鐵路站段計算機網絡安全系統建設和應用

陳梁君 上海鐵路局合肥工務段

鐵路站段計算機網絡安全系統建設和應用

陳梁君 上海鐵路局合肥工務段

基于“采用應用分區，達到安全分級，最終實現網絡分層級安全保障”的思路，介紹構成鐵路計算機網絡安全系統平臺的5個子系統——鐵路行業數字證書認證、統一用戶管理和資源管理、訪問控制、病毒防護和應用系統，并闡明近幾年建設實現鐵路計算機網絡安全的應用及其成果。

鐵路網絡與信息安全；分層訪問控制；代理服務；數字證書認證；病毒防控

隨著互聯網和電子商務的迅速發展，針對鐵路部門對外客貨運門戶系統及鐵路部門內部信息網絡的信息安全保障也越發重要，同時，這也使得鐵路計算機網絡與信息安全技術必須不斷進步和發展，以保障新形勢下鐵路計算機內部和外部網絡安全的要求。

本文要介紹的5個主要管理控制子系統，以及它們具有的功能和特點，通過相互協同的方式，以此完成對鐵路計算機網絡及信息平臺的安全保護，將“身份認證、動態隔離、訪問控制和代理服務”作為基礎，最終實現了對鐵路計算機網絡內外網邊界的保護，有效地保障了鐵路內部網絡的安全性，而鐵路計算機網絡安全系統的建成和應用，更為鐵路信息系統建設和完善提供了強有力的安全保障，并為進一步發展鐵路現代物流以及建設電子政務、電子商務的相關方面的應用提供安全保障基礎。

1 鐵路計算機網絡安全體系的基本結構

了解鐵路網絡安全系統的構成首先要了解網絡的基本組成結構，如總線型，星型、樹形、環形、不規則形等，鐵路局域網基本以樹形結構加以分層組織構成整體結構，各個車間和工區網絡為底層，構成各個站段網絡，各個站段再構成各個路局，再上層是鐵路總公司網絡結構，這種分層的樹形結構構成了鐵路內部網絡，在分層層次上應用上述五個子系統來實現網絡安全。如我們在站段的服務器日常維護和數據備份，日常流量監視和防火墻設置，在各個信息系統的監視，維護等操作，甚至是對某一臺計算機的網絡和硬件故障的處理也是這一完整的分層安全網絡體系結構中的一環，無數個這樣的一環構成了站段所在的一層，很多這樣的層次結構，構成了整個鐵路網絡安全系統。

鐵路計算機網絡系統，以分層拓撲結構，通過鐵路行業數字證書系統、統一的資源管理系統、安全的訪問控制系統、有效的病毒防護系統、應用安全服務系統的建設、維護、加密，病毒防殺等共同作用下，形成了我們現在較為安全的鐵路計算機安全系統。如上海鐵路局電子郵件系統就是典型的安全網絡系統，以上海鐵路局的固有網絡結構為基礎，通過兩次大的站段級的車間和班組聯網工程后，形成分層的拓撲結構，通過基于數字證書系統的安全賬戶密碼這一安全訪問控制系統，并通過路局服務器端的統一資源管理及應用服務系統平臺的建設和病毒查殺防護，如軟硬件防火墻等一系列綜合系統的作用，形成這一套鐵路計算機網絡安全系統。而基層站段對于電子郵件賬戶密碼的建立、刪除、管理維護和站段級網絡和計算機終端的管理和維護，也是該分層網絡體系系統中不可或缺的組成部分。

1.1 鐵路計算機網絡安全系統的整體架構

在整體建設方面，縱深防御體系的建設是一個基礎環節,它的原理就是“全路網絡所有的拓撲結構—物理以及邏輯上的計算機網絡—安全的網絡體系”，通過這樣的劃分，形成一個安全可靠的網絡體系。舉例來說，依據網絡的特定功能，可將局域網劃分成為3個縱深的結構層次，分別為安全生產網絡、內部服務網絡以及外部服務網絡，在內部網絡和外部網絡之間架設防火墻等安全隔離性設備和在相關中間網絡控制設備上設置安全策略等，在內部分層網絡之間設置諸如病毒隔離防護和攻擊防護等防護策略，這樣做的意義是隔離了內部網絡與外部網絡，在內部網絡的層與層之間也設置了一些對不安全因素的控制，最終實現了內與外，層與層之間的安全可靠。

系統整體建設的思路就是采用網絡分層和應用分區的手段，達到安全分級的目的，最終實現網絡分層和“保衛網絡基礎設施、保衛網絡邊界、保衛局域網環境和建設適用的支持性基礎設施”的“三保衛、一支持”基本策略，即以網絡分層并逐層實現縱深防御體系作為構建鐵路計算機網絡安全的核心思路，劃分物理和邏輯上的全路網絡拓撲結構，同時，內部網絡與外部網絡作為鐵路計算網絡安全系統的兩個最主要組成部分，這樣就將傳統的鐵路平面網絡結構變成了多層次的網絡拓撲結構，最終逐步形成了鐵路計算機內外網縱深網絡防御體系，其具有的最大特點是具有不同安全區域，進而加強了整體構架的安全性和可控性。

圖1 基礎原理

1.2 網絡安全體系子系統建設

1.2.1 鐵路行業數字證書系統

數字證書認證系統基礎體系是PKI/CA，即以數字公鑰為基礎的數字證書體系，是網絡和信息系統安全的訪問控制支持性基礎設施的保障。上海鐵路局內部訪問控制機制基本都基于此項技術，如上海鐵路局辦公OA、公文系統、各專項B/S 和C/S結構使用的用戶身份識別等，作為全路網絡訪問身份認證體系的基礎，其作用是在提供了訪問用戶身份的認證機制的同時，加強了被訪問者的數據和信息的安全性，并且通過提供安全保證手段，使得對訪問者及其信息交換可追溯，防止抵賴和篡改。

此系統的應用，有效地保護了鐵路計算機信息系統信息和數據資源，為安全系統的建設奠定了重要基礎。計算機網絡傳輸數字證書管理層次是由分布的RA（授權數字證書認證代理）和CA（服務集中的數字證書認證中心管理）構成。RA層是與各級數字證書連接而成，CA層則由根CA、KMC（密鑰管理中心）和MORCA（二級CA）構成，進而以標準的LDAP作為接口，與目錄服務集成，以此實現數據在整個數字證書系統的存儲。

1.2.2 統一的資源管理系統

作為鐵路計算機網絡安全系統的基礎建設，資源管理系統建立信息資源數據庫，實現了全路的統一，進而用戶可以單點登陸，一次登錄訪問多個應用的“訪問”，這樣的建設大大提高系統的可用性和效率。

鐵路網絡安全資源管理系統的核心是LDAP，即統一的目錄服務系統，利用網絡更新機制，繼而實現對全路的同步復制，同時將一些跨網操作的用戶的信息和數據在傳輸到目標網絡上時，進行身份認證和安全防護控制，在跨區域時進行有效的認證授權服務，以分布式管理方式，最終達到實現對資源的統一管理的目的。

1.2.3 安全的訪問控制系統

訪問控制系統的核心是訪問控制的策略和規則，其包含在訪問控制系統的子系統中，其系統應用的機制是集中代理和認證授權機制，即在用戶對安全域間和安全域內進行訪問時，該子系統實現了有效的控制。它作為內外網絡交換數據的必經通路，其合法性和安全性，體現在保證網絡訪問以及數據傳輸的基礎上實現安全訪問控制。訪問控制系統的數據傳輸安全代理“兩協議”，即XML協議和SAML協議。在認證和授權后，PKI/CA進入內部網絡，系統再一次合法地檢查其應用數據，授權得到認證后，以這樣的循環模式進行，最終實現了單點登錄和不同層次授權，進而起到對應用的不同層次、不同區域保護的作用，其結構如下圖2。

圖2 訪問控制系統結構

1.2.4 有效的病毒防護系統

病毒防護系統作為鐵路計算機網絡安全系統的重要組成部分，控制著鐵路內部局域網及對外網絡接口的安全性。它的作用是進行病毒查殺和其他安全防護性應用，保證局域網內服務器完整性和獨立性，有效地控制各客戶端，保證病毒、木馬、自動腳本等惡意代碼不損害或破壞用戶的關鍵數據、進程和系統。該系統的核心工作原理，主要是通過設置防病毒網關或者防火墻，用默認或人工策略進行掃描和過濾檢查進出局域網接口的數據請求，時時監測著數據流的安全性，在網絡層將病毒和惡意代碼的破壞性降到最低，再配合以應用層的諸如殺毒軟件和軟件防火墻等，在多個層次上實行對病毒和惡意程序的防控，如路局各級網絡系統的防火墻和殺毒軟件McAfee等。

1.2.5 應用安全服務系統

應用安全服務系統的基礎是動態物理隔離，通過“建設數字認證—統一管理、訪問控制、病毒防護—結合日志審計”的步驟，最終有效、安全地保證了鐵路計算機網絡和信息訪問，同時，這也為鐵路應用系統提供了一個功能豐富且安全的應用環境。

應用服務系統作為一個獨立的和通用的應用系統安全平臺，支持MQ、HTTPS和HTTP格式的數據交換，保護應用訪問和應用交換數據的安全，它還提供標準、安全、便捷的應用系統開發接口。開發接口的目的是進行結構化數據校驗，通過數字簽名技術和加密技術，加強數據的完整性和機密性。

2 鐵路計算機網絡安全系統的應用

2.1 鐵路計算機網絡安全系統的應用領域及成果

系統的應用大致可以分類為三類：第一，電子郵件方面的應用和Web網頁查詢訪問；第二，TMIS，即鐵路運輸管理信息系統應用，進行數據交換、電子商務信息交換；第三，電子簽章應用、電子政務和應用數字證書技術實現的身份認證，以及訪問安全管理和電子商務信息交換。

大力建設鐵路計算機網絡安全系統，有效地促進了鐵路電子政務辦公自動化，重點體現在物流、商務、計算機防御方面的應用。首先實現了預訂客票和對貨物運輸電子商務大客戶信息管理與查詢，然后逐漸完成對TMIS—鐵路運輸管理信息系統等一大批應用的整合，最終實現網絡安全系統的應用整合。通過建立起來的網絡安全系統平臺，安全地保護了應用系統其本身和數據，并且成功地避免病毒對網絡的侵害、攻擊和竊密等危害。上海鐵路局工務系統，計算機網絡方面的應用也發揮了越來越重要的作用，如我段的辦公OA系統、電子公文系統、工務安全生產調度系統、工務TMIS等。以辦公OA系統為例，它集合了數字認證、統一管理、訪問控制、病毒防護，結合日志審計，即網站的數字證書、服務器段的統一資源管理、用戶賬戶和口令和訪問權限控制及服務器防火墻的防控策略即是安全的訪問控制系統和病毒防護，并有日志記錄追蹤查詢和故障、攻擊的跟蹤記錄等，無論是生產還是服務系統，都有類似的機制，這也是構成整個鐵路計算機網絡安全系統的下層元素，只有所有的這些分層的元素能夠安全可靠可控地運行，鐵路計算機網絡安全才能真真正正的落到實處。

總而言之，作為一個堅實、可靠和可控的安全屏障，鐵路計算機網絡安全系統推進了鐵路信息化的進程，使得計算機信息系統在鐵路運輸組織、經營管理和市場營銷得到大力發展。與此同時，隨著鐵路計算機網絡安全系統的不斷建設和不斷完善，它將在控制用戶訪問、進行數據加密保護以及身份認證與電子簽章等方面發揮著更加重要作用，安全地保證著鐵路系統信息化的正常運行和進一步發展。

2.2 系統應用實際成果舉例—鐵路計算機網絡安全系統建設廣鐵集團試點工程順利實施成功

這是一則比較成功的鐵路計算機安全系統順利實施的實例。廣鐵集團為防止網絡病毒和各類計算機犯罪及“黑客”攻擊網絡事件頻頻發生，于2002年12月9日在鐵道部信息中心的指導下，建立鐵路計算機安全系統作為網絡安全工程的試點。該試點主要實現了以下功能：

（1）實現了內外部分服務網的動態隔離和交換；（2）禁止非同網段的用戶按其權限對內部資源和敏感信息進行直接操作；（3）外部服務網和內部資源和敏感信息方面，阻斷了用戶直接操作的通路；（4）應用管理系統采用了符合X.509標準的數字證書；（5）建立了完整的防病毒體系，形成具有信息特異性的攻擊過濾機制 ；（6）初步建立起安全應用開發平臺和系統框架；（7）防火墻與入侵檢測聯動，使得阻斷識別攻擊的能力增強；（8）在功能方面，能夠進行訪問日志與審計。

通過共同努力，工程的試點目標基本實現，這為全鐵路系統信息安全提供了經驗，也為進一步加強了鐵路網絡安全，解決了安全隱患，實現對社會公網的安全連接。

3 結束語

作為網絡的使用人，計算機網絡安全體系的構建就是一個“黑箱”，我們不需要去了解其操作原理，只是能得到一些生活的幫助就好。但是作為一名鐵路計算機系統的維修人員，要了解計算機網絡安全系統的價值—計算機網絡安全體系的構建促進鐵路電子商務和電子政務的發展，并對鐵路內網和對外網絡信息安全起到了保護的作用。首先，防止了外部的侵害，舉例來說，防止了自然災害、信息被竊取、有效阻止了黑客、計算機病毒的攻擊等；第二，消除計算機網絡安全隱患，防止內部的惡意被破壞、漏洞、泄密，彌補了系統本身的缺陷和脆弱性。最終，通過不斷建設網絡安全體系，保障了網絡數據傳輸的安全可靠可控，滿足了鐵路系統及服務對象對鐵路計算機網絡與信息安全的需求。

隨著現在的網絡與信息安全的概念越來越寬泛，其應用也越來越廣泛，鐵路計算機網絡和信息安全體系應該向全方位的、多層次的和動態的方向發展，建設更加安全可靠和便捷實用的鐵路信息系統。

[1]姚華，肖琳.網絡安全基礎教程[M].北京：北京理工大學出版社，2007，1.

[2]李毓才，王毅.鐵道部計算機網絡安全技術方案、效果及成功案例[J].鐵路計算機應用，2005（7）：31～34.

[3]宋名威.企業計算機網絡安全與控制研究[J].信息通信,2013，27（7）：68～70.

[4]錢真坤，葉小路.計算機網絡信息和網絡安全應用研究[J].網絡安全技術與應用，2013，13（8）：71～72.

[5]王欣來.建筑施工管理探析[J].黑龍江科技信息，2011，25（6）：72～74.

[6]么亮.鐵路專用移動通信網應用技術研究[J].中國科技信息，2011，23 （7）：101～102.

責任編輯：許耀元

來稿日期：2015-12-01