水利信息安全管理系统的分析与研究

　　水利信息化是我国信息化建设的重要组成部分，水利信息化网络在实际应用过程中，会遇到各种安全问题的威胁，严重影响了水利信息化发展的安全性和稳定性。本文对天津市水务局水利信息化网络中安全产品的现状进行了分析，阐述了其网络安全产品的局限性，提出了水利信息安全管理系统，对系统应具备的功能进行了详细的分析，对系统的组成进行了研究，并对其关键技术的实现展开了深入地讨论。

　　1 现况

　　随着水利信息化技术的发展，水利信息化系统在水利事业中应用越来越广泛，水利信息化系统涉及的水利信息越来越多，这时一个很重要的问题摆在了人们的面前，那就是水利信息化系统的安全问题。如果水利信息化系统被人攻击，水利信息被人窃取，将给国家和人民造成巨大的损失。

　　天津市水务局水利信息化网络包括防汛抗旱、办公自动化、水文水资源、水土保持、水质监测等各种应用系统，面对当前严峻的水利信息安全形势，为了保障水利信息化系统安全正常的运行，天津市水务局建设了水利信息安全防护体系，其安全基础设施主要包括防火墙、入侵检测及漏洞扫描、Web信息防篡改系统、网络接入控制和安全审计、防病毒软件、身份认证等安全产品。

　　这些安全产品在各自的岗位上发挥着重要的作用，保护着网络的安全。但是从系统整体安全考虑，这些网络安全产品都只是各司其职，没有沟通合作，缺乏统一调度，容易造成信息冗余和资源的浪费，对网络的保护存在局限性，在遭遇复杂的综合型攻击时，安全防护体系就会非常脆弱，将不能保护水利信息化系统的安全。

　　因此，我们提出水利信息安全管理系统，对这些安全产品进行统一的管理和整体配置，实现各安全产品间的信息互通和联动合作，让他们的功能得到充分的发挥，共同确保整个水利信息化系统的安全。

　　2 水利信息安全管理系统的功能分析

　　水利信息安全管理系统是一个综合的、动态的安全体系，需要解决各种安全技术和产品的统一管理和协调问题，能实现水利信息系统中的安全设备间的互操作，从整体上提高水利信息系统整体的抵抗攻击和防御入侵的能力，保持系统及服务的安全性、可靠性和可用性。

　　水利信息安全管理系统要实时采集各安全设备的安全信息，监控各安全设备的运行状况。所以网络安全管理平台要具有高效的安全信息收集和设备监控功能，平台能够收集各集成安全设备发出的安全告警信息、系统日志数据等安全信息，这些数据经平台的综合分析处理，使平台监控中心能在整体上掌握整个系统的综合安全状况，及时发现影响水利信息系统安全的不当行为。

　　水利信息安全管理系统要有集中管理功能。能够对水利信息系统中的多种安全设备进行集中管理，将系统中的各种安全设备发送的信息数据进行采集，将不同格式的数据进行统一格式化，方便对各信息的整合、归并与关联分析，过滤事件中的误报和冗余事件，产生确定的安全警报，并根据制定的联动策略对安全设备进行动态配置，快速调动各安全设备联动操作，消除水利信息系统受到的安全威胁。

　　水利信息安全管理系统要保证高安全性[1]，要保证水利信息安全管理系统的安全，保证安全信息采集和处理过程的安全。并且系统中的设备间设置高强度安全通道，保证安全信息传输过程中的安全。

　　水利信息安全管理系统是一个高扩展性平台[1]，可实现与各种安全设备之间的互通与联动，支持多种安全设备的统一管理，对新出现的安全技术和产品也保留了开放的扩展接口，易于与新的安全设备相结合。

　　3 水利信息安全管理系统的整体结构

　　水利信息安全管理系统分为用户层，数据采集层、安全管理中心、数据库支撑层和被管设备层五层结构。

　　用户层是安全管理系统的控制平台，提供方便系统管理员操作的可视化界面。系统安全管理员可以通过网页査看安全报告、进行策略配置等操作，便于管理和维护系统。

　　数据采集层的主要工作是从水利信息系统中的各种安全设备上采集安全信息，并初步对这些安全信息进行加密和格式化处理，然后将数据发送给安全管理中心。

　　安全管理中心是水利信息安全管理系统的神经中枢，由风险评估模块，关联分析模块，策略响应模块，数据采集代理控制模块等组成，支配着安全管理设备的互联合作。

　　数据库支撑层包括事件数据库、规则数据库和策略数据库。其中，事件数据库中存放收集的安全信息;规则数据库中存放事件关联的规则;策略数据库中存放系统策略。

　　被管设备层指水利信息系统中的各种被管理的安全设备，防火墙，入侵检测系统，防病毒系统等。

　　4 关键技术的实现

　　4.1 数据采集

　　数据釆集指能够有效、正确、稳定的获取所需要的信息。本系统采用管理者/代理的数据采集方式，在被管理对象(防火墙、IDS等)上安装数据采集代理Agent。

　　数据采集代理Agent的主要工作是采集网络中个安全产品的配置情况、事件日志、运行状态、流量统计，安全信息等数据，对数据进行格式化和加密预处理后上报给安全管理中心进行数据处理，同时接收管理中心的控制命令传输给被管设备。

　　数据采集代理Agent是水利信息安全管理系统的一部分，是安全管理系统与安全产品之间、安全产品与宿主机之间、安全产品彼此之间的一个联系纽带。但它和系统之间在实现上具有一定的独立性。采用Agent结构，无论被管安全产品运行何种系统，只要是开发了支持该系统的Agent，就可以把此安全产品纳入本系统的管理之中，使得网络安全管理系统能够管理运行于各种系统的安全设备，并且可以很方便地随时添加或删除被管部件[4]。

　　4.2 数据处理

　　在水利信息安全管理系统中，数据处理主要对代理上报的信息进行风险评估，分类，筛选和关联分析等处理，去除数据中的冗余或错误信息，识别威胁，产生应对策略。

　　作者：贾方 来源：中国科技纵横 2016年12期