關(guān)于構(gòu)建四級TDCS網(wǎng)絡(luò)安全的一些見解

陳 林 范予強(qiáng)

（鄭州鐵路職業(yè)技術(shù)學(xué)院 電氣工程系，河南 鄭州 450052）

1 TDCS與《信息安全等級保護(hù)管理辦法》中四級基本要求的差距

1.1 四級基本要求介紹

《信息安全等級保護(hù)管理辦法》中四級的基本要求有2大方面即管理要求與技術(shù)要求。

1.1.1 管理要求

該部分分為5個方面：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理。

1.1.2 技術(shù)要求

要求分為5個方面：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)。下面就這5個方面進(jìn)行簡單介紹。

1）物理安全

規(guī)定了系統(tǒng)設(shè)備的物理環(huán)境，避免常見自然或人為災(zāi)害的影響。2）網(wǎng)絡(luò)安全

結(jié)構(gòu)安全：規(guī)定了結(jié)構(gòu)上要保證冗余并根據(jù)職能和重要性進(jìn)行網(wǎng)段劃分，通道上要保證訪問路徑的安全和帶寬，邊界上保證與其它網(wǎng)絡(luò)的可靠隔離。

訪問控制：邊界上要部署訪問流量的控制設(shè)備，進(jìn)行訪問控制；內(nèi)部嚴(yán)禁開通遠(yuǎn)程撥號功能。

安全審計：集中審計運行情況、流量、用戶行為，便于分析問題以及數(shù)據(jù)恢復(fù)。

入侵防范：監(jiān)測網(wǎng)絡(luò)邊界的攻擊行為，并定位記錄和即時報警。

惡意代碼防范：在內(nèi)部及時更新防范的代碼庫，在邊界要做到檢測和清除惡意代碼。

3）主機(jī)安全

規(guī)定了身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計、信息保護(hù)、入侵防范、惡意代碼防范及資源控制。

4）應(yīng)用安全

規(guī)定了身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計、信息保護(hù)、通信的完整性和保密性、軟件容錯、資源控制、抗抵賴。

5）數(shù)據(jù)安全及備份恢復(fù)

規(guī)定了數(shù)據(jù)的完整性和保密性，以及備份數(shù)據(jù)的恢復(fù)。

1.2 TDCS現(xiàn)狀與四級差距

目前TDCS網(wǎng)絡(luò)安全建設(shè)相對于《國家信息安全等級保護(hù)管理辦法》中4級《信息系統(tǒng)安全等級保護(hù)基本要求》還存在著巨大的差距，其中如接入安全控制系統(tǒng)、指紋認(rèn)證系統(tǒng)、網(wǎng)絡(luò)安全審計和IT資源集中安全管理等重要網(wǎng)絡(luò)安全子系統(tǒng)目前仍是空白，具體防護(hù)差距請見表1。

2 幾種網(wǎng)絡(luò)安全技術(shù)介紹

2.1 接入安全控制系統(tǒng)

接入安全控制系統(tǒng)是內(nèi)網(wǎng)安全管理的重要組成部分，部署在企業(yè)的內(nèi)部網(wǎng)絡(luò)中，可以保護(hù)內(nèi)部計算機(jī)免受外來終端的危害，可禁止重要信息通過外設(shè)和USB等端口泄漏，防范非法設(shè)備接入內(nèi)網(wǎng)等。

2.1.1 外設(shè)與接口管理

外設(shè)與接口管理主要對內(nèi)網(wǎng)終端計算機(jī)上的各種外設(shè)和接口進(jìn)行管理?？梢詫?nèi)網(wǎng)終端計算機(jī)上的各種外設(shè)和接口設(shè)置禁用，防止用戶非法使用。

表1 TDCS現(xiàn)狀與四級具體防護(hù)差距表

1）存儲設(shè)備禁用

除了網(wǎng)絡(luò)外，另一個最可能帶來病毒入侵的方式就是存儲設(shè)備了。內(nèi)網(wǎng)安全控制系統(tǒng)可以禁止如下存儲設(shè)備的使用：軟驅(qū)、光驅(qū)、存儲設(shè)備、移動硬盤等。

2）設(shè)置移動存儲設(shè)備只讀

內(nèi)網(wǎng)安全控制系統(tǒng)可以設(shè)置將移動存儲設(shè)備置于只讀狀態(tài)，不允許用戶修改或者寫入。

2.1.2 安全接入管理

1）在線主機(jī)監(jiān)測可以通過監(jiān)聽和主動探測等方式檢測網(wǎng)絡(luò)中所有在線的主機(jī)，并判別在線主機(jī)是否是經(jīng)過內(nèi)網(wǎng)安全控制系統(tǒng)授權(quán)認(rèn)證的信任主機(jī)。

2）主機(jī)授權(quán)認(rèn)證

很多的計算機(jī)被病毒入侵，主要原因是自身的健壯性與否造成的。根據(jù)這種情況，內(nèi)網(wǎng)安全控制系統(tǒng)提供了網(wǎng)絡(luò)授權(quán)認(rèn)證功能。內(nèi)網(wǎng)安全控制系統(tǒng)可以通過識別在線主機(jī)是否安裝客戶端代理程序，并結(jié)合客戶端代理報告的主機(jī)補(bǔ)丁安裝情況，反病毒程序安裝和工作情況等信息，進(jìn)行網(wǎng)絡(luò)的授權(quán)認(rèn)證，只允許通過授權(quán)認(rèn)證的主機(jī)使用網(wǎng)絡(luò)資源。

3）非法主機(jī)網(wǎng)絡(luò)阻斷

對于探測到的非法主機(jī)，內(nèi)網(wǎng)安全控制系統(tǒng)可以主動阻止其訪問任何網(wǎng)絡(luò)資源，從而保證非法主機(jī)不對網(wǎng)絡(luò)產(chǎn)生影響。

3 結(jié)束語

可以想像，未來的TDCS系統(tǒng)，應(yīng)該具備這樣幾個特點：第一，網(wǎng)絡(luò)是安全的，體現(xiàn)在網(wǎng)絡(luò)應(yīng)該具有精確識別人員身份，可以阻止內(nèi)部和外部攻擊，可以阻止各種內(nèi)網(wǎng)安全控制系統(tǒng)未授權(quán)的非法主機(jī)接入和訪問。第二，網(wǎng)絡(luò)是穩(wěn)定的，體現(xiàn)在網(wǎng)絡(luò)應(yīng)該具有冗余性和自愈性及良好的通道。第三，網(wǎng)絡(luò)管理是高效地，體現(xiàn)在將有統(tǒng)一的管理設(shè)備可以將網(wǎng)絡(luò)管理功能覆蓋。

[1]2007.06.22公安部《信息安全等級保護(hù)管理辦法》的通知公通字〔2007〕43號[Z].

[2]信達(dá)環(huán)宇安全網(wǎng)絡(luò)公司.接入安全控制系統(tǒng)介紹[Z].2007，3.