劉從義

提要隨著IP網(wǎng)在鐵路沿線各站的建設(shè)開通,計(jì)算機(jī)網(wǎng)絡(luò)在鐵路沿線得到了快速發(fā)展和普及,這對加快鐵路調(diào)度信息處理、提高工作效率、減輕勞動(dòng)強(qiáng)度、實(shí)現(xiàn)資源共享等起到無法估量的作用。但隨之而來的網(wǎng)絡(luò)安全問題也顯得尤為重要。

關(guān)鍵詞:鐵路IP網(wǎng);威脅;安全控制;病毒防治

中圖分類號:F49文獻(xiàn)標(biāo)識(shí)碼:A

一、鐵路IP網(wǎng)簡介

鐵路IP數(shù)據(jù)網(wǎng)是鐵通公司利用成熟的互聯(lián)網(wǎng)技術(shù)構(gòu)建的鐵路內(nèi)部專用網(wǎng)絡(luò)平臺(tái),基于TCP/IP技術(shù),用于實(shí)現(xiàn)鐵路局、各站段到各中間站、車間、班組的辦公聯(lián)網(wǎng)系統(tǒng)、視頻會(huì)議系統(tǒng)、遠(yuǎn)程監(jiān)視系統(tǒng)、監(jiān)測系統(tǒng)、鐵路信息系統(tǒng)、運(yùn)輸指揮管理系統(tǒng)、行車安全監(jiān)測系統(tǒng)等不同系統(tǒng)的接入,是一個(gè)鐵路企業(yè)內(nèi)部專用的“互聯(lián)網(wǎng)”。該網(wǎng)絡(luò)在物理上和國際互聯(lián)網(wǎng)隔絕,具有充分利用互聯(lián)網(wǎng)技術(shù)接口標(biāo)準(zhǔn)、開放、簡單、便于擴(kuò)容、接入成本低廉等特點(diǎn),為鐵路信息化建設(shè)提供通道承載服務(wù)。鐵路IP網(wǎng)分為骨干網(wǎng)和接入網(wǎng)兩個(gè)層次,其中骨干網(wǎng)分為核心層、匯聚層、接入層三層結(jié)構(gòu)。核心層節(jié)點(diǎn)為路局節(jié)點(diǎn),匯接本路局業(yè)務(wù),上聯(lián)鐵通總部和鐵道部;匯聚層節(jié)點(diǎn)為本路局內(nèi)的地區(qū)匯接節(jié)點(diǎn),負(fù)責(zé)本地區(qū)業(yè)務(wù)的匯聚和轉(zhuǎn)發(fā);接入層節(jié)點(diǎn)為樞紐匯接節(jié)點(diǎn),負(fù)責(zé)范圍內(nèi)沿線車站路由器的接入。接入層主要實(shí)現(xiàn)用戶業(yè)務(wù)的接入,由安裝在各個(gè)鐵路沿線車站的路由器構(gòu)成,并按照物理位置分別接入骨干層路由器。

二、鐵路IP網(wǎng)安全威脅分析

鐵路IP網(wǎng)是在路局范圍內(nèi)由服務(wù)器、路由器、交換機(jī)和多臺(tái)電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。由于通過交換機(jī)、路由器和服務(wù)器連接網(wǎng)內(nèi)每一臺(tái)電腦,鐵路IP網(wǎng)采用的技術(shù)又相對比較簡單,安全措施較少,給病毒傳播提供了有效的通道,也給數(shù)據(jù)信息的安全埋下了隱患。

(一)服務(wù)器區(qū)域沒有進(jìn)行獨(dú)立防護(hù)。鐵路IP網(wǎng)內(nèi)計(jì)算機(jī)數(shù)據(jù)快速、便捷的傳遞,造就了病毒感染的直接性和快速性,如果網(wǎng)絡(luò)中服務(wù)器區(qū)域不進(jìn)行獨(dú)立保護(hù),其中一臺(tái)電腦感染病毒,并且通過服務(wù)器進(jìn)行信息傳遞,就會(huì)感染服務(wù)器,這樣路網(wǎng)中任何一臺(tái)通過服務(wù)器信息傳遞的電腦,就有可能會(huì)感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷外來攻擊,但無法抵擋來自局域網(wǎng)內(nèi)部的攻擊。

(二)計(jì)算機(jī)病毒及惡意代碼的威脅。由于網(wǎng)絡(luò)用戶不及時(shí)安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁,或未及時(shí)更新防病毒軟件的病毒庫而造成計(jì)算機(jī)病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊,正是利用了用戶的這個(gè)弱點(diǎn)。寄生軟件可以修改磁盤上現(xiàn)有的軟件,在自己寄生的文件中注入新的代碼。最近幾年,隨著犯罪軟件洶涌而至,寄生軟件已退居幕后,成為犯罪軟件的助手,上述犯罪軟件在鐵路IP網(wǎng)內(nèi)也有可能進(jìn)行潛伏。

(三)鐵路IP網(wǎng)用戶安全意識(shí)不強(qiáng)。許多用戶使用移動(dòng)存儲(chǔ)設(shè)備來進(jìn)行數(shù)據(jù)的傳遞,經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動(dòng)存儲(chǔ)設(shè)備帶入內(nèi)部網(wǎng),同時(shí)將內(nèi)部數(shù)據(jù)帶出局域網(wǎng),這給木馬、蠕蟲等病毒的進(jìn)入提供了方便同時(shí)增加了數(shù)據(jù)泄密的可能性。另外,一機(jī)兩用、甚至多用情況普遍,筆記本電腦在內(nèi)外網(wǎng)之間頻繁切換使用,許多用戶將在Internet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部網(wǎng)絡(luò)使用,造成病毒的傳入和信息的泄密。

三、鐵路IP網(wǎng)安全控制與病毒防治策略

(一)加強(qiáng)人員的網(wǎng)絡(luò)安全培訓(xùn)。要確保信息安全工作的順利進(jìn)行,必須注重把每個(gè)環(huán)節(jié)落實(shí)到每個(gè)層次上,而進(jìn)行這種具體操作的是人,人正是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié),然而這個(gè)環(huán)節(jié)的加固又是見效最快的。所以,必須加強(qiáng)對使用網(wǎng)絡(luò)的人員的管理,注意管理方式和實(shí)現(xiàn)方法。可以加強(qiáng)工作人員的安全培訓(xùn),增強(qiáng)內(nèi)部人員的安全防范意識(shí),提高內(nèi)部人員整體素質(zhì)。同時(shí),要加強(qiáng)制度建設(shè),進(jìn)一步完善關(guān)于網(wǎng)絡(luò)安全的制度。

(二)鐵路IP網(wǎng)安全控制策略。目前,網(wǎng)絡(luò)管理工作量最大的部分是客戶端安全部分,對網(wǎng)絡(luò)的安全運(yùn)行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡(luò)內(nèi)部的安全問題,才可以排除網(wǎng)絡(luò)中最大的安全隱患,對于鐵路IP網(wǎng)內(nèi)部網(wǎng)絡(luò)終端安全管理主要從終端狀態(tài)、行為、事件三個(gè)方面進(jìn)行防御。

1、利用桌面管理系統(tǒng)控制用戶入網(wǎng)。入網(wǎng)訪問控制是保證網(wǎng)絡(luò)資源不被非法使用,是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,用戶和用戶組被賦予一定的權(quán)限,網(wǎng)絡(luò)控制用戶和用戶組可以訪問的目錄、文件和其他資源,可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行的操作。啟用密碼策略,強(qiáng)制計(jì)算機(jī)用戶設(shè)置符合安全要求的密碼,包括設(shè)置口令鎖定服務(wù)器控制臺(tái),以防止非法用戶修改。

2、采用防火墻技術(shù)。防火墻技術(shù)是通常安裝在單獨(dú)的計(jì)算機(jī)上,用來保護(hù)內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入,執(zhí)行安全管制措施,記錄所有可疑事件。它是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)。采用防火墻技術(shù)發(fā)現(xiàn)及封阻應(yīng)用攻擊所采用的技術(shù)有:(1)深度數(shù)據(jù)包處理;(2)IP/URL過濾;(3)TCP/IP終止;(4)訪問網(wǎng)絡(luò)進(jìn)程跟蹤。

3、封存所有空閑的IP地址,啟動(dòng)IP地址綁定,采用上網(wǎng)計(jì)算機(jī)IP地址與MCA地址唯一對應(yīng),網(wǎng)絡(luò)沒有空閑IP地址的策略。由于采用了無空閑IP地址策略,可以有效防止IP地址引起的網(wǎng)絡(luò)中斷和移動(dòng)計(jì)算機(jī)隨意上內(nèi)部網(wǎng)絡(luò)造成病毒傳播和數(shù)據(jù)泄密。

4、屬性安全控制。它能控制以下幾個(gè)方面的權(quán)限:防止用戶對目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個(gè)文件寫數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件。

5、啟用殺毒軟件強(qiáng)制安裝策略。監(jiān)測所有運(yùn)行在網(wǎng)絡(luò)上的計(jì)算機(jī),對沒有安裝殺毒軟件的計(jì)算機(jī)采用警告和阻斷的方式強(qiáng)制使用人安裝殺毒軟件。

(三)病毒防治。病毒的侵入必將對系統(tǒng)資源構(gòu)成威脅,影響系統(tǒng)的正常運(yùn)行。特別是通過網(wǎng)絡(luò)傳播的計(jì)算機(jī)病毒,能在很短的時(shí)間內(nèi)使整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)處于癱瘓狀態(tài),從而造成巨大的損失。因此,防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重點(diǎn)是控制病毒的傳染。防毒的關(guān)鍵是對病毒行為的判斷,如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。

1、增加安全意識(shí),對工作人員定期培訓(xùn)。首先明確病毒的危害,文件共享的時(shí)候盡量控制權(quán)限和增加密碼,對來歷不明的文件運(yùn)行前進(jìn)行查殺等,都可以很好地防止病毒在網(wǎng)絡(luò)中的傳播。這些措施對杜絕病毒起到了很重要的作用。

2、小心使用移動(dòng)存儲(chǔ)設(shè)備。在使用移動(dòng)存儲(chǔ)設(shè)備之前進(jìn)行病毒的掃描和查殺,也可把病毒拒絕在外。

3、挑選網(wǎng)絡(luò)版殺毒軟件。一般而言,查殺是否徹底,界面是否友好、方便,能否實(shí)現(xiàn)遠(yuǎn)程控制、集中管理是決定一個(gè)網(wǎng)絡(luò)殺毒軟件的三大要素。

通過以上策略的設(shè)置,能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)行中存在的問題,快速有效地定位網(wǎng)絡(luò)中病毒、蠕蟲等網(wǎng)絡(luò)安全威脅的切入點(diǎn),及時(shí)、準(zhǔn)確地切斷安全事件發(fā)生點(diǎn)和網(wǎng)絡(luò)。

(作者單位:中國鐵通洛陽通信段)

主要參考文獻(xiàn):

[1]周碧英.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技,2008.24.3.

[2]潘號良.面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全措施探討[J].軟件導(dǎo)刊,2008.3.