大型企業(yè)中計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系

[摘要] 隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益突出。本文針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀，結(jié)合在鐵路行業(yè)實(shí)際工作經(jīng)驗(yàn)，從網(wǎng)絡(luò)安全技術(shù)、安全管理角度論述了在鐵路計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)建立安全防護(hù)體系的構(gòu)想。

[關(guān)鍵詞] 網(wǎng)絡(luò)安全 關(guān)鍵技術(shù) 鐵路網(wǎng) 網(wǎng)絡(luò)管理 防護(hù)體系

一、引言

鐵路系統(tǒng)的計(jì)算機(jī)應(yīng)用和信息化建設(shè)已具規(guī)模，TMIS、客票、調(diào)度、集裝箱和物資等管理信息系統(tǒng)相繼建成并已投入使用。在鐵道部、鐵路局、基層站段三級(jí)網(wǎng)絡(luò)的支撐下，以TMIS和電子政務(wù)應(yīng)用為核心的各項(xiàng)計(jì)算機(jī)應(yīng)用系統(tǒng)已在鐵路運(yùn)輸生產(chǎn)中發(fā)揮著越來(lái)越重要的作用。對(duì)于現(xiàn)代營(yíng)銷(xiāo)、現(xiàn)代物流和電子商務(wù)等應(yīng)用系統(tǒng)，僅具有連通功能的網(wǎng)絡(luò)是無(wú)法滿(mǎn)足其要求的，針對(duì)大型企業(yè)網(wǎng)絡(luò)安全方面存在的漏洞和隱患，利用簡(jiǎn)單的技術(shù)防范措施已無(wú)法解決。必須調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，克服平面網(wǎng)絡(luò)結(jié)構(gòu)先天性的抵御攻擊能力差、控制乏力的弱點(diǎn)，并采用先進(jìn)的技術(shù)、加強(qiáng)基礎(chǔ)設(shè)施和有效的網(wǎng)絡(luò)管理，形成保證網(wǎng)絡(luò)和信息安全的縱深立體防御體系。

二、建立計(jì)算機(jī)網(wǎng)絡(luò)安全體系

對(duì)于網(wǎng)絡(luò)而言，沒(méi)有絕對(duì)保證的信息安全，只有根據(jù)網(wǎng)絡(luò)自身特點(diǎn)，合理運(yùn)用網(wǎng)絡(luò)安全技術(shù)，建立適應(yīng)性的安全運(yùn)行機(jī)制，才能從技術(shù)上最大限度地保證信息安全。

1.網(wǎng)絡(luò)安全關(guān)鍵技術(shù)

由防火墻（Firewall）、PKI（Public Key Infrastructure）公鑰安全體系、虛擬局域網(wǎng)（VLAN）和物理隔離與信息交換系統(tǒng)等構(gòu)成了網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。

2.創(chuàng)建鐵路網(wǎng)絡(luò)立體安全防護(hù)體系

網(wǎng)絡(luò)安全防護(hù)體系是由安全操作系統(tǒng)、應(yīng)用系統(tǒng)、防火墻、網(wǎng)絡(luò)監(jiān)控、安全掃描、通信加密、網(wǎng)絡(luò)反病毒等多個(gè)安全組件共同組成的，每個(gè)組件只能完成其中部分功能。

(1)路由器。路由器是架構(gòu)網(wǎng)絡(luò)的第一層設(shè)備，也是網(wǎng)絡(luò)入侵者的首要攻擊目標(biāo)，因此路由器必須安裝必要的過(guò)濾規(guī)則，濾掉被屏蔽的IP地址和服務(wù)。例如，我們首先屏蔽所有的IP地址，然后有選擇的放行一些地址進(jìn)入我們的網(wǎng)絡(luò)。路由器也可以過(guò)濾服務(wù)協(xié)議，允許需要的協(xié)議通過(guò)，而屏蔽其他有安全隱患的協(xié)議。

(2)入侵監(jiān)測(cè)系統(tǒng)IDS。入侵監(jiān)測(cè)系統(tǒng)是被動(dòng)的，它監(jiān)測(cè)你的網(wǎng)絡(luò)上所有的包(packets)。其目的就是捕捉危險(xiǎn)或有惡意的動(dòng)作，并及時(shí)發(fā)出警告信息。它是按用戶(hù)指定的規(guī)則運(yùn)行的，它的功能和防火墻有很大的區(qū)別，它是對(duì)端口進(jìn)行監(jiān)測(cè)、掃描等。入侵檢測(cè)系統(tǒng)是立體安全防御體系中日益被普遍采用的成分，它能識(shí)別防火墻通常不能識(shí)別的攻擊，如來(lái)自企業(yè)內(nèi)部的攻擊；在發(fā)現(xiàn)入侵企圖之后提供必要的信息，幫助系統(tǒng)移植。

(3)防火墻。防火強(qiáng)可防止“黑客”進(jìn)入網(wǎng)絡(luò)的防御體系，可以限制外部用戶(hù)進(jìn)入內(nèi)部網(wǎng)，同時(shí)過(guò)濾掉危及網(wǎng)絡(luò)的不安全服務(wù)，拒絕非法用戶(hù)的進(jìn)入。同時(shí)可利用其產(chǎn)品的安全機(jī)制建立VPN（Virtual Private Networks）。通過(guò)VPN，能夠更安全地從異地聯(lián)入內(nèi)部網(wǎng)絡(luò)。

(4)物理隔離與信息交換系統(tǒng)（網(wǎng)閘）。鐵路內(nèi)部網(wǎng)是鐵路運(yùn)輸系統(tǒng)的指揮中樞，調(diào)度指令必須實(shí)時(shí)、準(zhǔn)確下達(dá)。內(nèi)部網(wǎng)調(diào)度服務(wù)的實(shí)時(shí)可用性成為鐵路信息系統(tǒng)最為核心的安全需求。因此不能因?yàn)樾畔⒒ㄔO(shè)過(guò)程中對(duì)外網(wǎng)訪問(wèn)的需求而影響內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全性及可用性。物理隔離與信息交換系統(tǒng)是運(yùn)用物理隔離網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì)的安全隔離系統(tǒng)，它保證內(nèi)部網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)物理隔斷，能夠阻止各種已知和未知的網(wǎng)絡(luò)層和操作系統(tǒng)層攻擊，提供比防火墻、入侵檢測(cè)等技術(shù)更好的安全性能，既保證了物理的隔離，又實(shí)現(xiàn)了在線實(shí)時(shí)訪問(wèn)不可信網(wǎng)絡(luò)所必需的數(shù)據(jù)交換。

(5)交換機(jī)。目前局域網(wǎng)大多采用以交換機(jī)為中心、路由器為邊界的網(wǎng)絡(luò)格局。核心交換機(jī)最關(guān)鍵的工作是訪問(wèn)控制功能和三層交換功能。訪問(wèn)控制對(duì)于交換機(jī)就是利用訪問(wèn)控制列表ACL來(lái)實(shí)現(xiàn)用戶(hù)對(duì)數(shù)據(jù)包按照源和目的地址、協(xié)議、源和目的端口等各項(xiàng)的不同要求進(jìn)行篩選和過(guò)濾。還有一項(xiàng)非常關(guān)鍵的工作就是劃分VLAN。

(6)應(yīng)用系統(tǒng)的認(rèn)證和授權(quán)支持。建立應(yīng)用系統(tǒng)提升安全性的支撐平臺(tái)，實(shí)現(xiàn)應(yīng)用系統(tǒng)保護(hù)的功能包括以下幾個(gè)方面:

①應(yīng)用系統(tǒng)網(wǎng)絡(luò)訪問(wèn)漏洞控制。應(yīng)用系統(tǒng)軟件要求按安全軟件標(biāo)準(zhǔn)開(kāi)發(fā)，在輸入級(jí)、對(duì)話路徑級(jí)和事務(wù)處理三級(jí)做到無(wú)漏洞；集成的系統(tǒng)要具有良好的恢復(fù)能力，這樣才能保證內(nèi)部生產(chǎn)網(wǎng)中的系統(tǒng)避免因受攻擊而導(dǎo)致的癱瘓、數(shù)據(jù)破壞或丟失。

②數(shù)字簽名與認(rèn)證。應(yīng)用系統(tǒng)須利用CA提供的數(shù)字證書(shū)進(jìn)行應(yīng)用級(jí)的身份認(rèn)證，對(duì)文件和數(shù)據(jù)進(jìn)行數(shù)字簽名和認(rèn)證，保證文件和數(shù)據(jù)的完整性以及防止源發(fā)送者抵賴(lài)。

③數(shù)據(jù)加密。對(duì)重要的數(shù)據(jù)進(jìn)行加密存儲(chǔ)。

(7)操作系統(tǒng)的安全。保證操作系統(tǒng)的安全包括以下內(nèi)容：

①操作系統(tǒng)的裁剪。不安裝或刪除不必要使用的系統(tǒng)組件。

②操作系統(tǒng)服務(wù)裁剪。關(guān)閉所有不使用的服務(wù)和端口，并清除不使用的磁盤(pán)文件。

③操作系統(tǒng)漏洞控制。在內(nèi)部網(wǎng)中建立操作系統(tǒng)漏洞管理服務(wù)器，我們?cè)趦?nèi)部網(wǎng)中安裝了微軟WSUS Server及第三方安全管理軟件（BES），對(duì)網(wǎng)絡(luò)內(nèi)所有聯(lián)網(wǎng)主機(jī)的操作系統(tǒng)進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)存在系統(tǒng)漏洞或者安全隱患，立即強(qiáng)制其安裝相應(yīng)的系統(tǒng)補(bǔ)丁或者組件。

(8)病毒防護(hù)。網(wǎng)絡(luò)病毒網(wǎng)關(guān)與網(wǎng)絡(luò)版的查殺病毒軟件（McAfee EPO + Clients）相結(jié)合，構(gòu)成了較為完整的病毒防護(hù)體系，能有效地控制病毒的傳播，保證網(wǎng)絡(luò)的安全穩(wěn)定。

三、計(jì)算機(jī)網(wǎng)絡(luò)安全管理

有效的技術(shù)手段只是網(wǎng)絡(luò)安全的基礎(chǔ)工作，但僅靠網(wǎng)絡(luò)安全技術(shù)是絕對(duì)無(wú)法確保信息安全的。嚴(yán)格的計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度，才能充分發(fā)揮網(wǎng)絡(luò)安全技術(shù)的效能，才能使網(wǎng)絡(luò)信息更加安全可靠。

四、結(jié)束語(yǔ)

目前計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)深入到鐵路運(yùn)輸生產(chǎn)管理、客戶(hù)服務(wù)、物流和客貨運(yùn)營(yíng)銷(xiāo)等各個(gè)領(lǐng)域。不解決安全問(wèn)題，可能造成巨大的經(jīng)濟(jì)損失。創(chuàng)建鐵路計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系，將是鐵路信息化建設(shè)的有力保障。但建立計(jì)算機(jī)信息安全體系是一個(gè)復(fù)雜而又龐大的系統(tǒng)工程，涉及的問(wèn)題也比較多。只有繼續(xù)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全體系進(jìn)行深入的研究和探討，才能更好的實(shí)現(xiàn)網(wǎng)絡(luò)安全，保證中國(guó)鐵路信息化建設(shè)的正常進(jìn)行。

參考文獻(xiàn)：

[1]邱雪松:網(wǎng)絡(luò)管理體系結(jié)構(gòu).北京郵電大學(xué)，1999.7

[2]蔣蘋(píng):計(jì)算機(jī)信息系統(tǒng)安全體系設(shè)計(jì).計(jì)算機(jī)工程與科學(xué)，2003，01

[3]楊義先:網(wǎng)絡(luò)安全理論與技術(shù).人民郵電出版社，2003，10

[4]林柏鋼:網(wǎng)絡(luò)與信息安全教程.機(jī)械工業(yè)出版社，2004，7