基于智慧船閘的網絡安全策略

闞國春

摘 要：目前，信息化技術獲得跨越式發展，越來越多的企事業單位都認識到依托先進的IT技術構建自身的業務和運營平臺將極大地提升運營效率。信息化運行尤其依賴于計算機系統，而這一系統又尤其依賴于互聯網?，F如今，持續擴大的互聯網規模，伴隨發展的還有日益復雜的互聯網結構，為了更好地運行計算機應用系統和計算機網絡，網絡安全問題需要提高標準。本文以施橋船閘為例，研究探索在踐行智慧船閘時，作為網絡管理人員應該如何應對日益復雜的網絡環境，思考如何將網絡變得更加安全可靠。

關鍵詞：智慧船閘;網絡系統;安全策略

1 前言

智慧船閘主要是指依靠先進的控制技術、通信技術、傳感器技術等，將潮流的AI技術、大數據技術、5G及云技術等技術有效集成，充分應用于船閘通航管理服務中，在船舶過閘時發揮其高效、準確作用的綜合管理控制系統，利用這些先進的技術提高船閘的運行效率，減少船民的過閘等待時間和經濟成本，從而為船員提供更加周到的服務。

施橋船閘管理所位于古城揚州市南郊的施橋鎮，管理著三座大型現代化船閘，是蘇北運河過長江向北十個梯級過船樞紐的第一道船閘，素有蘇北運河“南大門”之稱。施橋船閘下游距長江6.5公里，上游距邵伯船閘23.5公里，年雙向設計通過能力為1.5億噸，船閘常年有10多個省市的船舶通過，是煤炭、建材水運的重要通道，2016年以來，因黃沙等建材運量增多等原因，施橋船閘已經成為蘇北運河最為繁忙的船閘，2017年通過量首超3億噸達3.29億噸，創下全國內河船閘之最，全年有42次日通過量超百萬噸。

近年來，施橋船閘大力推動智慧船閘建設，創新管理模式，提高船閘通過能力，優化工作流程，提高過閘效率，在服務地方經濟和國民經濟發展中日益發揮著十分重要的作用。但隨著網絡的產生和應用，網絡安全問題也隨之出現。如何加強網絡安全，確保生產高效運行，每個計算機用戶，特別是企事業單位網絡用戶，安全措施必須足夠。

2 研究背景

網絡安全策略的實施是一項系統工程，它涉及許多方面。因此不僅要對平時的外部網絡威脅多加考慮，而且還要足夠重視網絡管理和內部網絡所存在的安全隱患，不能孤立地看待任何一個安全隱患和安全措施。因為有可能會呈現出多方面的安全隱患爆發途徑，因此所采取的安全措施都必須是相互關聯的。比如黑客攻擊和病毒入侵等非常典型的事件，全是借助網絡實施的攻擊行為，而且幾乎每時每刻都在發生，遍及全球。除此之外，比如非法截取和更改用戶郵件，用戶的非法操作和訪問，惡意軟件的攻擊和入侵等都是普遍存在的安全事實。

目前病毒感染不再是防范的唯一對象，還要防范以網絡為載體的非法訪問、攻擊和入侵，將安全隱患在單位網絡中的發生劃分為外網和內網兩部分，很多情況下內部網絡安全威脅要遠遠大于外部網絡，內部實施病毒入侵和攻擊更加容易，針對這些安全問題，所實施的安全策略可以通過防護病毒網絡版系統的專業安裝來執行，在此過程中還要對內部網絡安全管理要持續提升強度和質量，對于系統本身安全措施和防火墻過濾策略都要配置好，對于系統安全補丁要第一時間安裝，有條件的還可以在外網、內網中安裝IPS系統、網絡嗅探器、網絡掃描檢測、IDS，還可以考慮將網絡安全隔離系統給予一定的配置，對內、外網絡進行安全審查;安全管理內部網絡要持續加強，嚴格實行“最小權限”原則，恰當的用戶權限要在各用戶間配置好;同時對一些敏感數據進行加密保護，對數據還可以進行數字簽名措施;根據單位實際需要配置好相應的數據策略，并按策略認真執行。

3 船閘網絡安全需求及隱患

一般單位網絡普遍應用數據庫、電子郵件、HTTP、FTP、TCP/IP等這些常見的標準和技術，將豐富的通信形式作為技術依托，實現廣域連接。在飛速的信息流中，信息的處理、存儲、傳輸等都關系到行業內部消息。所以加以保護有關的信息資源是非常必要的，還要管理和控制服務資源。

3.1 施橋船閘網絡安全需求

施橋船閘是有著100多名職工的中小型網絡單位，主要是依靠船閘智能調度系統服務水運事業。單位網絡主要分為內網與外網，網內現有計算機約100余臺，服務器的操作系統包含 Windows Server 2003和Windows Server 2008，客戶機的操作系統是含有Windows XP、Windows 7、Windows 10，客戶機在工作組的模式下運行。單位對網絡的依賴性很強，主要業務都要涉及互聯網以及內部網絡。隨著智慧交通體系的建設，智慧船閘也已成為當下發展的主流趨勢，因此構建健全的網絡安全體系以滿足智慧船閘對網絡安全的需求是重中之重。

3.2 施橋船閘網絡安全隱患

網絡內部和外部都會受到網絡入侵，辦公信息安全和網絡系統都會因為網絡攻擊而受到危害，一般可以將危害具體總結為：

（1）借助木馬程序來使得非法用戶對計算機系統進行控制，將計算機上的資料刪除或者任意復制。

（2）設置的共享權限和口令策略不夠安全，計算機上的資料可以由其他用戶借助網絡完成復制。

（3）保密文件可以由病毒自行散發，比如說這種SirCam病毒。這種病毒會將電腦中的Word Excel等資料以郵件附件形式向其他郵件傳送，甚至有美國聯邦調查局（FBI）的一些資料也以這種方式發送出去。

（4）對于網絡中明文傳輸的數據可以借助網絡偵聽（Sniff）實現截獲，比如像FTP、Telnet、電子郵件等資料在利用簡單編碼或者明文進行傳輸過程中，存在被非法用戶半路截獲的可能，從而導致泄漏資料。

（5）中斷服務。對于辦公網絡來講，就是以網絡為載體實現有關辦公流程的網絡化和自動化，現如今主要應用的辦公網絡是辦公自動化系統（OA），假設該系統受到攻擊，系統很有可能無法提供服務，造成辦公自動化中斷，使得辦公效率下降，甚至工作流程更為混亂。

3.3 施橋船閘網絡安全需求分析

通過了解施橋船閘的需求與現狀，為實現網絡安全建設和改造升級網絡系統，運行網絡系統的穩定性予以提高，保證單位各類信息系統的安全性。對于客戶端的計算機準備采用安全手段來進行保護，將用戶在客戶端計算機中的文件操作和目錄操作進行記錄，旨在有手段實現單位對計算機使用情況的實時查看和追蹤，旨在避免外來計算機入侵單位網絡系統。借助改造優化網絡結構，使得管理者能夠實時監控和管理軟件安裝、登錄用戶權限、網絡中服務器等方面應用。因此需要：

（1）構建良好的環境確保單位物理設備的安全;

（2）進行科學有效的VLAN劃分，內網安全實時控制;

（3）安裝防火墻體系;

（4）組建入侵檢測系統;

（5）安裝防病毒服務器;

（6）加強對網絡資源的管理;

（7）增加訪問控制策略;

（8）增加信息加密策略。

4 施橋船閘網絡安全策略

4.1 訪問控制策略

非法訪問予以有效避免是訪問控制的基本目標，可以實現用戶安全控制服務器和關鍵網絡?，F如今應用非常普遍的網絡訪問控制設備就是防火墻，這一設備借助端口號、IP地址等實施設置和控制有關的安全代理等方法，完成隔離外部網絡和內部被保護網絡。

單位網絡在安全規則方面能夠對一段網絡、一組主機、單獨主機，以網絡協議為基礎完成基本的設置，完成有關的安全規則編輯;完成安全規則基于網絡通訊接口進行設置，僅僅放開其中部分服務端口，以服務于單位保護對象;可以按照具體時間來完成設置，旨在將訪問控制順利實現;安全規則基于網絡服務進行設置。

可使用帶行為管理的防火墻或者設置代理服務器（如SQUID）進行行為管理，方便有效地對單位內部局域網進行監管與控制。

4.2 信息加密策略

對于網內的控制信息、口令、文件資料、數據借助信息加密起到保護目的，同時還對傳輸的網絡數據加以保護。密鑰網絡加密中是需要的，密匙通常指生活、生產過程中各種加密技術的使用，可以高效地監管企事業機密和個人資料，管理密鑰的有關行為稱之為密鑰管理，比如破解、解密、加密等行為都屬于密鑰管理。

端點加密、節點加密、鏈路加密是常用的網絡加密的三種方法。對于網絡節點中的鏈路信息進行保護是鏈路加密主要目的;對于目的節點和源節點之間的傳輸鏈路提供保護是節點加密的目的;對于目的端用戶和源端用戶有關數據提供保護是端端加密的目的。

（1）鏈路加密?？梢詫⑵涠x為在線加密，任何消息的加密操作都需要在傳輸之前，對于接收到的每一個節點信息都需要解密，對于消息在下一個鏈路中再完成加密，進行信息傳輸。一直到最終的目的地，中間要進行多重的加密、解密操作，確保數據傳輸安全。

（2）節點加密。要求以明文形式來傳輸路由信息和報頭，這樣就能對如何在中間節點處理消息的信息進行獲取，大致一致于鏈路加密和其他信息加密形式。在網絡節點處，節點加密是禁止明文形式出現的，對于實現收到的信息解密，之后再加密傳輸，期間要采用不同的密鑰。對于網絡數據傳輸安全，節點加密效果非常好，但是攻擊者對于通信業務的分析采用節點解密形式予以防范卻是存在缺陷的。

（3）端端加密?？梢詫⑵涠x為包加密或者脫線加密，從源點到終點，在傳輸數據過程中允許以密文形式存在。在到達終點之前，不進行端端加密消息的解密，主要就是由于整個傳輸過程中，這些消息均受到保護。通常，在對敏感信息進行傳輸過程中必須應用端端加密形式。

最有效的網絡安全技術之一就是密碼技術。依托網絡進行加密操作，對于非授權用戶的入網或者搭線竊聽可以有效地防止，這也是一種對惡意軟件進行防范的有效措施。

4.3 數據備份策略

施橋船閘目前對信息化的依賴比較高，服務器及數據的穩定性被給予很高的要求，實現這樣的目的，除了采購質量良好的硬件設施外，還可以有效地利用私有云實現信息備份和災難冗余。對于需要高度可靠性的用戶，這樣的方式可以使文件信息的安全有保障，正常情況本機存儲，私有云自動備份，當工作設備的系統出現故障時，備份設備可以隨時異地提供數據讀取，保證單位整體的正常運轉。同時使用UPS對重要設備進行不間斷的供電，保證硬件設施的良好運行。

5 結語

近幾年，互聯網技術獲得跨越式發展，在這一過程中伴隨而生的巨大問題就是網絡安全問題。這是一個普遍存在、覆蓋面廣的復雜性問題，同時還會涉及到違法犯罪等活動。而在涉及到以下簡單的網絡安全問題時，僅僅確保無關人員無法完成讀取信息，或者不能對傳輸的信息進行修改。網絡安全問題中，部分對象無權使用網絡，但是卻試圖借助一些軟件來實現遠程服務，竊取一些信息。對于合法消息重播和截獲問題也是安全性處理的對象。

本文從建設智慧船閘角度對于解決基礎網絡設施安全進行了描述，旨在為單位提供信息的完整性、認證性、保密性的保護機制，避免網絡系統、數據、服務遭到破壞或者侵擾?，F在較為普遍應用的方法有加密技術、認證技術、防火墻等，由于越來越大的運行規模，使得單位網絡涉及的安全性問題呈現復雜化特征。因此，維護網絡安全將是一件關鍵任務。在此過程中要對安全因素綜合考慮，將有關的安全防范技術進行相互結合，采取科學有效的安全防范措施，保證網絡安全。

參考文獻：

[1] 王加雪，錢江.智慧船閘[M].東南大學出版社，2018

[2] [美]本·斯派維 喬伊·愛徹利維亞. Hadoop安全大數據平臺的隱私保護[M].人民郵電出版社，2017

[3] 劉化君. 網絡安全與管理[M].電子工業出版社，2019.

[4] （美）Saadat Malik 網絡安全原理與實踐[M].人民郵電出版社，2019.