徐軍華

摘 要

文章從網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)安全技術(shù)兩個(gè)方面對鐵路信息系統(tǒng)網(wǎng)絡(luò)安全屏障的搭建進(jìn)行論述。期望通過本文的研究能夠?qū)﹁F路信息系統(tǒng)的安全、穩(wěn)定、可靠運(yùn)行有所幫助。

【關(guān)鍵詞】鐵路 信息系統(tǒng) 網(wǎng)絡(luò)安全

想要從根本上確保鐵路信息系統(tǒng)的網(wǎng)絡(luò)安全，就必須構(gòu)建起一道有效的屏障，并建立包含網(wǎng)絡(luò)安全管理和安全技術(shù)措施在內(nèi)的保障體系，只有這樣，才能使鐵路信息系統(tǒng)的安全、穩(wěn)定、可靠運(yùn)行得到保證。借此，本文就鐵路信息系統(tǒng)網(wǎng)絡(luò)安全屏障的搭建展開探討。

1 鐵路信息系統(tǒng)網(wǎng)絡(luò)安全管理的有效途徑

1.1 做好網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)保障網(wǎng)絡(luò)安全

鐵路辦公信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)直接關(guān)系著網(wǎng)絡(luò)的整體性能，并在一定程度上關(guān)系著網(wǎng)絡(luò)運(yùn)行的安全性、穩(wěn)定性和可靠性，同時(shí)還與傳輸速率和通信效率有關(guān)。為了確保網(wǎng)絡(luò)安全，必須選擇合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)。通過對一些常用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行研究發(fā)現(xiàn)，星狀拓?fù)浣Y(jié)構(gòu)的安全性和可靠性較高，故此建議鐵路辦公信息系統(tǒng)采用此種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并以分層的方法進(jìn)行網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)，具體可將辦公信息系統(tǒng)的整個(gè)網(wǎng)絡(luò)分為核心層、分布層和接入層三個(gè)層次。通過分層規(guī)劃設(shè)計(jì)，能夠?qū)⑷滞ㄐ胚M(jìn)行合理的分配及帶寬規(guī)劃。在這個(gè)三個(gè)層次當(dāng)中，核心層是網(wǎng)絡(luò)主干，負(fù)責(zé)網(wǎng)絡(luò)連通，可靠性高、容錯(cuò)性強(qiáng)是該層應(yīng)當(dāng)具備的基本特性，同時(shí)還要具有良好的可管理性；分布層是核心層與接入層的連接層，它的主要作用是安全控制、VLAN分割等；接入層可以為用戶提供訪問網(wǎng)絡(luò)的途徑，它是一個(gè)共享帶寬的局域網(wǎng)。在對網(wǎng)絡(luò)進(jìn)行規(guī)劃設(shè)計(jì)的過程中，必須要做好網(wǎng)絡(luò)安全管理工作，這是確保網(wǎng)絡(luò)正常運(yùn)行的關(guān)鍵。通過對網(wǎng)絡(luò)設(shè)備運(yùn)行情況的實(shí)時(shí)監(jiān)測及參數(shù)調(diào)整，對路由器等設(shè)備進(jìn)行遠(yuǎn)程管理和維護(hù)，以此來確保網(wǎng)絡(luò)的安全性和可用性。

1.2 建立安全風(fēng)險(xiǎn)評估體系

在對鐵路信息系統(tǒng)網(wǎng)絡(luò)安全進(jìn)行管理的過程中，應(yīng)當(dāng)建立起一套相對完善的風(fēng)險(xiǎn)評估體系，以此來對系統(tǒng)的網(wǎng)絡(luò)安全進(jìn)行評價(jià)，進(jìn)而制定合理可行的應(yīng)對措施。首先，要制定科學(xué)的風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)，使網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估工作的開展有據(jù)可依。其次，要建立風(fēng)險(xiǎn)評估機(jī)制，對相關(guān)部門的職責(zé)加以明確，確定評估周期及評估結(jié)果的運(yùn)用方法。再次，要對風(fēng)險(xiǎn)評估辦法進(jìn)行細(xì)化，使網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估工作能夠在信息系統(tǒng)的全壽命周期內(nèi)順利進(jìn)行。最后，要解決好風(fēng)險(xiǎn)評估工作與信息系統(tǒng)等級保護(hù)的銜接問題，使評估能夠?yàn)橄到y(tǒng)的網(wǎng)絡(luò)安全防護(hù)提供依據(jù)，并為系統(tǒng)的安全保障能力提供判斷標(biāo)準(zhǔn)，進(jìn)而確保信息系統(tǒng)的安全、穩(wěn)定、可靠運(yùn)行。

1.3 強(qiáng)化人員管理

對于系統(tǒng)使用人員的安全管理，可從以下幾個(gè)方面著手：

（1）加強(qiáng)安全審查。應(yīng)當(dāng)從信息系統(tǒng)使用人員任用的過程中進(jìn)行管理和控制，從思想政治面貌、職業(yè)道德和業(yè)務(wù)素質(zhì)等幾個(gè)方面對人員進(jìn)行考察，由于很多網(wǎng)絡(luò)安全事件都是內(nèi)部人員的誤操作引起的，所以，必須不斷提升他們的專業(yè)技術(shù)水平，加大對人員的安全管理考核與培訓(xùn)，建立切實(shí)可行的獎懲制度。

（2）要做好安全保密工作，應(yīng)當(dāng)與所有可以進(jìn)入信息系統(tǒng)的工作人員簽訂安全保密協(xié)議，并在協(xié)議當(dāng)中詳細(xì)注明工作人員需要履行的安全保密義務(wù)，不得擅自泄露工作秘密，一經(jīng)發(fā)現(xiàn)違反協(xié)議的人員，應(yīng)當(dāng)對其進(jìn)行嚴(yán)懲。

2 鐵路信息系統(tǒng)網(wǎng)絡(luò)安全技術(shù)措施

2.1 內(nèi)網(wǎng)設(shè)備安全加固

從目前國內(nèi)鐵路辦公信息系統(tǒng)的總體情況上看，內(nèi)網(wǎng)中的網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)安全需要考慮的重點(diǎn)環(huán)節(jié)。鑒于此，為大幅度提升網(wǎng)絡(luò)設(shè)備的安全性，可采取如下安全加固措施：

登錄相關(guān)的官方網(wǎng)站，查找網(wǎng)絡(luò)結(jié)構(gòu)中路由器等設(shè)備的最新IOS版本，及時(shí)進(jìn)行下載更新和升級，借此來彌補(bǔ)系統(tǒng)的安全漏洞，關(guān)閉各種后門，為路由器的安全運(yùn)行提供可靠保障。

設(shè)置管理終端口令，加強(qiáng)Vty和Console的口令管理強(qiáng)度，采用6位以上數(shù)字+字母的組合形式，提高口令的安全性，并使用md5對口令進(jìn)行加密存儲。同時(shí)，加強(qiáng)Enable和Secret密碼的強(qiáng)度，密碼的長度最少應(yīng)當(dāng)設(shè)置為8個(gè)字符以上，并且要采用字母+數(shù)字的組合形式，需要注意的是，該密碼盡量不要與Vty和Console的密碼相同。

2.2 構(gòu)建虛擬局域網(wǎng)

通過內(nèi)部虛擬局域網(wǎng)的建立，能夠有效防止內(nèi)部破壞分子對內(nèi)網(wǎng)的攻擊。虛擬局域網(wǎng)簡稱VLAN，它一般不考慮用戶所處的地理位置，按照功能與應(yīng)用等因素，從邏輯上將網(wǎng)絡(luò)劃分為若干個(gè)功能獨(dú)立且相互關(guān)聯(lián)的工作組，由此能夠使鐵路辦公信息系統(tǒng)中的核心服務(wù)器和一些重要部門的網(wǎng)絡(luò)安全獲得保障。

2.3 訪問控制技術(shù)

這是網(wǎng)絡(luò)安全防范與保護(hù)的重要技術(shù)措施之一，它的運(yùn)用能夠從根本上確保網(wǎng)絡(luò)資源不被非法使用和訪問，借助該技術(shù)能夠使鐵路辦公信息系統(tǒng)的網(wǎng)絡(luò)安全及重要資源得到有效的保護(hù)。訪問控制技術(shù)簡稱ACL，它可以與虛擬局域網(wǎng)聯(lián)合使用，ACL主要包括以下安全技術(shù)：網(wǎng)絡(luò)監(jiān)測與鎖定控制、網(wǎng)絡(luò)使用權(quán)限控制、網(wǎng)絡(luò)節(jié)點(diǎn)安全控制、屬性與目錄級安全控制、入網(wǎng)訪問控制以及防火墻控制等等。采用ACL建立安全的訪問列表，能夠通過源地址、目標(biāo)地址和應(yīng)用類型等，對流入網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行有效的控制。

2.4 數(shù)據(jù)加密技術(shù)

該技術(shù)在信息系統(tǒng)網(wǎng)絡(luò)安全方案中的應(yīng)用非常廣泛，其安全防護(hù)效果較好。在對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密處理的過程中，不需要特殊拓?fù)浣Y(jié)構(gòu)的支持，因此，基本不會對相關(guān)的網(wǎng)絡(luò)服務(wù)造成影響，從應(yīng)用情況上看，該技術(shù)現(xiàn)已成為解決鐵路辦公信息系統(tǒng)網(wǎng)絡(luò)安全問題最為有效且實(shí)用性較高的方案之一。對數(shù)據(jù)信息進(jìn)行加密處理之后，可以使網(wǎng)絡(luò)內(nèi)部的重要數(shù)據(jù)、文件、指令等獲得有效保護(hù)，同時(shí)還能對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)起到一定的保護(hù)作用。目前，較為常用的網(wǎng)絡(luò)加密方法有以下幾種：鏈路加密、端點(diǎn)和節(jié)點(diǎn)加密等，既可以采用私有密鑰算法進(jìn)行加密，也可以采用公開密鑰算法進(jìn)行加密。VPN被業(yè)界稱之為網(wǎng)絡(luò)加密機(jī)，這是一項(xiàng)非常成熟且完善的網(wǎng)絡(luò)安全技術(shù)，它可以對信息傳輸安全提供有效的保障，可將之作為鐵路辦公網(wǎng)的首選數(shù)據(jù)加密措施。

2.5 分級防火墻技術(shù)

防火墻是網(wǎng)絡(luò)安全防護(hù)中不可或缺的一項(xiàng)技術(shù)措施，分級防火墻是一種最新的防火墻技術(shù)，該技術(shù)具體是指外網(wǎng)與內(nèi)網(wǎng)的連接需要先經(jīng)過外部路由器，在進(jìn)入首級防火墻，在此需要進(jìn)行一次身份認(rèn)證和訪問控制，然后再由內(nèi)部路由器轉(zhuǎn)發(fā)至內(nèi)網(wǎng)當(dāng)中，并由次級防火墻做進(jìn)一步防護(hù)，若是有特殊的安全需要，可設(shè)置多個(gè)次級防火墻。該技術(shù)將狀態(tài)檢測、靜態(tài)包過濾以及代理網(wǎng)關(guān)等訪問控制技術(shù)有機(jī)結(jié)合到一起，不但大幅度增強(qiáng)網(wǎng)絡(luò)的安全性，而且處理效率也獲得顯著提升。

3 結(jié)論

綜上所述，為確保鐵路信息系統(tǒng)的安全、穩(wěn)定、可靠運(yùn)行，必須對網(wǎng)絡(luò)安全問題予以足夠的重視，本文從網(wǎng)絡(luò)安全管理途徑和網(wǎng)絡(luò)安全技術(shù)措施兩個(gè)方面著手，構(gòu)建起一道行之有效的網(wǎng)絡(luò)安全防護(hù)屏障，通過各種網(wǎng)絡(luò)安全技術(shù)措施的應(yīng)用，進(jìn)一步提升了鐵路辦公信息系統(tǒng)網(wǎng)絡(luò)的安全性，有效阻止了各種非法入侵，為鐵路部門相關(guān)工作的開展提供了強(qiáng)有力的保障。

參考文獻(xiàn)

[1]祝詠升，張彥，丁妍，姚洪磊.鐵路信息系統(tǒng)安全管理中心的設(shè)計(jì)[J].中國鐵路，2012（10）：125-127.

[2]高春霞，陳光偉，張文塔，岳雪梅.鐵路網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)管理研究[J].鐵路計(jì)算機(jī)應(yīng)用，2014（06）：85-88.

[3]張彥.鐵路信息系統(tǒng)安全體系研究[J].鐵路計(jì)算機(jī)應(yīng)用，2015（02）：49-51.

[4]魯婷婷.鐵路基層站段信息系統(tǒng)網(wǎng)絡(luò)安全策略與管理[J].商，2015（12）：104-106.

作者單位

上海鐵路局南京東機(jī)務(wù)段物資設(shè)備科 江蘇省南京市 210046