論大型企業(yè)中計算機網(wǎng)絡(luò)安全防護體系

[摘 要] 隨著計算機網(wǎng)絡(luò)的迅猛發(fā)展，網(wǎng)絡(luò)安全問題日益突出。本文針對計算機網(wǎng)絡(luò)安全的現(xiàn)狀，結(jié)合在鐵路行業(yè)的實際工作經(jīng)驗，從網(wǎng)絡(luò)安全技術(shù)、安全管理角度提出在鐵路計算機網(wǎng)絡(luò)內(nèi)建立安全防護體系的構(gòu)想。

[關(guān)鍵詞] 網(wǎng)絡(luò)安全; 關(guān)鍵技術(shù);鐵路網(wǎng); 網(wǎng)絡(luò)管理; 防護體系

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 21 . 024

[中圖分類號]F270.7; TP393.08 [文獻標(biāo)識碼]A [文章編號]1673 - 0194(2010)21- 0044 - 02

一、引言

鐵路系統(tǒng)的計算機應(yīng)用和信息化建設(shè)已具規(guī)模，TMIS、客票、調(diào)度、集裝箱和物資等管理信息系統(tǒng)相繼建成并已投入使用。在鐵道部、鐵路局、基層站段三級網(wǎng)絡(luò)的支撐下，以TMIS和電子政務(wù)應(yīng)用為核心的各項計算機應(yīng)用系統(tǒng)已在鐵路運輸生產(chǎn)中發(fā)揮著越來越重要的作用。對于現(xiàn)代營銷、現(xiàn)代物流和電子商務(wù)等應(yīng)用系統(tǒng)，僅具有連通功能的網(wǎng)絡(luò)是無法滿足其要求的，針對大型企業(yè)網(wǎng)絡(luò)安全方面存在的漏洞和隱患，利用簡單的技術(shù)防范措施已無法解決。必須調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，克服平面網(wǎng)絡(luò)結(jié)構(gòu)先天性的抵御攻擊能力差、控制乏力的弱點，并采用先進的技術(shù)、加強基礎(chǔ)設(shè)施和有效的網(wǎng)絡(luò)管理，形成保證網(wǎng)絡(luò)和信息安全的縱深立體防御體系。

二、建立計算機網(wǎng)絡(luò)安全體系

對于網(wǎng)絡(luò)而言，沒有絕對保證的信息安全，只有根據(jù)網(wǎng)絡(luò)自身特點，合理運用網(wǎng)絡(luò)安全技術(shù)，建立適應(yīng)性的安全運行機制，才能從技術(shù)上最大限度地保證信息安全。

1. 網(wǎng)絡(luò)安全關(guān)鍵技術(shù)

由防火墻(Firewall)、(Public Key Infrastructure，PKI)公鑰安全體系PKI、虛擬局域網(wǎng)(VLAN)和物理隔離與信息交換系統(tǒng)等構(gòu)成了網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。

2. 創(chuàng)建鐵路網(wǎng)絡(luò)立體安全防護體系

網(wǎng)絡(luò)安全防護體系是由安全操作系統(tǒng)、應(yīng)用系統(tǒng)、防火墻、網(wǎng)絡(luò)監(jiān)控、安全掃描、通信加密、網(wǎng)絡(luò)反病毒等多個安全組件共同組成的，每個組件只能完成其中部分功能。

(1) 路由器。路由器是架構(gòu)網(wǎng)絡(luò)的第一層設(shè)備，也是網(wǎng)絡(luò)入侵者的首要攻擊目標(biāo)，因此路由器必須安裝必要的過濾規(guī)則，濾掉被屏蔽的IP地址和服務(wù)。例如，首先屏蔽所有的IP地址，然后有選擇地放行一些地址進入網(wǎng)絡(luò)。路由器也可以過濾服務(wù)協(xié)議，允許需要的協(xié)議通過，而屏蔽其他有安全隱患的協(xié)議。

(2) 入侵監(jiān)測系統(tǒng)(IDS)。入侵監(jiān)測系統(tǒng)是被動的，它監(jiān)測網(wǎng)絡(luò)上所有的包(packets)。其目的就是捕捉危險的或有惡意的動作，并及時發(fā)出警告信息。它是按用戶指定的規(guī)則運行的，它的功能和防火墻有很大的區(qū)別，它是對端口進行監(jiān)測、掃描等。入侵檢測系統(tǒng)是立體安全防御體系中日益被普遍采用的成分，它能識別防火墻通常不能識別的攻擊，如來自企業(yè)內(nèi)部的攻擊;在發(fā)現(xiàn)入侵企圖之后提供必要的信息，幫助系統(tǒng)移植。

(3) 防火墻。防火墻可防止“黑客”進入網(wǎng)絡(luò)的防御體系，可以限制外部用戶進入內(nèi)部網(wǎng)，同時過濾掉危及網(wǎng)絡(luò)的不安全服務(wù)，拒絕非法用戶的進入。同時可利用其產(chǎn)品的安全機制建立VPN(Virtual Private Networks)。通過VPN，能夠更安全地從異地聯(lián)入內(nèi)部網(wǎng)絡(luò)。

(4) 物理隔離與信息交換系統(tǒng)(網(wǎng)閘)。鐵路內(nèi)部網(wǎng)是鐵路運輸系統(tǒng)的指揮中樞，調(diào)度指令必須實時、準(zhǔn)確下達。內(nèi)部網(wǎng)調(diào)度服務(wù)的實時可用性成為鐵路信息系統(tǒng)最為核心的安全需求。因此，不能因為信息化建設(shè)過程中對外網(wǎng)訪問的需求而影響內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全性及可用性。物理隔離與信息交換系統(tǒng)是運用物理隔離網(wǎng)絡(luò)安全技術(shù)設(shè)計的安全隔離系統(tǒng)，它保證內(nèi)部網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)物理隔斷，能夠阻止各種已知和未知的網(wǎng)絡(luò)層和操作系統(tǒng)層攻擊，提供比防火墻、入侵檢測等技術(shù)更好的安全性能，既保證了物理的隔離，又實現(xiàn)了在線實時訪問不可信網(wǎng)絡(luò)所必需的數(shù)據(jù)交換。

(5) 交換機。目前局域網(wǎng)大多采用以交換機為中心、路由器為邊界的網(wǎng)絡(luò)格局。核心交換機最關(guān)鍵的工作是訪問控制功能和三層交換功能。訪問控制對于交換機就是利用訪問控制列表ACL來實現(xiàn)用戶對數(shù)據(jù)包按照源和目的地址、協(xié)議、源和目的端口等各項的不同要求進行篩選和過濾。還有一項非常關(guān)鍵的工作就是劃分VLAN。

(6) 應(yīng)用系統(tǒng)的認(rèn)證和授權(quán)支持。建立應(yīng)用系統(tǒng)提升安全性的支撐平臺，實現(xiàn)應(yīng)用系統(tǒng)保護的功能包括以下幾個方面:

① 應(yīng)用系統(tǒng)網(wǎng)絡(luò)訪問漏洞控制。應(yīng)用系統(tǒng)軟件要求按安全軟件標(biāo)準(zhǔn)開發(fā)，在輸入級、對話路徑級和事務(wù)處理三級做到無漏洞;集成的系統(tǒng)要具有良好的恢復(fù)能力，這樣才能保證內(nèi)部生產(chǎn)網(wǎng)中的系統(tǒng)避免因受攻擊而導(dǎo)致數(shù)據(jù)破壞或丟失。

② 數(shù)字簽名與認(rèn)證。應(yīng)用系統(tǒng)須利用CA提供的數(shù)字證書進行應(yīng)用級的身份認(rèn)證，對文件和數(shù)據(jù)進行數(shù)字簽名和認(rèn)證，保證文件和數(shù)據(jù)的完整性以及防止源發(fā)送者抵賴。

③ 數(shù)據(jù)加密。對重要的數(shù)據(jù)進行加密存儲。

(7) 操作系統(tǒng)的安全。保證操作系統(tǒng)的安全包括以下內(nèi)容:

① 操作系統(tǒng)的裁剪。不安裝或刪除不必要的系統(tǒng)組件。

② 操作系統(tǒng)服務(wù)裁剪。關(guān)閉所有不使用的服務(wù)和端口，并清除不使用的磁盤文件。

③ 操作系統(tǒng)漏洞控制。在內(nèi)部網(wǎng)中建立操作系統(tǒng)漏洞管理服務(wù)器，如在內(nèi)部網(wǎng)中安裝微軟WSUS Server及第三方安全管理軟件(BES)，對網(wǎng)絡(luò)內(nèi)所有聯(lián)網(wǎng)主機的操作系統(tǒng)進行監(jiān)控，一旦發(fā)現(xiàn)存在系統(tǒng)漏洞或者安全隱患，立即強制其安裝相應(yīng)的系統(tǒng)補丁或者組件。

(8) 病毒防護。網(wǎng)絡(luò)病毒網(wǎng)關(guān)與網(wǎng)絡(luò)版的查殺病毒軟件(McAfee EPO + Clients)相結(jié)合，構(gòu)成了較為完整的病毒防護體系，能有效地控制病毒的傳播，保證網(wǎng)絡(luò)的安全穩(wěn)定。

三、計算機網(wǎng)絡(luò)安全管理

有效的技術(shù)手段只是網(wǎng)絡(luò)安全的基礎(chǔ)工作，但僅靠網(wǎng)絡(luò)安全技術(shù)是絕對無法確保信息安全的。只有建立嚴(yán)格的計算機網(wǎng)絡(luò)安全管理制度，才能充分發(fā)揮網(wǎng)絡(luò)安全技術(shù)的效能，才能使網(wǎng)絡(luò)信息更加安全可靠。

四、結(jié)束語

目前計算機網(wǎng)絡(luò)已經(jīng)深入到鐵路運輸生產(chǎn)管理、客戶服務(wù)、物流和客貨運營銷等各個領(lǐng)域。不解決安全問題，可能造成巨大的經(jīng)濟損失。創(chuàng)建鐵路計算機網(wǎng)絡(luò)安全防護體系，將是鐵路信息化建設(shè)的有力保障。但建立計算機信息安全體系是一個復(fù)雜而又龐大的系統(tǒng)工程，涉及的問題也比較多。只有繼續(xù)對計算機網(wǎng)絡(luò)安全體系進行深入的研究和探討，才能更好地實現(xiàn)網(wǎng)絡(luò)安全，保證中國鐵路信息化建設(shè)的正常進行。

主要參考文獻

[1] 邱雪松. 網(wǎng)絡(luò)管理體系結(jié)構(gòu)的研究[D]. 北京:北京郵電大學(xué)，1999.

[2] 蔣蘋，胡華平，等. 計算機信息系統(tǒng)安全體系設(shè)計[J]. 計算機工程與科學(xué)，2003(1).

[3] 楊義先. 網(wǎng)絡(luò)安全理論與技術(shù)[M]. 北京:人民郵電出版社，2003.

[4] 林柏鋼. 網(wǎng)絡(luò)與信息安全教程[M]. 北京:機械工業(yè)出版社，2004.