黑龍江 宋軍

1 網(wǎng)絡(luò)與信息安全存在的問題

高鐵計算機網(wǎng)絡(luò)利用先進的網(wǎng)絡(luò)設(shè)備實現(xiàn)了計算機網(wǎng)絡(luò)安全縱深防御體系，采用多層防護以防范計算機網(wǎng)絡(luò)攻擊的威脅，其核心思想是使攻擊行為無法破壞整個信息基礎(chǔ)設(shè)施和應用系統(tǒng)?？v深防御要求通過制定綜合保護策略，全方位地防御任何可能存在的攻擊。縱深防御并不要求在網(wǎng)絡(luò)體系結(jié)構(gòu)的每個層面實現(xiàn)信息保障機制，可以在適當?shù)臅r候采用低級保障解決方案以便降低信息保障的代價，同時也可以在關(guān)鍵位置明智地使用高級保障解決方案。可以說，我們的縱深防御體系已經(jīng)極大地解決了我們網(wǎng)絡(luò)中的安全問題，但是由于目前網(wǎng)絡(luò)安全不僅僅來自于外部，內(nèi)部的網(wǎng)絡(luò)安全也尤為突出。主要表現(xiàn)在以下幾個方面：

1.1 人員方面的威脅

任何技術(shù)和設(shè)備都離不開操作和使用人員，信息化也不例外。有人的地方就會存在人員方面的安全隱患。高鐵信息化也出現(xiàn)了很多由于人為誤操作引起的各類系統(tǒng)問題。這里主要是人員的技術(shù)水平還跟不上鐵路的信息化發(fā)展要求，其次也有人員素質(zhì)及責任心存在問題。

1.2 操作系統(tǒng)存在漏洞引發(fā)安全問題

現(xiàn)在很多操作系統(tǒng)都是Unix或者windows操作系統(tǒng)，由于這些系統(tǒng)本身存在一些安全隱患和系統(tǒng)漏洞，這些都是黑客等實施入侵的重要目標。

1.3 網(wǎng)絡(luò)安全存在威脅

網(wǎng)絡(luò)系統(tǒng)由于采用TCP/IP作為主要的網(wǎng)絡(luò)通訊協(xié)議，由于TCP/IP是以開放性著稱的，所以現(xiàn)在存在很多針對它進行的網(wǎng)絡(luò)攻擊以及一些安全漏洞，對于病毒、黑客來說，網(wǎng)絡(luò)協(xié)議的開放性使信息安全威脅的風險大為增加。

1.4 數(shù)據(jù)安全的問題

高鐵信息化的數(shù)據(jù)安全十分重要，主要是與行車有關(guān)的數(shù)據(jù)。這些數(shù)據(jù)對鐵路乃至國家都非常重要。目前，還沒有對于項目范圍內(nèi)的重要信息數(shù)據(jù)（比如，技術(shù)文檔、源程序、企業(yè)運行數(shù)據(jù)、電子郵件、管理文檔、商業(yè)文檔）的安全保護框架，以及承載這些數(shù)據(jù)的系統(tǒng)的安全保護框架進行全面的設(shè)計、評估。

2 針對信息化安全管理的解決辦法

高鐵信息安全從主動防護與被動監(jiān)控、全面防護與重點防護相結(jié)合的角度出發(fā)，全面采用防火墻、防病毒、入侵檢測、主機防護在內(nèi)的信息安全產(chǎn)品，優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，克服平面網(wǎng)絡(luò)結(jié)構(gòu)先天的抵御攻擊能力差、控制乏力的弱點，并采用先進的技術(shù)，加強基礎(chǔ)設(shè)施，形成保證網(wǎng)絡(luò)和信息安全的縱深防御體系。

2.1 加強人員教育和培養(yǎng)

針對目前從事信息專業(yè)的技術(shù)人員，鐵路局應該從人員定編、人員教育和人才培養(yǎng)方面加大力度。以崗定員，確保重要崗位能夠?qū)崿F(xiàn)AB角色制度，防止“一家之言”。重要操作要有輔助人員看護。真正從人員管理方面確保操作安全。

2.2 加強技術(shù)手段，確保信息安全

2.2.1 在縱深防御體系網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上加強內(nèi)部網(wǎng)絡(luò)安全控制

根據(jù)我們目前網(wǎng)絡(luò)的實際情況、發(fā)展趨勢以及各系統(tǒng)應用的現(xiàn)狀，我們應該在發(fā)展中不斷完善和健全鐵路網(wǎng)絡(luò)安全，動態(tài)長效實施網(wǎng)絡(luò)安全建設(shè)，切實解決網(wǎng)絡(luò)安全中存在的問題，在打造世界一流鐵路的同時，打造一張可以為鐵路運輸生產(chǎn)服務的覆蓋全國的高效安全的鐵路計算機綜合網(wǎng)。我們要在現(xiàn)有縱深防御體系的基礎(chǔ)上不斷加強內(nèi)部安全控制，主要解決目前網(wǎng)絡(luò)存在的急需解決的問題，可以從以下幾方面入手：

（1）針對計算機準入的問題，我們可以在全網(wǎng)絡(luò)內(nèi)部署計算機安全準入系統(tǒng)，通過對接入計算機的系統(tǒng)補丁安裝情況、防病毒軟件安裝情況，是否存在安全隱患等問題進行判別，實施準入控制，對不符合規(guī)定要求的計算機實行自動隔離到指定網(wǎng)絡(luò)，自動升級補丁、自動清理cookie等工作，切實保障必須是完全符合要求的計算機才可以聯(lián)網(wǎng)鐵路網(wǎng)。目前主流計算機安全廠商都可以為企業(yè)量身定制準入安全控制產(chǎn)品。

（2）針對目前應用系統(tǒng)過多，開發(fā)廠商水平不同的問題，可以制定開發(fā)入網(wǎng)準入許可制度，軟件及系統(tǒng)開發(fā)廠商必須通過鐵路軟件開發(fā)準入許可，才可以為鐵路企業(yè)和單位開發(fā)相關(guān)計算機軟件產(chǎn)品，開發(fā)出的軟件產(chǎn)品要在鐵路實驗環(huán)境中進行測試，對網(wǎng)絡(luò)占用情況要有明確說明。只有這樣才能解決目前軟件水平高低不同對網(wǎng)絡(luò)影響很大的問題。同時通過“高門檻”也可以杜絕低水平軟件進入鐵路系統(tǒng)。

（3）繼續(xù)加強內(nèi)部訪問控制系統(tǒng)，加強系統(tǒng)安全。主要考慮的問題有兩個：一是病毒對于網(wǎng)絡(luò)的威脅；二是對于對系統(tǒng)造成的破壞和侵入。病毒威脅主要解決病毒產(chǎn)生和病毒傳播的問題，主要是傳播問題。傳播途徑已由過去的軟盤、光盤等存儲介質(zhì)變成了網(wǎng)絡(luò)，多數(shù)病毒不僅能夠直接感染網(wǎng)絡(luò)上的計算機，也能夠?qū)⒆陨碓诰W(wǎng)絡(luò)上進行復制。同時，電子郵件、文件傳輸（FTP）以及網(wǎng)絡(luò)頁面中的惡意Java小程序和ActiveX控件，甚至文檔文件都能夠攜帶對網(wǎng)絡(luò)和系統(tǒng)有破壞作用的病毒。這些病毒在網(wǎng)絡(luò)上進行傳播和破壞的多種途徑和手段，使得網(wǎng)絡(luò)環(huán)境中的防病毒工作變得更加復雜，網(wǎng)絡(luò)防病毒工具必須能夠針對網(wǎng)絡(luò)中各個可能的病毒入口來進行防護。對于對系統(tǒng)造成的破壞和侵入而言，他們的主要目的在于竊取數(shù)據(jù)和非法修改系統(tǒng)，其手段之一是竊取合法用戶的口令，在合法身份的掩護下進行非法操作；其手段之二便是利用網(wǎng)絡(luò)操作系統(tǒng)的某些合法但不為系統(tǒng)管理員和合法用戶所熟知的操作指令。要彌補這些漏洞，我們就需要使用專門的系統(tǒng)風險評估工具，來幫助系統(tǒng)管理員找出哪些指令是不應該安裝的，哪些指令是應該縮小其用戶使用權(quán)限的。在完成了這些工作之后，操作系統(tǒng)自身的安全性問題將在一定程度上得到保障。

2.2.2 完善縱深防御體系網(wǎng)絡(luò)架構(gòu)中內(nèi)外網(wǎng)訪問控制

對于目前網(wǎng)絡(luò)的內(nèi)外網(wǎng)訪問機制，由于某種原因我們沒有正式使用，但是說明我們已經(jīng)認識到網(wǎng)絡(luò)的問題在與疏導而不是堵塞，我們只是沒有更好的手段去解決存在的問題。我們要盡快完善縱深防御體系中的內(nèi)外網(wǎng)絡(luò)訪問控制，爭取早日解決內(nèi)外網(wǎng)絡(luò)訪問。我們可以完善我們的“動態(tài)物理隔離系統(tǒng)”，加強認證機制和病毒過濾。

（1）我們可以從技術(shù)配合管理兩個方面進行解決。我們可以采用有效控制手段，通過技術(shù)手段對入網(wǎng)計算機進行控制，發(fā)現(xiàn)有外聯(lián)現(xiàn)象，立即聯(lián)動阻斷其網(wǎng)絡(luò)訪問，同時配合管理手段進行行政干預，保障第一時間杜絕“一機兩網(wǎng)”。對多次違反規(guī)定擅自外聯(lián)的要重點教育。

（2）內(nèi)外網(wǎng)物理隔離也是存在“一機兩網(wǎng)”的深層次原因。由于現(xiàn)在的Internet網(wǎng)絡(luò)資源相對豐富，對Internet網(wǎng)絡(luò)的需求也十分強烈，完全的物理隔離也是暫時的方式，只能說明我們的技術(shù)手段和安全措施還不成熟，需要進一步加強。對于內(nèi)外網(wǎng)互聯(lián)，我們應該疏導而不僅僅是堵住。只有徹底解決內(nèi)外網(wǎng)互聯(lián)的問題，諸多問題才會迎刃而解。

3 結(jié)論

網(wǎng)絡(luò)與信息安全的管理和保障是一個永恒的話題，我們需要時間也需要技術(shù)，更需要管理，我們只有不斷加大投入、不斷完善和加強管理，才能動態(tài)跟隨網(wǎng)絡(luò)與信息安全發(fā)展趨勢，才能提升高鐵網(wǎng)絡(luò)與信息安全管理和保障能力，才能切實為鐵路運輸生產(chǎn)服務。

【1】胡華平,黃尊國,龐立會,張怡,陳海濤.網(wǎng)絡(luò)安全深度防御與保障體系研究[J].計算機工程與科學，Vol.24(6),2002:38-41.

【2】孫銳.信息安全原理與應用[M].北京:清華大學出版社,2003.