魯婷婷

摘 要：隨著信息技術(shù)的發(fā)展，信息系統(tǒng)在鐵路基層站段的應(yīng)用越來越普遍。信息系統(tǒng)的安全關(guān)系到鐵路運輸生產(chǎn)的安全，因此研究計算機信息系統(tǒng)的網(wǎng)絡(luò)安全具有重大的現(xiàn)實意義。本論文介紹了信息系統(tǒng)網(wǎng)絡(luò)安全的策略，包括物理安全策略和訪問控制策略。

關(guān)鍵詞：鐵路基層站段；信息系統(tǒng)；網(wǎng)絡(luò)安全；安全策略

隨著信息技術(shù)不斷發(fā)展，各行業(yè)都迎來了信息化時代，計算機信息系統(tǒng)在鐵路基層站段各項工作中的運用也逐漸普及。以工務(wù)系統(tǒng)為例，微機監(jiān)測系統(tǒng)、工務(wù)段辦公網(wǎng)等信息系統(tǒng)已經(jīng)得到廣泛應(yīng)用，信息系統(tǒng)的網(wǎng)絡(luò)安全對鐵路運輸生產(chǎn)至關(guān)重要。然而，由于互聯(lián)網(wǎng)的開放性特點，信息系統(tǒng)的網(wǎng)絡(luò)安全問題比如計算機病毒和黑客攻擊等日益突出。因此，鐵路基層站段信息系統(tǒng)的安全問題，引起了人們的高度關(guān)注。本文介紹了鐵路基層站段網(wǎng)絡(luò)安全的情況，著重分析了信息系統(tǒng)的安全策略和訪問控制策略，以期對鐵路基層站段的信息系統(tǒng)安全建設(shè)提供有效的幫助。

一、信息系統(tǒng)安全問題概述

根據(jù)信息系統(tǒng)安全的結(jié)構(gòu)來看，計算機信息系統(tǒng)安全分為五個層面，首先是物理層面，主要是基礎(chǔ)設(shè)施、運行硬件、外界環(huán)境、介質(zhì)等方面；其次是網(wǎng)絡(luò)層面，安全的網(wǎng)絡(luò)環(huán)境確保信息系統(tǒng)的安全運行；主機層面，提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫管理系統(tǒng)；應(yīng)用層面，實現(xiàn)用戶安全需求和安全目標(biāo)；數(shù)據(jù)備份及備份恢復(fù)層面：確保信息系統(tǒng)中數(shù)據(jù)存儲、數(shù)據(jù)傳輸和數(shù)據(jù)處理的安全性。

當(dāng)前，計算機網(wǎng)絡(luò)面臨的威脅主要包括對網(wǎng)絡(luò)中信息的威脅和對網(wǎng)絡(luò)設(shè)備的威脅。影響計算機網(wǎng)絡(luò)安全的因素主要有兩個方面，首先是人為失誤，比如用戶口令丟失，或用戶安全配置不當(dāng)造成的安全漏洞。其次，是惡意攻擊，惡意攻擊分為主動攻擊和被動攻擊，惡意攻擊對信息進行截獲、竊取和破譯以獲得重要機密，破壞信息的有效性和完整性。

二、信息系統(tǒng)的網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全是信息系統(tǒng)在網(wǎng)絡(luò)環(huán)境的安全運行的基礎(chǔ)保障。信息系統(tǒng)的安全運行需要網(wǎng)絡(luò)設(shè)備安全和傳輸數(shù)據(jù)的安全。網(wǎng)絡(luò)安全策略包括制定網(wǎng)絡(luò)操作使用規(guī)程和網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等。訪問控制是網(wǎng)絡(luò)安全保護的主要策略，可以保護網(wǎng)絡(luò)資源正常訪問和使用。訪問控制是保證網(wǎng)絡(luò)安全的核心策略之一。

1.網(wǎng)絡(luò)的權(quán)限控制。網(wǎng)絡(luò)權(quán)限控制是系統(tǒng)針對不同用戶身份限制其使用數(shù)據(jù)資源能力的一種技術(shù)手段，是系統(tǒng)完整性、安全性和合法使用性的重要途徑，是網(wǎng)絡(luò)安全策略之一。通常系統(tǒng)管理員依據(jù)某些控制策略來控制用戶對文件和服務(wù)器等資源的訪問。權(quán)限控制的目標(biāo)是限制用戶對服務(wù)器等網(wǎng)絡(luò)資源的訪問，保障信息資源被合法有效地使用。為阻止網(wǎng)絡(luò)非法操作，用戶被授予一定的權(quán)限。根據(jù)訪問權(quán)限，用戶可以分為系統(tǒng)管理員、一般用戶（根據(jù)實際工作需要分配操作權(quán)限）和審計用戶（負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計），用戶的訪問權(quán)限通過訪問控制表來描述。基層站段將所有網(wǎng)絡(luò)設(shè)備進行統(tǒng)一管理，網(wǎng)絡(luò)設(shè)備經(jīng)授權(quán)方可接入站段的網(wǎng)絡(luò)。

2.入網(wǎng)訪問控制與網(wǎng)絡(luò)監(jiān)測。入網(wǎng)訪問控制用戶登錄和用戶獲取網(wǎng)絡(luò)資源的權(quán)限，以及用戶入網(wǎng)的時間和IP。入網(wǎng)訪問控制分為三個步驟：用戶的IP驗證、用戶口令驗證和用戶賬號的缺省限制檢查。用戶口令字符長度不應(yīng)少于6個字符，用戶的口令需經(jīng)過加密處理，加密方法可用基于測試模式的口令加密或基于公鑰加密方案的加密。用戶還可用智能卡來驗證用戶的身份。網(wǎng)絡(luò)管理員控制用戶的賬號使用，并對用戶的訪問進行監(jiān)測審計，若口令多次輸入錯誤，則認(rèn)為是非法用戶侵入。對非法訪問，服務(wù)器應(yīng)報警，若非法訪問達(dá)到一定的頻度，自動鎖定該賬戶。

3.防火墻控制。防火墻是一個用以阻止黑客訪問某個網(wǎng)絡(luò)的屏障，有控制進出兩個方向的門檻，在網(wǎng)絡(luò)邊界上通過網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，以阻擋外網(wǎng)的侵入。防火墻有以下幾種：包過濾防火墻、雙宿主主機防火墻、屏蔽主機網(wǎng)關(guān)防火墻和屏蔽子網(wǎng)防火墻。

信息系統(tǒng)的訪問都經(jīng)過防火墻，防火墻記錄這些網(wǎng)絡(luò)訪問，統(tǒng)計網(wǎng)絡(luò)使用情況的數(shù)據(jù)。當(dāng)監(jiān)測到網(wǎng)絡(luò)行為可疑，防火墻提供網(wǎng)絡(luò)監(jiān)測和攻擊的信息。此外，通過防火墻對內(nèi)部網(wǎng)絡(luò)進行劃分，實現(xiàn)內(nèi)網(wǎng)重點網(wǎng)段的隔離。內(nèi)網(wǎng)中某些的細(xì)節(jié)可能因為包含了安全的線索而引起外部攻擊，因此而暴露了內(nèi)網(wǎng)的安全漏洞，使用防火墻可以隱蔽泄露內(nèi)部細(xì)節(jié)的服務(wù)。防火墻還可以阻塞內(nèi)網(wǎng)中的域名服務(wù)器信息，這樣主機的域名和IP地址就不會被外界所知。

4.入侵檢測技術(shù)。入侵檢測技術(shù)是防火墻之后的第2道安全門，可以對網(wǎng)絡(luò)進行實時監(jiān)控，從計算機網(wǎng)絡(luò)的關(guān)鍵點采集和分析網(wǎng)絡(luò)行為、安全日志和審計數(shù)據(jù)，分析網(wǎng)絡(luò)中是否有違反安全策略的行為。入侵檢測是一種積極的安全防護技術(shù)，在網(wǎng)絡(luò)系統(tǒng)被入侵之前對非法網(wǎng)絡(luò)行為進行攔截，可以在不影響網(wǎng)絡(luò)運行性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測。入侵檢測通過監(jiān)視和分析用戶活動、識別已知攻擊的模式、異常網(wǎng)絡(luò)行為模式的分析、對系統(tǒng)和數(shù)據(jù)文件的完整性評估和操作系統(tǒng)的跟蹤管理來識別違反安全策略的網(wǎng)絡(luò)行為。入侵檢測系統(tǒng)監(jiān)聽網(wǎng)絡(luò)原始流量，對獲取的網(wǎng)絡(luò)數(shù)據(jù)進行分析，把提取到信息與已知攻擊特征相匹配的網(wǎng)絡(luò)行為模型進行比對，以此來確認(rèn)網(wǎng)絡(luò)攻擊事件。入侵檢測系統(tǒng)可以檢測到協(xié)議攻擊以及特定環(huán)境攻擊。入侵檢測技術(shù)擴展了網(wǎng)絡(luò)管理員的安全管理能力，提高了信息系統(tǒng)的安全性。

三、網(wǎng)絡(luò)安全管理

針對鐵路基層站段的信息系統(tǒng)，我們需要系統(tǒng)地考慮網(wǎng)絡(luò)安全的控制措施，做到一致實施，優(yōu)化基層站段的運維。同時明確規(guī)定網(wǎng)絡(luò)規(guī)劃和系統(tǒng)實施等安全技術(shù)標(biāo)準(zhǔn)，監(jiān)控網(wǎng)絡(luò)安全狀態(tài)，對有關(guān)錯誤、故障以及補救措施做好記錄。

由網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)安全管理，網(wǎng)絡(luò)管理員需掌握網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理的知識，使用安全技術(shù)進行系統(tǒng)的訪問控制，根據(jù)系統(tǒng)的安全等級在系統(tǒng)的接入點部署防火墻和入侵檢測等網(wǎng)絡(luò)安全產(chǎn)品，確保網(wǎng)絡(luò)安全。除網(wǎng)絡(luò)管理人員外，任何其他人員不得在內(nèi)部網(wǎng)絡(luò)利用各類工具進行掃描、架設(shè)代理服務(wù)器等攻擊嘗試。網(wǎng)絡(luò)管理員管理網(wǎng)絡(luò)設(shè)備的系統(tǒng)權(quán)限，監(jiān)測系統(tǒng)的安全狀況，預(yù)防網(wǎng)絡(luò)安全漏洞，升級必要的系統(tǒng)補丁。網(wǎng)絡(luò)管理員負(fù)責(zé)管理網(wǎng)絡(luò)設(shè)備的軟件版本和配置修改工作，統(tǒng)籌系統(tǒng)的優(yōu)化和升級方案，對網(wǎng)絡(luò)結(jié)構(gòu)等進行優(yōu)化和調(diào)整，繪制管理網(wǎng)絡(luò)拓?fù)鋱D，以進一步提高網(wǎng)絡(luò)安全可靠性和運行效率。

核心的網(wǎng)絡(luò)設(shè)備應(yīng)有備份設(shè)備，骨干鏈路應(yīng)有備份路由，服務(wù)器設(shè)備應(yīng)具備冗余網(wǎng)絡(luò)鏈路。鐵路內(nèi)部網(wǎng)與互聯(lián)網(wǎng)相連必須利用硬件防火墻等隔離措施進行訪問控制，從而限制外網(wǎng)用戶訪問鐵路信息系統(tǒng)的信息。規(guī)定不得擅自將系統(tǒng)內(nèi)的計算機系統(tǒng)與其他單位的網(wǎng)絡(luò)互聯(lián)，如確實需要應(yīng)由雙方單位的網(wǎng)絡(luò)管理人員和系統(tǒng)管理人員相互配合，設(shè)計出安全可靠的互聯(lián)方案。在與其它網(wǎng)絡(luò)互聯(lián)時，必須設(shè)置防火墻，以防止非法數(shù)據(jù)包的入侵，并阻止未授權(quán)數(shù)據(jù)向外泄露。利用加密軟件保護通過公共網(wǎng)傳輸?shù)臄?shù)據(jù)的完整性和機密性，對敏感數(shù)據(jù)進行加密處理。（作者單位：濟南鐵路局臨沂工務(wù)段）

參考文獻(xiàn)：

[1] 王裕明，網(wǎng)絡(luò)管理信息系統(tǒng)安全對策探索，《上海工程技術(shù)大學(xué)學(xué)報》，1997，11，1

[2] 湯希才，管理信息系統(tǒng)的脆弱性及其安全問題，《電腦開發(fā)與應(yīng)用）），1999，1

[3] 劉英，企業(yè)計算機網(wǎng)絡(luò)信息系統(tǒng)的安全問題及對策，《浙江電力》，2001，4

[4] 宋如順，信息系統(tǒng)安全風(fēng)險綜合分析方法，計算機工程，2000，12

[5] 魏云鵬.網(wǎng)上招生管理系統(tǒng)安全性研究[南昌大學(xué)碩士學(xué)位論文].南昌：南昌大學(xué)圖書館，2011，41-44

[6] 陳燕莉.信息安全技術(shù)初探.第十屆全國互聯(lián)網(wǎng)與音視頻廣播發(fā)展研討會，2010年，昆明：昆明科技出版社，211-213