哈爾濱鐵路局計(jì)算機(jī)綜合網(wǎng)網(wǎng)絡(luò)安全管理與防護(hù)

陳 力，劉 軍

（哈爾濱鐵路局 信息技術(shù)所，哈爾濱 150006）

網(wǎng)絡(luò)技術(shù)

哈爾濱鐵路局計(jì)算機(jī)綜合網(wǎng)網(wǎng)絡(luò)安全管理與防護(hù)

陳 力，劉 軍

（哈爾濱鐵路局 信息技術(shù)所，哈爾濱 150006）

通過(guò)介紹哈爾濱鐵路局計(jì)算機(jī)綜合網(wǎng)的網(wǎng)絡(luò)安全管理現(xiàn)狀，分析目前主要存在的網(wǎng)絡(luò)安全隱患問(wèn)題，針對(duì)這些問(wèn)題提出強(qiáng)化網(wǎng)絡(luò)訪問(wèn)控制、部署網(wǎng)絡(luò)安全準(zhǔn)入以及加強(qiáng)病毒防范等具體解決措施，為鐵路局的生產(chǎn)經(jīng)營(yíng)打造健康安全的網(wǎng)絡(luò)環(huán)境。

計(jì)算機(jī)綜合網(wǎng)；網(wǎng)絡(luò)安全準(zhǔn)入；一機(jī)兩網(wǎng)；病毒防范

隨著鐵路信息化發(fā)展的不斷推進(jìn)，哈爾濱鐵路局計(jì)算機(jī)綜合網(wǎng)絡(luò)已基本覆蓋了全局所有的站段和車間，為全鐵路局40余項(xiàng)鐵路重要應(yīng)用系統(tǒng)的運(yùn)用提供了穩(wěn)定的數(shù)據(jù)傳輸平臺(tái)，在全鐵路局的運(yùn)輸組織、客貨運(yùn)營(yíng)銷、辦公管理等多個(gè)領(lǐng)域都發(fā)揮著重要的基石作用，但其安全性也直接影響著全局正常的生產(chǎn)經(jīng)營(yíng)活動(dòng)。因此，確保計(jì)算機(jī)綜合網(wǎng)的網(wǎng)絡(luò)安全至關(guān)重要。

1 計(jì)算機(jī)綜合網(wǎng)現(xiàn)狀

哈爾濱鐵路局計(jì)算機(jī)綜合網(wǎng)絡(luò)建設(shè)10余年來(lái)，已覆蓋了哈爾濱、齊齊哈爾、牡丹江、佳木斯、海拉爾5個(gè)地區(qū)的機(jī)務(wù)、車務(wù)、工務(wù)、電務(wù)、通信、車輛、客運(yùn)、房產(chǎn)等基層站段650余家，聯(lián)網(wǎng)車間、工區(qū)（班組）2 000余個(gè)，為全鐵路局運(yùn)輸調(diào)度指揮、客貨運(yùn)管理及辦公管理等40余項(xiàng)重要應(yīng)用系統(tǒng)提供了便利、穩(wěn)定的網(wǎng)絡(luò)環(huán)境，是全鐵路局計(jì)算機(jī)業(yè)務(wù)網(wǎng)絡(luò)中應(yīng)用最復(fù)雜、覆蓋范圍最廣的綜合應(yīng)用網(wǎng)絡(luò)。

計(jì)算機(jī)綜合網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)圖如圖1所示。

2 計(jì)算機(jī)綜合網(wǎng)網(wǎng)絡(luò)安全存在的問(wèn)題

2.1 “一機(jī)兩網(wǎng)”

“一機(jī)兩網(wǎng)”是指一臺(tái)計(jì)算機(jī)，通過(guò)本機(jī)一個(gè)或兩個(gè)網(wǎng)絡(luò)適配器同時(shí)連接到兩個(gè)不同的網(wǎng)絡(luò)，并行處理這兩個(gè)網(wǎng)絡(luò)數(shù)據(jù)的運(yùn)行方式。這種現(xiàn)象在一些基層站段經(jīng)常出現(xiàn)，多數(shù)情況是一邊接著互聯(lián)網(wǎng)一邊接著企業(yè)內(nèi)網(wǎng)，從安全角度來(lái)看它潛在的危害非常嚴(yán)重。因?yàn)樵谄髽I(yè)內(nèi)網(wǎng)中大部分計(jì)算機(jī)都存儲(chǔ)有重要的數(shù)據(jù)資料，需要實(shí)行嚴(yán)格的內(nèi)、外網(wǎng)隔離制度。

2.2 病毒防范

在計(jì)算機(jī)綜合網(wǎng)中鐵路局統(tǒng)一部署了McAfee防毒系統(tǒng)服務(wù)器與奇虎360防毒系統(tǒng)服務(wù)器，針對(duì)全鐵路局聯(lián)網(wǎng)計(jì)算機(jī)提供防病毒的升級(jí)與管理，但一些站段計(jì)算機(jī)并沒(méi)有按照要求安裝這兩種防病毒軟件，有的即使安裝了也因病毒庫(kù)升級(jí)不夠及時(shí)，導(dǎo)致計(jì)算機(jī)感染病毒較多。尤其是感染網(wǎng)絡(luò)蠕蟲(chóng)病毒后，會(huì)使病毒在網(wǎng)絡(luò)中不斷的被傳播和復(fù)制，嚴(yán)重威脅計(jì)算機(jī)綜合網(wǎng)絡(luò)的安全。

圖1 哈爾濱鐵路局計(jì)算機(jī)綜合網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)圖

2.3 網(wǎng)絡(luò)準(zhǔn)入控制

鐵路局計(jì)算機(jī)綜合網(wǎng)的準(zhǔn)入制度還不盡完善，技術(shù)控制手段單一，防控效果不好。在機(jī)關(guān)部門和基層站段普遍存在著計(jì)算機(jī)隨意接入網(wǎng)絡(luò)的現(xiàn)象，突出表現(xiàn)在一些個(gè)人電腦（PC或筆記本）私自接入企業(yè)內(nèi)網(wǎng)，這些計(jì)算機(jī)沒(méi)有采取任何安全防范措施就直接聯(lián)入網(wǎng)絡(luò)，一旦這些計(jì)算機(jī)攜帶病毒或木馬等有害程序?qū)?duì)計(jì)算機(jī)綜合網(wǎng)絡(luò)的整體安全構(gòu)成很大威脅。

2.4 計(jì)算機(jī)綜合網(wǎng)與互聯(lián)網(wǎng)間訪問(wèn)控制

按照國(guó)家信息安全部門和鐵路總公司的規(guī)定，鐵路內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間必須實(shí)行嚴(yán)格的物理隔離。鐵路局計(jì)算機(jī)綜合網(wǎng)與互聯(lián)網(wǎng)間采用的是動(dòng)態(tài)物理隔離，只允許特定的業(yè)務(wù)數(shù)據(jù)流能夠通過(guò)網(wǎng)絡(luò)安全管理控制平臺(tái)穿越互聯(lián)網(wǎng)實(shí)現(xiàn)對(duì)計(jì)算機(jī)綜合網(wǎng)的內(nèi)部訪問(wèn)，這在一定程度上解決了兩網(wǎng)間數(shù)據(jù)交互的問(wèn)題，但無(wú)法實(shí)現(xiàn)大數(shù)量的高效交換，很難滿足日益增長(zhǎng)的應(yīng)用需求，同時(shí)也存在一定程度的安全風(fēng)險(xiǎn)隱患，盡管這種風(fēng)險(xiǎn)很小并可控。

3 具體解決措施

3.1 加強(qiáng)計(jì)算機(jī)綜合網(wǎng)網(wǎng)絡(luò)安全管理和內(nèi)部訪問(wèn)控制

主要3個(gè)方面：（1）強(qiáng)化管理，堅(jiān)決杜絕“一機(jī)兩網(wǎng)”的現(xiàn)象。首先，嚴(yán)格落實(shí)鐵路局網(wǎng)絡(luò)安全相關(guān)管理制度，加強(qiáng)考核監(jiān)督。其次，運(yùn)用網(wǎng)絡(luò)偵測(cè)等技術(shù)手段加強(qiáng)對(duì)入網(wǎng)計(jì)算機(jī)的管控，一旦發(fā)現(xiàn)計(jì)算機(jī)有“一機(jī)兩網(wǎng)”現(xiàn)象，立即切斷該計(jì)算機(jī)對(duì)內(nèi)網(wǎng)的鏈接，阻斷其對(duì)內(nèi)網(wǎng)的訪問(wèn)。（2）嚴(yán)格限定安全生產(chǎn)網(wǎng)、內(nèi)部服務(wù)網(wǎng)及外部服務(wù)網(wǎng)三網(wǎng)間跨區(qū)域訪問(wèn)控制，合理制定訪問(wèn)規(guī)則，嚴(yán)格界定訪問(wèn)權(quán)限，有效防范內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)。（3）從源頭抓起，做好病毒防范工作。按照鐵路局統(tǒng)一部署及時(shí)做好防病毒軟件的安裝和升級(jí)管理工作，減少病毒滋生的土壤。同時(shí)要在病毒傳播途徑上下功夫，通過(guò)部署防毒墻、防火墻等安全設(shè)備封堵病毒傳播途徑，發(fā)現(xiàn)病毒及時(shí)查殺。此外，還要做好操作系統(tǒng)補(bǔ)丁的升級(jí)工作和安全漏洞的升級(jí)更新工作，有效地防范病毒對(duì)操作系統(tǒng)造成的破壞和侵入。

3.2 部署計(jì)算機(jī)安全準(zhǔn)入控制系統(tǒng)

通過(guò)對(duì)聯(lián)入內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)自身“安全”情況進(jìn)行審查，例如檢查計(jì)算機(jī)的防病毒軟件安裝情況、病毒庫(kù)升級(jí)情況、防火墻策略配置情況、操作系統(tǒng)補(bǔ)丁安裝升級(jí)情況，以及是否安裝可疑有害程序、是否存在“一機(jī)兩網(wǎng)”等諸多情況，判斷接入計(jì)算機(jī)是否存在安全隱患問(wèn)題，再根據(jù)準(zhǔn)入控制規(guī)則，對(duì)不符合入網(wǎng)要求的計(jì)算機(jī)自動(dòng)隔離至指定網(wǎng)絡(luò)區(qū)域，執(zhí)行安裝安全軟件、升級(jí)系統(tǒng)補(bǔ)丁等相關(guān)補(bǔ)救工作，確保接入計(jì)算機(jī)符合入網(wǎng)要求后才可聯(lián)入內(nèi)部網(wǎng)絡(luò)。

3.3 完善計(jì)算機(jī)綜合網(wǎng)與互聯(lián)網(wǎng)的訪問(wèn)控制機(jī)制

目前，哈爾濱鐵路局一直采用全路統(tǒng)一網(wǎng)絡(luò)安全平臺(tái)內(nèi)外網(wǎng)訪問(wèn)機(jī)制，由于某些特殊原因僅應(yīng)用于少數(shù)特定業(yè)務(wù)中，沒(méi)有全面推廣使用，但是企業(yè)內(nèi)外網(wǎng)之間的數(shù)據(jù)交互需求越來(lái)越多，因此必須盡快完善內(nèi)外網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)，采用更先進(jìn)的“動(dòng)態(tài)物理隔離”技術(shù)，加強(qiáng)安全審核認(rèn)證機(jī)制和病毒過(guò)濾機(jī)制，實(shí)現(xiàn)多層次縱深網(wǎng)絡(luò)安全防護(hù)，解決內(nèi)外網(wǎng)之間互訪的安全瓶頸問(wèn)題。

3.4 提升內(nèi)部員工網(wǎng)絡(luò)安全防范意識(shí)

鐵路局近年來(lái)信息化發(fā)展迅速，必須盡快加強(qiáng)制度建設(shè)，依規(guī)落實(shí)管理責(zé)任。不斷加大安全管理制度和安全防范措施的宣傳培訓(xùn)力度，使網(wǎng)絡(luò)安全責(zé)任深入人心，讓職工不斷增強(qiáng)自我安全防范意識(shí)。

4 結(jié)束語(yǔ)

隨著全路信息化建設(shè)的不斷發(fā)展，必將會(huì)對(duì)哈爾濱鐵路局計(jì)算機(jī)綜合網(wǎng)絡(luò)提出更高的要求，我們要不斷加大安全技術(shù)投入，完善安全管理機(jī)制，提升安全管理水平，為鐵路局的信息化發(fā)展打造高效、穩(wěn)定、安全、健康的網(wǎng)絡(luò)環(huán)境。

[1]諶 璽，張 洋.企業(yè)網(wǎng)絡(luò)整體安全[M].北京：電子工業(yè)出版社，2011.

[2]張 棟，劉曉輝.網(wǎng)絡(luò)安全管理實(shí)踐[M]. 3版.北京：電子工業(yè)出版社，2012.

[3]張素娟，吳 濤，朱俊東.網(wǎng)絡(luò)安全與管理[M].北京：清華大學(xué)出版社，2012.

[4]王海軍.網(wǎng)絡(luò)信息安全管理研究[M].濟(jì)南：山東大學(xué)出版社，2010.

責(zé)任編輯 徐侃春

Network security management and protection on computer integrated network in Harbin Railway Administration

CHEN Li, LIU Jun
( Institute of Information Technology, Harbin Railway Administration, Harbin 150006, China )

The paper introduced the current situation of integrated network security management in Harbin Railway Administration, analyzed potential security problems. In the meantime some concrete measures were taken to solve these problems, such as tightening network access control, deploying network security admittance, strengthening the virus prevention. These measures would help to create safe network environment for railway production and management.

computer integrated network; network security admittance; one computer with two networks; virus prevention

U29∶TP39

A

1005-8451（2015）06-0051-03

2015-01-26

陳 力，高級(jí)工程師；劉 軍，高級(jí)工程師。