水利网络和信息安全防护体系研究.pdfVIP

第47卷第 1期 甘 肃 水 利 水 电 技 术 Vo1．47．No．1 2011年 1月 GansuW aterConservancyandHydropowerTechnology Jan．，201l · 设计与研究 · 水利网络与信息安全防护体系研究 孙祥鹏，廖华春 ，肖尧轩 ，杨志琼 (水利部 珠江水利委员会 珠江水利综合技术中心，广东 广州 510611) 摘要：面对当前严峻的网络与信息安全形势，结合系统科学的信息安全技术，提 出一个面向水利的网络与信息安全 防护体系，保障水利业务信息系统的安全、稳定运行 ，为水利信息安全等级保护和涉密信息分级保护的建设和整改 提供参考依据。 关键词 ：水利 ；网络与信息安全 ；防护体系 中图分类号：TP393．08 文献标识码：B 文章编号 ：2095—0144(2011)01—0035—03 O 引言 应急响应机制缺乏。水利信息安全体系的不完善使业务信息 伴随着信息技术的发展和信息时代的到来，信息系统在 系统面临较大的信息安全风险。 国家的政治、军事和经济领域的广泛应用，整个社会对信息 2 信息安全风 险 系统的依赖性越来越大。信息系统的安全 问题己成为关系经 信息安全风险是指信息资产的保密性、完整性和可用性 济稳定、发展和国家安全的社会问题 l【1。当前我国网络与信息 遭到破坏的可能性 [2]。其具有客观性、不确定性、多层次性、 安全工作面临的形势相当严峻，网站被篡改、网络仿冒、网页 多样性、可变性、动态性和可测性等特征。现阶段面临的信息 恶意代码、计算机被植入木马等事件频频发生，信息安全工 安全风险包括以下几类： 作越来越重要。1994年，国务院第 147号令颁布了 《中华人 (1)网络安全威胁 民共和国计算机信息系统安全防护条例》明确规定我国 “计 网络安全威胁主要是指应用系统在网络层面存在 的安 算机信息系统实行安全等级保护”；2003年 ，由党中央和国 全风险。计算机网络是应用系统进行信息交互的通道 ，同时 务院批准发布的 《国家信息化领导小组关于加强信息安全保 也是攻击者非法入侵的通道。攻击者利用拒绝服务攻击、分 障工作的意见》特别强调 “实行信息安全等级保护 ，要重点保 布式拒绝服务攻击、会话重放 、II)欺骗、堆溢出等手段进行 护基础信息网络和关系国家安全、经济命脉、社会稳定等方 攻击 。 面的重要信息系统，抓紧建立信息安全等级保护制度”。 (2)主机安全威胁 随着水利信息化的深入发展 ，信息化基础设施及业务应 主机安全威胁主要是指承载应用系统的操作系统平台 用逐步建设并完善。但与Et益增加的业务应用对安全的需求 所面临的安全风险。一方面，操作系统规模不断扩大 ，模块接 相比，水利行业网络与信息安全系统尚缺乏统一的规划 、安 121众多 ，安全漏洞也不断被发掘。另一方面，操作系统不恰当 排、组织和实施 ，现有的安全保障还 比较单一，缺乏系统性和 的配置和使用给应用系统带来安全隐患。操作系统的脆弱性 整体性 ，存在较大安全风险，远不能达到国家对信息系统安 直接影响到其承载的应用系统的安全。 全防护的相关要求。本文就水利网络与信息安全防护体系的 (3)应用安全威胁 建立进行初步的探讨和研究。 应用安全威胁主要是指应用系统在应用层面所面临的 1 现状和问题 安全风险。应用系统多为定制开发，在对外服务中存在安全 依托国家防汛抗旱指挥系统一期工程和水利 电子政务 隐患。常见的应用安全威胁有 SQL注入、跨站脚本攻击、网 系统等重点