大型企業(yè)中計算機(jī)網(wǎng)絡(luò)安全防護(hù)體系

[摘要] 隨著計算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展，網(wǎng)絡(luò)安全問題日益突出。本文針對計算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀，結(jié)合在鐵路行業(yè)實際工作經(jīng)驗，從網(wǎng)絡(luò)安全技術(shù)、安全管理角度論述了在鐵路計算機(jī)網(wǎng)絡(luò)內(nèi)建立安全防護(hù)體系的構(gòu)想。

[關(guān)鍵詞] 網(wǎng)絡(luò)安全 關(guān)鍵技術(shù) 鐵路網(wǎng) 網(wǎng)絡(luò)管理 防護(hù)體系

一、引言

鐵路系統(tǒng)的計算機(jī)應(yīng)用和信息化建設(shè)已具規(guī)模，TMIS、客票、調(diào)度、集裝箱和物資等管理信息系統(tǒng)相繼建成并已投入使用。在鐵道部、鐵路局、基層站段三級網(wǎng)絡(luò)的支撐下，以TMIS和電子政務(wù)應(yīng)用為核心的各項計算機(jī)應(yīng)用系統(tǒng)已在鐵路運輸生產(chǎn)中發(fā)揮著越來越重要的作用。對于現(xiàn)代營銷、現(xiàn)代物流和電子商務(wù)等應(yīng)用系統(tǒng)，僅具有連通功能的網(wǎng)絡(luò)是無法滿足其要求的，針對大型企業(yè)網(wǎng)絡(luò)安全方面存在的漏洞和隱患，利用簡單的技術(shù)防范措施已無法解決。必須調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，克服平面網(wǎng)絡(luò)結(jié)構(gòu)先天性的抵御攻擊能力差、控制乏力的弱點，并采用先進(jìn)的技術(shù)、加強(qiáng)基礎(chǔ)設(shè)施和有效的網(wǎng)絡(luò)管理，形成保證網(wǎng)絡(luò)和信息安全的縱深立體防御體系。

二、建立計算機(jī)網(wǎng)絡(luò)安全體系

對于網(wǎng)絡(luò)而言，沒有絕對保證的信息安全，只有根據(jù)網(wǎng)絡(luò)自身特點，合理運用網(wǎng)絡(luò)安全技術(shù)，建立適應(yīng)性的安全運行機(jī)制，才能從技術(shù)上最大限度地保證信息安全。

1.網(wǎng)絡(luò)安全關(guān)鍵技術(shù)

由防火墻（Firewall）、PKI（Public Key Infrastructure）公鑰安全體系、虛擬局域網(wǎng)（VLAN）和物理隔離與信息交換系統(tǒng)等構(gòu)成了網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。

2.創(chuàng)建鐵路網(wǎng)絡(luò)立體安全防護(hù)體系

網(wǎng)絡(luò)安全防護(hù)體系是由安全操作系統(tǒng)、應(yīng)用系統(tǒng)、防火墻、網(wǎng)絡(luò)監(jiān)控、安全掃描、通信加密、網(wǎng)絡(luò)反病毒等多個安全組件共同組成的，每個組件只能完成其中部分功能。

(1)路由器。路由器是架構(gòu)網(wǎng)絡(luò)的第一層設(shè)備，也是網(wǎng)絡(luò)入侵者的首要攻擊目標(biāo)，因此路由器必須安裝必要的過濾規(guī)則，濾掉被屏蔽的IP地址和服務(wù)。例如，我們首先屏蔽所有的IP地址，然后有選擇的放行一些地址進(jìn)入我們的網(wǎng)絡(luò)。路由器也可以過濾服務(wù)協(xié)議，允許需要的協(xié)議通過，而屏蔽其他有安全隱患的協(xié)議。

(2)入侵監(jiān)測系統(tǒng)IDS。入侵監(jiān)測系統(tǒng)是被動的，它監(jiān)測你的網(wǎng)絡(luò)上所有的包(packets)。其目的就是捕捉危險或有惡意的動作，并及時發(fā)出警告信息。它是按用戶指定的規(guī)則運行的，它的功能和防火墻有很大的區(qū)別，它是對端口進(jìn)行監(jiān)測、掃描等。入侵檢測系統(tǒng)是立體安全防御體系中日益被普遍采用的成分，它能識別防火墻通常不能識別的攻擊，如來自企業(yè)內(nèi)部的攻擊；在發(fā)現(xiàn)入侵企圖之后提供必要的信息，幫助系統(tǒng)移植。

(3)防火墻。防火強(qiáng)可防止“黑客”進(jìn)入網(wǎng)絡(luò)的防御體系，可以限制外部用戶進(jìn)入內(nèi)部網(wǎng)，同時過濾掉危及網(wǎng)絡(luò)的不安全服務(wù)，拒絕非法用戶的進(jìn)入。同時可利用其產(chǎn)品的安全機(jī)制建立VPN（Virtual Private Networks）。通過VPN，能夠更安全地從異地聯(lián)入內(nèi)部網(wǎng)絡(luò)。

(4)物理隔離與信息交換系統(tǒng)（網(wǎng)閘）。鐵路內(nèi)部網(wǎng)是鐵路運輸系統(tǒng)的指揮中樞，調(diào)度指令必須實時、準(zhǔn)確下達(dá)。內(nèi)部網(wǎng)調(diào)度服務(wù)的實時可用性成為鐵路信息系統(tǒng)最為核心的安全需求。因此不能因為信息化建設(shè)過程中對外網(wǎng)訪問的需求而影響內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全性及可用性。物理隔離與信息交換系統(tǒng)是運用物理隔離網(wǎng)絡(luò)安全技術(shù)設(shè)計的安全隔離系統(tǒng)，它保證內(nèi)部網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)物理隔斷，能夠阻止各種已知和未知的網(wǎng)絡(luò)層和操作系統(tǒng)層攻擊，提供比防火墻、入侵檢測等技術(shù)更好的安全性能，既保證了物理的隔離，又實現(xiàn)了在線實時訪問不可信網(wǎng)絡(luò)所必需的數(shù)據(jù)交換。

(5)交換機(jī)。目前局域網(wǎng)大多采用以交換機(jī)為中心、路由器為邊界的網(wǎng)絡(luò)格局。核心交換機(jī)最關(guān)鍵的工作是訪問控制功能和三層交換功能。訪問控制對于交換機(jī)就是利用訪問控制列表ACL來實現(xiàn)用戶對數(shù)據(jù)包按照源和目的地址、協(xié)議、源和目的端口等各項的不同要求進(jìn)行篩選和過濾。還有一項非常關(guān)鍵的工作就是劃分VLAN。

(6)應(yīng)用系統(tǒng)的認(rèn)證和授權(quán)支持。建立應(yīng)用系統(tǒng)提升安全性的支撐平臺，實現(xiàn)應(yīng)用系統(tǒng)保護(hù)的功能包括以下幾個方面:

①應(yīng)用系統(tǒng)網(wǎng)絡(luò)訪問漏洞控制。應(yīng)用系統(tǒng)軟件要求按安全軟件標(biāo)準(zhǔn)開發(fā)，在輸入級、對話路徑級和事務(wù)處理三級做到無漏洞；集成的系統(tǒng)要具有良好的恢復(fù)能力，這樣才能保證內(nèi)部生產(chǎn)網(wǎng)中的系統(tǒng)避免因受攻擊而導(dǎo)致的癱瘓、數(shù)據(jù)破壞或丟失。

②數(shù)字簽名與認(rèn)證。應(yīng)用系統(tǒng)須利用CA提供的數(shù)字證書進(jìn)行應(yīng)用級的身份認(rèn)證，對文件和數(shù)據(jù)進(jìn)行數(shù)字簽名和認(rèn)證，保證文件和數(shù)據(jù)的完整性以及防止源發(fā)送者抵賴。

③數(shù)據(jù)加密。對重要的數(shù)據(jù)進(jìn)行加密存儲。

(7)操作系統(tǒng)的安全。保證操作系統(tǒng)的安全包括以下內(nèi)容：

①操作系統(tǒng)的裁剪。不安裝或刪除不必要使用的系統(tǒng)組件。

②操作系統(tǒng)服務(wù)裁剪。關(guān)閉所有不使用的服務(wù)和端口，并清除不使用的磁盤文件。

③操作系統(tǒng)漏洞控制。在內(nèi)部網(wǎng)中建立操作系統(tǒng)漏洞管理服務(wù)器，我們在內(nèi)部網(wǎng)中安裝了微軟WSUS Server及第三方安全管理軟件（BES），對網(wǎng)絡(luò)內(nèi)所有聯(lián)網(wǎng)主機(jī)的操作系統(tǒng)進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)存在系統(tǒng)漏洞或者安全隱患，立即強(qiáng)制其安裝相應(yīng)的系統(tǒng)補(bǔ)丁或者組件。

(8)病毒防護(hù)。網(wǎng)絡(luò)病毒網(wǎng)關(guān)與網(wǎng)絡(luò)版的查殺病毒軟件（McAfee EPO + Clients）相結(jié)合，構(gòu)成了較為完整的病毒防護(hù)體系，能有效地控制病毒的傳播，保證網(wǎng)絡(luò)的安全穩(wěn)定。

三、計算機(jī)網(wǎng)絡(luò)安全管理

有效的技術(shù)手段只是網(wǎng)絡(luò)安全的基礎(chǔ)工作，但僅靠網(wǎng)絡(luò)安全技術(shù)是絕對無法確保信息安全的。嚴(yán)格的計算機(jī)網(wǎng)絡(luò)安全管理制度，才能充分發(fā)揮網(wǎng)絡(luò)安全技術(shù)的效能，才能使網(wǎng)絡(luò)信息更加安全可靠。

四、結(jié)束語

目前計算機(jī)網(wǎng)絡(luò)已經(jīng)深入到鐵路運輸生產(chǎn)管理、客戶服務(wù)、物流和客貨運營銷等各個領(lǐng)域。不解決安全問題，可能造成巨大的經(jīng)濟(jì)損失。創(chuàng)建鐵路計算機(jī)網(wǎng)絡(luò)安全防護(hù)體系，將是鐵路信息化建設(shè)的有力保障。但建立計算機(jī)信息安全體系是一個復(fù)雜而又龐大的系統(tǒng)工程，涉及的問題也比較多。只有繼續(xù)對計算機(jī)網(wǎng)絡(luò)安全體系進(jìn)行深入的研究和探討，才能更好的實現(xiàn)網(wǎng)絡(luò)安全，保證中國鐵路信息化建設(shè)的正常進(jìn)行。

參考文獻(xiàn)：

[1]邱雪松:網(wǎng)絡(luò)管理體系結(jié)構(gòu).北京郵電大學(xué)，1999.7

[2]蔣蘋:計算機(jī)信息系統(tǒng)安全體系設(shè)計.計算機(jī)工程與科學(xué)，2003，01

[3]楊義先:網(wǎng)絡(luò)安全理論與技術(shù).人民郵電出版社，2003，10

[4]林柏鋼:網(wǎng)絡(luò)與信息安全教程.機(jī)械工業(yè)出版社，2004，7