黄河水利委员会网络安全工作思路探析

侯俊伟，冯存华，雷 平

（水利部黄河水利委员会信息中心，河南 郑州 450003）

黄河水利委员会网络安全工作思路探析

侯俊伟，冯存华，雷 平

（水利部黄河水利委员会信息中心，河南 郑州 450003）

描述黄河水利委员会政务外网网络安全现状，指出存在的问题，对如何做好涉及范围广、情况复杂的网络安全防护工作，保障水利业务系统的安全，进行思路分析，并提出围绕网络安全目标、任务，在水利网络安全顶层设计的指导下，加强安全管理、技术防护等措施，持之以恒，完善网络安全体系的工作思路。

黄河；政务外网；网络安全；工作思路

0 引言

党中央、国务院高度重视网络安全和信息化工作。习近平总书记亲自担任中央网络安全和信息化工作领导小组组长，指出：网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，没有网络安全就没有国家安全，没有信息化就没有现代化[1]。《中华人民共和国网络安全法》（以下简称《网络安全法》）于 2017年 6月1日颁布施行，进一步将网络安全提升到法律层面。

黄河水利委员会（以下简称黄委）在多年的网络安全工作中，既有成绩，也有不足。为发挥优点，总结经验，避免缺点，弥补不足，需对黄委网络安全工作进行分析。

1 网络安全现状

1.1 黄委政务外网简介

黄委政务外网是 20 世纪 80年代以防汛为突破口开始建设的。黄委信息中心、水文局先后建立了委机关防汛办公网络、实时水情计算机网络等。1993年在此基础上通过芬兰贷款项目建立了黄河防洪减灾网络系统。经历 30 a 的发展，目前已经建成上联水利部，内联黄委各单位，外联黄河流域各省水利厅、河南省气象局等单位的庞大计算机广域网。

黄委政务外网分四级，实现了黄委机关、委属17 个单位、下属 14 个地市河务局、4 个中游水土保持监督局、56 个县河务局、12 个水情分中心、2 个通信管理处、故县枢纽局、重点水文站、黄河下游78 座引黄涵闸等单位及系统的网络接入，网内有14 000 多个计算机终端。黄委政务外网为黄委各应用系统提供了信息传输的基础通道，为治黄业务的开展提供了强有力的支持。

1.2 网络安全现状

黄委对网络安全和信息化工作常抓不懈，在多方努力下，多年来，黄委网络安全态势稳定，初步构建了黄委网络与信息安全体系。黄委网络与信息安全保障体系框架如图1 所示。

1）管理方面。成立了以黄委主任为组长的网络安全和信息化工作领导小组及其办公室，形成了网络安全管理基本组织架构；定期召开工作会议，部署安全工作；重视制度建设，陆续颁布了《黄委网络和信息安全管理办法》《黄委网络和信息安全考核办法》等文件；每年定期对委属各单位进行安全工作检查，加强督促与指导。

2）技术措施方面。从 2013—2015年，依据国家信息系统等级保护相关标准对黄委的 10 个重要信息系统进行了安全整改，安全管理水平、防护能力明显提高，达到国家等级保护三级的相关要求，通过国家第三级信息系统的测评，三级信息系统示意如图2 所示；进行了国家防汛抗旱指挥系统二期工程网络安全项目建设，扩大了黄委与水利部的网络带宽，部署了防火墙等安全设备，建立了安全认证系统、管理平台，每天通过安全管理平台进行安全监测，及时发现安全隐患，监测能力得到了大大提高。

图1 黄委网络与信息安全保障体系框架图

图2 三级信息系统示意图

3）应急防护方面。每年修订网络与信息安全应急预案，定期开展网络安全演练，建立网络安全通报机制。

1.3 网络安全存在问题

黄委政务外网中存储了水文、水资源、水保等大量及重要的基础信息，运行着防汛、水调、水利财务等诸多重要业务应用系统，涉及到黄委履行职能的方方面面，一旦出现问题则危害极大，损失不可估量。在当今信息社会互联网大发展的背景下，黄委网络安全形势不容乐观，存在的主要问题如下：

1）外部安全形势严峻。网络黑客攻击猖獗，技术手段花样翻新，危害巨大。据统计，2016年黄委防火墙每天阻挡外部网络各种攻击约 1 000 万次；2017年每天阻挡 1 400 余万次，内部计算机攻击等事件也时有发生。

2）网络安全管理体系不健全。黄委单位层次多，17 个委属单位，将近 4 万人，包含委、省级、市局、县到河务段等多层次，给管理增加了复杂性。另外，一些单位领导重视程度不够，责任未落实，管理不到位；工作人员在日常工作中安全防护意识薄弱，忽视查杀病毒，堵塞漏洞，加强密码复杂度等常规防护手段，给网络攻击留下可乘之机。

3）网络安全技术措施需完善。信息系统存在许多安全隐患，前期通过黄委重要信息系统等级保护项目初步建立了黄委重要三级信息系统的安全保护措施，也仅限于对重要信息系统的核心层（最高层）进行安全防护，省、市、县局域网的安全体系建设还很不完善，防护薄弱；非三级应用系统没有双因素用户认证，对用户名、密码没有强制要求复杂度，部分网站存在高危安全漏洞；大部分系统尚未建立数据或系统级别的备份；大部分委属单位网络机房未建环境监控，运维人员不能实时掌握机房情况，无法及时保障机房安全。

4）监测预警和运维能力欠缺。缺乏内外协同、上下联动的网络安全监控预警体系；针对网络安全攻击的发现和预警能力不足；安全知识、运维能力欠缺，对风险来源、防范措施等认识欠缺。

2 网络安全思路分析

黄委网络安全工作头绪众多，业务繁杂，任务艰巨。必须深刻认识网络与发展的关系，认识到网络安全管理工作的重要性，掌握管理规律和技术发展的大趋势，利用信息化手段不断提升管理水平，在网络安全工作的整体目标、任务指导下，重点防护关键信息基础设施和互联网网站，长期、持续提升防护水平。

2.1 认识发展与安全的关系

发展与安全是辩证统一、相辅相成的[2]。正确处理发展与安全的关系就是要加快发展，确保安全；以安全保发展，以发展促安全。要注意克服以下 2 种倾向：过分强调发展而忽视安全；追求绝对安全而制约发展。

安全是动态的，没有绝对安全，在资金、资源有限的情况下，只有统筹发展与安全，不偏废其一，不过度投入，才能实现利益的最大化。

2.2 加强安全管理

安全工作是“三分技术，七分管理”，不能陷于技术谈网络安全。应以业务应用为核心，从全局的高度部署安全工作，加强安全管理，采用先进技术，把采取安全技术手段与加强日常管理、健全体制机制紧密结合起来，提高网络信息系统的安全性和可靠性。

2.3 采取有针对性安全措施

必须象抓安全生产、廉政建设等工作一样，结合网络安全工作的具体实际，采取有针对性的措施。首先要明确目标、任务；其次要做到领导重视，加强组织管理，健全安全生产规章制度、规范，强化落实，加大检查、整治工作力度，加强宣传培训教育，加强技术措施等。

2.4 掌握技术发展趋势

网络安全态势还在高速发展中，随着云计算、大数据、物联网、移动互联网的应用，网络安全的战场也出现了自动化安全工具、沙箱等防护手段，这是一场网络安全军备竞赛，态势时刻变化，但趋势更要掌握[3]。加强技术措施，不能仅仅是现有水平上网络安全设备的堆砌，要有前瞻性，既不过度投资，也要安全保障。

2.5 提升网络安全工作效率

网络安全事件具有突发性强的特点，如果采用发文、开会部署等方式，显然满足不了应急处置的要求，特别是黄委层次多，更是对工作的时效性提出更高要求。另外，不管是安全保障还是检查考核，都对技术要求很高，必须采用信息化的技术手段，提升工作效率，才能解决信息化过程中的问题，满足网络安全保障的要求。

2.6 确立网络安全整体概念

网络安全工作越来越重要，涉及面广，管理、技术、运维、人员、设备、制度、规范、网络、机房等都在网络安全牵涉的范围内。事务繁杂，很容易迷失方向，陷于具体事务当中。因此心中要有盘棋，根据国家法律、政策及水利部要求，按照水利网络安全顶层设计，制订符合本单位实际的网络安全目标，分析具体工作任务，逐步推进。

2.7 明确网络安全重点保护对象

网络安全要保障的设备、系统、数据等数量巨大，人员、资金有限，必须要抓住关键信息基础设施这个重点和互联网网站这个问题易发的突出环节，分析目前存在的主要问题，逐步提升监测预警、纵深防御、应急响应三大能力，这样才能快速、有效地提升网络安全保障水平。

2.8 处理好应急事件处理和长效机制建立的关系

1）要处理好信息安全工作中应急事件处理与建立长效机制的关系。要保障网络与信息系统的“长治久安”，必须着手建立一套长期有效的安全机制，但网络与信息安全问题在实际工作中广泛存在且突发性强，所以必须重视应急事件的处理。一旦出现影响到国家利益的网络与信息安全事件，必须能够立即采取有效措施，控制危机的发展，把损失减少到最低。

2）安全和威胁是不断发展的，是动态的，网络安全工作永远没有休止。

3 网络安全工作思路

在对现状、问题、思路分析的基础上，提出网络安全工作的 6 个思路。

3.1 明确目标任务推进网络安全工作

依据国家《网络安全法》，按照水利部《水利网络安全顶层设计》要求，建立完善网络与信息安全保障体系，确保黄委网络与信息系统安全运行，推进黄委信息化的安全、健康、协调发展。

在水利部统一的安全策略指导下，建立健全组织管理，强化监督检查；落实安全防护技术措施，提升监测预警、纵深防御能力；加强安全运维和应急响应，提高黄委网络与信息安全保障能力和防护水平。

3.2 统筹协同联动应对严峻安全形势

要做到以下 2 点：

1）加强威胁情报收集。要充分依靠水利部网络安全威胁情报系统；在此基础上，关注国家网络安全机构发布的信息；要与相关网络安全公司友好合作，进行威胁情报的搜集；要建立黄委内部的网络安全威胁情报通报机制。

2）利用已建的安全管理平台加强网络安全日常监测，及时发现安全隐患和网络攻击，提高安全态势感知和预警能力。

3.3 建立体制机制加强安全体系管理

要做到以下 4 点：

1）提高人员的安全意识。通过对《网络安全法》进行宣传、普法，举办各种安全讲座等活动，提高大家的安全意识。

2）加强制度、规范的制订，强化管理。在水利网络安全顶层设计基础上，制订出适合黄委的网络与信息安全防护规范；按照水利部网络安全制度体系，制订出黄委网络安全制度编制计划，逐步完善黄委制度体系。

3）加强检查，积极开展安全自查。对计算机终端进行全面的安全检查，对部分单位进行网络安全检查，特别是对黄委关键信息基础设施及网站安全进行重点检查，发现安全隐患，督促整改。

4）加强安全管理信息化，逐步建立安全数据库和相关应用系统。通过 QQ 群、微信群和黄委网络安全网站，定期收集、统计网络安全情况，沟通技术问题及解决措施。

3.4 统一安全防护完善技术防护体系

从以下 3 点进行完善：

1）大力推进计算资源云化部署，做到统一安全防护。对新建的系统，如黄河医院医疗系统等均采用黄委数据中心的云化资源进行部署。对老的系统推进资源整合，大力推进网站的集群化建设，划分单独的网站群安全域，加强安全防护。

2）在资金不增加的情况下，强化落实主机、网络、应用等层面安全的最小化开放原则，提升纵深防御能力。

3）积极编写网络安全设计，争取资金，对不符合安全要求的系统进行改造。

3.5 规范运维管理提高运维保障能力

主要从以下 3 个方面规范管理：

1）加强培训。举办各单位人员参加的多层次的技术交流，提高技术水平。

2）加强技术指导。对于网络安全隐患的整改，提供管理、技术等多方面的指导，协同处理安全事件。

3）加强安全运维管理。从规范网络安全运维的技术动作及流程，细化运维责任划分，加强对运维工作的检查、考核等方面入手，强化安全运维管理[4]。督促委属各单位把日常安全运维工作做到位，把安全隐患消灭于无形，做到对网络攻击及时发现、预警、处置。

3.6 强化应急管理提升应急响应能力

主要从以下 5 个方面提升：

1）充分利用黄委数据中心的云存储资源，逐步对关键信息基础设施的业务应用系统建立数据安全备份。

2）建立应急响应组织，争取组建多个网络安全技术支撑小组。

3）修编黄委网络与信息安全应急预案，做到简单实用。

4）强化网络事件上报，建立畅通的，覆盖黄委委属单位、职工的全面的安全信息通报机制。

5）继续开展应急演练，提高应急处置能力，协同防范网络攻击，做好应急处置。

4 结语

做好网络安全防护是一项涉及范围广、情况复杂的工作，如何抓好、抓实，做好这项工作，是严峻的考验。必须紧紧瞄准网络安全目标、任务，在水利网络安全顶层设计的指导下，加强安全管理、技术防护等措施，持之以恒，完善网络安全体系，才能成功保障水利业务系统的安全。

[1] 陈雷. 贯彻网络强国战略思想 开创水利网信新局面[J]. 水利信息化，2016 （4）: 1-4.

[2] 李海斌. 论网络安全的发展趋势[J]. 中国电子商务，2012 （21）: 69-69.

[3] 唐六华，王瑛，杜中. 网络安全的发展及其应对策略[J].信息安全与通信保密，2007 （6）: 163-165.

[4] 蔡阳. 水利信息化“十三五”发展应着力解决的几个问题[J]. 水利信息化，2016 （1）: 1-5.

Thought analysis of YRCC cybersecurity work

HOU Junwei, FENG Cunhua, LEI Ping

（Yellow River Conservancy Commission Information Center of the Ministry of Water Resources, Zhengzhou 450003, China）

This paper describes the present status of YRCC cybersecurity, points out the existing problems. The cybersecurity work is involved range wide and complex. To safeguard water conservancy information system, how to deal with cybersecurity work have been analyzed. In addition, it also presents an approach of work, which is strengthened management and technical measures, establishing and improving the cybersecurity system in a persisten way, around the cybersecurity goal and task, under the guidance of the top-level design of water conservancy.

Yellow River; government extranet; cybersecurity; thinking of work

TP393.08

A

1674-9405（2017）03-0033-04

2017-04-17

侯俊伟（1972-），男，河南开封人，高级工程师，从事网络维护和网络安全管理工作。

10.19364/j.1674-9405.2017.03.008