黑龍江 宋軍
高鐵計算機網(wǎng)絡(luò)利用先進的網(wǎng)絡(luò)設(shè)備實現(xiàn)了計算機網(wǎng)絡(luò)安全縱深防御體系,采用多層防護以防范計算機網(wǎng)絡(luò)攻擊的威脅,其核心思想是使攻擊行為無法破壞整個信息基礎(chǔ)設(shè)施和應用系統(tǒng)??v深防御要求通過制定綜合保護策略,全方位地防御任何可能存在的攻擊。縱深防御并不要求在網(wǎng)絡(luò)體系結(jié)構(gòu)的每個層面實現(xiàn)信息保障機制,可以在適當?shù)臅r候采用低級保障解決方案以便降低信息保障的代價,同時也可以在關(guān)鍵位置明智地使用高級保障解決方案。可以說,我們的縱深防御體系已經(jīng)極大地解決了我們網(wǎng)絡(luò)中的安全問題,但是由于目前網(wǎng)絡(luò)安全不僅僅來自于外部,內(nèi)部的網(wǎng)絡(luò)安全也尤為突出。主要表現(xiàn)在以下幾個方面:
任何技術(shù)和設(shè)備都離不開操作和使用人員,信息化也不例外。有人的地方就會存在人員方面的安全隱患。高鐵信息化也出現(xiàn)了很多由于人為誤操作引起的各類系統(tǒng)問題。這里主要是人員的技術(shù)水平還跟不上鐵路的信息化發(fā)展要求,其次也有人員素質(zhì)及責任心存在問題。
現(xiàn)在很多操作系統(tǒng)都是Unix或者windows操作系統(tǒng),由于這些系統(tǒng)本身存在一些安全隱患和系統(tǒng)漏洞,這些都是黑客等實施入侵的重要目標。
網(wǎng)絡(luò)系統(tǒng)由于采用TCP/IP作為主要的網(wǎng)絡(luò)通訊協(xié)議,由于TCP/IP是以開放性著稱的,所以現(xiàn)在存在很多針對它進行的網(wǎng)絡(luò)攻擊以及一些安全漏洞,對于病毒、黑客來說,網(wǎng)絡(luò)協(xié)議的開放性使信息安全威脅的風險大為增加。
高鐵信息化的數(shù)據(jù)安全十分重要,主要是與行車有關(guān)的數(shù)據(jù)。這些數(shù)據(jù)對鐵路乃至國家都非常重要。目前,還沒有對于項目范圍內(nèi)的重要信息數(shù)據(jù)(比如,技術(shù)文檔、源程序、企業(yè)運行數(shù)據(jù)、電子郵件、管理文檔、商業(yè)文檔)的安全保護框架,以及承載這些數(shù)據(jù)的系統(tǒng)的安全保護框架進行全面的設(shè)計、評估。
高鐵信息安全從主動防護與被動監(jiān)控、全面防護與重點防護相結(jié)合的角度出發(fā),全面采用防火墻、防病毒、入侵檢測、主機防護在內(nèi)的信息安全產(chǎn)品,優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),克服平面網(wǎng)絡(luò)結(jié)構(gòu)先天的抵御攻擊能力差、控制乏力的弱點,并采用先進的技術(shù),加強基礎(chǔ)設(shè)施,形成保證網(wǎng)絡(luò)和信息安全的縱深防御體系。
針對目前從事信息專業(yè)的技術(shù)人員,鐵路局應該從人員定編、人員教育和人才培養(yǎng)方面加大力度。以崗定員,確保重要崗位能夠?qū)崿F(xiàn)AB角色制度,防止“一家之言”。重要操作要有輔助人員看護。真正從人員管理方面確保操作安全。
2.2.1 在縱深防御體系網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上加強內(nèi)部網(wǎng)絡(luò)安全控制
根據(jù)我們目前網(wǎng)絡(luò)的實際情況、發(fā)展趨勢以及各系統(tǒng)應用的現(xiàn)狀,我們應該在發(fā)展中不斷完善和健全鐵路網(wǎng)絡(luò)安全,動態(tài)長效實施網(wǎng)絡(luò)安全建設(shè),切實解決網(wǎng)絡(luò)安全中存在的問題,在打造世界一流鐵路的同時,打造一張可以為鐵路運輸生產(chǎn)服務的覆蓋全國的高效安全的鐵路計算機綜合網(wǎng)。我們要在現(xiàn)有縱深防御體系的基礎(chǔ)上不斷加強內(nèi)部安全控制,主要解決目前網(wǎng)絡(luò)存在的急需解決的問題,可以從以下幾方面入手:
(1)針對計算機準入的問題,我們可以在全網(wǎng)絡(luò)內(nèi)部署計算機安全準入系統(tǒng),通過對接入計算機的系統(tǒng)補丁安裝情況、防病毒軟件安裝情況,是否存在安全隱患等問題進行判別,實施準入控制,對不符合規(guī)定要求的計算機實行自動隔離到指定網(wǎng)絡(luò),自動升級補丁、自動清理cookie等工作,切實保障必須是完全符合要求的計算機才可以聯(lián)網(wǎng)鐵路網(wǎng)。目前主流計算機安全廠商都可以為企業(yè)量身定制準入安全控制產(chǎn)品。
(2)針對目前應用系統(tǒng)過多,開發(fā)廠商水平不同的問題,可以制定開發(fā)入網(wǎng)準入許可制度,軟件及系統(tǒng)開發(fā)廠商必須通過鐵路軟件開發(fā)準入許可,才可以為鐵路企業(yè)和單位開發(fā)相關(guān)計算機軟件產(chǎn)品,開發(fā)出的軟件產(chǎn)品要在鐵路實驗環(huán)境中進行測試,對網(wǎng)絡(luò)占用情況要有明確說明。只有這樣才能解決目前軟件水平高低不同對網(wǎng)絡(luò)影響很大的問題。同時通過“高門檻”也可以杜絕低水平軟件進入鐵路系統(tǒng)。
(3)繼續(xù)加強內(nèi)部訪問控制系統(tǒng),加強系統(tǒng)安全。主要考慮的問題有兩個:一是病毒對于網(wǎng)絡(luò)的威脅;二是對于對系統(tǒng)造成的破壞和侵入。病毒威脅主要解決病毒產(chǎn)生和病毒傳播的問題,主要是傳播問題。傳播途徑已由過去的軟盤、光盤等存儲介質(zhì)變成了網(wǎng)絡(luò),多數(shù)病毒不僅能夠直接感染網(wǎng)絡(luò)上的計算機,也能夠?qū)⒆陨碓诰W(wǎng)絡(luò)上進行復制。同時,電子郵件、文件傳輸(FTP)以及網(wǎng)絡(luò)頁面中的惡意Java小程序和ActiveX控件,甚至文檔文件都能夠攜帶對網(wǎng)絡(luò)和系統(tǒng)有破壞作用的病毒。這些病毒在網(wǎng)絡(luò)上進行傳播和破壞的多種途徑和手段,使得網(wǎng)絡(luò)環(huán)境中的防病毒工作變得更加復雜,網(wǎng)絡(luò)防病毒工具必須能夠針對網(wǎng)絡(luò)中各個可能的病毒入口來進行防護。對于對系統(tǒng)造成的破壞和侵入而言,他們的主要目的在于竊取數(shù)據(jù)和非法修改系統(tǒng),其手段之一是竊取合法用戶的口令,在合法身份的掩護下進行非法操作;其手段之二便是利用網(wǎng)絡(luò)操作系統(tǒng)的某些合法但不為系統(tǒng)管理員和合法用戶所熟知的操作指令。要彌補這些漏洞,我們就需要使用專門的系統(tǒng)風險評估工具,來幫助系統(tǒng)管理員找出哪些指令是不應該安裝的,哪些指令是應該縮小其用戶使用權(quán)限的。在完成了這些工作之后,操作系統(tǒng)自身的安全性問題將在一定程度上得到保障。
2.2.2 完善縱深防御體系網(wǎng)絡(luò)架構(gòu)中內(nèi)外網(wǎng)訪問控制
對于目前網(wǎng)絡(luò)的內(nèi)外網(wǎng)訪問機制,由于某種原因我們沒有正式使用,但是說明我們已經(jīng)認識到網(wǎng)絡(luò)的問題在與疏導而不是堵塞,我們只是沒有更好的手段去解決存在的問題。我們要盡快完善縱深防御體系中的內(nèi)外網(wǎng)絡(luò)訪問控制,爭取早日解決內(nèi)外網(wǎng)絡(luò)訪問。我們可以完善我們的“動態(tài)物理隔離系統(tǒng)”,加強認證機制和病毒過濾。
(1)我們可以從技術(shù)配合管理兩個方面進行解決。我們可以采用有效控制手段,通過技術(shù)手段對入網(wǎng)計算機進行控制,發(fā)現(xiàn)有外聯(lián)現(xiàn)象,立即聯(lián)動阻斷其網(wǎng)絡(luò)訪問,同時配合管理手段進行行政干預,保障第一時間杜絕“一機兩網(wǎng)”。對多次違反規(guī)定擅自外聯(lián)的要重點教育。
(2)內(nèi)外網(wǎng)物理隔離也是存在“一機兩網(wǎng)”的深層次原因。由于現(xiàn)在的Internet網(wǎng)絡(luò)資源相對豐富,對Internet網(wǎng)絡(luò)的需求也十分強烈,完全的物理隔離也是暫時的方式,只能說明我們的技術(shù)手段和安全措施還不成熟,需要進一步加強。對于內(nèi)外網(wǎng)互聯(lián),我們應該疏導而不僅僅是堵住。只有徹底解決內(nèi)外網(wǎng)互聯(lián)的問題,諸多問題才會迎刃而解。
網(wǎng)絡(luò)與信息安全的管理和保障是一個永恒的話題,我們需要時間也需要技術(shù),更需要管理,我們只有不斷加大投入、不斷完善和加強管理,才能動態(tài)跟隨網(wǎng)絡(luò)與信息安全發(fā)展趨勢,才能提升高鐵網(wǎng)絡(luò)與信息安全管理和保障能力,才能切實為鐵路運輸生產(chǎn)服務。
【1】胡華平,黃尊國,龐立會,張怡,陳海濤.網(wǎng)絡(luò)安全深度防御與保障體系研究[J].計算機工程與科學,Vol.24(6),2002:38-41.
【2】孫銳.信息安全原理與應用[M].北京:清華大學出版社,2003.