(luò)接入，網(wǎng)內(nèi)有14 000 多個計算機終端。黃委政務(wù)外網(wǎng)為黃委各應(yīng)用系統(tǒng)提供了信息傳輸?shù)幕A(chǔ)通道，為治黃業(yè)務(wù)的開展提供了強有力的支持。

1.2 網(wǎng)絡(luò)安全現(xiàn)狀

黃委對網(wǎng)絡(luò)安全和信息化工作常抓不懈，在多方努力下，多年來，黃委網(wǎng)絡(luò)安全態(tài)勢穩(wěn)定，初步構(gòu)建了黃委網(wǎng)絡(luò)與信息安全體系。黃委網(wǎng)絡(luò)與信息安全保障體系框架如圖1 所示。

1）管理方面。成立了以黃委主任為組長的網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組及其辦公室，形成了網(wǎng)絡(luò)安全管理基本組織架構(gòu)；定期召開工作會議，部署安全工作；重視制度建設(shè)，陸續(xù)頒布了《黃委網(wǎng)絡(luò)和信息安全管理辦法》《黃委網(wǎng)絡(luò)和信息安全考核辦法》等文件；每年定期對委屬各單位進行安全工作檢查，加強督促與指導(dǎo)。

2）技術(shù)措施方面。從 2013—2015年，依據(jù)國家信息系統(tǒng)等級保護相關(guān)標(biāo)準(zhǔn)對黃委的 10 個重要信息系統(tǒng)進行了安全整改，安全管理水平、防護能力明顯提高，達到國家等級保護三級的相關(guān)要求，通過國家第三級信息系統(tǒng)的測評，三級信息系統(tǒng)示意如圖2 所示；進行了國家防汛抗旱指揮系統(tǒng)二期工程網(wǎng)絡(luò)安全項目建設(shè)，擴大了黃委與水利部的網(wǎng)絡(luò)帶寬，部署了防火墻等安全設(shè)備，建立了安全認證系統(tǒng)、管理平臺，每天通過安全管理平臺進行安全監(jiān)測，及時發(fā)現(xiàn)安全隱患，監(jiān)測能力得到了大大提高。

圖1 黃委網(wǎng)絡(luò)與信息安全保障體系框架圖

圖2 三級信息系統(tǒng)示意圖

3）應(yīng)急防護方面。每年修訂網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，定期開展網(wǎng)絡(luò)安全演練，建立網(wǎng)絡(luò)安全通報機制。

1.3 網(wǎng)絡(luò)安全存在問題

黃委政務(wù)外網(wǎng)中存儲了水文、水資源、水保等大量及重要的基礎(chǔ)信息，運行著防汛、水調(diào)、水利財務(wù)等諸多重要業(yè)務(wù)應(yīng)用系統(tǒng)，涉及到黃委履行職能的方方面面，一旦出現(xiàn)問題則危害極大，損失不可估量。在當(dāng)今信息社會互聯(lián)網(wǎng)大發(fā)展的背景下，黃委網(wǎng)絡(luò)安全形勢不容樂觀，存在的主要問題如下：

1）外部安全形勢嚴峻。網(wǎng)絡(luò)黑客攻擊猖獗，技術(shù)手段花樣翻新，危害巨大。據(jù)統(tǒng)計，2016年黃委防火墻每天阻擋外部網(wǎng)絡(luò)各種攻擊約 1 000 萬次；2017年每天阻擋 1 400 余萬次，內(nèi)部計算機攻擊等事件也時有發(fā)生。

2）網(wǎng)絡(luò)安全管理體系不健全。黃委單位層次多，17 個委屬單位，將近 4 萬人，包含委、省級、市局、縣到河務(wù)段等多層次，給管理增加了復(fù)雜性。另外，一些單位領(lǐng)導(dǎo)重視程度不夠，責(zé)任未落實，管理不到位；工作人員在日常工作中安全防護意識薄弱，忽視查殺病毒，堵塞漏洞，加強密碼復(fù)雜度等常規(guī)防護手段，給網(wǎng)絡(luò)攻擊留下可乘之機。

3）網(wǎng)絡(luò)安全技術(shù)措施需完善。信息系統(tǒng)存在許多安全隱患，前期通過黃委重要信息系統(tǒng)等級保護項目初步建立了黃委重要三級信息系統(tǒng)的安全保護措施，也僅限于對重要信息系統(tǒng)的核心層（最高層）進行安全防護，省、市、縣局域網(wǎng)的安全體系建設(shè)還很不完善，防護薄弱；非三級應(yīng)用系統(tǒng)沒有雙因素用戶認證，對用戶名、密碼沒有強制要求復(fù)雜度，部分網(wǎng)站存在高危安全漏洞；大部分系統(tǒng)尚未建立數(shù)據(jù)或系統(tǒng)級別的備份；大部分委屬單位網(wǎng)絡(luò)機房未建環(huán)境監(jiān)控，運維人員不能實時掌握機房情況，無法及時保障機房安全。

4）監(jiān)測預(yù)警和運維能力欠缺。缺乏內(nèi)外協(xié)同、上下聯(lián)動的網(wǎng)絡(luò)安全監(jiān)控預(yù)警體系；針對網(wǎng)絡(luò)安全攻擊的發(fā)現(xiàn)和預(yù)警能力不足；安全知識、運維能力欠缺，對風(fēng)險來源、防范措施等認識欠缺。

2 網(wǎng)絡(luò)安全思路分析

黃委網(wǎng)絡(luò)安全工作頭緒眾多，業(yè)務(wù)繁雜，任務(wù)艱巨。必須深刻認識網(wǎng)絡(luò)與發(fā)展的關(guān)系，認識到網(wǎng)絡(luò)安全管理工作的重要性，掌握管理規(guī)律和技術(shù)發(fā)展的大趨勢，利用信息化手段不斷提升管理水平，在網(wǎng)絡(luò)安全工作的整體目標(biāo)、任務(wù)指導(dǎo)下，重點防護關(guān)鍵信息基礎(chǔ)設(shè)施和互聯(lián)網(wǎng)網(wǎng)站，長期、持續(xù)提升防護水平。

2.1 認識發(fā)展與安全的關(guān)系

發(fā)展與安全是辯證統(tǒng)一、相輔相成的[2]。正確處理發(fā)展與安全的關(guān)系就是要加快發(fā)展，確保安全；以安全保發(fā)展，以發(fā)展促安全。要注意克服以下 2 種傾向：過分強調(diào)發(fā)展而忽視安全；追求絕對安全而制約發(fā)展。

安全是動態(tài)的，沒有絕對安全，在資金、資源有限的情況下，只有統(tǒng)籌發(fā)展與安全，不偏廢其一，不過度投入，才能實現(xiàn)利益的最大化。

2.2 加強安全管理

安全工作是“三分技術(shù)，七分管理”，不能陷于技術(shù)談網(wǎng)絡(luò)安全。應(yīng)以業(yè)務(wù)應(yīng)用為核心，從全局的高度部署安全工作，加強安全管理，采用先進技術(shù)，把采取安全技術(shù)手段與加強日常管理、健全體制機制緊密結(jié)合起來，提高網(wǎng)絡(luò)信息系統(tǒng)的安全性和可靠性。

2.3 采取有針對性安全措施

必須象抓安全生產(chǎn)、廉政建設(shè)等工作一樣，結(jié)合網(wǎng)絡(luò)安全工作的具體實際，采取有針對性的措施。首先要明確目標(biāo)、任務(wù)；其次要做到領(lǐng)導(dǎo)重視，加強組織管理，健全安全生產(chǎn)規(guī)章制度、規(guī)范，強化落實，加大檢查、整治工作力度，加強宣傳培訓(xùn)教育，加強技術(shù)措施等。

2.4 掌握技術(shù)發(fā)展趨勢

網(wǎng)絡(luò)安全態(tài)勢還在高速發(fā)展中，隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的應(yīng)用，網(wǎng)絡(luò)安全的戰(zhàn)場也出現(xiàn)了自動化安全工具、沙箱等防護手段，這是一場網(wǎng)絡(luò)安全軍備競賽，態(tài)勢時刻變化，但趨勢更要掌握[3]。加強技術(shù)措施，不能僅僅是現(xiàn)有水平上網(wǎng)絡(luò)安全設(shè)備的堆砌，要有前瞻性，既不過度投資，也要安全保障。

2.5 提升網(wǎng)絡(luò)安全工作效率

網(wǎng)絡(luò)安全事件具有突發(fā)性強的特點，如果采用發(fā)文、開會部署等方式，顯然滿足不了應(yīng)急處置的要求，特別是黃委層次多，更是對工作的時效性提出更高要求。另外，不管是安全保障還是檢查考核，都對技術(shù)要求很高，必須采用信息化的技術(shù)手段，提升工作效率，才能解決信息化過程中的問題，滿足網(wǎng)絡(luò)安全保障的要求。

2.6 確立網(wǎng)絡(luò)安全整體概念

網(wǎng)絡(luò)安全工作越來越重要，涉及面廣，管理、技術(shù)、運維、人員、設(shè)備、制度、規(guī)范、網(wǎng)絡(luò)、機房等都在網(wǎng)絡(luò)安全牽涉的范圍內(nèi)。事務(wù)繁雜，很容易迷失方向，陷于具體事務(wù)當(dāng)中。因此心中要有盤棋，根據(jù)國家法律、政策及水利部要求，按照水利網(wǎng)絡(luò)安全頂層設(shè)計，制訂符合本單位實際的網(wǎng)絡(luò)安全目標(biāo)，分析具體工作任務(wù)，逐步推進。

2.7 明確網(wǎng)絡(luò)安全重點保護對象

網(wǎng)絡(luò)安全要保障的設(shè)備、系統(tǒng)、數(shù)據(jù)等數(shù)量巨大，人員、資金有限，必須要抓住關(guān)鍵信息基礎(chǔ)設(shè)施這個重點和互聯(lián)網(wǎng)網(wǎng)站這個問題易發(fā)的突出環(huán)節(jié)，分析目前存在的主要問題，逐步提升監(jiān)測預(yù)警、縱深防御、應(yīng)急響應(yīng)三大能力，這樣才能快速、有效地提升網(wǎng)絡(luò)安全保障水平。

2.8 處理好應(yīng)急事件處理和長效機制建立的關(guān)系

1）要處理好信息安全工作中應(yīng)急事件處理與建立長效機制的關(guān)系。要保障網(wǎng)絡(luò)與信息系統(tǒng)的“長治久安”，必須著手建立一套長期有效的安全機制，但網(wǎng)絡(luò)與信息安全問題在實際工作中廣泛存在且突發(fā)性強，所以必須重視應(yīng)急事件的處理。一旦出現(xiàn)影響到國家利益的網(wǎng)絡(luò)與信息安全事件，必須能夠立即采取有效措施，控制危機的發(fā)展，把損失減少到最低。

2）安全和威脅是不斷發(fā)展的，是動態(tài)的，網(wǎng)絡(luò)安全工作永遠沒有休止。

3 網(wǎng)絡(luò)安全工作思路

在對現(xiàn)狀、問題、思路分析的基礎(chǔ)上，提出網(wǎng)絡(luò)安全工作的 6 個思路。

3.1 明確目標(biāo)任務(wù)推進網(wǎng)絡(luò)安全工作

依據(jù)國家《網(wǎng)絡(luò)安全法》，按照水利部《水利網(wǎng)絡(luò)安全頂層設(shè)計》要求，建立完善網(wǎng)絡(luò)與信息安全保障體系，確保黃委網(wǎng)絡(luò)與信息系統(tǒng)安全運行，推進黃委信息化的安全、健康、協(xié)調(diào)發(fā)展。

在水利部統(tǒng)一的安全策略指導(dǎo)下，建立健全組織管理，強化監(jiān)督檢查；落實安全防護技術(shù)措施，提升監(jiān)測預(yù)警、縱深防御能力；加強安全運維和應(yīng)急響應(yīng)，提高黃委網(wǎng)絡(luò)與信息安全保障能力和防護水平。

3.2 統(tǒng)籌協(xié)同聯(lián)動應(yīng)對嚴峻安全形勢

要做到以下 2 點：

1）加強威脅情報收集。要充分依靠水利部網(wǎng)絡(luò)安全威脅情報系統(tǒng)；在此基礎(chǔ)上，關(guān)注國家網(wǎng)絡(luò)安全機構(gòu)發(fā)布的信息；要與相關(guān)網(wǎng)絡(luò)安全公司友好合作，進行威脅情報的搜集；要建立黃委內(nèi)部的網(wǎng)絡(luò)安全威脅情報通報機制。

2）利用已建的安全管理平臺加強網(wǎng)絡(luò)安全日常監(jiān)測，及時發(fā)現(xiàn)安全隱患和網(wǎng)絡(luò)攻擊，提高安全態(tài)勢感知和預(yù)警能力。

3.3 建立體制機制加強安全體系管理

要做到以下 4 點：

1）提高人員的安全意識。通過對《網(wǎng)絡(luò)安全法》進行宣傳、普法，舉辦各種安全講座等活動，提高大家的安全意識。

2）加強制度、規(guī)范的制訂，強化管理。在水利網(wǎng)絡(luò)安全頂層設(shè)計基礎(chǔ)上，制訂出適合黃委的網(wǎng)絡(luò)與信息安全防護規(guī)范；按照水利部網(wǎng)絡(luò)安全制度體系，制訂出黃委網(wǎng)絡(luò)安全制度編制計劃，逐步完善黃委制度體系。

3）加強檢查，積極開展安全自查。對計算機終端進行全面的安全檢查，對部分單位進行網(wǎng)絡(luò)安全檢查，特別是對黃委關(guān)鍵信息基礎(chǔ)設(shè)施及網(wǎng)站安全進行重點檢查，發(fā)現(xiàn)安全隱患，督促整改。

4）加強安全管理信息化，逐步建立安全數(shù)據(jù)庫和相關(guān)應(yīng)用系統(tǒng)。通過 QQ 群、微信群和黃委網(wǎng)絡(luò)安全網(wǎng)站，定期收集、統(tǒng)計網(wǎng)絡(luò)安全情況，溝通技術(shù)問題及解決措施。

3.4 統(tǒng)一安全防護完善技術(shù)防護體系

從以下 3 點進行完善：

1）大力推進計算資源云化部署，做到統(tǒng)一安全防護。對新建的系統(tǒng)，如黃河醫(yī)院醫(yī)療系統(tǒng)等均采用黃委數(shù)據(jù)中心的云化資源進行部署。對老的系統(tǒng)推進資源整合，大力推進網(wǎng)站的集群化建設(shè)，劃分單獨的網(wǎng)站群安全域，加強安全防護。

2）在資金不增加的情況下，強化落實主機、網(wǎng)絡(luò)、應(yīng)用等層面安全的最小化開放原則，提升縱深防御能力。

3）積極編寫網(wǎng)絡(luò)安全設(shè)計，爭取資金，對不符合安全要求的系統(tǒng)進行改造。

3.5 規(guī)范運維管理提高運維保障能力

主要從以下 3 個方面規(guī)范管理：

1）加強培訓(xùn)。舉辦各單位人員參加的多層次的技術(shù)交流，提高技術(shù)水平。

2）加強技術(shù)指導(dǎo)。對于網(wǎng)絡(luò)安全隱患的整改，提供管理、技術(shù)等多方面的指導(dǎo)，協(xié)同處理安全事件。

3）加強安全運維管理。從規(guī)范網(wǎng)絡(luò)安全運維的技術(shù)動作及流程，細化運維責(zé)任劃分，加強對運維工作的檢查、考核等方面入手，強化安全運維管理[4]。督促委屬各單位把日常安全運維工作做到位，把安全隱患消滅于無形，做到對網(wǎng)絡(luò)攻擊及時發(fā)現(xiàn)、預(yù)警、處置。

3.6 強化應(yīng)急管理提升應(yīng)急響應(yīng)能力

主要從以下 5 個方面提升：

1）充分利用黃委數(shù)據(jù)中心的云存儲資源，逐步對關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)應(yīng)用系統(tǒng)建立數(shù)據(jù)安全備份。

2）建立應(yīng)急響應(yīng)組織，爭取組建多個網(wǎng)絡(luò)安全技術(shù)支撐小組。

3）修編黃委網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，做到簡單實用。

4）強化網(wǎng)絡(luò)事件上報，建立暢通的，覆蓋黃委委屬單位、職工的全面的安全信息通報機制。

5）繼續(xù)開展應(yīng)急演練，提高應(yīng)急處置能力，協(xié)同防范網(wǎng)絡(luò)攻擊，做好應(yīng)急處置。

4 結(jié)語

做好網(wǎng)絡(luò)安全防護是一項涉及范圍廣、情況復(fù)雜的工作，如何抓好、抓實，做好這項工作，是嚴峻的考驗。必須緊緊瞄準(zhǔn)網(wǎng)絡(luò)安全目標(biāo)、任務(wù)，在水利網(wǎng)絡(luò)安全頂層設(shè)計的指導(dǎo)下，加強安全管理、技術(shù)防護等措施，持之以恒，完善網(wǎng)絡(luò)安全體系，才能成功保障水利業(yè)務(wù)系統(tǒng)的安全。

[1] 陳雷. 貫徹網(wǎng)絡(luò)強國戰(zhàn)略思想 開創(chuàng)水利網(wǎng)信新局面[J]. 水利信息化，2016 （4）: 1-4.

[2] 李海斌. 論網(wǎng)絡(luò)安全的發(fā)展趨勢[J]. 中國電子商務(wù)，2012 （21）: 69-69.

[3] 唐六華，王瑛，杜中. 網(wǎng)絡(luò)安全的發(fā)展及其應(yīng)對策略[J].信息安全與通信保密，2007 （6）: 163-165.

[4] 蔡陽. 水利信息化“十三五”發(fā)展應(yīng)著力解決的幾個問題[J]. 水利信息化，2016 （1）: 1-5.

Thought analysis of YRCC cybersecurity work

HOU Junwei, FENG Cunhua, LEI Ping

（Yellow River Conservancy Commission Information Center of the Ministry of Water Resources, Zhengzhou 450003, China）

This paper describes the present status of YRCC cybersecurity, points out the existing problems. The cybersecurity work is involved range wide and complex. To safeguard water conservancy information system, how to deal with cybersecurity work have been analyzed. In addition, it also presents an approach of work, which is strengthened management and technical measures, establishing and improving the cybersecurity system in a persisten way, around the cybersecurity goal and task, under the guidance of the top-level design of water conservancy.

Yellow River; government extranet; cybersecurity; thinking of work

TP393.08

A

1674-9405（2017）03-0033-04

2017-04-17

侯俊偉（1972-），男，河南開封人，高級工程師，從事網(wǎng)絡(luò)維護和網(wǎng)絡(luò)安全管理工作。

10.19364/j.1674-9405.2017.03.008