大型企业中计算机网路安全防护体系

[摘要] 随著计算机网路的迅猛发展，网路安全问题日益突出。本文针对计算机网路安全的现状，结合在铁路行业实际工作经验，从网路安全技术、安全管理角度论述了在铁路计算机网路内建立安全防护体系的构想。

　　[关键词] 网路安全 关键技术 铁路网 网路管理 防护体系

　　一、引言

　　铁路系统的计算机应用和信息化建设已具规模，TMIS、客票、调度、集装箱和物资等管理信息系统相继建成并已投入使用。在铁道部、铁路局、基层站段三级网路的支撑下，以TMIS和电子政务应用为核心的各项计算机应用系统已在铁路运输生产中发挥著越来越重要的作用。对于现代营销、现代物流和电子商务等应用系统，仅具有连通功能的网路是无法满足其要求的，针对大型企业网路安全方面存在的漏洞和隐患，利用简单的技术防范措施已无法解决。必须调整网路结构，克服平面网路结构先天性的抵御攻击能力差、控制乏力的弱点，并采用先进的技术、加强基础设施和有效的网路管理，形成保证网路和信息安全的纵深立体防御体系。 　　二、建立计算机网路安全体系 　　对于网路而言，没有绝对保证的信息安全，只有根据网路自身特点，合理运用网路安全技术，建立适应性的安全运行机制，才能从技术上最大限度地保证信息安全。

　　1.网路安全关键技术

　　由防火墙（Firewall）、PKI（Public Key Infrastructure）公钥安全体系、虚拟区域网（VLAN）和物理隔离与信息交换系统等构成了网路安全的关键技术。 　　2.创建铁路网路立体安全防护体系 　　网路安全防护体系是由安全操作系统、应用系统、防火墙、网路监控、安全扫描、通信加密、网路反病毒等多个安全组件共同组成的，每个组件只能完成其中部分功能。 　　(1)路由器。路由器是架构网路的第一层设备，也是网路入侵者的首要攻击目标，因此路由器必须安装必要的过滤规则，滤掉被屏蔽的IP地址和服务。例如，我们首先屏蔽所有的IP地址，然后有选择的放行一些地址进入我们的网路。路由器也可以过滤服务协议,允许需要的协议通过，而屏蔽其他有安全隐患的协议。

　　(2)入侵监测系统IDS。入侵监测系统是被动的，它监测你的网路上所有的包(packets)。其目的就是捕捉危险或有恶意的动作，并及时发出警告信息。它是按用户指定的规则运行的，它的功能和防火墙有很大的区别，它是对埠进行监测、扫描等。入侵检测系统是立体安全防御体系中日益被普遍采用的成分，它能识别防火墙通常不能识别的攻击，如来自企业内部的攻击；在发现入侵企图之后提供必要的信息，帮助系统移植。

　　(3)防火墙。防火强可防止「黑客」进入网路的防御体系，可以限制外部用户进入内部网，同时过滤掉危及网路的不安全服务，拒绝非法用户的进入。同时可利用其产品的安全机制建立VPN（Virtual Private Networks）。通过VPN，能够更安全地从异地联入内部网路。 　　(4)物理隔离与信息交换系统（网闸）。铁路内部网是铁路运输系统的指挥中枢，调度指令必须实时、准确下达。内部网调度服务的实时可用性成为铁路信息系统最为核心的安全需求。因此不能因为信息化建设过程中对外网访问的需求而影响内部网路系统的安全性及可用性。物理隔离与信息交换系统是运用物理隔离网路安全技术设计的安全隔离系统，它保证内部网路与不可信网路物理隔断，能够阻止各种已知和未知的网路层和操作系统层攻击，提供比防火墙、入侵检测等技术更好的安全性能，既保证了物理的隔离，又实现了在线实时访问不可信网路所必需的数据交换

(5)交换机。目前区域网大多采用以交换机为中心、路由器为边界的网路格局。核心交换机最关键的工作是访问控制功能和三层交换功能。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和目的埠等各项的不同要求进行筛选和过滤。还有一项非常关键的工作就是划分VLAN。

　　(6)应用系统的认证和授权支持。建立应用系统提升安全性的支撑平台，实现应用系统保护的功能包括以下几个方面:

　　①应用系统网路访问漏洞控制。应用系统软体要求按安全软体标准开发，在输入级、对话路径级和事务处理三级做到无漏洞；集成的系统要具有良好的恢复能力，这样才能保证内部生产网中的系统避免因受攻击而导致的瘫痪、数据破坏或丢失。

　　②数字签名与认证。应用系统须利用CA提供的数字证书进行应用级的身份认证，对文件和数据进行数字签名和认证，保证文件和数据的完整性以及防止源发送者抵赖。 　　③数据加密。对重要的数据进行加密存储。 　　(7)操作系统的安全。保证操作系统的安全包括以下内容：

　　①操作系统的裁剪。不安装或删除不必要使用的系统组件。

　　②操作系统服务裁剪。关闭所有不使用的服务和埠，并清除不使用的磁碟文件。 　　③操作系统漏洞控制。在内部网中建立操作系统漏洞管理伺服器，我们在内部网中安装了微软WSUS Server及第三方安全管理软体（BES），对网路内所有联网主机的操作系统进行监控，一旦发现存在系统漏洞或者安全隐患，立即强制其安装相应的系统补丁或者组件。 　　(8)病毒防护。网路病毒网关与网路版的查杀病毒软体（McAfee EPO + Clients）相结合，构成了较为完整的病毒防护体系，能有效地控制病毒的传播，保证网路的安全稳定。 　　三、计算机网路安全管理 　　有效的技术手段只是网路安全的基础工作，但仅靠网路安全技术是绝对无法确保信息安全的。严格的计算机网路安全管理制度，才能充分发挥网路安全技术的效能，才能使网路信息更加安全可靠。 　　四、结束语 　　目前计算机网路已经深入到铁路运输生产管理、客户服务、物流和客货运营销等各个领域。不解决安全问题，可能造成巨大的经济损失。创建铁路计算机网路安全防护体系，将是铁路信息化建设的有力保障。但建立计算机信息安全体系是一个复杂而又庞大的系统工程，涉及的问题也比较多。只有继续对计算机网路安全体系进行深入的研究和探讨，才能更好的实现网路安全，保证中国铁路信息化建设的正常进行。 参考文献： 　　[1]邱雪松:网路管理体系结构.北京邮电大学,1999.7 　　[2]蒋苹:计算机信息系统安全体系设计.计算机工程与科学，2003，01 　　[3]杨义先:网路安全理论与技术.人民邮电出版社，2003，10 　　[4]林柏钢:网路与信息安全教程.机械工业出版社,2004，7

点赞关注不迷路哟！

欢迎关注微信公众号【备考方略】，分享备考点点滴滴。

资料来源网路，侵删

推荐阅读：

相关文章