鐵路基層站段信息系統(tǒng)網(wǎng)絡(luò)安全策略與管理

魯婷婷

摘 要：隨著信息技術(shù)的發(fā)展，信息系統(tǒng)在鐵路基層站段的應(yīng)用越來(lái)越普遍。信息系統(tǒng)的安全關(guān)系到鐵路運(yùn)輸生產(chǎn)的安全，因此研究計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)安全具有重大的現(xiàn)實(shí)意義。本論文介紹了信息系統(tǒng)網(wǎng)絡(luò)安全的策略，包括物理安全策略和訪問(wèn)控制策略。

關(guān)鍵詞：鐵路基層站段；信息系統(tǒng)；網(wǎng)絡(luò)安全；安全策略

隨著信息技術(shù)不斷發(fā)展，各行業(yè)都迎來(lái)了信息化時(shí)代，計(jì)算機(jī)信息系統(tǒng)在鐵路基層站段各項(xiàng)工作中的運(yùn)用也逐漸普及。以工務(wù)系統(tǒng)為例，微機(jī)監(jiān)測(cè)系統(tǒng)、工務(wù)段辦公網(wǎng)等信息系統(tǒng)已經(jīng)得到廣泛應(yīng)用，信息系統(tǒng)的網(wǎng)絡(luò)安全對(duì)鐵路運(yùn)輸生產(chǎn)至關(guān)重要。然而，由于互聯(lián)網(wǎng)的開(kāi)放性特點(diǎn)，信息系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題比如計(jì)算機(jī)病毒和黑客攻擊等日益突出。因此，鐵路基層站段信息系統(tǒng)的安全問(wèn)題，引起了人們的高度關(guān)注。本文介紹了鐵路基層站段網(wǎng)絡(luò)安全的情況，著重分析了信息系統(tǒng)的安全策略和訪問(wèn)控制策略，以期對(duì)鐵路基層站段的信息系統(tǒng)安全建設(shè)提供有效的幫助。

一、信息系統(tǒng)安全問(wèn)題概述

根據(jù)信息系統(tǒng)安全的結(jié)構(gòu)來(lái)看，計(jì)算機(jī)信息系統(tǒng)安全分為五個(gè)層面，首先是物理層面，主要是基礎(chǔ)設(shè)施、運(yùn)行硬件、外界環(huán)境、介質(zhì)等方面；其次是網(wǎng)絡(luò)層面，安全的網(wǎng)絡(luò)環(huán)境確保信息系統(tǒng)的安全運(yùn)行；主機(jī)層面，提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫(kù)管理系統(tǒng)；應(yīng)用層面，實(shí)現(xiàn)用戶安全需求和安全目標(biāo)；數(shù)據(jù)備份及備份恢復(fù)層面：確保信息系統(tǒng)中數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸和數(shù)據(jù)處理的安全性。

當(dāng)前，計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅主要包括對(duì)網(wǎng)絡(luò)中信息的威脅和對(duì)網(wǎng)絡(luò)設(shè)備的威脅。影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素主要有兩個(gè)方面，首先是人為失誤，比如用戶口令丟失，或用戶安全配置不當(dāng)造成的安全漏洞。其次，是惡意攻擊，惡意攻擊分為主動(dòng)攻擊和被動(dòng)攻擊，惡意攻擊對(duì)信息進(jìn)行截獲、竊取和破譯以獲得重要機(jī)密，破壞信息的有效性和完整性。

二、信息系統(tǒng)的網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全是信息系統(tǒng)在網(wǎng)絡(luò)環(huán)境的安全運(yùn)行的基礎(chǔ)保障。信息系統(tǒng)的安全運(yùn)行需要網(wǎng)絡(luò)設(shè)備安全和傳輸數(shù)據(jù)的安全。網(wǎng)絡(luò)安全策略包括制定網(wǎng)絡(luò)操作使用規(guī)程和網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。訪問(wèn)控制是網(wǎng)絡(luò)安全保護(hù)的主要策略，可以保護(hù)網(wǎng)絡(luò)資源正常訪問(wèn)和使用。訪問(wèn)控制是保證網(wǎng)絡(luò)安全的核心策略之一。

1.網(wǎng)絡(luò)的權(quán)限控制。網(wǎng)絡(luò)權(quán)限控制是系統(tǒng)針對(duì)不同用戶身份限制其使用數(shù)據(jù)資源能力的一種技術(shù)手段，是系統(tǒng)完整性、安全性和合法使用性的重要途徑，是網(wǎng)絡(luò)安全策略之一。通常系統(tǒng)管理員依據(jù)某些控制策略來(lái)控制用戶對(duì)文件和服務(wù)器等資源的訪問(wèn)。權(quán)限控制的目標(biāo)是限制用戶對(duì)服務(wù)器等網(wǎng)絡(luò)資源的訪問(wèn)，保障信息資源被合法有效地使用。為阻止網(wǎng)絡(luò)非法操作，用戶被授予一定的權(quán)限。根據(jù)訪問(wèn)權(quán)限，用戶可以分為系統(tǒng)管理員、一般用戶（根據(jù)實(shí)際工作需要分配操作權(quán)限）和審計(jì)用戶（負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)），用戶的訪問(wèn)權(quán)限通過(guò)訪問(wèn)控制表來(lái)描述?；鶎诱径螌⑺芯W(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一管理，網(wǎng)絡(luò)設(shè)備經(jīng)授權(quán)方可接入站段的網(wǎng)絡(luò)。

2.入網(wǎng)訪問(wèn)控制與網(wǎng)絡(luò)監(jiān)測(cè)。入網(wǎng)訪問(wèn)控制用戶登錄和用戶獲取網(wǎng)絡(luò)資源的權(quán)限，以及用戶入網(wǎng)的時(shí)間和IP。入網(wǎng)訪問(wèn)控制分為三個(gè)步驟：用戶的IP驗(yàn)證、用戶口令驗(yàn)證和用戶賬號(hào)的缺省限制檢查。用戶口令字符長(zhǎng)度不應(yīng)少于6個(gè)字符，用戶的口令需經(jīng)過(guò)加密處理，加密方法可用基于測(cè)試模式的口令加密或基于公鑰加密方案的加密。用戶還可用智能卡來(lái)驗(yàn)證用戶的身份。網(wǎng)絡(luò)管理員控制用戶的賬號(hào)使用，并對(duì)用戶的訪問(wèn)進(jìn)行監(jiān)測(cè)審計(jì)，若口令多次輸入錯(cuò)誤，則認(rèn)為是非法用戶侵入。對(duì)非法訪問(wèn)，服務(wù)器應(yīng)報(bào)警，若非法訪問(wèn)達(dá)到一定的頻度，自動(dòng)鎖定該賬戶。

3.防火墻控制。防火墻是一個(gè)用以阻止黑客訪問(wèn)某個(gè)網(wǎng)絡(luò)的屏障，有控制進(jìn)出兩個(gè)方向的門(mén)檻，在網(wǎng)絡(luò)邊界上通過(guò)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，以阻擋外網(wǎng)的侵入。防火墻有以下幾種：包過(guò)濾防火墻、雙宿主主機(jī)防火墻、屏蔽主機(jī)網(wǎng)關(guān)防火墻和屏蔽子網(wǎng)防火墻。

信息系統(tǒng)的訪問(wèn)都經(jīng)過(guò)防火墻，防火墻記錄這些網(wǎng)絡(luò)訪問(wèn)，統(tǒng)計(jì)網(wǎng)絡(luò)使用情況的數(shù)據(jù)。當(dāng)監(jiān)測(cè)到網(wǎng)絡(luò)行為可疑，防火墻提供網(wǎng)絡(luò)監(jiān)測(cè)和攻擊的信息。此外，通過(guò)防火墻對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分，實(shí)現(xiàn)內(nèi)網(wǎng)重點(diǎn)網(wǎng)段的隔離。內(nèi)網(wǎng)中某些的細(xì)節(jié)可能因?yàn)榘税踩木€索而引起外部攻擊，因此而暴露了內(nèi)網(wǎng)的安全漏洞，使用防火墻可以隱蔽泄露內(nèi)部細(xì)節(jié)的服務(wù)。防火墻還可以阻塞內(nèi)網(wǎng)中的域名服務(wù)器信息，這樣主機(jī)的域名和IP地址就不會(huì)被外界所知。

4.入侵檢測(cè)技術(shù)。入侵檢測(cè)技術(shù)是防火墻之后的第2道安全門(mén)，可以對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，從計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵點(diǎn)采集和分析網(wǎng)絡(luò)行為、安全日志和審計(jì)數(shù)據(jù)，分析網(wǎng)絡(luò)中是否有違反安全策略的行為。入侵檢測(cè)是一種積極的安全防護(hù)技術(shù)，在網(wǎng)絡(luò)系統(tǒng)被入侵之前對(duì)非法網(wǎng)絡(luò)行為進(jìn)行攔截，可以在不影響網(wǎng)絡(luò)運(yùn)行性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。入侵檢測(cè)通過(guò)監(jiān)視和分析用戶活動(dòng)、識(shí)別已知攻擊的模式、異常網(wǎng)絡(luò)行為模式的分析、對(duì)系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估和操作系統(tǒng)的跟蹤管理來(lái)識(shí)別違反安全策略的網(wǎng)絡(luò)行為。入侵檢測(cè)系統(tǒng)監(jiān)聽(tīng)網(wǎng)絡(luò)原始流量，對(duì)獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析，把提取到信息與已知攻擊特征相匹配的網(wǎng)絡(luò)行為模型進(jìn)行比對(duì)，以此來(lái)確認(rèn)網(wǎng)絡(luò)攻擊事件。入侵檢測(cè)系統(tǒng)可以檢測(cè)到協(xié)議攻擊以及特定環(huán)境攻擊。入侵檢測(cè)技術(shù)擴(kuò)展了網(wǎng)絡(luò)管理員的安全管理能力，提高了信息系統(tǒng)的安全性。

三、網(wǎng)絡(luò)安全管理

針對(duì)鐵路基層站段的信息系統(tǒng)，我們需要系統(tǒng)地考慮網(wǎng)絡(luò)安全的控制措施，做到一致實(shí)施，優(yōu)化基層站段的運(yùn)維。同時(shí)明確規(guī)定網(wǎng)絡(luò)規(guī)劃和系統(tǒng)實(shí)施等安全技術(shù)標(biāo)準(zhǔn)，監(jiān)控網(wǎng)絡(luò)安全狀態(tài)，對(duì)有關(guān)錯(cuò)誤、故障以及補(bǔ)救措施做好記錄。

由網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)安全管理，網(wǎng)絡(luò)管理員需掌握網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理的知識(shí)，使用安全技術(shù)進(jìn)行系統(tǒng)的訪問(wèn)控制，根據(jù)系統(tǒng)的安全等級(jí)在系統(tǒng)的接入點(diǎn)部署防火墻和入侵檢測(cè)等網(wǎng)絡(luò)安全產(chǎn)品，確保網(wǎng)絡(luò)安全。除網(wǎng)絡(luò)管理人員外，任何其他人員不得在內(nèi)部網(wǎng)絡(luò)利用各類(lèi)工具進(jìn)行掃描、架設(shè)代理服務(wù)器等攻擊嘗試。網(wǎng)絡(luò)管理員管理網(wǎng)絡(luò)設(shè)備的系統(tǒng)權(quán)限，監(jiān)測(cè)系統(tǒng)的安全狀況，預(yù)防網(wǎng)絡(luò)安全漏洞，升級(jí)必要的系統(tǒng)補(bǔ)丁。網(wǎng)絡(luò)管理員負(fù)責(zé)管理網(wǎng)絡(luò)設(shè)備的軟件版本和配置修改工作，統(tǒng)籌系統(tǒng)的優(yōu)化和升級(jí)方案，對(duì)網(wǎng)絡(luò)結(jié)構(gòu)等進(jìn)行優(yōu)化和調(diào)整，繪制管理網(wǎng)絡(luò)拓?fù)鋱D，以進(jìn)一步提高網(wǎng)絡(luò)安全可靠性和運(yùn)行效率。

核心的網(wǎng)絡(luò)設(shè)備應(yīng)有備份設(shè)備，骨干鏈路應(yīng)有備份路由，服務(wù)器設(shè)備應(yīng)具備冗余網(wǎng)絡(luò)鏈路。鐵路內(nèi)部網(wǎng)與互聯(lián)網(wǎng)相連必須利用硬件防火墻等隔離措施進(jìn)行訪問(wèn)控制，從而限制外網(wǎng)用戶訪問(wèn)鐵路信息系統(tǒng)的信息。規(guī)定不得擅自將系統(tǒng)內(nèi)的計(jì)算機(jī)系統(tǒng)與其他單位的網(wǎng)絡(luò)互聯(lián)，如確實(shí)需要應(yīng)由雙方單位的網(wǎng)絡(luò)管理人員和系統(tǒng)管理人員相互配合，設(shè)計(jì)出安全可靠的互聯(lián)方案。在與其它網(wǎng)絡(luò)互聯(lián)時(shí)，必須設(shè)置防火墻，以防止非法數(shù)據(jù)包的入侵，并阻止未授權(quán)數(shù)據(jù)向外泄露。利用加密軟件保護(hù)通過(guò)公共網(wǎng)傳輸?shù)臄?shù)據(jù)的完整性和機(jī)密性，對(duì)敏感數(shù)據(jù)進(jìn)行加密處理。（作者單位：濟(jì)南鐵路局臨沂工務(wù)段）

參考文獻(xiàn)：

[1] 王裕明，網(wǎng)絡(luò)管理信息系統(tǒng)安全對(duì)策探索，《上海工程技術(shù)大學(xué)學(xué)報(bào)》，1997，11，1

[2] 湯希才，管理信息系統(tǒng)的脆弱性及其安全問(wèn)題，《電腦開(kāi)發(fā)與應(yīng)用）），1999，1

[3] 劉英，企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全問(wèn)題及對(duì)策，《浙江電力》，2001，4

[4] 宋如順，信息系統(tǒng)安全風(fēng)險(xiǎn)綜合分析方法，計(jì)算機(jī)工程，2000，12

[5] 魏云鵬.網(wǎng)上招生管理系統(tǒng)安全性研究[南昌大學(xué)碩士學(xué)位論文].南昌：南昌大學(xué)圖書(shū)館，2011，41-44

[6] 陳燕莉.信息安全技術(shù)初探.第十屆全國(guó)互聯(lián)網(wǎng)與音視頻廣播發(fā)展研討會(huì)，2010年，昆明：昆明科技出版社，211-213