企业计算机网络安全防御体系的构建

发布时间:2010-04-15 14:34 作者:郭永来源:万方数据点击:加载中...次

    随着计算机技术的发展。铁路系统的计算机应用和信息化建设已具规模，在铁道部、太原铁路局、基层站段三级网络的支撑下，TMIS、客票、调度、货运、集装箱和物资等管理信息系统相继建成并已投入使用，以TMIS和电子政务应用为核心的各项计算机应用系统已在铁路运输基层站段生产中发挥着越来越重要的作用。现代营销、现代物流和电子商务等应用系统，仅有内部连通的网络是无法满足其要求的，而互联网的接入又给企业网络安全带来了很大的隐患。所以必须调整原有网络结构，克服平面网络结构抵御攻击能力差、控制乏力的弱点，并采用先进技术、加强基础设施建设和有效的网络管理，形成保证网络和信息安全的纵深立体防御体系。
    1 构建计算机网络防御体系的策略
    根据当前铁路计算机网络的现状、发展趋势、各生产应运系统对网络传输与服务的要求以及安全保密的规定，建立一个网络安全防御体系应注意以下几点：
    一是网络结构要实现外部服务网与内部服务网分离;
    二是对信息系统要进行安全等级划分，确定不同的安全域并进行管理;
    三是网络安全上要充分开展网络访问控制、防火墙设置、网络动态隔离和病毒网关及日志管理;
    四是要实现网络的流量控制和保护;
    五是要完善访问控制设施。实现基于数字证书的用户身份认证、授权管理;
    六是要建立日志和审计系统。
    建立安全网络架构，重要行业的计算机网络从原有的平面结构调整为层次保护结构，形成外部网、办公网和生产网的3层结构。在外层部署与互联网的接口，外层网络屏蔽内层网络，实现外层网络对内层网络的保护。在不同的网络区域边界，通过边界保卫策略实施多点控制，使网络划分为不同级别的保护层次和区域，控制各层次之间的信息流。
    2 建立计算机网络安全防御体系
    现行铁路企业计算机网络的生产网和办公网之问虽有防火墙隔离，但交换数据时没有进行JP转换，且用户均在办公网访问生产网，因此把生产网安全域和办公网安全域合并为一个安全域，称为内部安全域。每个安全域均配有一套完整的平台，内部安全域的平台部署在办公网，负责所有用户管理和办公网与生产网认证授权，外网平台负责对外部用户的省份认证和授权。
    (1)路由器。路由器是架构网络的第一层设备，也是网络入侵者的首要攻击目标，因此路由器必须设置必要的过滤规则，滤掉被屏蔽的IP地址和服务。
    (2)防火墙。利用防火墙，在网络通信时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。防火墙可防止Internet上的不安全因素蔓延到局域网内部，是一种行之有效且应用广泛的网络安全机制，所以，防火墙是保证网络安全的重要一环。
    (3)入侵监测系统IDS。在企业网关键部位安装网络入侵检测系统，实时对网络和信息系统访问的异常行为进行监测和报警。入侵监测系统监测网络上所有的包(packets)，其目的就是捕捉危险或有恶意的动作，并及时发出警告信息。IDS按用户指定的规则运行，对端口进行监测、扫描等，它的功能与防火墙有很大的区别。入侵检测系统在立体安全防御体系中被普遍采用，它能识别防火墙通常不能识别的攻击，如来自企业内部的攻击。入侵检测系统是对防火墙的必要补充，可对网络资源进行实时检测，及时发现入侵者，预防合法用户对资源的误操作，与其他安全产品一起构筑立体的安全防御体系。
    (4)物理隔离与信息交换系统(网闸)。对企业网内部的生产系统不能因为信息化建设过程中对外网访问的需求而影响内部网络系统的安全性及可用性。物理隔离与信息交换系统是运用物理隔离网络安全技术设计的安全隔离系统，它保证内部网络与不可信网络物理隔断，能够阻止各种已知和未知的网络层和操作系统层攻击，提供比防火墙、入侵检测等技术更好的安全性能，既保证了物理的隔离，又实现了在线实时访问不可信网络所必需的数据交换。
    (5)交换机。目前局域网大多采片I以交换机为中心、路由器为边界的网络格局。核心交换机最关键的丁作是访问控制功能和3层交换功能。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和日的端口等各项的不同要求进行筛选和过滤。
    (6)应用系统的认证和授权支持。建立应用系统提升安全性的支撑平台，实现应用系统保护的功能包括以下几个方面：
    第一，应用系统网络访问漏洞控制。应用系统软件要求按安全软件标准开发，在输入级、对话路径级和事务处理级做到无漏洞;集成的系统要具有良好的恢复能力，这样才能保证内部生产网中的系统避免冈受攻击而导致瘫痪、数据破坏或丢失。
    第二，数字签名与认证。应用系统须利用CA提供的数字证书进行应用级的身份认证，对文件和数据进行数字签名和认证，保证文件和数据的完整性以及防止源发送者抵赖。
    第三，数据加密。对重要的数据进行加密存储。
    (7)操作系统的安全。关闭所有不使用的服务和端口，并清除不使用的磁盘文件，在内部网中建立操作系统漏洞管理服务器，对官方补丁提供下载，保证操作系统的安全。
    (8)病毒防护。系统诊断工具与网络版的杀毒软件(如360+NOD)相结合，构成较为完整的病毒防护体系，能有效地控制病毒的传播，保证网络的安全稳定。
    (9)网络隔离度保障。监控移动设备(笔记本电脑等)和新增设备未经过安全过滤和检查，违规接入内部网络;监测内网计算机绕过防火墙等设备，违规接入网络的行为;监控物理隔离的网络内部设备违规接入Interact的行为;监控违反规定将专网专用的计算机带出网络进入到其他网络的行为;可提供IP和MAC地址绑定功能。
    3 结语
    日前计算机网络已经深入到铁路运输生产管理、客户服务、物流和客货运营销等各个领域。创建铁路计算机网络安全防护体系，将是铁路信息化建设的有力保障。但建立计算机信息安全体系是一个复杂而又庞大的系统工程，涉及的问题也比较多。只有不断对计算机网络安全体系进行深入的研究和探讨，才能更好地实现网络安全，保证中国铁路信息化建设的正常进行。