論大型企業中計算機網絡安全防護體系

[摘 要] 隨著計算機網絡的迅猛發展，網絡安全問題日益突出。本文針對計算機網絡安全的現狀，結合在鐵路行業的實際工作經驗，從網絡安全技術、安全管理角度提出在鐵路計算機網絡內建立安全防護體系的構想。

[關鍵詞] 網絡安全; 關鍵技術;鐵路網; 網絡管理; 防護體系

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 21 . 024

[中圖分類號]F270.7; TP393.08 [文獻標識碼]A [文章編號]1673 - 0194(2010)21- 0044 - 02

一、引言

鐵路系統的計算機應用和信息化建設已具規模，TMIS、客票、調度、集裝箱和物資等管理信息系統相繼建成并已投入使用。在鐵道部、鐵路局、基層站段三級網絡的支撐下，以TMIS和電子政務應用為核心的各項計算機應用系統已在鐵路運輸生產中發揮著越來越重要的作用。對于現代營銷、現代物流和電子商務等應用系統，僅具有連通功能的網絡是無法滿足其要求的，針對大型企業網絡安全方面存在的漏洞和隱患，利用簡單的技術防范措施已無法解決。必須調整網絡結構，克服平面網絡結構先天性的抵御攻擊能力差、控制乏力的弱點，并采用先進的技術、加強基礎設施和有效的網絡管理，形成保證網絡和信息安全的縱深立體防御體系。

二、建立計算機網絡安全體系

對于網絡而言，沒有絕對保證的信息安全，只有根據網絡自身特點，合理運用網絡安全技術，建立適應性的安全運行機制，才能從技術上最大限度地保證信息安全。

1. 網絡安全關鍵技術

由防火墻(Firewall)、(Public Key Infrastructure，PKI)公鑰安全體系PKI、虛擬局域網(VLAN)和物理隔離與信息交換系統等構成了網絡安全的關鍵技術。

2. 創建鐵路網絡立體安全防護體系

網絡安全防護體系是由安全操作系統、應用系統、防火墻、網絡監控、安全掃描、通信加密、網絡反病毒等多個安全組件共同組成的，每個組件只能完成其中部分功能。

(1) 路由器。路由器是架構網絡的第一層設備，也是網絡入侵者的首要攻擊目標，因此路由器必須安裝必要的過濾規則，濾掉被屏蔽的IP地址和服務。例如，首先屏蔽所有的IP地址，然后有選擇地放行一些地址進入網絡。路由器也可以過濾服務協議，允許需要的協議通過，而屏蔽其他有安全隱患的協議。

(2) 入侵監測系統(IDS)。入侵監測系統是被動的，它監測網絡上所有的包(packets)。其目的就是捕捉危險的或有惡意的動作，并及時發出警告信息。它是按用戶指定的規則運行的，它的功能和防火墻有很大的區別，它是對端口進行監測、掃描等。入侵檢測系統是立體安全防御體系中日益被普遍采用的成分，它能識別防火墻通常不能識別的攻擊，如來自企業內部的攻擊;在發現入侵企圖之后提供必要的信息，幫助系統移植。

(3) 防火墻。防火墻可防止“黑客”進入網絡的防御體系，可以限制外部用戶進入內部網，同時過濾掉危及網絡的不安全服務，拒絕非法用戶的進入。同時可利用其產品的安全機制建立VPN(Virtual Private Networks)。通過VPN，能夠更安全地從異地聯入內部網絡。

(4) 物理隔離與信息交換系統(網閘)。鐵路內部網是鐵路運輸系統的指揮中樞，調度指令必須實時、準確下達。內部網調度服務的實時可用性成為鐵路信息系統最為核心的安全需求。因此，不能因為信息化建設過程中對外網訪問的需求而影響內部網絡系統的安全性及可用性。物理隔離與信息交換系統是運用物理隔離網絡安全技術設計的安全隔離系統，它保證內部網絡與不可信網絡物理隔斷，能夠阻止各種已知和未知的網絡層和操作系統層攻擊，提供比防火墻、入侵檢測等技術更好的安全性能，既保證了物理的隔離，又實現了在線實時訪問不可信網絡所必需的數據交換。

(5) 交換機。目前局域網大多采用以交換機為中心、路由器為邊界的網絡格局。核心交換機最關鍵的工作是訪問控制功能和三層交換功能。訪問控制對于交換機就是利用訪問控制列表ACL來實現用戶對數據包按照源和目的地址、協議、源和目的端口等各項的不同要求進行篩選和過濾。還有一項非常關鍵的工作就是劃分VLAN。

(6) 應用系統的認證和授權支持。建立應用系統提升安全性的支撐平臺，實現應用系統保護的功能包括以下幾個方面:

① 應用系統網絡訪問漏洞控制。應用系統軟件要求按安全軟件標準開發，在輸入級、對話路徑級和事務處理三級做到無漏洞;集成的系統要具有良好的恢復能力，這樣才能保證內部生產網中的系統避免因受攻擊而導致數據破壞或丟失。

② 數字簽名與認證。應用系統須利用CA提供的數字證書進行應用級的身份認證，對文件和數據進行數字簽名和認證，保證文件和數據的完整性以及防止源發送者抵賴。

③ 數據加密。對重要的數據進行加密存儲。

(7) 操作系統的安全。保證操作系統的安全包括以下內容:

① 操作系統的裁剪。不安裝或刪除不必要的系統組件。

② 操作系統服務裁剪。關閉所有不使用的服務和端口，并清除不使用的磁盤文件。

③ 操作系統漏洞控制。在內部網中建立操作系統漏洞管理服務器，如在內部網中安裝微軟WSUS Server及第三方安全管理軟件(BES)，對網絡內所有聯網主機的操作系統進行監控，一旦發現存在系統漏洞或者安全隱患，立即強制其安裝相應的系統補丁或者組件。

(8) 病毒防護。網絡病毒網關與網絡版的查殺病毒軟件(McAfee EPO + Clients)相結合，構成了較為完整的病毒防護體系，能有效地控制病毒的傳播，保證網絡的安全穩定。

三、計算機網絡安全管理

有效的技術手段只是網絡安全的基礎工作，但僅靠網絡安全技術是絕對無法確保信息安全的。只有建立嚴格的計算機網絡安全管理制度，才能充分發揮網絡安全技術的效能，才能使網絡信息更加安全可靠。

四、結束語

目前計算機網絡已經深入到鐵路運輸生產管理、客戶服務、物流和客貨運營銷等各個領域。不解決安全問題，可能造成巨大的經濟損失。創建鐵路計算機網絡安全防護體系，將是鐵路信息化建設的有力保障。但建立計算機信息安全體系是一個復雜而又龐大的系統工程，涉及的問題也比較多。只有繼續對計算機網絡安全體系進行深入的研究和探討，才能更好地實現網絡安全，保證中國鐵路信息化建設的正常進行。

主要參考文獻

[1] 邱雪松. 網絡管理體系結構的研究[D]. 北京:北京郵電大學，1999.

[2] 蔣蘋，胡華平，等. 計算機信息系統安全體系設計[J]. 計算機工程與科學，2003(1).

[3] 楊義先. 網絡安全理論與技術[M]. 北京:人民郵電出版社，2003.

[4] 林柏鋼. 網絡與信息安全教程[M]. 北京:機械工業出版社，2004.