鐵路網絡安全現狀初探及建議

鐘小華 上海鐵路局蕪湖車務段

信息化網絡在當今鐵路運輸物流的過程中扮演著異常重要的角色。不管是客票發售、車站作業，還是運輸生產數據的傳遞，都離不開計算機網絡。上至領導決策，下至一線班組，覆蓋面之廣，深入運輸生產之深，使得網絡安全問題日益突出。如何確保計算機網絡免遭破壞，保證信息網絡的安全，是當前面臨的重大課題。

1 鐵路計算機網絡安全建設現狀

自上世紀九十年代信息技術飛速發展以來，鐵路在其主營業務上率先應用了計算機、網絡等新技術，為客貨運行車等提供了強有力的支撐，大大提升了工作效率，為世界上最繁忙的鐵路運輸網做出了巨大貢獻。從客貨運業務到辦公自動化，信息化網絡覆蓋了鐵路所有的崗位，終端類型多種多樣，網絡架構復雜，接入部門眾多，包括一些和鐵路部門有業務往來的重點企業，使用人網絡安全意識缺失，移動存儲設備等廣泛使用，使得鐵路網絡存在著諸多安全薄弱環節，隱患很大。

在列車調度指揮系統（TDCS）和分散自律調度集中系統（CTC）上，信息安全防護體系主要包括：防火墻、網絡防病毒系統、身份認證、安全漏洞評估系統。在鐵路客票發售網絡上，信息安全防護體系有：前臺終端有永達安全管控系統、用戶身份認證系統，在路局級則有業務和管控系統服務器負責業務安全管理等。在鐵路綜合信息網絡上，信息安全防護體系有：防火墻、網絡防病毒系統等。它們主要是依靠網絡的封閉性即物理隔離來確保安全，但是一旦有外來設備接入，系統缺少相應的預警和檢測機制來防范未經授權的非法接入，內部網絡系統沒有足夠的安全管理機制。鐵路綜合信息網負載的應用系統眾多，單一防病毒系統更無法應對惡意的非法入侵和因個人操作系統、生產應用系統存在的大量安全漏洞引起的安全問題。

2 當今計算機網絡面臨的安全威脅和常見防護措施的缺陷

2.1 計算機病毒

作為一種惡意的程序，能在系統中生存、傳播、自我復制，給計算機系統造成嚴重損失。網絡的互通更給了病毒廣闊的傳播空間，對它的檢測難度也更大。病毒可以通過各種移動存儲設備、電子郵件、網絡下載、文件傳輸等方式傳播。單機上的病毒有時可通過刪除帶毒文件、低格硬盤等措施將病毒徹底刪除，而網絡中只要有一臺工作站未能殺毒徹底就會使整個網絡重新被感染。蠕蟲木馬等更是嚴重影響網絡傳輸性能。比如，前幾年的“熊貓燒香”造成exe文件全部無法正常運行，系統運行很慢，而且借助于windows系統的默認共享在網絡中大肆傳播，給很多主機造成了巨大的破壞。像“arp欺騙”病毒，更是典型的網絡殺手，通過偽造網關地址或者是用錯誤的mac地址來欺騙網關造成局域網內主機無法正常上網。

2.2 系統漏洞

鐵路信息系統種類眾多，比如unix、linux就有很多版本的應用、windows更是個人辦公平臺的標準操作系統；數據庫方面 ，oracle、sybase、sqlserver 等主 流軟件都有應用于關鍵生產信息系統；iis、apache、ftp server等也大量應用在內部網站建設上。C/C＋＋、Object pascal、java、vb等各類語言編寫的軟件都有應用。操作系統自身存在的安全漏洞，無法及時地得到安裝補丁服務，語言的某些設計缺陷，站點在配置上沒有嚴格限制訪問權限，telnet、ftp服務的匿名開放，口令文件缺乏安全保護等等都成了網絡安全的一大威脅。另外，網絡傳輸協議、ActiveX插件、設備硬件驅動等的漏洞也成為了網絡攻擊的新熱點。

2.3 數據泄漏

數據泄漏已逐漸成為企業最關心的問題之一，隨著新介質、電郵、社區等新型信息傳播工具的應用，數據泄漏攻擊出現新的特征：通過U盤、移動硬盤、藍牙、手機等傳輸模式攜帶或者外傳重要敏感信息；通過植入木馬盜取主機介質或者外設上的重要信息數據；通過截獲互聯網傳播的e-mail信息或無線傳播的數據，獲取敏感信息。由于信息已經成為經濟社會中重要的競爭力，對保密信息的竊取早已成為信息網絡安全的防范重點，像“擺渡木馬”的出現更應敲響我們的警鐘。這種專門針對內外網隔離的木馬正是利用了windows系列操作系統宏自動執行功能等方式將木馬植入計算機，借助于U盤等移動介質來盜取機密數據。當某臺接入互聯網的機器被植入擺渡木馬后成為病毒源，有移動存儲介質接入該機器就會被感染，然后借助于移動存儲介質來擴散感染面，每一個移動存儲介質將內部網絡機器中的機密信息收集隱藏于自身后，當它接入互聯網，會自動將機密信息傳送出去，給企業造成巨大的損失。

2.4 內部威脅

企業員工由于對網絡安全認識不足，漠視安全規定，所采取的安全防范措施不當等，導致了網絡安全事故逐年上升。諸如一機接兩網，通過modem撥號、無線寬帶等繞過企業統一的網絡管理瀏覽不安全的網站造成病毒的傳入，使用U盤、數碼相機等移動存儲設備造成信息被動泄密，越權訪問保密信息，甚至有意泄漏保密信息，都給企業造成了不小的損失。而這些都是防火墻、殺毒軟件等無法防范的。

2.5 防火墻的局限性

傳統防火墻，作為工作在可信網絡和不可信網絡之間的安全防護設備，包括包過濾、狀態檢測、應用代理等多種類型。可實現基于網絡層的IP包頭和TCP包頭的策略控制，還可以跟蹤TCP會話狀態等，限制對某些特殊服務的訪問，但對于網絡內部的攻擊和信息泄露，對來自于外部應用層合法但惡意的攻擊依然束手無策，因為為了確保通訊，防火墻內的端口都必須處于開放狀態。

3 加強鐵路網絡安全的對策建議

3.1 防火墻和入侵檢測（IDS）的聯動

入侵檢測系統就像一個傾聽者藏在防火墻的身后，不去對網絡訪問做控制，不去限制信道流量，它從中發現違反安全策略的行為和攻擊跡象，網絡管理人員可以根據入侵檢測的結果來修正防火墻的過濾規則，彌補了防火墻內容檢查和協議解析的不足，但是損失可能已經造成。所以，實現入侵檢測和防火墻的聯動可以提高防范攻擊的功效。其主要方式有：系統嵌入方式，把入侵檢測嵌入防火墻中，入侵檢測的數據都是流經防火墻的數據流，所有通過的包都要接受防火墻的驗證；端口映像方式，防火墻將一部分流量鏡像到入侵檢測系統，IDS再將處理后的結果告知防火墻，要求其修改相應的策略；專用響應方式，入侵檢測系統發現網絡中存在攻擊企圖時，通過一個開放接口與防火墻通信，雙方按固定協議進行安全事件傳輸，更改防火墻策略封堵攻擊源。通過這種聯動，對外網的攻擊起到了一個有效的阻隔作用，對內部合法用戶的濫用行為也能識別，提升了企業內部網絡的安全系數。

3.2 應用內外網安全隔離網閘

隨著鐵路逐步實現現代化、高效率的經營模式，原有局限于企業內部網絡的經濟活動必然會被更大范圍的電子商務體系所涵蓋，這時在內外網絡之間進行安全可靠的數據交換，確保數據服務準確正常至關重要，某些系統、應用服務就必須要實現內部網絡和互聯網的交互，但是直接借助于tcp/ip協議來完成數據交換必然存在巨大的安全隱患，破壞了鐵路信息網絡的獨立性，極易遭受攻擊。

網閘是一種使用帶有多種控制功能的固態開關讀寫介質，連接兩個或多個獨立主機系統的信息安全設備。不存在通信的物理和邏輯連接、傳輸協議，不存在信息數據包轉發，只有文件等靜態數據流的“擺渡”。擺渡之前還要進行代碼掃描等安全審查，只有通過嚴格身份認證的用戶才可以獲取所需數據。網閘對數據包的分析主要是防止黑客惡意偽造非法數據來入侵內網和破壞核心數據庫，它主要借助于硬件模塊來高效完成。另一方面，對數據的同步、確保完整、有效，還有配合數據庫的軟件機制來保證。這樣，就可以實現不同網絡間信息的實時可靠同步。

3.3 終端安全管理

當下的單個計算設備已經成為危害網絡安全的關鍵點之一。僅僅依靠防病毒網絡軟件和操作系統本身的用戶登錄認證和文件讀寫授權已不能滿足安全需求。我們需要的是針對所有網絡終端的接入安全管理系統：涉及到終端的網絡接入許可、系統軟件補丁分發、防病毒軟件安裝及病毒庫更新、移動存儲介質管理、ip地址分配、實名認證等多個方面。我們可以在路局級設立安全管理服務器、認證和修復服務器等，局管內所有終端安裝客戶端，通過實名注冊，匹配員工信息庫信息后，檢測終端的安全防護策略，若符合要求，允許其以預設靜態IP地址接入網絡，若不符合安全策略，則要將其連接到修復服務器，實現對終端的安全監控和管理。圖1即為終端用戶的工作流程。

圖1 終端用戶的工作流程

終端在達到網絡的安全認證級別后，才可接入網絡。安全管理系統的另一主要功能就是對存儲介質進行統一認證，使用加密存儲、訪問控制等手段，有效防止未經認證的移動設備聯網，同時還將操作涉及的信息及過程生成日志，以便事后審計。

3.4 提升Web應用安全

Web網站在鐵路內部網絡上廣泛地應用，是辦公自動化、電子公文、電郵系統、各類安全生產管理、數據采集、軟件升級分發等的平臺，自然也是安全防范的重點。雖然路內網站很少出現主頁被篡改、掛馬、釣魚等獲取用戶密碼、因DDos攻擊無法服務等情況，但我們仍要采取必要的技術手段來防范，比如Web應用防火墻。它作為客戶端和服務器端的“中間人”，避免web服務器直接暴露在網絡上，提供了以下功能：(1)網頁篡改在線防護，實時過濾諸如sql注入、跨站腳本攻擊等；(2)網頁掛馬在線防護，自動過濾惡意代碼；(3)網站隱身，比如網頁主目錄的絕對路徑、出錯的sql語句及參數、系統配置信息等；(4)敏感信息泄露防護，實現指定敏感關鍵字的自動過濾。這樣可以有效減少網站的安全隱患。

3.5 加強非技術領域管理

要加強保密法規和計算機信息安全制度的學習，提高員工的防范意識和技能。加強對終端、涉密單機和移動存儲介質的安全管理，不僅要借助技術手段，更要強化人的安全保密意識。

4 結束語

構建穩固的鐵路信息系統安全防線,對于實現鐵路的現代化、信息化至關重要。總的來說，網絡安全不僅僅是技術問題，同時也是一個安全管理問題。我們必須綜合考慮各方面安全因素，制定合理可行的目標、技術方案和相關配套的管理規定，才能構筑相對完善的安全屏障。