鐵路計算機終端安全管理體系構建的探討

張 勇 上海鐵路局信息技術所

我局鐵路信息系統(tǒng)由調(diào)度、車務、機務、電務、工務、車輛等多個部門的業(yè)務管理信息系統(tǒng)以及辦公自動化、決策支持等綜合信息管理系統(tǒng)等幾十個子系統(tǒng)組成，在結(jié)構上覆蓋了路局、站段、車間、班組四個層次，在范圍上覆蓋了局管界內(nèi)各單位成千上萬個計算機終端。分布在信息系統(tǒng)末端的鐵路計算機終端中分布著大量的、極具實用和決策分析價值的生產(chǎn)數(shù)據(jù)，這些數(shù)據(jù)涵蓋了我局貨源分布、貨物流向、生產(chǎn)經(jīng)營、收入明細、客戶資源、運力資源等狀態(tài)信息?？梢哉f，鐵路計算機終端與我局鐵路信息安全密切相關。

隨著信息安全技術的高速發(fā)展，攻防手段的不斷更新，從國內(nèi)信息安全現(xiàn)狀來看，終端安全已成為信息安全防御體系中薄弱的一環(huán)，是最短的一塊板。調(diào)查顯示，超過80%的信息安全威脅來自內(nèi)部計算機終端。此外，為提高我國網(wǎng)絡與信息系統(tǒng)安全保障能力和水平，國家制定了《信息安全等級保護管理辦法》，同時還推出了等級保護基本要求等相關標準。加強終端安全管理，提高終端安全防護能力是等級保護安全建設整改的重要內(nèi)容之一。

為了落實國家等級保護的要求以及鐵路信息系統(tǒng)自身運行管理的需求，在鐵路計算機網(wǎng)絡中加強計算機終端安全管理，以保證鐵路信息安全是非常具有現(xiàn)實意義的。

1 計算機終端安全管理現(xiàn)狀及對策

我局鐵路信息系統(tǒng)的計算機終端地理位置分散，用戶水平參差不齊，承載業(yè)務不同，需求各異，這就決定了終端安全管理的復雜性和多元性。我局已制定了相關的終端安全管理規(guī)定（包括系統(tǒng)補丁、口令、防病毒、保密等)，建設實施了全路統(tǒng)一的Mcafee防病毒系統(tǒng)及BES補丁管理系統(tǒng)，對全局病毒防范策略制定及系統(tǒng)補丁升級進行統(tǒng)一管理，全面實現(xiàn)了終端病毒防護、病毒疫情實時監(jiān)控、系統(tǒng)及時升級和漏洞實時監(jiān)測，有效防范和控制了病毒、惡意程序的肆虐和蔓延。

但計算機終端安全管理是一個復雜的問題，隨著信息技術水平的不斷發(fā)展，新問題不斷涌現(xiàn)出來。比如說路局明確規(guī)定計算機終端和移動存儲介質(zhì)只能專網(wǎng)專用，內(nèi)網(wǎng)終端不能上外網(wǎng)；但目前無法有效阻止內(nèi)網(wǎng)終端通過無線網(wǎng)絡（WiFi等）、無線上網(wǎng)卡等方式在線上互聯(lián)網(wǎng)，無法有效控制內(nèi)網(wǎng)移動存儲介質(zhì)在互聯(lián)網(wǎng)和內(nèi)網(wǎng)間混用等情況。顯然目前的防護措施不足以解決新問題，網(wǎng)絡和信息安全是三分技術，七分管理，必須從管理和技術兩個層面全面考慮，統(tǒng)一規(guī)劃，建立全局統(tǒng)一的計算機終端安全管理體系：

（1）管理層面：建立健全計算機終端安全管理規(guī)范和制度。針對鐵路計算機終端安全管理面臨的新問題，對原有管理規(guī)定進行梳理，形成一套完整的終端管理標準規(guī)范、管理制度、教育培訓制度，確保計算機終端安全管理的制度標準化，為技術支撐體系的應用提供制度保障。

（2）技術層面：建設全局計算機終端安全管理系統(tǒng)。采用先進的終端安全管理技術對終端作統(tǒng)一管理，與現(xiàn)有Mcafee防病毒及BES補丁管理系統(tǒng)等安全保障系統(tǒng)相輔相成，確保全局終端網(wǎng)絡準入控制、非法外聯(lián)監(jiān)控、移動存儲介質(zhì)使用、涉密文件審計等方面管理的標準化和自動化，全面掌握全局計算機終端的安全態(tài)勢。

2 構建計算機終端安全管理體系

2.1 建立健全終端安全管理規(guī)范和制度

針對鐵路計算機終端安全管理面臨的新問題，在原有管理規(guī)定的基礎上，形成一套完整的鐵路計算機終端安全管理規(guī)范和制度，解決目前終端安全管理中存在的規(guī)范和制度不完善的問題。這套規(guī)范和制度要與信息安全技術和鐵路信息系統(tǒng)未來的發(fā)展相適應，同時滿足國家等級保護基本要求及國際與業(yè)界安全管理標準ISO27001的主要內(nèi)容，為進行有效的終端安全管理工作提供支持。具體來說包括以下內(nèi)容：

（1）標準規(guī)范：針對計算機終端管理工作中需要的實際管理要求制定相關標準和規(guī)范，為計算機管理人員日常管理提供常態(tài)參考標準，為終端用戶人員日常操作提供遵循依據(jù)。根據(jù)鐵路實際情況，制定《計算機終端安全管理規(guī)范》，對終端網(wǎng)絡準入、無線網(wǎng)卡及無線網(wǎng)絡使用、移動存儲介質(zhì)使用、軟件安裝、涉密文件處理等作出明確規(guī)定；制定《計算機終端管理員維護手冊》，對終端的日常管理工作制定技術維護標準，實現(xiàn)統(tǒng)一的常規(guī)操作和運營維護管理；制定《計算機終端操作規(guī)范》，對內(nèi)部用戶的平時行為進行規(guī)范。

（2）管理制度：建立健全計算機終端安全管理制度，制定《計算機終端運行管理考核制度》，促使各級人員積極參與終端安全管理工作，而不僅僅是計算機維護人員參與，確保制定的標準規(guī)范得到有效落實，而不只是停留在紙面上當作擺設。

（3）教育培訓：制定必要的終端安全教育與培訓計劃，對內(nèi)部人員進行教育和培訓。安全意識和相關技能的教育是信息安全管理中重要的內(nèi)容，其實施力度將直接關系到信息安全策略被理解的程度和被執(zhí)行的效果?？刹捎冒咐治?、新聞播報、知識競賽等形式來提高員工對安全教育的興趣，實際掌握安全防護技能，使安全教育深人人心。

2.2 建設全局計算機終端安全管理系統(tǒng)

只有建立統(tǒng)一管理的計算機終端安全管理系統(tǒng)，統(tǒng)一配置終端安全策略，監(jiān)測、分析和管理終端安全狀態(tài)，才能確保前面制定的《計算機終端安全管理規(guī)范》等規(guī)范得到技術上的落實，全面掌握全局計算機終端的安全態(tài)勢，提高鐵路計算機終端的安全保障能力。

2.2.1 功能規(guī)劃

根據(jù)鐵路計算機終端安全管理的現(xiàn)狀，該系統(tǒng)需實現(xiàn)下列功能：

（1）執(zhí)行計算機終端網(wǎng)絡準入控制管理。設置準入的安全策略對接入終端進行驗證，根據(jù)終端安全性檢查結(jié)果，確定終端接入方式。對于認證失敗的用戶，斷開其網(wǎng)絡連接；認證成功但安全性檢查沒通過的終端，放入隔離區(qū)自動引導其完成完整性修復；認證和安全性檢查全部通過的終端才能接入內(nèi)部網(wǎng)絡。杜絕任意終端未經(jīng)任何身份認證和安全認證，就可以隨意接入網(wǎng)絡，訪問網(wǎng)絡和計算機的資源，對整個網(wǎng)絡和應用造成很大的安全威脅。

（2）執(zhí)行“一機兩用”非法外聯(lián)行為監(jiān)控管理。對內(nèi)部終端“一機兩用”、“一機兩網(wǎng)”行為進行實時監(jiān)控及阻斷報警；對內(nèi)部終端通過不同方式（如無線網(wǎng)卡、雙網(wǎng)卡、代理、MODEM等）連接互聯(lián)網(wǎng)，系統(tǒng)能夠自動阻斷其連接行為并報警。系統(tǒng)還應能限定內(nèi)部終端（包含便攜筆記本）只能在路局內(nèi)部網(wǎng)絡使用，無法接入其他網(wǎng)絡（包括互聯(lián)網(wǎng)），防止“一機兩用”現(xiàn)象的發(fā)生。

（3）執(zhí)行移動存儲介質(zhì)使用管理。對允許在內(nèi)部網(wǎng)絡使用的存儲介質(zhì)進行統(tǒng)一標簽認證，未打標簽的存儲介質(zhì)不能在內(nèi)部網(wǎng)使用；同樣，打了標簽的移動存儲介質(zhì)在外部環(huán)境中無法使用；杜絕局域網(wǎng)、互聯(lián)網(wǎng)終端所使用的存儲介質(zhì)混用的現(xiàn)象發(fā)生，防止內(nèi)部信息外泄。

（4）執(zhí)行終端涉密文件審計管理。系統(tǒng)應有效防范內(nèi)部涉密信息及文件的泄露，能對終端指定目錄或盤符下的內(nèi)容檢查其是否包含涉密內(nèi)容并及時報警。

（5）執(zhí)行終端安全行為監(jiān)控管理。主要包括：①系統(tǒng)應可以啟用或禁止使用內(nèi)部網(wǎng)絡終端的并口、串口、移動存儲設備、無線網(wǎng)卡、藍牙、USB等外設，防止通過終端外設進行非法外聯(lián)，并減小病毒傳播的風險；②對內(nèi)網(wǎng)終端用戶有弱口令的情況進行實時監(jiān)控；③對內(nèi)網(wǎng)中使用路局內(nèi)部禁用軟件的終端進行實時監(jiān)控，自動發(fā)現(xiàn)報警使用違規(guī)軟件的終端，杜絕影響工作效率的非工作軟件（聊天軟件、游戲軟件、電影播放軟件等）的安裝和使用。

（6）執(zhí)行異常行為監(jiān)控管理。對內(nèi)網(wǎng)中所有終端的流量進行實時監(jiān)控，對流量過大可疑的終端報警，確保快速有效定位病毒、蠕蟲引入點，及時、準確地切斷安全事件發(fā)生點和網(wǎng)絡。對內(nèi)部終端進行IP與MAC地址的綁定管理，防止用戶私自更改IP地址造成網(wǎng)絡地址沖突。

（7）執(zhí)行資產(chǎn)匯總、日志審計等其他管理。資產(chǎn)管理功能應實現(xiàn)對全網(wǎng)終端軟硬件資產(chǎn)的統(tǒng)計匯總，系統(tǒng)報表日志管理功能應提供詳細的各種審計日志報表輸出，通過上述詳細的報表分析為管理決策提供支持，提高資源分配和使用的合理性，提升網(wǎng)絡安全管理的整體水平。

2.2.2 部署規(guī)劃

計算機終端安全管理系統(tǒng)需在鐵路計算機網(wǎng)絡內(nèi)部署安全管理服務器，對全網(wǎng)進行計算機終端的各種策略設定和配置并對終端進行各種行為和狀態(tài)的監(jiān)控，所有終端需要安裝客戶端程序以對其進行監(jiān)控和管理。

根據(jù)我局網(wǎng)絡現(xiàn)狀分析，內(nèi)部計算機網(wǎng)絡近2萬臺終端分布在不同的物理位置，屬于跨地域分布。從管理、投資費用角度綜合考慮，終端管理系統(tǒng)的部署應采用級聯(lián)管理模式，即二級管理部署，部署示意見圖1。

圖1 系統(tǒng)部署示意圖

路局設置終端管理系統(tǒng)的中心管理服務器（一級管理服務器），一級管理服務器對全局所有終端進行接入認證管理及策略管理，接收二級管理服務器上報的報警信息，同時一級管理服務器可以制定全局策略在全局范圍內(nèi)使用，如準入控制策略、“一機兩用”策略等。在徐州、蚌埠、南京、上海、杭州地區(qū)設立系統(tǒng)的二級管理區(qū)域，在各地區(qū)核心機房安裝終端管理系統(tǒng)二級管理服務器，各二級管理服務器向路局一級管理服務器上報報警信息，同時接收路局下發(fā)的全局策略。除路局下發(fā)的全局策略外，本地管理員可以根據(jù)各分屬機構網(wǎng)絡管理情況制定本地專用管理策略。

客戶端程序可采用動態(tài)頁面方式部署。具體實施時在路局內(nèi)部辦公網(wǎng)主頁上嵌入客戶端注冊信息檢測腳本，當終端用戶訪問網(wǎng)站主頁時，腳本將自動檢測客戶端注冊情況。若沒有注冊，則彈出提示框提示其注冊。終端注冊后將接受終端安全管理系統(tǒng)的管理和控制。

3 結(jié)束語

計算機終端安全管理標準規(guī)范和規(guī)章制度的制定保證了鐵路終端安全管理的制度化和標準化，為技術支撐體系的應用提供制度保障；終端安全管理系統(tǒng)的建立對全局終端進行狀態(tài)安全管控，確保安全管理規(guī)范得到技術上的落實，全面掌握全局計算機終端的安全態(tài)勢；二者相輔相成，構建了全局統(tǒng)一的計算機終端安全管理體系，將有助于進一步提高我局的信息安全管理水平，也可滿足《信息系統(tǒng)安全等級保護基本要求》等國家相關政策和法規(guī)對計算機終端安全管理的要求。