[摘要] 隨著計算機網絡的迅猛發(fā)展，網絡安全問題日益突出。本文針對計算機網絡安全的現(xiàn)狀，結合在鐵路行業(yè)實際工作經驗，從網絡安全技術、安全管理角度論述了在鐵路計算機網絡內建立安全防護體系的構想。

[關鍵詞] 網絡安全 關鍵技術 鐵路網 網絡管理 防護體系

一、引言

鐵路系統(tǒng)的計算機應用和信息化建設已具規(guī)模，TMIS、客票、調度、集裝箱和物資等管理信息系統(tǒng)相繼建成并已投入使用。在鐵道部、鐵路局、基層站段三級網絡的支撐下，以TMIS和電子政務應用為核心的各項計算機應用系統(tǒng)已在鐵路運輸生產中發(fā)揮著越來越重要的作用。對于現(xiàn)代營銷、現(xiàn)代物流和電子商務等應用系統(tǒng)，僅具有連通功能的網絡是無法滿足其要求的，針對大型企業(yè)網絡安全方面存在的漏洞和隱患，利用簡單的技術防范措施已無法解決。必須調整網絡結構，克服平面網絡結構先天性的抵御攻擊能力差、控制乏力的弱點，并采用先進的技術、加強基礎設施和有效的網絡管理，形成保證網絡和信息安全的縱深立體防御體系。

二、建立計算機網絡安全體系

對于網絡而言，沒有絕對保證的信息安全，只有根據(jù)網絡自身特點，合理運用網絡安全技術，建立適應性的安全運行機制，才能從技術上最大限度地保證信息安全。

1.網絡安全關鍵技術

由防火墻（Firewall）、PKI（Public Key Infrastructure）公鑰安全體系、虛擬局域網（VLAN）和物理隔離與信息交換系統(tǒng)等構成了網絡安全的關鍵技術。

2.創(chuàng)建鐵路網絡立體安全防護體系

網絡安全防護體系是由安全操作系統(tǒng)、應用系統(tǒng)、防火墻、網絡監(jiān)控、安全掃描、通信加密、網絡反病毒等多個安全組件共同組成的，每個組件只能完成其中部分功能。

(1)路由器。路由器是架構網絡的第一層設備，也是網絡入侵者的首要攻擊目標，因此路由器必須安裝必要的過濾規(guī)則，濾掉被屏蔽的IP地址和服務。例如，我們首先屏蔽所有的IP地址，然后有選擇的放行一些地址進入我們的網絡。路由器也可以過濾服務協(xié)議，允許需要的協(xié)議通過，而屏蔽其他有安全隱患的協(xié)議。

(2)入侵監(jiān)測系統(tǒng)IDS。入侵監(jiān)測系統(tǒng)是被動的，它監(jiān)測你的網絡上所有的包(packets)。其目的就是捕捉危險或有惡意的動作，并及時發(fā)出警告信息。它是按用戶指定的規(guī)則運行的，它的功能和防火墻有很大的區(qū)別，它是對端口進行監(jiān)測、掃描等。入侵檢測系統(tǒng)是立體安全防御體系中日益被普遍采用的成分，它能識別防火墻通常不能識別的攻擊，如來自企業(yè)內部的攻擊；在發(fā)現(xiàn)入侵企圖之后提供必要的信息，幫助系統(tǒng)移植。

(3)防火墻。防火強可防止“黑客”進入網絡的防御體系，可以限制外部用戶進入內部網，同時過濾掉危及網絡的不安全服務，拒絕非法用戶的進入。同時可利用其產品的安全機制建立VPN（Virtual Private Networks）。通過VPN，能夠更安全地從異地聯(lián)入內部網絡。

(4)物理隔離與信息交換系統(tǒng)（網閘）。鐵路內部網是鐵路運輸系統(tǒng)的指揮中樞，調度指令必須實時、準確下達。內部網調度服務的實時可用性成為鐵路信息系統(tǒng)最為核心的安全需求。因此不能因為信息化建設過程中對外網訪問的需求而影響內部網絡系統(tǒng)的安全性及可用性。物理隔離與信息交換系統(tǒng)是運用物理隔離網絡安全技術設計的安全隔離系統(tǒng)，它保證內部網絡與不可信網絡物理隔斷，能夠阻止各種已知和未知的網絡層和操作系統(tǒng)層攻擊，提供比防火墻、入侵檢測等技術更好的安全性能，既保證了物理的隔離，又實現(xiàn)了在線實時訪問不可信網絡所必需的數(shù)據(jù)交換。

(5)交換機。目前局域網大多采用以交換機為中心、路由器為邊界的網絡格局。核心交換機最關鍵的工作是訪問控制功能和三層交換功能。訪問控制對于交換機就是利用訪問控制列表ACL來實現(xiàn)用戶對數(shù)據(jù)包按照源和目的地址、協(xié)議、源和目的端口等各項的不同要求進行篩選和過濾。還有一項非常關鍵的工作就是劃分VLAN。

(6)應用系統(tǒng)的認證和授權支持。建立應用系統(tǒng)提升安全性的支撐平臺，實現(xiàn)應用系統(tǒng)保護的功能包括以下幾個方面:

①應用系統(tǒng)網絡訪問漏洞控制。應用系統(tǒng)軟件要求按安全軟件標準開發(fā)，在輸入級、對話路徑級和事務處理三級做到無漏洞；集成的系統(tǒng)要具有良好的恢復能力，這樣才能保證內部生產網中的系統(tǒng)避免因受攻擊而導致的癱瘓、數(shù)據(jù)破壞或丟失。

②數(shù)字簽名與認證。應用系統(tǒng)須利用CA提供的數(shù)字證書進行應用級的身份認證，對文件和數(shù)據(jù)進行數(shù)字簽名和認證，保證文件和數(shù)據(jù)的完整性以及防止源發(fā)送者抵賴。

③數(shù)據(jù)加密。對重要的數(shù)據(jù)進行加密存儲。

(7)操作系統(tǒng)的安全。保證操作系統(tǒng)的安全包括以下內容：

①操作系統(tǒng)的裁剪。不安裝或刪除不必要使用的系統(tǒng)組件。

②操作系統(tǒng)服務裁剪。關閉所有不使用的服務和端口，并清除不使用的磁盤文件。

③操作系統(tǒng)漏洞控制。在內部網中建立操作系統(tǒng)漏洞管理服務器，我們在內部網中安裝了微軟WSUS Server及第三方安全管理軟件（BES），對網絡內所有聯(lián)網主機的操作系統(tǒng)進行監(jiān)控，一旦發(fā)現(xiàn)存在系統(tǒng)漏洞或者安全隱患，立即強制其安裝相應的系統(tǒng)補丁或者組件。

(8)病毒防護。網絡病毒網關與網絡版的查殺病毒軟件（McAfee EPO + Clients）相結合，構成了較為完整的病毒防護體系，能有效地控制病毒的傳播，保證網絡的安全穩(wěn)定。

三、計算機網絡安全管理

有效的技術手段只是網絡安全的基礎工作，但僅靠網絡安全技術是絕對無法確保信息安全的。嚴格的計算機網絡安全管理制度，才能充分發(fā)揮網絡安全技術的效能，才能使網絡信息更加安全可靠。

四、結束語

目前計算機網絡已經深入到鐵路運輸生產管理、客戶服務、物流和客貨運營銷等各個領域。不解決安全問題，可能造成巨大的經濟損失。創(chuàng)建鐵路計算機網絡安全防護體系，將是鐵路信息化建設的有力保障。但建立計算機信息安全體系是一個復雜而又龐大的系統(tǒng)工程，涉及的問題也比較多。只有繼續(xù)對計算機網絡安全體系進行深入的研究和探討，才能更好的實現(xiàn)網絡安全，保證中國鐵路信息化建設的正常進行。

參考文獻：

[1]邱雪松:網絡管理體系結構.北京郵電大學，1999.7

[2]蔣蘋:計算機信息系統(tǒng)安全體系設計.計算機工程與科學，2003，01

[3]楊義先:網絡安全理論與技術.人民郵電出版社，2003，10

[4]林柏鋼:網絡與信息安全教程.機械工業(yè)出版社，2004，7