海事信息网络安全防护策略的思考与实践

2024年4月14日发(作者：)

第18卷 第10期 中 国 水 运 Vol.18

No.10

2018年 10月

China Water Transport October

2018

海事信息网络安全防护策略的思考与实践

杨 莉

（武汉海事局通信信息中心，湖北 武汉 430014）

摘 要：长江海事信息网络作为海事信息管理及业务实施的核心支撑，实现了长江沿线各管理单位设施和数据的共

享集成及互联互通，广泛应用于海事监管、水上安全信息发布等日常业务中。作为数据和通信的承载体，海事信息

网络的安全状况对保证业务的连续性，数据的完整保密性及具有重要的现实意义。所以，做好海事信息运行网络的

网络安全防护，对于保障海事日常运维工作的正常开展显得尤为重要。本文分析了影响海事网络信息安全的主要因

素，结合业务实际提出了海事信息网络安全防护的策略，并在勒索病毒的防护实践中进行了合理性的验证。

关键词：海事信息网络；网络安全；安全防护策略；“勒索”病毒

中图分类号：G203 文献标识码：A 文章编号：1006-7973（2018）10-0073-02

一、海事信息网络安全的影响因素

随着各业务信息化程度的提升，海事信息网络已经成为

海事监管与水上交通信息共享等业务的基础平台。各种信息

资源在这里得到了有效集成共享。近年来，网络入侵事件日

益严重，对海事信息网络的安全性产生了极大的威胁。结合

工作中遇到的实际情况，影响其网络安全的因素主要可以归

纳为以下几方面：

（1）松耦合的分布式网络结构带来的安全隐患。海事信

息网络由各个分布在不同业务单位的网络级联而成，网络连

接的多样性以及地域上的不均匀分布，使其易受黑客、恶意

软件和其它形式的攻击。

（2）操作系统、软件及硬件存在安全漏洞和缺陷

[1]

。随

着网络运行的软硬件环境越来越复杂， 这些基础设施都无法

完全保证其安全可靠；同时，网络的使用者安全意识薄弱，

不能及时有效的进行安全防范，也导致了信息网络存在着巨

大的安全隐患。

（3）网络攻击手段层出不穷。网络攻击技术越来越先进，

攻击方法也越来越隐蔽，对网络环境造成破坏性也越来越大，

覆盖面越来越广。

网络安全问题产生的根源是互联网分布式架构所导致

的，各种安全威胁可不受地理位置限制及特定平台的约束，

而海事信息网络由多个分布在不同地域的节点连接而成，业

务运行需要多种终端设备及数据系统的接入和访问，其网络

安全也因此受到严重影响，给海事信息网络的正常工作带来

了巨大的安全威胁与高昂的经济成本。

二、海事信息网络安全的防护策略

海事运行信息网络的安全防护从技术方法上来说，主要

由防火墙配置、入侵检测技术、防病毒设置等多种防范措施

组成，通过这些安全防护手段的综合使用，能有效防范各种

网络攻击的入侵。具体如下：

（1）防火墙技术：防火墙是一种隔离控制技术，通过预

收稿日期：2018-05-25

作者简介：杨 莉（1983-），女，武汉海事局通信信息中心工程师。

定义的安全策略对内外网通信强制实施访问控制

[2]

。防火墙

保护网络内部的硬软件资源和数据资源，通过防火墙的规则

来约束网络信息的传输。

在海事内网中通过部署三个层次的防火墙实现了对流经

数据的检测，保障内网的稳定运行。首先将硬件防火墙放置

于核心交换机和核心路由器之间，作为边界防火墙，有效的

阻止外部非法数据的入侵以及内部网路发生安全事件时的扩

散；在重点服务器和核心交换机之间部署第二层防火墙，将

重点服务器隔离保护，当网络内部发生网络攻击事件时将服

务器隔离在外，保证网络的尽快恢复。在各个海事处的交换

机和局机关网络间部署第三层防火墙，通过这些防火墙的部

署有效的保障了各个海事处内网和局机关互联互通及数据的

安全性。

（2）入侵检测技术：入侵检测技术通过对信息网络以及

业务终端系统中的进行信息监测和综合分析，来发现是否存

在攻击信息。入侵检测是防火墙的合理补充，帮助系统对付

网络攻击

[3]

。

海事网络管理部门通过相关的软硬件部署，可以检测和

分析相关的漏洞利用企图、端口扫描等各种可疑行为，此外

制定了网络信息管理监测和汇报机制，在一定程度上进一步

提升了运行网络的安全保护能力。

（3）防病毒技术：防病毒技术通过一定的技术防护方法

阻止病毒程序对软件业务系统可能造成的破坏，同时阻止病

毒在网络环境中传播和扩散。

按照武汉海事网络管理部门的统一部署，在内网部署了

360d擎服务器，各终端均安装了360d擎客户端。所有终端

可以通过各分支局的服务器自动安装已有漏洞的补丁并自动

更新，客户端中集成了防病毒软件，有效的防御相关病毒，

为各终端的安全提供了保障。

以上是海事信息网络管理部门常用的安全防护手段，在

实际日常的网络安全管理过程中，除了这些技术方法外，更

74 中 国 水 运 第18卷

重要是要制定符合单位实际运行需要的安全管理制度，通过

制度来建设规范化、高效能的网络管理。

三、新型勒索病毒的防护实践

《中华人民共和国网络安全法》在2016年11月发布，

对企事业单位的网络安全管理的责任和义务进行了明确限

定。武汉海事通信信息中心梳理了相关的管理规程，并制定

了网络安全管理的技术保障方案，有效地提高了海事系统内

业务网络的安全防护水平，在2017年5月爆发的勒索病毒

防护中经受住了严峻的考验。

勒索病毒通过通过共享端口（135、137、138、139、

445）传播，较多的企业和机构受到严重攻击。在勒索病毒

全球范围内爆发之初，武汉海事通信信息中心按照上级单位

相关要求和网络安全的相关条例，有条不紊地展开网络安全

防护工作，有效地抵御了病毒的攻击。主要工作有：

（1）核心交换机控制策略更新：在核心交换机上添加新

的ACL控制策略，并在核心交换机的三层端口上有效控制了

135、137、138、139、445这五个端口上数据的进出，如

图1所示。

图2 防火墙规则配置

通过以上安全防护措施，武汉海事的业务网络未发生服

务器或者终端电脑中毒事件，成功地抵御了勒索病毒的攻击。

四、结语

本文分析了武汉海事信息网络运行过程中的安全影响因

素，并研究了相关安全防护的方法和实施方案，通过“勒索”

病毒的防护实践，证明了这些策略可以有效防护各种网络攻

击、极大的提升了海事信息网络的安全可靠性，保障了各项

业务工作的正常开展。

海事信息网络的安全防护一方面需要网络运维管理人员

加强学习，密切关注网络安全领域的新动向，学习和掌握新

方法，不断提升技术应用水平，并做好预防；另一方面还需

要网络终端用户积极学习网络安全管理法规，提升安全防护

意识，遵守制定的操作流程和规范，从信息网络内的每台终

端出发，做好运行网络安全防护工作。只有将安全技术和管

理制度进行综合运用，才能更有效的保障海事网络的运行安

图1 ACL控制策略

（2）服务器及终端主机：在服务器和终端主机上，我们

按照安全终端的管理要求，运行勒索病毒专杀工具对服务器

和终端电脑进行逐一检查，确保每台服务器和终端电脑均安

装相关补丁，并已经具备完全免疫能力。同时，在相关服务

器和终端的防火墙策略中增加了新的入站规则和出站规则，

如图2所示。

全，从而为业务的稳定运行提供强有力的支撑和保障。

参考文献

[1] 陈昌芳.诱骗系统的入侵行为分析与研究[D].南京：南京

航空航天大学，2007.

[2] 满代军.移动互联网公共信息安全对策研究[D].济南：山

东师范大学，2010.

[3] 刘达.论电力生产中信息安全的重要性[J].中国科技博览，

2013，（32）：576-576.

本 刊 启 事

来稿凡经本刊使用，如无特殊声明，即视作投稿者同意授权本刊及本刊合作媒体进行信息网络传播及发行。同

时，本刊支付的稿费也包括上述所有使用方式的稿费。特此告知。

本刊编辑部