哈爾濱鐵路局計算機綜合網網絡安全管理與防護

陳 力，劉 軍

（哈爾濱鐵路局 信息技術所，哈爾濱 150006）

網絡技術

哈爾濱鐵路局計算機綜合網網絡安全管理與防護

陳 力，劉 軍

（哈爾濱鐵路局 信息技術所，哈爾濱 150006）

通過介紹哈爾濱鐵路局計算機綜合網的網絡安全管理現狀，分析目前主要存在的網絡安全隱患問題，針對這些問題提出強化網絡訪問控制、部署網絡安全準入以及加強病毒防范等具體解決措施，為鐵路局的生產經營打造健康安全的網絡環境。

計算機綜合網；網絡安全準入；一機兩網；病毒防范

隨著鐵路信息化發展的不斷推進，哈爾濱鐵路局計算機綜合網絡已基本覆蓋了全局所有的站段和車間，為全鐵路局40余項鐵路重要應用系統的運用提供了穩定的數據傳輸平臺，在全鐵路局的運輸組織、客貨運營銷、辦公管理等多個領域都發揮著重要的基石作用，但其安全性也直接影響著全局正常的生產經營活動。因此，確保計算機綜合網的網絡安全至關重要。

1 計算機綜合網現狀

哈爾濱鐵路局計算機綜合網絡建設10余年來，已覆蓋了哈爾濱、齊齊哈爾、牡丹江、佳木斯、海拉爾5個地區的機務、車務、工務、電務、通信、車輛、客運、房產等基層站段650余家，聯網車間、工區（班組）2 000余個，為全鐵路局運輸調度指揮、客貨運管理及辦公管理等40余項重要應用系統提供了便利、穩定的網絡環境，是全鐵路局計算機業務網絡中應用最復雜、覆蓋范圍最廣的綜合應用網絡。

計算機綜合網網絡結構圖如圖1所示。

2 計算機綜合網網絡安全存在的問題

2.1 “一機兩網”

“一機兩網”是指一臺計算機，通過本機一個或兩個網絡適配器同時連接到兩個不同的網絡，并行處理這兩個網絡數據的運行方式。這種現象在一些基層站段經常出現，多數情況是一邊接著互聯網一邊接著企業內網，從安全角度來看它潛在的危害非常嚴重。因為在企業內網中大部分計算機都存儲有重要的數據資料，需要實行嚴格的內、外網隔離制度。

2.2 病毒防范

在計算機綜合網中鐵路局統一部署了McAfee防毒系統服務器與奇虎360防毒系統服務器，針對全鐵路局聯網計算機提供防病毒的升級與管理，但一些站段計算機并沒有按照要求安裝這兩種防病毒軟件，有的即使安裝了也因病毒庫升級不夠及時，導致計算機感染病毒較多。尤其是感染網絡蠕蟲病毒后，會使病毒在網絡中不斷的被傳播和復制，嚴重威脅計算機綜合網絡的安全。

圖1 哈爾濱鐵路局計算機綜合網網絡結構圖

2.3 網絡準入控制

鐵路局計算機綜合網的準入制度還不盡完善，技術控制手段單一，防控效果不好。在機關部門和基層站段普遍存在著計算機隨意接入網絡的現象，突出表現在一些個人電腦（PC或筆記本）私自接入企業內網，這些計算機沒有采取任何安全防范措施就直接聯入網絡，一旦這些計算機攜帶病毒或木馬等有害程序將對計算機綜合網絡的整體安全構成很大威脅。

2.4 計算機綜合網與互聯網間訪問控制

按照國家信息安全部門和鐵路總公司的規定，鐵路內部網絡與互聯網之間必須實行嚴格的物理隔離。鐵路局計算機綜合網與互聯網間采用的是動態物理隔離，只允許特定的業務數據流能夠通過網絡安全管理控制平臺穿越互聯網實現對計算機綜合網的內部訪問，這在一定程度上解決了兩網間數據交互的問題，但無法實現大數量的高效交換，很難滿足日益增長的應用需求，同時也存在一定程度的安全風險隱患，盡管這種風險很小并可控。

3 具體解決措施

3.1 加強計算機綜合網網絡安全管理和內部訪問控制

主要3個方面：（1）強化管理，堅決杜絕“一機兩網”的現象。首先，嚴格落實鐵路局網絡安全相關管理制度，加強考核監督。其次，運用網絡偵測等技術手段加強對入網計算機的管控，一旦發現計算機有“一機兩網”現象，立即切斷該計算機對內網的鏈接，阻斷其對內網的訪問。（2）嚴格限定安全生產網、內部服務網及外部服務網三網間跨區域訪問控制，合理制定訪問規則，嚴格界定訪問權限，有效防范內網的安全風險。（3）從源頭抓起，做好病毒防范工作。按照鐵路局統一部署及時做好防病毒軟件的安裝和升級管理工作，減少病毒滋生的土壤。同時要在病毒傳播途徑上下功夫，通過部署防毒墻、防火墻等安全設備封堵病毒傳播途徑，發現病毒及時查殺。此外，還要做好操作系統補丁的升級工作和安全漏洞的升級更新工作，有效地防范病毒對操作系統造成的破壞和侵入。

3.2 部署計算機安全準入控制系統

通過對聯入內部網絡的計算機自身“安全”情況進行審查，例如檢查計算機的防病毒軟件安裝情況、病毒庫升級情況、防火墻策略配置情況、操作系統補丁安裝升級情況，以及是否安裝可疑有害程序、是否存在“一機兩網”等諸多情況，判斷接入計算機是否存在安全隱患問題，再根據準入控制規則，對不符合入網要求的計算機自動隔離至指定網絡區域，執行安裝安全軟件、升級系統補丁等相關補救工作，確保接入計算機符合入網要求后才可聯入內部網絡。

3.3 完善計算機綜合網與互聯網的訪問控制機制

目前，哈爾濱鐵路局一直采用全路統一網絡安全平臺內外網訪問機制，由于某些特殊原因僅應用于少數特定業務中，沒有全面推廣使用，但是企業內外網之間的數據交互需求越來越多，因此必須盡快完善內外網絡訪問控制系統，采用更先進的“動態物理隔離”技術，加強安全審核認證機制和病毒過濾機制，實現多層次縱深網絡安全防護，解決內外網之間互訪的安全瓶頸問題。

3.4 提升內部員工網絡安全防范意識

鐵路局近年來信息化發展迅速，必須盡快加強制度建設，依規落實管理責任。不斷加大安全管理制度和安全防范措施的宣傳培訓力度，使網絡安全責任深入人心，讓職工不斷增強自我安全防范意識。

4 結束語

隨著全路信息化建設的不斷發展，必將會對哈爾濱鐵路局計算機綜合網絡提出更高的要求，我們要不斷加大安全技術投入，完善安全管理機制，提升安全管理水平，為鐵路局的信息化發展打造高效、穩定、安全、健康的網絡環境。

[1]諶 璽，張 洋.企業網絡整體安全[M].北京：電子工業出版社，2011.

[2]張 棟，劉曉輝.網絡安全管理實踐[M]. 3版.北京：電子工業出版社，2012.

[3]張素娟，吳 濤，朱俊東.網絡安全與管理[M].北京：清華大學出版社，2012.

[4]王海軍.網絡信息安全管理研究[M].濟南：山東大學出版社，2010.

責任編輯 徐侃春

Network security management and protection on computer integrated network in Harbin Railway Administration

CHEN Li, LIU Jun
( Institute of Information Technology, Harbin Railway Administration, Harbin 150006, China )

The paper introduced the current situation of integrated network security management in Harbin Railway Administration, analyzed potential security problems. In the meantime some concrete measures were taken to solve these problems, such as tightening network access control, deploying network security admittance, strengthening the virus prevention. These measures would help to create safe network environment for railway production and management.

computer integrated network; network security admittance; one computer with two networks; virus prevention

U29∶TP39

A

1005-8451（2015）06-0051-03

2015-01-26

陳 力，高級工程師；劉 軍，高級工程師。