網絡安全模型在水利科研環境中的應用與研究

林 林，王冠華，繆 綸，王樹偉

（中國水利水電科學研究院 信息網絡中心，北京 100038）

0 引言

隨著網絡技術的發展及其應用領域的不斷拓寬，網絡對人們生活的影響力與日俱增。但隨著互聯網絡的縱深發展，網絡安全問題也相伴而生。為保障網絡的正常運行和提供優質服務，一些安全防護技術已經被廣泛應用，例如防火墻、殺毒軟件、入侵檢測等。但隨著網絡技術的發展及其應用的廣泛普及，網絡攻擊的類型和數量都在不斷增加，使用單一、靜態的安全防護技術和方法已經遠遠不能滿足網絡應用的要求。對于網絡安全領域中日益突出的問題，需要研究動態、主動、多層次的安全防御技術。

本文主要針對水利科研領域的計算機網絡應用特點，從實際情況出發，研究、組織、規劃一套具有較強針對性的集成化網絡安全模型，以管理為核心，以策略為執行手段，采用風險評估、防護、檢測、響應、恢復為循環的網絡安全防御過程，建立包括主動防護和被動防護互為補充的，多層次的網絡安全防御體系，保障水利科研領域的計算機網絡應用安全。

1 國內外研究現狀

目前流行的計算機網絡安全模型主要起源于美國國家安全局提出的信息安全技術框架（IATF）[1]。在 IATF 中定義了對一個系統進行信息安全保障的過程及系統中所有部件的安全需求。在 IATF 框架中，信息安全保障措施被分成防護（Protection）、檢測（Detection）、響應（Reaction）和恢復（Restoration）4 個部分，即 PDRR 模型[2-3]。防護、檢測、響應和恢復組成了一個完整動態的安全循環，在核心安全策略的指導下實現網絡系統的安全保障。

隨著網絡應用的普及和發展，計算機病毒和網絡攻擊不斷增強，PDRR 模型不能反映網絡安全的動態螺旋上升過程。為了使模型能夠更貼切地描述網絡安全的本質規律，人們在 PDRR 模型的基礎上添加了風險評估（Assessment）和安全策略（Policy），即 APPDRR 模型[4]。該模型包含了網絡安全的相對性和動態螺旋上升的過程，網絡安全由此被描述成為一個不斷改進的過程。PDRR 和 APPDRR 安全模型都是偏重于理論研究的描述型安全模型。

在實際應用中，安全人員往往需要的是偏重于安全生命周期和工程實施的工程安全模型，從而給予網絡安全建設和管理工作以直接指導。由此提出 PADIMEE（工程安全模型）[5]，此模型包含以下幾個主要部分：安全策略（Policy）、安全評估（Assessment）、設計（Design）、實施（Implementation）、管理（Management）、緊急響應（Emergency Response）和安全教育（Education）。

網絡安全技術未來的發展趨勢將從單一到不斷多元化，從靜態防護到動態防護和動、靜態防護相結合，從無序管理到遵循策略進行管理。針對特定的行業或組織，往往需要根據其網絡系統的實際運行情況選用不同的安全模型，以適應特定行業或組織網絡安全的特殊要求，達到有效保障網絡資源安全的目標[6]。

2 網絡安全模型研究

2.1 水利科研環境下網絡安全需求特點

水利科研機構具有水利專業的特點，又具有區別于政府機構、企業的特點。因此水利科研機構的網絡主要具有以下特點：

1）水利科研機構地域分散性。水利科研單位分支機構較多，遍布各個流域、子流域。野外工作者及各個分支機構需要及時將采集到的水利信息、數據匯總傳輸。在這樣地域分散的環境下工作，同時要保證對網絡接入的便利性和安全性。

2）瞬時高流量。水利科研實驗數據量大，常采用高性能計算設備，單位時間內的數據吞吐量大；水利科研行業受季節影響明顯，雨季、旱季來臨，數據量劇增，容易造成網絡擁堵。

3）安全性和開放性?？蒲芯W絡的國際國內交流頻繁，網站宣傳、資料傳輸、共享具有一定的開放性；同時，科研過程中使用或產生的敏感數據，通過內部網絡交流傳輸，要求具有較高的保密性。

針對水利科研網絡特點，提供一個穩定、高速的，具有安全傳輸和交流的網絡對水利科研機構至關重要。

2.2 網絡安全模型研究

根據水利科研行業網絡安全需求及應用特點，基于 PDRR，APPDRR，PADIMEE 等安全模型，提出以管理為核心，以策略為實施手段，通過評估、防護、檢測、響應、恢復 5 部分組成的循環過程的MPAPPDRR 模型。構建管理和技術相結合，具有多層防護、實時反饋、可動態調整完善的網絡安全防御技術體系，如圖1 所示。

圖1 水利科研網絡安全防御體系

區別于以往的模型，這里的管理既包括網絡安全管理防御體系，也包括該體系通過策略對網絡安全防御技術體系中各部分的調控?！叭旨夹g，七分管理”是網絡安全領域的一句至理名言[7]，即網絡安全中的 30% 依靠計算機系統信息安全設備和技術保障，而 70% 則依靠用戶安全管理意識的提高及管理模式的更新。由此可見，管理在網絡安全中具有重要地位。具體管理手段的實施是通過執行制定的策略實現的，策略需根據不同的網絡需要制定，處于整個網絡安全工作中的指導地位，建立在防護、檢測、響應等諸環節之上。

部署網絡安全防御體系，首先要進行網絡環境的風險評估。分析現有網絡安全設備和策略，以及國際互聯網上的攻擊手段、內部應用需求等，根據風險評估的結果為管理手段和網絡安全策略提供數據依據；網絡安全的第一道保護是防護，在防護后使用檢測來探測那些無法使用防護手段攔截的網絡攻擊和病毒；探測到攻擊后迅速啟動響應對外來攻擊行為做出反應；當系統受到攻擊并造成損壞時，及時使用備份好的數據或系統對網絡服務進行恢復，保障網絡服務在最短的時間內恢復到正常。這種以管理為核心、策略為指導，以風險評估-防護-檢測-響應-恢復為循環過程的網絡安全模型，形成了水利科研領域網絡安全應用的具有多層次防護能力、動態螺旋式上升趨勢的網絡安全防御系統。

3 網絡安全應用實踐

中國水利水電科學研究院（以下簡稱中國水科院 IWHR）是全國水利水電行業多學科綜合性科學研究和技術開發中心。中國水科院局域網絡系統（IWHRLAN）是全院進行信息傳輸、數據交換、資源共享和學術交流的基礎設施，也是全院各類科學研究、科學實驗、技術開發和科研管理工作的重要信息交流平臺，確保高速、優質、安全、可靠的網絡服務是正常開展科研工作的基礎。

應用水利科研環境下的的網絡安全防御體系，結合中國水科院的網絡安全實際需求，中國水科院采用先進的網絡安全設施，結合自主開發的網絡安全應用軟件，在網絡安全和信息化建設工作中獲得了良好效果。具體實踐主要體現在風險評估等 6 個方面。

3.1 風險評估

評估主要分為收集、統計網絡運行數據，及分析、評估網絡安全狀況 2 個步驟[8]。首先收集中國水科院網絡系統的軟件和硬件資產情況。硬件資產包括科學計算集群，以及網絡、網絡安全、存儲、終端等設備；軟件資產包括公文管理等辦公系統、網站群、郵件系統、內網安全管理系統、各專業應用系統等。還需收集來自國際互聯網的攻擊手段、黑客攻擊形式、流行病毒等信息。將收集到的信息進行統計分析，研究現有的網絡安全防御體系能否有效阻止來自網絡的攻擊和保障網絡用戶業務的安全高效運轉，再根據評估結果改進管理手段，調整策略，升級網絡安全軟、硬件。IWHR 網絡的風險評估階段按規定的周期進行，評估結果為實施管理和制定策略提供了第一手資料。

3.2 防護手段

防護手段主要包括：1）中國水科院局域網絡與國際互聯網邏輯隔離截面處配置防火墻，抵御外來網絡攻擊；2）部署外網 DMZ 區。外網 DMZ 區內架設了網站服務器群、郵件和應用服務器等，并在DMZ 區出口處部署防病毒網關和 Web 應用防火墻等防護設備，確保整個服務器群對惡意代碼和黑客攻擊具有較強防御能力；3）部署反垃圾郵件網關，降低垃圾郵件傳輸量，并有效避免郵件系統資源浪費和過多消耗網絡帶寬資源；4）部署虛擬專用網（VPN）設備，實現通信加密防護，保證遠程和移動用戶對組織內部網絡的安全訪問，也可使外阜分支機構與總部實現網絡互聯，共享內部網絡資源；5）配備網站防篡改系統，實時監控網站群各 Web 站點，防止黑客和病毒等對網站的網頁、電子文檔、圖片等進行破壞或非法修改。中國水科院網絡環境安全體系整體架構如圖2 所示。

圖2 中國水科院網絡環境安全體系整體架構

防病毒系統的應用是網絡安全防護中的必要措施，中國水科院的防病毒體系建設包括在每臺終端機上安裝客戶端防病毒軟件，在服務器上安裝基于服務器的防病毒軟件，在邊界路由內接入防病毒網關。同時，通過技術手段確保對所有防病毒產品進行統一的防病毒策略制定和管理。從而建立全方位、多層次的病毒防護體系，有效避免網絡系統受到病毒的破壞干擾。

3.3 檢測手段

檢測手段的實施能夠檢測出防護手段無法攔截的病毒、黑客入侵等行為，是防護手段后的又一道防線。檢測手段的實施是對防護手段的有效補充，能夠在入侵成功之前進行識別，減少因為入侵造成的損失。

中國水科院的檢測手段包括在網絡出口處單臂接入侵防御系統（IDS），提供對非法入侵行為進行實時檢測，分析用戶和系統的活動情況，核查系統配置和安全漏洞，評估系統重要資源和敏感數據文件的完整性，識別已知的攻擊行為，統計分析異常行為等防護功能。采用單臂接入侵防御系統，是為了在探測入侵的同時，盡可能降低對網絡傳輸速度和正常應用功能的影響。另外，入侵檢測系統還肩負著收集入侵攻擊的相關信息作為證據的功能。

中國水科院的檢測手段還包括多層次部署自主研發的漏洞掃描軟件，依據安全策略定期（或事件驅動隨機）進行設備、端口、系統等的掃描，發現應用系統本身存在的及配置不當所造成的安全漏洞；通過網絡遠程檢測、端口掃描、系統漏洞掃描等方法，發現目標網絡和本地主機的安全性脆弱點；使用網絡管理系統，自動生成網絡拓撲圖，動態監測網絡流量和交換機的通斷狀態及來自網絡內部的攻擊數據流；在網絡機房安裝監視系統，實時監測機房溫度、濕度、市電通斷和設備運行情況。

檢測手段在中國水科院安全策略指導下實施，定時進行自動檢測或隨機進行人工檢測，發現異常情況，及時提交給響應階段進行針對性處理。

3.4 響應階段

響應措施包括記錄和報告檢測過程中的異常情況，以及收到告警信息后針對異常情況采取的處理措施。中國水科院的響應措施包括事件日志、短信報警、郵件報警等；采取的處理措施包括檢查安全事件發生的根源，實施安全隔離操作，調整安全設備的防護策略，切斷隔離網絡等操作。響應措施還包括統計、分析入侵攻擊模型，對相關策略進行改進；將發現的軟件產品安全漏洞信息通報給生產廠商，并要求及時答復和必要時提供產品現場升級服務。檢測到入侵之后，只有及時響應，才能充分發揮網絡安全模型的作用。

3.5 恢復階段

響應階段實施了隔離、斷網等操作后，需要及時進行恢復階段的處理。在網絡故障后的第一時間，將網絡恢復到能夠正常運轉，對外提供正常服務的狀態。為了能夠盡快實施恢復，必須注重在日常網絡運行維護中的備份工作，依據備份策略進行數據、系統和關鍵應用的備份。

同時也需要根據不同應用設定相應的備份策略。如網站數據采用備份服務器進行定期備份，內部網絡資源使用 NAS 系統進行定期數據備份，對于保障應用不間斷的財務、科研、公文等辦公系統的數據，則采用雙機熱備技術進行實時數據備份，以保障應用系統的高可用性。另外，針對探測到的系統漏洞進行及時修復，也是恢復階段實施的重點內容。提供的解決方案中，根據應用需求開發了文件數據恢復軟件，對刪除的重要文件、數據等提供拯救性的數據恢復。

3.6 管理手段和策略

通常情況下網絡安全采用的技術種類繁多，如防火墻、入侵檢測系統、防病毒系統、身份認證、數據加密、安全審計等。這些安全技術能夠在某一特定方面發揮一定的作用，但大部分產品的功能分散，各安全產品間又沒有提供有效的統一管理調度機制，不能互相支撐和協同處理，從而使安全產品的應用效能無法得到充分發揮，給管理者造成困難，這時管理手段就起到重要的調節、分配作用。

中國水科院網絡安全管理手段包括對人、技術和政策的管理。對人的管理主要包括：要求介入網絡系統的人定期參加安全技術培訓，嚴格按照相關政策和安全制度及策略執行；做到事前預案，事中分析和事后備案；逐步提高管理人員的安全意識。對政策的管理主要包括：對國家和行業相關政策的學習和執行，對本單位網絡安全政策的制定和執行監督，并根據國家、行業的政策和風險評估分析結果對本單位的相應策略進行調整。對技術的管理，通過在機房部署網絡信息采集器、在辦公室布設監視屏幕，通過網絡管理、機房監視等系統監控網絡運行狀態；對多個網絡安全系統進行集成，在統一界面中監測網絡中各安全設備的運行狀態，對產生的大量日志和報警信息進行匯總、分析、審計，同時完成安全產品的升級、攻擊事件警報、啟動響應機制等安全管理功能，實現對網絡安全的統一管理。

管理手段的實施是通過策略實現的。策略的制定包含人的因素，人既是策略制定者，也是在策略指導下的執行者。策略的制定也受到政策的影響。通過策略的執行，網絡安全各設備和系統協調運作，形成統一的有機整體，全面抵御來自互聯網和內部的入侵及攻擊。

在策略的指導下，進行網絡環境風險評估，分析現有網絡環境，根據評估結果為管理手段和網絡安全策略提供數據依據；防護作為被動防御與主動防御的結合，配合及時響應和恢復，完成網絡防御安全周期，再進入下一輪的風險評估。安全模型中各個環節緊密相聯，互為補充，構建起層層防護的、展現出動態螺旋式上升趨勢的網絡安全防御體系。

4 結語

網絡技術的發展日新月異，來自網絡的威脅不斷變化，網絡安全防護技術也在不斷改進。中國水科院網絡安全防御體系通過風險評估不斷調整防御策略，改進管理手段，使用防護、檢測、響應、恢復等步驟應對和處理網絡攻擊，通過不斷自我完善和加固，提高網絡安全性能，確保全院計算機網絡系統正常、高速、安全、可靠的運行，從而有效保障了全院科學研究、技術開發和科研管理工作的順利發展。

2010 年，中國水科院開始采用本文提出的網絡安全防御體系，部署立體安全防護后，黑客入侵數量、垃圾郵件數量、病毒干擾事件均顯著降低，從 2010 年至今有效攔截各類黑客攻擊 1 萬 6 千余起，未發生 1 例成功非法入侵和篡改網頁事件，亦無干涉正常工作的大范圍病毒爆發。實踐證明，MPAPPDRR 安全模型及基于該模型建立的網絡安全防御體系，在中國水科院的應用中效果良好。我國水利科研領域各單位具有水利行業特點，面臨的問題和需求與中國水科院相似，可應用或借鑒本文提出的網絡安全模型，從而更加方便有效地解決網絡安全問題。該模型具有一定推廣價值和較好應用前景。

[1]寇申海，楊格蘭. 網絡信息安全體系架構分析與工程實施策略[J]. 湖南城市學院學報（自然科學版），2005 (1):72-75.

[2]魏永紅，李天智，張志，等. 網絡信息安全防御體系探討[J]. 河北省科學院學報，2006 (1): P26-28.

[3]周海剛，邱正倫，肖軍模. 網絡主動防御安全模型及體系結構[J]. 解放軍理工大學學報（自然科學版），2005 (1):40-43

[4]潘潔，劉愛潔. 基于 APPDRR 模型的網絡安全系統研究[J]. 電信工程技術與標準化，2009 (7): 27-28.

[5]費欣毅. 基于 PADIMEE 模型的網絡信息安全防護探討[J].科技資訊，2012 (5): 21-22.

[6]楊波. 校園網的網絡信息安全分析與研究[D]. 蘭州大學，2007: 35-36.

[7]劉萍，曾陳萍. 計算機網絡安全及防范技術探討[J]. 科技創業月刊，2007 (1): 194-195.

[8]黃偉力，李瑞，關睿. 計算機網絡信息安全評估系統[J].河北建筑科技學院學報，2005 (2): 47-50.