閆曉敏

（河南省水利信息中心，河南 鄭州 450003）

1 一體化交付技術總體設計

技術針對越來越多的水庫監(jiān)測站點出現(xiàn)的網絡安全問題，提出“水利安全一體機”解決方案。該方案通過在新建水庫監(jiān)測站點部署一臺水庫安全一體機即可滿足監(jiān)測站的數據采集需求、網絡安全需求、運維管理需求等。

該水庫安全一體機，以硬件服務器為載體，通過虛擬化技術，以多虛擬機并行運行的方式，承載一個水庫安全監(jiān)測所需要的多種功能，如在該平臺上可部署：數據加密VPN 軟件、行為審計軟件、防火墻軟件、廣域網優(yōu)化軟件等。

此外，為保證數據防篡改和兼容現(xiàn)有的建設模式，平臺還提供額外虛擬機資源，支持整合第三方軟件兼容能力，可部署第三方的數據防篡改軟件，以及數采儀中的數據采集軟件等。

該水庫安全智能監(jiān)控調度一體機，通過采用基于服務器、存儲的網絡虛擬化等技術形式，結合所見即所得的操作方式讓用戶更快速簡單地構建出分站點業(yè)務邏輯，實現(xiàn)了基于虛擬網絡資源流量的全智能動態(tài)實時監(jiān)控調度控制模塊，應用功能靈活可伸縮擴展，同時能實現(xiàn)對全網流量動態(tài)的可視，配置控制界面簡單直觀，運維控制靈活便捷。解決了各監(jiān)測站點之間對VPN、防火墻、流量監(jiān)測、審計等功能需求，自動搭建VPN 隧道，無須手工設置IPSec VPN 隧道，實現(xiàn)即插即用的快速上線。

2 一體化交付技術路線

基于數據全生命周期管理進行安全防護思路，首先深度分析數據采集、傳輸、存儲、使用等過程存在哪些維度安全風險，如網絡安全風險（內網勒索病毒、外部安全威脅）、采集數據安全防止私自篡改。然后針對邊界安全、傳輸安全、全網分支態(tài)勢安全進行防護和分析。

整體技術路線分為：首先針對水庫安全監(jiān)測研發(fā)一套融合安全、網絡、計算、存儲一體的設備，并且可以進行端對端傳輸安全加密。其次針對潛伏威脅，考慮到難以檢測未知威脅和處置，需要聯(lián)動安全平臺進行流量分析，研發(fā)一套可以統(tǒng)一收集各監(jiān)測站點可疑流量且進行風險分析，如展示全網安全攻擊地圖、外聯(lián)風險地圖，此外還可以聯(lián)動分支端安全融合一體機進行聯(lián)動處置，保證病毒無法橫向傳播。最后，針對不同監(jiān)測站點的業(yè)務訪問和高效運維，基于SD-WAN技術（軟件定義廣域網）中心端部署可視化管理平臺，對全網流量進行overlay隧道管理和調度、全網設備和應用進行可視化監(jiān)控和分析，全面提升業(yè)務體驗和可靠性，以及極大提升運維效率。

3 技術先進性

基于軟件定義技術構建一套以數據為核心的立體安全防護系統(tǒng)，實現(xiàn)數據全生命周期管理，從“采集安全、邊界安全、傳輸安全”到“管理、分析”。以海量大數據作為驅動、人工智能算法研究為支撐基礎，通過智能化深度安全防御、持續(xù)實時檢測、快速安全響應，構建一套基于大網絡、端點技術的系統(tǒng)化和智能網絡化協(xié)同應急聯(lián)動智能防護能力體系，有效使保障大型水庫汛期監(jiān)測預警數據質量安全水平成為中國新型信息化安全管理能力系統(tǒng)建設階段的關鍵核心工作。

3.1 虛擬化構筑立體防御壁壘

水庫安全一體機支持通過虛擬化技術，在設備上啟用虛擬下一代防火墻功能，提供的安全能力包括：NAT、路由、入侵防護、訪問控制、風險分析、僵尸網絡檢測、用戶認證、威脅情報、會話控制、URL過濾Web安全防護、DDoS、敏感信息防泄漏、實時漏洞分析等功能，可雙向分析網絡流量網絡層、應用層、內容風險，比同時部署WAF、傳統(tǒng)防火墻等多種安全設備的防護能力更強，可抵御危害更明顯、攻擊更容易、來源更廣泛的應用層攻擊，實現(xiàn)L-L7 層數據中心全面安全加固。與傳統(tǒng)堆疊式安全部署相比較，有效解決了部署多臺設備帶來的性能消耗、單點故障、難以管理的問題。

在主機層面，水庫安全一體機支持部署主機殺毒EDR，以終端資產安全生命周期為中心，通過預防、檢測、防御、響應賦予終端強大的對木馬、病毒、入侵攻擊等威脅的防御能力，通過EDR人工智能行為分析、云查引擎、全網信譽庫、SAVE引擎等技術全面應對威脅，防御未知新型病毒的感染、傳播，通過構建多維度威脅防御體系，全面解決現(xiàn)有信息系統(tǒng)安全問題。

通過全面部署應用EDR，建立多個安全平臺聯(lián)動機制，EDR 可與水庫安全一體機虛擬下一代防火墻進行聯(lián)動，實現(xiàn)威脅的接收與共享。同時在主機層面以終端殺毒EDR讓終端具有更持續(xù)的檢測能力、更精準的查殺能力、更細致的隔離策略、更快速地處置能力；在應對高級威脅的同時，通過威脅情報共享、網端聯(lián)動協(xié)同、多層級響應機制，協(xié)助監(jiān)測站點快速處置主機層、網絡層的安全問題，構建響應快、智能化、輕量級新一代安全系統(tǒng)。

3.2 可信驗證助力數據防篡改

針對出現(xiàn)的對水庫監(jiān)測數據不當干預的行為，如強制登陸數采設備，違規(guī)篡改監(jiān)測數據、弄虛作假。方案提出在水庫安全一體機中啟用防篡改功能機制，通過設備內置的數據篡改防護機制，對采集的數據進行二傳機制比對，后臺無感知灰度處理，最終實現(xiàn)數據的可信采集，且滿足全過程數據審計溯源，為環(huán)境監(jiān)管及決策提供可靠數據保障。

在網絡服務器的數據接收端，增加了實時感知所有監(jiān)測站點數據通信中斷，數據缺失，有效數據不足等異常狀況的特定功能，避免了頻繁地查詢監(jiān)測數據記錄表所造成的阻塞難題。

3.3 軟件定義實現(xiàn)加密傳輸

針對監(jiān)測站點的業(yè)務訪問和高效運維，基于SD-WAN 技術中心端部署可視化管理平臺，對全網流量進行OVERLAY隧道管理和調度、全網設備和應用進行可視化監(jiān)控和分析，全面提升業(yè)務體驗和可靠性，實現(xiàn)可靠加密傳輸。

現(xiàn)有的水庫堤壩安全與數據質量監(jiān)測的網絡大部分數據是直接通過電信專線方式傳輸，數據的傳輸存儲過程中都無經過任何的加密及保護等機制，存在容易被外部中間人進行竊聽、篡改的風險，需要根據數據重要性需要對傳輸過程中的數據進行加密。

方案提出在水庫安全一體機中啟用IPSec VPN功能，構建起一條網絡互通的VPN 通道，各監(jiān)測站點可通過加密的VPN通道，實現(xiàn)快速與監(jiān)測中心的數據交互。同時，IPSec VPN可以與集中管理平臺無縫融入，實現(xiàn)對各監(jiān)測站點水庫安全一體機進行集中式統(tǒng)一的管理，如實時監(jiān)控、日志查詢、策略下發(fā)和升級維護等，可以降低成本、提高網絡應用效率，管理起來更為便捷。考慮業(yè)務應用和需求，IPSec VPN網絡安全性有五層含義，五大安全保障VPN 得安全性。一是用戶身份安全；二是數據傳輸安全；三是內網訪問權限安全；四是接入終端安全；五是審計安全。

3.4 聯(lián)合開發(fā)數采軟件平臺深度兼容

為避免水庫站點建設過程中網絡安全建設與數據采集業(yè)務割裂，各產品獨立部署不能形成合力，水庫安全一體機的服務器虛擬化功能，滿足監(jiān)測站點部署數采軟件需求，提供額外資源，對數采業(yè)務軟件和網絡安全軟件進行整合，靈活提供業(yè)務的擴展性，減少數采設備采購投資。

水庫安全一體機以服務器虛擬化為底層架構，通過超融合架構層擴展出存儲、網絡虛擬化，通過所畫即所得的方式靈活快速構建出分站點業(yè)務邏輯，動態(tài)調度和靈活擴展虛擬化資源，全網配置直觀簡易，流量可視，運維方便靈活。

此外，在業(yè)務數據存儲安全，平臺提供VMP 虛擬化平臺，在整體VMP平臺上融合備份系統(tǒng)，實現(xiàn)備份系統(tǒng)簡單易用，系統(tǒng)根據用戶設置好的自動備份計劃定期進行自動備份，在不處理日常業(yè)務的時間里進行此項工作，可以增強系統(tǒng)數據安全性，提高自動處理事務的能力。

4 總結

一體化交付技術能夠整合水庫所需安全能力，較好地應對網絡安全事件，實現(xiàn)對水庫監(jiān)控、傳輸、管理和網絡安全態(tài)勢能力的綜合管理運維，提升水庫網絡安全綜合管理效率，適用于不同的水利業(yè)務單位，能夠為專家決策做出精準化支撐。