鐵路計(jì)算機(jī)網(wǎng)絡(luò)安全及防范策略

【摘要】隨著計(jì)算機(jī)科學(xué)技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已廣泛用于鐵路內(nèi)各個(gè)領(lǐng)域。因此，計(jì)算機(jī)的網(wǎng)絡(luò)安全便成為涉及鐵路信息安全的重大問(wèn)題。如何保障網(wǎng)絡(luò)信息的安全已成為當(dāng)前迫在眉睫需要解決的問(wèn)題。本文就鐵路計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及相關(guān)策略提出了一點(diǎn)粗淺的看法。

【關(guān)鍵詞】鐵路計(jì)算網(wǎng)絡(luò)安全防范策略安全技術(shù)

隨著這些年來(lái)鐵路的高速發(fā)展，在鐵路內(nèi)部計(jì)算機(jī)系統(tǒng)功能日漸復(fù)雜，網(wǎng)絡(luò)體系也日漸強(qiáng)大，對(duì)鐵路的運(yùn)輸生產(chǎn)產(chǎn)生了巨大的影響，由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開(kāi)放性、互連性等特征，無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅，病毒擴(kuò)散、黑客攻擊、網(wǎng)絡(luò)犯罪等違法事件的數(shù)量迅速增長(zhǎng)，網(wǎng)絡(luò)的安全問(wèn)題越來(lái)越嚴(yán)峻。因此，如何提高鐵路計(jì)算機(jī)網(wǎng)絡(luò)的防御能力，增強(qiáng)網(wǎng)絡(luò)的安全措施，已成為當(dāng)前急需解決的問(wèn)題。否則網(wǎng)絡(luò)不僅不能發(fā)揮其有利的作用，甚至?xí)＜皣?guó)家、鐵路及個(gè)人的安全。

1.網(wǎng)絡(luò)技術(shù)的安全性非常脆弱由于網(wǎng)絡(luò)技術(shù)本身存在著安全弱點(diǎn)、系統(tǒng)的安全性差、缺乏安全性實(shí)踐等缺陷，加上一些人為的因素，使得網(wǎng)絡(luò)信息的安全受到很大威脅。

首先，TCP/IP的協(xié)議集就存在安全缺點(diǎn)。

由于在每一層，數(shù)據(jù)存在的方式和遵守的協(xié)議各不相同，而這些協(xié)議在開(kāi)始制定時(shí)就沒(méi)有考慮到通信路徑的安全性，從而導(dǎo)致了安全漏洞。

從純技術(shù)的角度上說(shuō)，缺乏安全防護(hù)設(shè)備與管理系統(tǒng)、缺乏通信協(xié)議的基本安全機(jī)制、基于HTTP與FTP上的應(yīng)用軟件問(wèn)題以及不夠完善的服務(wù)程序等都是產(chǎn)生系統(tǒng)安全漏洞的主要原因。

其次，由于信息安全在鐵路內(nèi)還處在初期發(fā)展階段，缺少網(wǎng)絡(luò)環(huán)境下用于產(chǎn)品評(píng)價(jià)的安全性準(zhǔn)則和評(píng)價(jià)工具。加上許多鐵路網(wǎng)絡(luò)系統(tǒng)管理人員素質(zhì)不高，缺乏安全意識(shí)，當(dāng)系統(tǒng)安全受到威脅時(shí)，缺少應(yīng)有的安全管理方法、步驟和安全對(duì)策，如事故通報(bào)、風(fēng)險(xiǎn)評(píng)估、改正安全缺陷、評(píng)估損失、相應(yīng)的補(bǔ)救恢復(fù)措施等。

2.計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的威脅影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多。歸結(jié)起來(lái)，主要有四個(gè)方面。

（1）自然因素。主要包括自然災(zāi)害的破壞，如地震、雷擊、洪水及其他不可抗拒的天災(zāi)造成的損害。以及因網(wǎng)絡(luò)及計(jì)算機(jī)硬件的老化及自然損壞造成的損失。

（2）無(wú)意失誤。誤操作引起文件被刪除，磁盤(pán)被格式化，或因?yàn)榫W(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)的設(shè)置不當(dāng)造成的安全漏洞，用戶(hù)安全意識(shí)不強(qiáng)，用戶(hù)口令選擇不慎，用戶(hù)將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等，都會(huì)給網(wǎng)絡(luò)安全帶來(lái)威脅。

（3）黑客攻擊。此類(lèi)攻擊又可分為兩種：一種是網(wǎng)絡(luò)攻擊，就是以各種方式有選擇地破壞對(duì)方信息的有效性和完整性；另一種是網(wǎng)絡(luò)偵察，就是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得對(duì)方重要的機(jī)密信息。

3.當(dāng)今網(wǎng)絡(luò)攻擊的手段及發(fā)展趨勢(shì)

（1）拒絕服務(wù)攻擊。攻擊的主要目的是使計(jì)算機(jī)及網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。它會(huì)破壞計(jì)算機(jī)網(wǎng)絡(luò)的硬件設(shè)備和各種配置，消耗計(jì)算機(jī)及網(wǎng)絡(luò)中不可再生的資源等。

（2）欺騙攻擊。黑客會(huì)利用TCP/IP協(xié)議本身的缺陷進(jìn)行攻擊，或者進(jìn)行DNS欺騙和Web欺騙。

（3）通過(guò)協(xié)同工具進(jìn)行攻擊。各種協(xié)同工具使用的增長(zhǎng)，可能導(dǎo)致泄漏機(jī)密商業(yè)數(shù)據(jù)。

總而言之，根據(jù)攻擊能力的組織結(jié)構(gòu)程度和使用的手段，可以將威脅歸納為四種基本類(lèi)型：無(wú)組織結(jié)構(gòu)的內(nèi)部和外部威脅與有組織結(jié)構(gòu)的內(nèi)部和外部威脅。

4.網(wǎng)絡(luò)信息安全的技術(shù)保障策略不安全的網(wǎng)絡(luò)一旦遭到惡意攻擊，將會(huì)造成巨大的損失。目前，技術(shù)措施仍是最直接、最常用和有效的的屏障。技術(shù)保障策略主要有如下幾種：

（1）密碼技術(shù)。包括加密與解密技術(shù)。加密是網(wǎng)絡(luò)與信息安全保密的重要基礎(chǔ)。它是將原文用某種既定方式規(guī)則重排、修改，使其變?yōu)閯e人讀不懂的密文。解密則是將密文根據(jù)原加密方法還原。目前加密方法有替換加密、移位加密、一次性密碼本加密、序列密碼等。

（2）數(shù)字簽名。對(duì)于網(wǎng)絡(luò)上傳輸?shù)碾娮游臋n，可使用數(shù)字簽名的方法來(lái)實(shí)現(xiàn)內(nèi)容的確認(rèn)。

（3）鑒別。鑒別的目的是驗(yàn)明用戶(hù)或信息的正身。對(duì)實(shí)體聲稱(chēng)的身份進(jìn)行惟一識(shí)別，以便驗(yàn)證其訪(fǎng)問(wèn)請(qǐng)求，或保證信息來(lái)源以驗(yàn)證消息的完整性，有效地對(duì)抗非法訪(fǎng)問(wèn)、冒充、重演等威脅。按對(duì)象的不同，鑒別技術(shù)可以分為消息鑒別和通信雙方相互鑒別。

（4）網(wǎng)絡(luò)訪(fǎng)問(wèn)控制策略。訪(fǎng)問(wèn)控制主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪(fǎng)問(wèn)。一般采用基于資源的集中式控制、基于資源和目的地址的過(guò)濾管理以及網(wǎng)絡(luò)簽證等技術(shù)來(lái)實(shí)現(xiàn)。

目前進(jìn)行網(wǎng)絡(luò)訪(fǎng)問(wèn)控制的方法主要有：MAC地址過(guò)濾VLAN隔離、IEEE802.1Q身份驗(yàn)證、基于IP地址的訪(fǎng)問(wèn)控制列表和防火墻控制等。

5.網(wǎng)絡(luò)安全任重道遠(yuǎn)

據(jù)調(diào)查，目前很多鐵路站段僅靠一些簡(jiǎn)單的安全措施來(lái)保障網(wǎng)絡(luò)安全，這就可能存在互相分立、互相矛盾、互相重復(fù)、各自為戰(zhàn)等問(wèn)題，既無(wú)法保障網(wǎng)絡(luò)的安全可靠，又影響網(wǎng)絡(luò)的服務(wù)性能，并且隨著購(gòu)物運(yùn)行而對(duì)安全措施進(jìn)行不斷的修補(bǔ)，使整個(gè)安全系統(tǒng)變得臃腫，難以使用和維護(hù)。這些都是迫切需要解決的問(wèn)題，只有加強(qiáng)網(wǎng)絡(luò)與信息安全管理，增強(qiáng)安全意識(shí)，不斷改進(jìn)和發(fā)展網(wǎng)絡(luò)安全保密技術(shù)，才能防范于未然，避免國(guó)家、鐵路或個(gè)人的損失。所以，網(wǎng)絡(luò)安全仍任重道遠(yuǎn)。

參考文獻(xiàn)

[1]丁志芳.徐夢(mèng)春，評(píng)說(shuō)防火墻和入侵檢測(cè).網(wǎng)絡(luò)安全技術(shù)與應(yīng)用

[2]周?chē)?guó)民.黑客蘇南與用戶(hù)防御.計(jì)算機(jī)安全，2005，（7）：72~74

[3]胡道元.計(jì)算機(jī)局域網(wǎng).北京：清華大學(xué)出版社，2001.70-74

[4]廖興.網(wǎng)絡(luò)安全技術(shù).西安電子科技大學(xué)出版社，2007