魯婷婷
摘 要:隨著信息技術(shù)的發(fā)展,信息系統(tǒng)在鐵路基層站段的應(yīng)用越來(lái)越普遍。信息系統(tǒng)的安全關(guān)系到鐵路運(yùn)輸生產(chǎn)的安全,因此研究計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)安全具有重大的現(xiàn)實(shí)意義。本論文介紹了信息系統(tǒng)網(wǎng)絡(luò)安全的策略,包括物理安全策略和訪問(wèn)控制策略。
關(guān)鍵詞:鐵路基層站段;信息系統(tǒng);網(wǎng)絡(luò)安全;安全策略
隨著信息技術(shù)不斷發(fā)展,各行業(yè)都迎來(lái)了信息化時(shí)代,計(jì)算機(jī)信息系統(tǒng)在鐵路基層站段各項(xiàng)工作中的運(yùn)用也逐漸普及。以工務(wù)系統(tǒng)為例,微機(jī)監(jiān)測(cè)系統(tǒng)、工務(wù)段辦公網(wǎng)等信息系統(tǒng)已經(jīng)得到廣泛應(yīng)用,信息系統(tǒng)的網(wǎng)絡(luò)安全對(duì)鐵路運(yùn)輸生產(chǎn)至關(guān)重要。然而,由于互聯(lián)網(wǎng)的開(kāi)放性特點(diǎn),信息系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題比如計(jì)算機(jī)病毒和黑客攻擊等日益突出。因此,鐵路基層站段信息系統(tǒng)的安全問(wèn)題,引起了人們的高度關(guān)注。本文介紹了鐵路基層站段網(wǎng)絡(luò)安全的情況,著重分析了信息系統(tǒng)的安全策略和訪問(wèn)控制策略,以期對(duì)鐵路基層站段的信息系統(tǒng)安全建設(shè)提供有效的幫助。
一、信息系統(tǒng)安全問(wèn)題概述
根據(jù)信息系統(tǒng)安全的結(jié)構(gòu)來(lái)看,計(jì)算機(jī)信息系統(tǒng)安全分為五個(gè)層面,首先是物理層面,主要是基礎(chǔ)設(shè)施、運(yùn)行硬件、外界環(huán)境、介質(zhì)等方面;其次是網(wǎng)絡(luò)層面,安全的網(wǎng)絡(luò)環(huán)境確保信息系統(tǒng)的安全運(yùn)行;主機(jī)層面,提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫(kù)管理系統(tǒng);應(yīng)用層面,實(shí)現(xiàn)用戶安全需求和安全目標(biāo);數(shù)據(jù)備份及備份恢復(fù)層面:確保信息系統(tǒng)中數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸和數(shù)據(jù)處理的安全性。
當(dāng)前,計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅主要包括對(duì)網(wǎng)絡(luò)中信息的威脅和對(duì)網(wǎng)絡(luò)設(shè)備的威脅。影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素主要有兩個(gè)方面,首先是人為失誤,比如用戶口令丟失,或用戶安全配置不當(dāng)造成的安全漏洞。其次,是惡意攻擊,惡意攻擊分為主動(dòng)攻擊和被動(dòng)攻擊,惡意攻擊對(duì)信息進(jìn)行截獲、竊取和破譯以獲得重要機(jī)密,破壞信息的有效性和完整性。
二、信息系統(tǒng)的網(wǎng)絡(luò)安全策略
網(wǎng)絡(luò)安全是信息系統(tǒng)在網(wǎng)絡(luò)環(huán)境的安全運(yùn)行的基礎(chǔ)保障。信息系統(tǒng)的安全運(yùn)行需要網(wǎng)絡(luò)設(shè)備安全和傳輸數(shù)據(jù)的安全。網(wǎng)絡(luò)安全策略包括制定網(wǎng)絡(luò)操作使用規(guī)程和網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。訪問(wèn)控制是網(wǎng)絡(luò)安全保護(hù)的主要策略,可以保護(hù)網(wǎng)絡(luò)資源正常訪問(wèn)和使用。訪問(wèn)控制是保證網(wǎng)絡(luò)安全的核心策略之一。
1.網(wǎng)絡(luò)的權(quán)限控制。網(wǎng)絡(luò)權(quán)限控制是系統(tǒng)針對(duì)不同用戶身份限制其使用數(shù)據(jù)資源能力的一種技術(shù)手段,是系統(tǒng)完整性、安全性和合法使用性的重要途徑,是網(wǎng)絡(luò)安全策略之一。通常系統(tǒng)管理員依據(jù)某些控制策略來(lái)控制用戶對(duì)文件和服務(wù)器等資源的訪問(wèn)。權(quán)限控制的目標(biāo)是限制用戶對(duì)服務(wù)器等網(wǎng)絡(luò)資源的訪問(wèn),保障信息資源被合法有效地使用。為阻止網(wǎng)絡(luò)非法操作,用戶被授予一定的權(quán)限。根據(jù)訪問(wèn)權(quán)限,用戶可以分為系統(tǒng)管理員、一般用戶(根據(jù)實(shí)際工作需要分配操作權(quán)限)和審計(jì)用戶(負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)),用戶的訪問(wèn)權(quán)限通過(guò)訪問(wèn)控制表來(lái)描述?;鶎诱径螌⑺芯W(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一管理,網(wǎng)絡(luò)設(shè)備經(jīng)授權(quán)方可接入站段的網(wǎng)絡(luò)。
2.入網(wǎng)訪問(wèn)控制與網(wǎng)絡(luò)監(jiān)測(cè)。入網(wǎng)訪問(wèn)控制用戶登錄和用戶獲取網(wǎng)絡(luò)資源的權(quán)限,以及用戶入網(wǎng)的時(shí)間和IP。入網(wǎng)訪問(wèn)控制分為三個(gè)步驟:用戶的IP驗(yàn)證、用戶口令驗(yàn)證和用戶賬號(hào)的缺省限制檢查。用戶口令字符長(zhǎng)度不應(yīng)少于6個(gè)字符,用戶的口令需經(jīng)過(guò)加密處理,加密方法可用基于測(cè)試模式的口令加密或基于公鑰加密方案的加密。用戶還可用智能卡來(lái)驗(yàn)證用戶的身份。網(wǎng)絡(luò)管理員控制用戶的賬號(hào)使用,并對(duì)用戶的訪問(wèn)進(jìn)行監(jiān)測(cè)審計(jì),若口令多次輸入錯(cuò)誤,則認(rèn)為是非法用戶侵入。對(duì)非法訪問(wèn),服務(wù)器應(yīng)報(bào)警,若非法訪問(wèn)達(dá)到一定的頻度,自動(dòng)鎖定該賬戶。
3.防火墻控制。防火墻是一個(gè)用以阻止黑客訪問(wèn)某個(gè)網(wǎng)絡(luò)的屏障,有控制進(jìn)出兩個(gè)方向的門(mén)檻,在網(wǎng)絡(luò)邊界上通過(guò)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò),以阻擋外網(wǎng)的侵入。防火墻有以下幾種:包過(guò)濾防火墻、雙宿主主機(jī)防火墻、屏蔽主機(jī)網(wǎng)關(guān)防火墻和屏蔽子網(wǎng)防火墻。
信息系統(tǒng)的訪問(wèn)都經(jīng)過(guò)防火墻,防火墻記錄這些網(wǎng)絡(luò)訪問(wèn),統(tǒng)計(jì)網(wǎng)絡(luò)使用情況的數(shù)據(jù)。當(dāng)監(jiān)測(cè)到網(wǎng)絡(luò)行為可疑,防火墻提供網(wǎng)絡(luò)監(jiān)測(cè)和攻擊的信息。此外,通過(guò)防火墻對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分,實(shí)現(xiàn)內(nèi)網(wǎng)重點(diǎn)網(wǎng)段的隔離。內(nèi)網(wǎng)中某些的細(xì)節(jié)可能因?yàn)榘税踩木€索而引起外部攻擊,因此而暴露了內(nèi)網(wǎng)的安全漏洞,使用防火墻可以隱蔽泄露內(nèi)部細(xì)節(jié)的服務(wù)。防火墻還可以阻塞內(nèi)網(wǎng)中的域名服務(wù)器信息,這樣主機(jī)的域名和IP地址就不會(huì)被外界所知。
4.入侵檢測(cè)技術(shù)。入侵檢測(cè)技術(shù)是防火墻之后的第2道安全門(mén),可以對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控,從計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵點(diǎn)采集和分析網(wǎng)絡(luò)行為、安全日志和審計(jì)數(shù)據(jù),分析網(wǎng)絡(luò)中是否有違反安全策略的行為。入侵檢測(cè)是一種積極的安全防護(hù)技術(shù),在網(wǎng)絡(luò)系統(tǒng)被入侵之前對(duì)非法網(wǎng)絡(luò)行為進(jìn)行攔截,可以在不影響網(wǎng)絡(luò)運(yùn)行性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。入侵檢測(cè)通過(guò)監(jiān)視和分析用戶活動(dòng)、識(shí)別已知攻擊的模式、異常網(wǎng)絡(luò)行為模式的分析、對(duì)系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估和操作系統(tǒng)的跟蹤管理來(lái)識(shí)別違反安全策略的網(wǎng)絡(luò)行為。入侵檢測(cè)系統(tǒng)監(jiān)聽(tīng)網(wǎng)絡(luò)原始流量,對(duì)獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析,把提取到信息與已知攻擊特征相匹配的網(wǎng)絡(luò)行為模型進(jìn)行比對(duì),以此來(lái)確認(rèn)網(wǎng)絡(luò)攻擊事件。入侵檢測(cè)系統(tǒng)可以檢測(cè)到協(xié)議攻擊以及特定環(huán)境攻擊。入侵檢測(cè)技術(shù)擴(kuò)展了網(wǎng)絡(luò)管理員的安全管理能力,提高了信息系統(tǒng)的安全性。
三、網(wǎng)絡(luò)安全管理
針對(duì)鐵路基層站段的信息系統(tǒng),我們需要系統(tǒng)地考慮網(wǎng)絡(luò)安全的控制措施,做到一致實(shí)施,優(yōu)化基層站段的運(yùn)維。同時(shí)明確規(guī)定網(wǎng)絡(luò)規(guī)劃和系統(tǒng)實(shí)施等安全技術(shù)標(biāo)準(zhǔn),監(jiān)控網(wǎng)絡(luò)安全狀態(tài),對(duì)有關(guān)錯(cuò)誤、故障以及補(bǔ)救措施做好記錄。
由網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)安全管理,網(wǎng)絡(luò)管理員需掌握網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理的知識(shí),使用安全技術(shù)進(jìn)行系統(tǒng)的訪問(wèn)控制,根據(jù)系統(tǒng)的安全等級(jí)在系統(tǒng)的接入點(diǎn)部署防火墻和入侵檢測(cè)等網(wǎng)絡(luò)安全產(chǎn)品,確保網(wǎng)絡(luò)安全。除網(wǎng)絡(luò)管理人員外,任何其他人員不得在內(nèi)部網(wǎng)絡(luò)利用各類(lèi)工具進(jìn)行掃描、架設(shè)代理服務(wù)器等攻擊嘗試。網(wǎng)絡(luò)管理員管理網(wǎng)絡(luò)設(shè)備的系統(tǒng)權(quán)限,監(jiān)測(cè)系統(tǒng)的安全狀況,預(yù)防網(wǎng)絡(luò)安全漏洞,升級(jí)必要的系統(tǒng)補(bǔ)丁。網(wǎng)絡(luò)管理員負(fù)責(zé)管理網(wǎng)絡(luò)設(shè)備的軟件版本和配置修改工作,統(tǒng)籌系統(tǒng)的優(yōu)化和升級(jí)方案,對(duì)網(wǎng)絡(luò)結(jié)構(gòu)等進(jìn)行優(yōu)化和調(diào)整,繪制管理網(wǎng)絡(luò)拓?fù)鋱D,以進(jìn)一步提高網(wǎng)絡(luò)安全可靠性和運(yùn)行效率。
核心的網(wǎng)絡(luò)設(shè)備應(yīng)有備份設(shè)備,骨干鏈路應(yīng)有備份路由,服務(wù)器設(shè)備應(yīng)具備冗余網(wǎng)絡(luò)鏈路。鐵路內(nèi)部網(wǎng)與互聯(lián)網(wǎng)相連必須利用硬件防火墻等隔離措施進(jìn)行訪問(wèn)控制,從而限制外網(wǎng)用戶訪問(wèn)鐵路信息系統(tǒng)的信息。規(guī)定不得擅自將系統(tǒng)內(nèi)的計(jì)算機(jī)系統(tǒng)與其他單位的網(wǎng)絡(luò)互聯(lián),如確實(shí)需要應(yīng)由雙方單位的網(wǎng)絡(luò)管理人員和系統(tǒng)管理人員相互配合,設(shè)計(jì)出安全可靠的互聯(lián)方案。在與其它網(wǎng)絡(luò)互聯(lián)時(shí),必須設(shè)置防火墻,以防止非法數(shù)據(jù)包的入侵,并阻止未授權(quán)數(shù)據(jù)向外泄露。利用加密軟件保護(hù)通過(guò)公共網(wǎng)傳輸?shù)臄?shù)據(jù)的完整性和機(jī)密性,對(duì)敏感數(shù)據(jù)進(jìn)行加密處理。(作者單位:濟(jì)南鐵路局臨沂工務(wù)段)
參考文獻(xiàn):
[1] 王裕明,網(wǎng)絡(luò)管理信息系統(tǒng)安全對(duì)策探索,《上海工程技術(shù)大學(xué)學(xué)報(bào)》,1997,11,1
[2] 湯希才,管理信息系統(tǒng)的脆弱性及其安全問(wèn)題,《電腦開(kāi)發(fā)與應(yīng)用)),1999,1
[3] 劉英,企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全問(wèn)題及對(duì)策,《浙江電力》,2001,4
[4] 宋如順,信息系統(tǒng)安全風(fēng)險(xiǎn)綜合分析方法,計(jì)算機(jī)工程,2000,12
[5] 魏云鵬.網(wǎng)上招生管理系統(tǒng)安全性研究[南昌大學(xué)碩士學(xué)位論文].南昌:南昌大學(xué)圖書(shū)館,2011,41-44
[6] 陳燕莉.信息安全技術(shù)初探.第十屆全國(guó)互聯(lián)網(wǎng)與音視頻廣播發(fā)展研討會(huì),2010年,昆明:昆明科技出版社,211-213