關于構建四級TDCS網絡安全的一些見解

陳 林 范予強

（鄭州鐵路職業技術學院 電氣工程系，河南 鄭州 450052）

1 TDCS與《信息安全等級保護管理辦法》中四級基本要求的差距

1.1 四級基本要求介紹

《信息安全等級保護管理辦法》中四級的基本要求有2大方面即管理要求與技術要求。

1.1.1 管理要求

該部分分為5個方面：安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。

1.1.2 技術要求

要求分為5個方面：物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復。下面就這5個方面進行簡單介紹。

1）物理安全

規定了系統設備的物理環境，避免常見自然或人為災害的影響。2）網絡安全

結構安全：規定了結構上要保證冗余并根據職能和重要性進行網段劃分，通道上要保證訪問路徑的安全和帶寬，邊界上保證與其它網絡的可靠隔離。

訪問控制：邊界上要部署訪問流量的控制設備，進行訪問控制；內部嚴禁開通遠程撥號功能。

安全審計：集中審計運行情況、流量、用戶行為，便于分析問題以及數據恢復。

入侵防范：監測網絡邊界的攻擊行為，并定位記錄和即時報警。

惡意代碼防范：在內部及時更新防范的代碼庫，在邊界要做到檢測和清除惡意代碼。

3）主機安全

規定了身份鑒別、安全標記、訪問控制、可信路徑、安全審計、信息保護、入侵防范、惡意代碼防范及資源控制。

4）應用安全

規定了身份鑒別、安全標記、訪問控制、可信路徑、安全審計、信息保護、通信的完整性和保密性、軟件容錯、資源控制、抗抵賴。

5）數據安全及備份恢復

規定了數據的完整性和保密性，以及備份數據的恢復。

1.2 TDCS現狀與四級差距

目前TDCS網絡安全建設相對于《國家信息安全等級保護管理辦法》中4級《信息系統安全等級保護基本要求》還存在著巨大的差距，其中如接入安全控制系統、指紋認證系統、網絡安全審計和IT資源集中安全管理等重要網絡安全子系統目前仍是空白，具體防護差距請見表1。

2 幾種網絡安全技術介紹

2.1 接入安全控制系統

接入安全控制系統是內網安全管理的重要組成部分，部署在企業的內部網絡中，可以保護內部計算機免受外來終端的危害，可禁止重要信息通過外設和USB等端口泄漏，防范非法設備接入內網等。

2.1.1 外設與接口管理

外設與接口管理主要對內網終端計算機上的各種外設和接口進行管理?？梢詫染W終端計算機上的各種外設和接口設置禁用，防止用戶非法使用。

表1 TDCS現狀與四級具體防護差距表

1）存儲設備禁用

除了網絡外，另一個最可能帶來病毒入侵的方式就是存儲設備了。內網安全控制系統可以禁止如下存儲設備的使用：軟驅、光驅、存儲設備、移動硬盤等。

2）設置移動存儲設備只讀

內網安全控制系統可以設置將移動存儲設備置于只讀狀態，不允許用戶修改或者寫入。

2.1.2 安全接入管理

1）在線主機監測可以通過監聽和主動探測等方式檢測網絡中所有在線的主機，并判別在線主機是否是經過內網安全控制系統授權認證的信任主機。

2）主機授權認證

很多的計算機被病毒入侵，主要原因是自身的健壯性與否造成的。根據這種情況，內網安全控制系統提供了網絡授權認證功能。內網安全控制系統可以通過識別在線主機是否安裝客戶端代理程序，并結合客戶端代理報告的主機補丁安裝情況，反病毒程序安裝和工作情況等信息，進行網絡的授權認證，只允許通過授權認證的主機使用網絡資源。

3）非法主機網絡阻斷

對于探測到的非法主機，內網安全控制系統可以主動阻止其訪問任何網絡資源，從而保證非法主機不對網絡產生影響。

3 結束語

可以想像，未來的TDCS系統，應該具備這樣幾個特點：第一，網絡是安全的，體現在網絡應該具有精確識別人員身份，可以阻止內部和外部攻擊，可以阻止各種內網安全控制系統未授權的非法主機接入和訪問。第二，網絡是穩定的，體現在網絡應該具有冗余性和自愈性及良好的通道。第三，網絡管理是高效地，體現在將有統一的管理設備可以將網絡管理功能覆蓋。

[1]2007.06.22公安部《信息安全等級保護管理辦法》的通知公通字〔2007〕43號[Z].

[2]信達環宇安全網絡公司.接入安全控制系統介紹[Z].2007，3.