| 联系我们 |
 |
合作经济与科技杂志社
地址:石家庄市建设南大街21号
邮编:050011
电话:0311-86049879 |
|
|
| 经济/产业 |
提要 随着IP网在铁路沿线各站的建设开通,计算机网络在铁路沿线得到了快速发展和普及,这对加快铁路调度信息处理、提高工作效率、减轻劳动强度、实现资源共享等起到无法估量的作用。但随之而来的网络安全问题也显得尤为重要。
关键词:铁路IP网;威胁;安全控制;病毒防治
中图分类号:F49 文献标识码:A
一、铁路IP网简介
铁路IP数据网是铁通公司利用成熟的互联网技术构建的铁路内部专用网络平台,基于TCP/IP技术,用于实现铁路局、各站段到各中间站、车间、班组的办公联网系统、视频会议系统、远程监视系统、监测系统、铁路信息系统、运输指挥管理系统、行车安全监测系统等不同系统的接入,是一个铁路企业内部专用的“互联网”。该网络在物理上和国际互联网隔绝,具有充分利用互联网技术接口标准、开放、简单、便于扩容、接入成本低廉等特点,为铁路信息化建设提供通道承载服务。铁路IP网分为骨干网和接入网两个层次,其中骨干网分为核心层、汇聚层、接入层三层结构。核心层节点为路局节点,汇接本路局业务,上联铁通总部和铁道部;汇聚层节点为本路局内的地区汇接节点,负责本地区业务的汇聚和转发;接入层节点为枢纽汇接节点,负责范围内沿线车站路由器的接入。接入层主要实现用户业务的接入,由安装在各个铁路沿线车站的路由器构成,并按照物理位置分别接入骨干层路由器。
二、铁路IP网安全威胁分析
铁路IP网是在路局范围内由服务器、路由器、交换机和多台电脑组成的工作组互联网络。由于通过交换机、路由器和服务器连接网内每一台电脑,铁路IP网采用的技术又相对比较简单,安全措施较少,给病毒传播提供了有效的通道,也给数据信息的安全埋下了隐患。
(一)服务器区域没有进行独立防护。铁路IP网内计算机数据快速、便捷的传递,造就了病毒感染的直接性和快速性,如果网络中服务器区域不进行独立保护,其中一台电脑感染病毒,并且通过服务器进行信息传递,就会感染服务器,这样路网中任何一台通过服务器信息传递的电脑,就有可能会感染病毒。虽然在网络出口有防火墙阻断外来攻击,但无法抵挡来自局域网内部的攻击。
(二)计算机病毒及恶意代码的威胁。由于网络用户不及时安装防病毒软件和操作系统补丁,或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击,正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件,在自己寄生的文件中注入新的代码。最近几年,随着犯罪软件汹涌而至,寄生软件已退居幕后,成为犯罪软件的助手,上述犯罪软件在铁路IP网内也有可能进行潜伏。
(三)铁路IP网用户安全意识不强。许多用户使用移动存储设备来进行数据的传递,经常将外部数据不经过必要的安全检查通过移动存储设备带入内部网,同时将内部数据带出局域网,这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外,一机两用、甚至多用情况普遍,笔记本电脑在内外网之间频繁切换使用,许多用户将在Internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部网络使用,造成病毒的传入和信息的泄密。
三、铁路IP网安全控制与病毒防治策略
(一)加强人员的网络安全培训。要确保信息安全工作的顺利进行,必须注重把每个环节落实到每个层次上,而进行这种具体操作的是人,人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的。所以,必须加强对使用网络的人员的管理,注意管理方式和实现方法。可以加强工作人员的安全培训,增强内部人员的安全防范意识,提高内部人员整体素质。同时,要加强制度建设,进一步完善关于网络安全的制度。
(二)铁路IP网安全控制策略。目前,网络管理工作量最大的部分是客户端安全部分,对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,对于铁路IP网内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。
1、利用桌面管理系统控制用户入网。入网访问控制是保证网络资源不被非法使用,是网络安全防范和保护的主要策略。它控制哪些用户能够登录到服务器并获取网络资源,用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问的目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行的操作。启用密码策略,强制计算机用户设置符合安全要求的密码,包括设置口令锁定服务器控制台,以防止非法用户修改。
2、采用防火墙技术。防火墙技术是通常安装在单独的计算机上,用来保护内部网络资源免遭非法使用者的侵入,执行安全管制措施,记录所有可疑事件。它是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。采用防火墙技术发现及封阻应用攻击所采用的技术有:(1)深度数据包处理;(2)IP/URL过滤;(3)TCP/IP终止;(4)访问网络进程跟踪。
3、封存所有空闲的IP地址,启动IP地址绑定,采用上网计算机IP地址与MCA地址唯一对应,网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略,可以有效防止IP地址引起的网络中断和移动计算机随意上内部网络造成病毒传播和数据泄密。
4、属性安全控制。它能控制以下几个方面的权限:防止用户对目录和文件的误删除、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件。
5、启用杀毒软件强制安装策略。监测所有运行在网络上的计算机,对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。
(三)病毒防治。病毒的侵入必将对系统资源构成威胁,影响系统的正常运行。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失。因此,防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断,如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。
1、增加安全意识,对工作人员定期培训。首先明确病毒的危害,文件共享的时候尽量控制权限和增加密码,对来历不明的文件运行前进行查杀等,都可以很好地防止病毒在网络中的传播。这些措施对杜绝病毒起到了很重要的作用。
2、小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀,也可把病毒拒绝在外。
3、挑选网络版杀毒软件。一般而言,查杀是否彻底,界面是否友好、方便,能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。
通过以上策略的设置,能够及时发现网络运行中存在的问题,快速有效地定位网络中病毒、蠕虫等网络安全威胁的切入点,及时、准确地切断安全事件发生点和网络。
(作者单位:中国铁通洛阳通信段)
主要参考文献:
[1]周碧英.浅析计算机网络安全技术[J].甘肃科技,2008.24.3.
[2]潘号良.面向基础设施的网络安全措施探讨[J].软件导刊,2008.3. |
|
|
|
