唐 好

遂寧市廣播電視臺(tái)，四川遂寧 629000

在各大一、二級(jí)汽車站陸續(xù)完成了計(jì)算機(jī)網(wǎng)絡(luò)管理改造的同時(shí)，網(wǎng)絡(luò)安全方面存在的隱患和暴露的問題也日益突出，有些系統(tǒng)甚至弱不禁風(fēng)。如果不及時(shí)采取有效的解決措施，那么車站系統(tǒng)崩潰也只是時(shí)間問題罷了。

首先，我們來了解一下車站網(wǎng)絡(luò)及其工作流程。車輛經(jīng)過“安全檢查”后進(jìn)入車站應(yīng)班區(qū)，在安檢通過后，車主便到“調(diào)度”室進(jìn)行“報(bào)班”，也就是告訴車站，該車已準(zhǔn)備就緒，等待發(fā)車。然后，調(diào)度室工作人員對(duì)車輛作行車安排，同時(shí)售票大廳開始售出該車規(guī)定班次及線路的車票。通常，售票在檢票前三分鐘停止，檢票在發(fā)車前一分鐘停止。接著，該車在出站處接受出站安全檢查，對(duì)超載車輛不予放行。最后，該車按計(jì)劃行駛。在此過程中，車站的軟件系統(tǒng)包括系統(tǒng)管理、結(jié)算、查詢、車輛駕駛員管理、條屏傳送和聯(lián)網(wǎng)售票系統(tǒng)協(xié)同工作，每一步驟都通過軟件對(duì)其管理，任何一個(gè)環(huán)節(jié)出現(xiàn)了異常都會(huì)影響到全局工作，甚至中斷正常運(yùn)營。

現(xiàn)實(shí)情況是，車站工作人員中，除操作“系統(tǒng)管理”模塊的車站系統(tǒng)管理員對(duì)計(jì)算機(jī)有較強(qiáng)應(yīng)用能力外，其他人員專業(yè)知識(shí)相對(duì)缺乏，雖然能夠進(jìn)行日常應(yīng)用，但系統(tǒng)出現(xiàn)故障時(shí)不能正確地作出應(yīng)對(duì)處理。

本文主要從安全技術(shù)的角度出發(fā)，平常加強(qiáng)防范，出現(xiàn)問題時(shí)找準(zhǔn)應(yīng)對(duì)措施，在盡可能短的時(shí)間內(nèi)使問題得以解決。

1 影響車站網(wǎng)絡(luò)系統(tǒng)安全的因素

1.1 網(wǎng)絡(luò)攻擊

主要是沒有安裝防病毒軟件，無防火墻，或者沒有及時(shí)更新。很多車站對(duì)網(wǎng)絡(luò)危害認(rèn)識(shí)不足，警惕性不高。他們?cè)谠O(shè)備購買和維護(hù)方面投入很大，但整個(gè)車站竟沒有一款防毒殺毒軟件，一旦遭到非法入侵，后悔莫及。有些車站雖配置了軟件，但日常管理不夠，長期不進(jìn)行升級(jí)，使得防毒殺毒效果大大降低，遇到新病毒則一樣陷入僵局，某些廣告商可能會(huì)使用隱藏的軟件web cookie 技術(shù)跟蹤用戶的在線活動(dòng)。

1.2 計(jì)算機(jī)病毒和蠕蟲

病毒感染是引發(fā)車站系統(tǒng)癱瘓的一個(gè)重要原因。從Internet 上下載文檔或應(yīng)用程序，在遇到惡意程序后，編寫者用它來記錄對(duì)方的在線活動(dòng)，盜走機(jī)密文件或破壞硬盤數(shù)據(jù)。電子郵件是在Internet 上傳播惡意程序所普遍采用的載體。

1.3 系統(tǒng)漏洞及程序設(shè)計(jì)缺陷

軟件方面的問題占影響系統(tǒng)安全的比例較大，主要是系統(tǒng)漏洞、程序設(shè)計(jì)缺陷和兼容性等問題，而程序設(shè)計(jì)的不合理帶來的系統(tǒng)安全隱患尤其突出。

1.4 其他影響

特洛伊木馬、陷阱（trap）、隱蔽通道、邏輯炸彈、網(wǎng)絡(luò)欺騙、簡(jiǎn)單密碼等。

2 網(wǎng)絡(luò)安全問題的具體體現(xiàn)

2.1 站間網(wǎng)絡(luò)安全問題體現(xiàn)

一些聯(lián)網(wǎng)的車站之間，通過微波傳輸，靠中繼站（比如交通局，如成都市）接收和轉(zhuǎn)發(fā)數(shù)據(jù)，整個(gè)站間網(wǎng)絡(luò)猶如一個(gè)星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，這方面的安全問題主要體現(xiàn)在汽車站之間的聯(lián)網(wǎng)售票系統(tǒng)上。一個(gè)車站存在安全問題，也可能會(huì)波及整個(gè)網(wǎng)間安全。

2.2 車站內(nèi)部網(wǎng)絡(luò)安全問題體現(xiàn)

2.2.1 售票存在的安全問題

售票大廳一般安裝有4 臺(tái)及以上售票終端，根據(jù)客流量情況，有所動(dòng)態(tài)調(diào)整。多個(gè)終端存在的問題：在一個(gè)終端售票時(shí)，另一終端有乘客購買相同線路、車次的票，2 個(gè)終端可能在同一時(shí)刻售出同一車票（車票編號(hào)不同，但車型、車次、線路、座號(hào)完全一樣）。因?yàn)槭燮眴T是對(duì)軟件進(jìn)行操作，當(dāng)檢索完成后，2 名售票員同一時(shí)刻按動(dòng)回車鍵時(shí)，有可能出現(xiàn)此問題，如果終端數(shù)多，遇到此情況的幾率也更大。

2.2.2 調(diào)度存在的安全問題

IC 卡傳播危害?？蛙囘M(jìn)入車站，車輛首先進(jìn)行安全檢查，安檢的數(shù)據(jù)將全部存入車主的IC 卡中。如果記錄的數(shù)據(jù)附帶病毒程序，則調(diào)度室在讀取該數(shù)據(jù)時(shí)，IC 卡便把病毒傳播開來，成為了傳播病毒的載體。

3 可借鑒的應(yīng)對(duì)措施

3.1 計(jì)算機(jī)網(wǎng)絡(luò)病毒防治

網(wǎng)絡(luò)接口上安裝防病毒芯片——采用防病毒的裝載模塊(NLM)，以提高實(shí)時(shí)掃描病毒的能力；購買正版查毒軟件，做好設(shè)置，跟進(jìn)日常管理

3.2 安裝防火墻

如今的防火墻功能越來越強(qiáng)大，配置軟件和硬件防火墻，過濾不安全的服務(wù)。如可以禁止NZS,NFS，TELNET 服務(wù)通過，同時(shí)可以拒絕源路由和ICMP 重定向封包。

3.3 控制對(duì)系統(tǒng)的訪問

集中的安全管理。防火墻對(duì)單位內(nèi)部實(shí)現(xiàn)集中的安全管理，防火墻定義的安全規(guī)則可運(yùn)用于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無需再內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)定安全策略，增強(qiáng)保密性，可阻止攻擊者對(duì)系統(tǒng)信息的破壞。如FINGER,DNS 等，記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)的情況。防火墻還提供流量控制管理，防攻擊檢測(cè)等功能，直接將攻擊阻擋在外，充分保障了網(wǎng)絡(luò)安全。在實(shí)際情況中，許多車站都采用了軟件防火墻，而忽略了硬件防火墻的作用。

3.4 調(diào)度方面的問題解決

IC 卡的安全問題往往被忽視，其成為傳播病毒的一個(gè)因素，加強(qiáng)IC 卡數(shù)據(jù)的訪問安全，數(shù)據(jù)讀取終端的正常運(yùn)行才會(huì)得以保障。

3.5 各崗位人員權(quán)限問題的解決

車站不同崗位人員，應(yīng)有各自獨(dú)立的權(quán)限。比如售票員就僅有售票權(quán)限，財(cái)務(wù)人員僅有結(jié)算權(quán)限，行政管理人員也不應(yīng)有除查詢之外的其他權(quán)限。

3.6 服務(wù)器安全問題的解決

由于局域網(wǎng)是廣播型網(wǎng)絡(luò)，因此，若在廣播中進(jìn)行監(jiān)聽，就可以對(duì)信息包進(jìn)行分析，那么本廣播域的信息傳遞就沒有了安全保障。規(guī)劃網(wǎng)段，就是限制廣播域，將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到現(xiàn)在用戶非法訪問的目的?？砂次锢矸侄魏瓦壿嫹侄蝺煞N方式進(jìn)行，各自特點(diǎn)是：物理分段將網(wǎng)絡(luò)從物理層和數(shù)據(jù)層分開，各網(wǎng)點(diǎn)相互之間無法進(jìn)行直接通訊；邏輯分段則是將整個(gè)系統(tǒng)在網(wǎng)絡(luò)層上進(jìn)行分段管理。

3.7 行政管理措施

建立嚴(yán)格的操作規(guī)程，制訂完善的管理制度，進(jìn)行應(yīng)急事故預(yù)演等。

3.8 提高系統(tǒng)管理員安全意識(shí)

1）提高車站計(jì)算機(jī)操作人員，特別是系統(tǒng)管理員的安全意思，杜絕內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)的物理連接。

2）加強(qiáng)憂患意識(shí)，建立完善的密碼，定期進(jìn)行更換。

3）系統(tǒng)補(bǔ)丁和軟件更新及時(shí)跟進(jìn)

4）做好管理日志記錄，定期進(jìn)行數(shù)據(jù)備份。

[1]吳東升.信息時(shí)代的安全策略.科學(xué)出版社.

[2]謝林宇.計(jì)算機(jī)應(yīng)用安全技術(shù).人民出版社.

[3]中國計(jì)算機(jī)安全網(wǎng).http：//www.infosec.org.cn.