智慧农业管理系统的网络安全研究与实现

吕圣林 覃广荣 乔柳彦

(广西农业职业技术学院， 南宁 530007)

当前,我国正处在传统农业向现代农业转型的过度期,随着智慧农业——互联网+农业的经营模式成为现代农业的重要内容,但在智慧农业应用中,智慧农业的关键部分智慧农业管理系统存在着网络安全隐患,大多数忽略了系统的网络安全建设,直接把智慧农业管理系统裸露在互联网中,很容易遭到来自网络上的各种攻击,导致信息的泄露、传播不健康的信息或者造成智慧农业系统的瘫痪等。 因此,农业部印发了《2018 年农业部网络安全与信息化工作要点》,第十一条阐述了加强智慧化农业网络安全能力建设的要求:提升网络安全防护能力,贯彻落实信息系统网络安全等级保护制度,切实做好信息系统的定级、备案、测评、整改等工作,重点加强我部关键信息基础设施和重要信息系统的安全防护能力建设,逐步更新、完善网络安全防护设备……[1],为智慧农业管理系统的网络安全工作做出了很好的指导意见。

1 智慧农业管理系统网络安全面临的主要威胁

随着全球信息高速公路的建设完善,整个世界正在迅速地融为一体。 农业作为第一产业无不例外也快速融入全球的信息化浪潮中,因此智慧化农业管理系统孕育而生。 该系统充分利用网络上的信息和资源,有效的保障农产品供给链、农产品质量安全、农民增收。 但是信息和资源的广泛共享,也产生了各种各样的问题,其中智慧化农业管理系统的网络安全问题尤为突出。

1.1 操作系统和应用软件存在的漏洞或“后门”

在互联网技术的发展过程中,操作系统和软件的网络通信的协议、规则为实现特定的功能及通信的一体化,几乎都存在或多或少的安全漏洞或“后门”,众多的各类服务器、浏览器、软件等都被发现存在网络安全隐患[4]。 目前,尚未研发出任何一款没有漏洞的操作系统和应用软件。 根据这一特性就给了故意危害互联网安全的人有了可乘之机,破坏网络的资源信息或者传播不健康的信息。

1.2 TCP/IP 协议的缺陷

互联网在早期的时候主要是考虑各种计算机网络的入网互连、资源共享的问题,忽略了网络安全的问题,互联网通信的核心协议TCP/IP 协议,实际上是一个协议簇,任何人都可以把自己的意见作为文档发布,被认可的文档成为Internent 标准的TCP/IP协议,但TCP/IP 协议缺乏相应的安全机制,特别是到网络局部故障时,为了不影响信息的传输TCP/IP协议中很多端口是默认打开的,存在着网络安全隐患。

1.3 黑客的攻击

对智慧化农业管理系统而言,黑客(Hackers)即是在不经过同意的情况下,通过各种手段去使用、篡改、非法发表、破坏网络的各种资源或者计算机信息的人称为黑客。 黑客常用的攻击方法很多,包括:寻找操作系统、软件的漏洞或“后门”攻击；使用“IP spoofing”的技术冒充合法用户攻击等攻击手段。 黑客是智慧化农业管理系统网络安全的主要威胁。

1.4 来自企业内部的网络安全隐患

智慧化农业管理系统的网络安全主要靠企业内部人员的充分重视。 网络安全管理员如何做到对企业内部员工进行网络安全宣传。 包括:不打开来源不明的电子邮件和应用软件；不随便安装来源不明APP；在不能确保网络安全的地方禁止使用移动存储设备等等,尽量避免企业内部员工的误操作、网络资源的滥用和恶意行为。 在资金方面给予支持,确保网络安全软件、硬件设备的更新、完善,这样能有效的消除来自企业内部的网络安全隐患。

2 智慧农业管理系统的网络安全防范措施

智慧农业管理系统的网络安全防范主要采取闭环式的立体防御,这是按照网络攻击的时间节点划分的,即为事前预测、事中防御、事中检测和事后响应,这一系列的防御组成一个循环闭合的立体防御体系,让网络攻击无从下手,如图1 所示。

图1 立体防御体系示意图

2.1 事前预测

智慧农业管理系统在遭受到网络攻击事件发生前,通过大数据网络安全事件感知平台获取到的网络攻击威胁特点,并将这样威胁情况通知“事中”、“事后”的相关网络安全设备。 网站安全检测系统定期、定时的对内网的服务器、终端、网络设备等进行漏洞扫描,把网络攻击扼杀于萌芽状态。 例如:2017 年5月大面积爆发的“WannaCry”勒索病毒,影响了全球150 多个国家,造成了巨大的损失。 其实2017 年4月微软公司就针对“WannaCry”勒索病毒攻击的SMB 系统漏洞发布了MS17-010 补丁,更新了MS17-010 补丁这个补丁,“WannaCry”勒索病毒就无法进行攻击。 其次,“WannaCry”勒索病毒的攻击预警在很多网络安全事件感知平台已经发布了预警。 但是“WannaCry”勒索病毒还是攻击了全球150多个国家,造成了巨大的损失,包括:英国医疗系统、俄罗斯电信公司,美国迪士尼最新的影片《加勒比海盗5:死无对证》还没有上映片源就被盗和我国的教育系统等,这些系统就没有能做到“事前预测”及时更新系统补丁,也没有重视网络安全预警平台的信息而造成了不可挽回的损失。

事前通过大数据云平台预测获取外部威胁情报,内部通过旁路的方式部署漏洞扫描系统,及时的对企业的门户网站服务器、办公协同管理平台服务器等服务器进行定期的漏洞扫描,评估系统的安全状况,减少智慧农业管理系统遭受来自网络的攻击。这是保障智慧农业管理系统网络安全的前提条件。

2.2 事中防御、检测

智慧农业管理系统在遭受到网络攻击时,通过防火墙、入侵防护系统等设备进行防御和检测,隔离阻断网络攻击。 入侵检测是对防火墙有益的补充,被认为是防火墙之后的第二道安全闸门。 防火墙和入侵检测联动防御,组成了入侵检测系统,有效的把智慧农业管理系统所在的网络和互联网隔离开,7×24 小时的对内网、外网的进行实时监控,并且发现攻击时可以主动的、快速的阻断、隔离攻击,大大的提高了网络的安全性。

如广西农业职业技术学院智慧农业管理系统,在网络边界处部署入侵防护系统,防护来自外部网络的攻击与可疑行为。 入侵防护系统包括防火墙、入侵检测和边界交换机能有效的将广西农业职业技术学院智慧农业管理系统和互联网隔离。 它能实时检测网络中的通信数据包并且对智慧农业管理系统的服务器进行IP 地址转换,一旦发现入侵行为就进行有效的防护和记录。 主动的将带有攻击信息的数据包隔离或者阻断,禁止攻击数据流进入内网,从而有效保障内部信息系统的安全。 同时在服务器交换机旁路部署入侵监测系统,对来自智慧农业管理系统内、外部的入侵攻击行为进行监测、告警,及时告知系统管理员,对攻击来源进行追溯和排查,同时加强策略部署,有效保护智慧农业系统服务器的安全。因此,事中防御、检测是保障智慧农业管理系统的网络安全的关键环节。

2.3 事后响应

智慧农业管理系统在遭受到网络攻击后,对内部用户、业务系统的异常行为进行持续的检测,发现潜在风险时尽可能减少损失。 如果有内网的终端包括计算机、交换机等被来自网络攻击破坏,闭环式的立体防御网络安全系统将采取两种响应机制:第一,自动响应及时追溯攻击的来源并且隔离攻击。 第二,人工响应由网络安全管理员配置交换机的ACL或者物理断网的形式隔离感染源。

3 以广西农业职业技术学院防范勒索病毒为例说明

勒索病毒经过几代的升级,以勒索数字货币为主要目的。 以广西农业职业技术学院智慧农业管理系统预防勒索病毒升级版GandCrab 结合RDP 合体攻击,结合“WannaCry”病毒以及常规的安全防护策略[3]为例说明网络安全防范的方法。

3.1 通过大数据网络安全事件感知平台

例如:卡巴斯基、深信服安全事件感知云平台中获取到GandCrab 病毒的特性,该病毒主要通过电子邮件和U 盘进行传播,攻击服务器、智能终端的3389、445、139 等端口,从而控制本地设备,对本地设备的文件进行加密,需缴纳以数字货币为主的赎金后才能解密文件。

3.2 网络攻击事情中设备获取到GandCrab 病毒的特性

关闭服务器的3389、445、139 等端口,对于确实要开启远程桌面的终端设备,通过“echo”修改远程桌面3389 端口,如图2 所示的方法建立批处理文件修改远程桌面的端口。 做好服务器数据备份；禁止服务器接入U 盘、移动硬盘等可执行摆渡攻击的设备；及时升级服务器的补丁、杀毒软件的病毒库。

图2 建立批处理文件修改远程桌面端口的方法

3.3 在交换机上配置ACL

例如:permit udp x x(为IP 网段)eq 3389139、deny tcp any any eq 3389139 等命令禁止终端设备相互访问3389、139 等端口的形式处理。

3.4 对于接入智慧农业管理系统内网的智能终端

例如:计算机、平板电脑等进行数据备份；在不能确保网络安全的情况下,禁止接入U 盘、移动硬盘等可执行摆渡攻击的设备；及时升级智能终端的补丁、杀毒软件的病毒库。

4 结论和展望

智慧农业管理系统采用在发生网络攻击“事前”“事中”“事后”闭环式的立体网络安全防御,在不影响智慧农业管理系统使用的情况下提高了网络安全的防护标准,提升智慧农业管理系统的网络信息安全管理能力与水平,营造“清朗”安全的网络天空[5]。