中国铁路计算机网络信息系统在海外铁路的安全集成

(整期优先)网络出版时间:2018-10-20
/ 2

中国铁路计算机网络信息系统在海外铁路的安全集成

王忠伟

王忠伟

中交隧道工程局有限公司北京市100102

摘要:中国铁路计算机网络信息系统在海外铁路信息系统建设和应用,铁路计算机网络信息的安全集成是铁路部门关心的重点问题,中国既有铁路计算机信息系统在海外的安全保护目前面临着很大的挑战。本文阐述了海外铁路的网络安全现状,海外铁路信息网络安全常见的威胁,同时提出来比较完整的海外铁路网络的安全保护策略。

关键词:铁路计算机网络系统海外安全集成

近几年,中国各行业技术陆续向海外输出,尤其是中国铁路技术被东非一些国家首先认可,同步走向了亚洲、欧洲部分国家,国铁信息系统建设和应用被带出国门。中国铁路现代化的运输生产及办公系统网络不可避免的要与所在国家既有网络衔接。由于所处外部环境不同,中国铁路现代化的计算机信息系统在海外的安全保护目前面临着很大的挑战。为了保证国内计算机的网络信息功能在海外铁路运输充分发挥作用,以及维护铁路路内计算机网络信息系统的运行安全,需要我们从计算机的运行环境、软件及硬件等各个环节上,综合海外铁路网络系统外部与内部因素。并从技术和管理两方面入手,提出比较完整的海外铁路网络系统的安全保护策略。

一、海外铁路的网络安全现状

以海外东非铁路为例,中国铁路标准要求计算机要独立组网,除货运和客票系统外不与互联网相连,即使是客、货运业务也都有着非常严格的网络安全措施和安全配套设备。但是在东非,一部分国家铁路部门的网络安全方案和网络安全规则是很不规范,体现在下面几方面:互联网接入路网,只配置了安全等级较低的网络安全产品,降低了铁路网络与信息的安全防护实力;铁路专用网络安全人员的综合业务水平较低,缺少人才;国家及铁路部门对网络信息安全的保密意识相对淡薄,铁路部门的领导相对于路内网络安全不是很重视等。一部分铁路部门领导甚至认为增加了部分网络安全的产品后,就不会影响铁路网络安全了,甚至认为与现有铁路网络互联,就可以使用现有的铁路网络安全设备,比如:客票预定系统、银行的支付系统等都可以直接接入铁路的票务系统。在这方面起主导因素的是铁路部门缺少专业指导人员及专业技术方面的人才,致使到现在为止,东非铁路的网络安全建设方面现状不容乐观。

二、海外铁路网络安全常见的威胁

除外网与铁路专网互联时不加隔离设备,直接将新业务安装在铁路专网服务器上造成服务器能力不足,造成服务器拥堵、系统瘫痪外,计算机网络系统安全常见的威胁普遍存在,最为常见的有以下几种:

1、非授权访问

是指一些黑客把编写和调试电脑的程序入侵到铁路内部网络,非法得到没有经过网络系统管理员授权的文件访问或网络访问的不法行为。比如通过避开铁路网络信息系统访问的控制机制,擅自对铁路专用电脑网络资源以及设备等进行非法操作,获取信息等。

2、木马程序和后门

木马程序和后门显著特点为非授权性及隐蔽性。可以实现远程控制他人电脑的程序或代码,比如铁路专网内的某个电脑,如果被安装了木马程序或者后门后,这个程序就有可能会盗窃铁路部门的某些内部信息,同时会把这些信息自动发送给植入木马的黑客,黑客还可以经过这台电脑控制整个铁路部门的专用网络系统,窃取电脑中的重要文件和信息,甚至可以进入票务系统,直接转移客票收入资金。

3、计算机网络病毒

计算机网络病毒是指一些人通过互联网在电脑原有的程序中插入的破坏电脑的功能、数据代码、影响计算机功能使用,并且能够自行复制的专门破坏计算机使用的一些小的程序代码。具备传染性、破坏性、隐蔽性、寄生性等特点。致使电脑系统瘫痪,不能正常运行,这些电脑网络病毒的侵入可以导致铁路部门计算机的票务系统、客票的预定系统以及银行的支付系统等不能正常操作运行,造成售票延误、不能正常取票等严重影响客运秩序,对铁路客运部门或个人造成种种不便,甚至会造成重大的经济损失。

三、海外铁路网络系统的安全保护策略

依据常见的网络威胁,制定相应的海外铁路网络信息系统管理办法,进一步规范和制定网络安全保护策略。加强与当地网络管理部门沟通,改善网络安全环境,提高网络安全产品质量。

1、铁路网络系统防火墙配置

防火墙是内部和外部网络间的第一道安全屏障。它是在两个网络之间可以完成访问控制的一组或者一个硬件或者软件系统,铁路网络系统防火墙配置主要采用的是硬件防火墙,具有允许和屏蔽指定的数据通讯的功能。这就需要铁路网络系统的系统管理员和安全管理员共同制定一套访问控制策略,由访问控制策略来决定具有合法性的通讯方式。防火墙的安全策略有:防火墙自身要能够预防外部入侵的功能;从外到内和从内到外的全部数据包只有被安全策略允许的才能通过防火墙;唯有是必要的服务被允许外,默认禁止其他所有的网络服务。其他电脑的服务器不可以直接访问铁路部门网络。

2.定期改变铁路网络系统管理员的账户名

每间隔一段时间将账户名做一次变更,这样想要登录的非法人员很难猜准铁路网络系统管理员的口令和账户名.为其非法登录增加难度,在域用户管理器的User-Rename菜单的选项上能落实这种更名功能.在管理办法中作出量化规定,系统管理员必须严格遵守。

3、只保留必要的向内TCP/IP端口

黑客如果进入铁路网络系统获得网络管理员权限后.一定会想方设法恢复网络管理员故意废除网络系统的TCP/IP里的NetBIOS装订,提供FTP以及web这类的公共服务的NT服务器。这时路由器将成为网络系统的另一道防线,只保留两个路由器至服务器的向内路径:端口80的H1vrP和端口2l的FTP就可以,将其他向内路径关闭。信息管理部门需定期检查路由器设置。

4、用户身份的认证

为确认被认证的对象是不是属实需要身份认证,适用于通信的两方互相确认双方身份,来确保每次网络通信时的安全,是提高互联网信息安全的重要措施。比较常见的互联网身份认证的技术有四种:动态口令、静态密码、智能卡牌、USBKey等。国内使用最多的是静态密码加用户名的这种身份认证方式。建议在海外铁路网络系统方案中安全风险较大的用户采用USBKey网络身份认证方式。这种身份认证方式选用软、硬件相互结合的方法,来解决铁路内部网络易用性和安全性间的矛盾,同时利用USBKey技术内置的密码算法来完成对风险较大的重要网络用户身份认证。

5、划分VLAN

在以太网络的基础上划分VLAN,用VLANID把所有的用户划分为多个小的工作组,达到限制每个VLAN的用户不可以直接相互访问,这样任何一个VLAN都是一虚拟的局域网。其优点是能限制广播的范围,同时形成动态管理网络,成为虚拟的工作组。此协议是为了解决以太网的安全性和广播问题。VLAN用户间的相互访问要经过网络应用系统的授权后进行数据交互来完成。为了控制广播风暴与保护敏感资源,在三层路由交换机的集中式互联网条件下,把铁路部门数据网的所有的用户服务器系统和主机集中到不同的VLAN里,每一个VLAN里都不会让用户设置IP、服务器和用户主机间互相PING,仅容许数据访问,不让用户主机编辑服务器的数据,这样能够很好地保护路内服务器系统的数据和敏感的主机资源。经过对VLAN的划分,选择三层路由交换机,实现了铁路同部门的网络在同一个VLAN中,不但便利了同部门的数据交换,而且也限制了其他部门用户的直接访问。在运营管理阶段,网络管理部门需重新优化网络配置方案。

6、制订铁路专用网络系统的应急方案

海外铁路部门应该制订一套完整的网络系统的应急方案.特别是在供电条件恶劣(经常停电、电能质量低)、业务管理缺乏系统性(既有设备扩展业务多)、外部入侵风险较大(外网引入不配置隔离设备及防火墙)等条件下。提高硬件备用率、采用高质量正版杀毒软件、系统数据库数据定期备份、关键点派人员24小时值守等方式。使用技术、物质、行政等保障手段,防止由于意外事故致使铁路网络系统遭受损害,把意外事故所造成的网络系统伤害程度降到最小。

总之,可以及时通过对铁路网络系统运行环境监控,采取对应的网络系统安全保护策略.使海外铁路专用网络系统对各种不安全问题能够有足够的安全性来应对。

结语

怎样才能保障中国铁路计算机网络信息系统在海外复杂环境下安全运行,通过单一手段很难实现,需要进行铁路计算机网络信息的安全集成,需要各个网络系统的设计者高度重视。也需要运营网络管理人员和维护技术人员的共同努力,在铁路企业领导的支持下,结合海外各个铁路部门的实际情况,制定出适合每个铁路部门相应的解决措施,才是符合海外铁路计算机网络信息系统的安全方案。

参考文献:

[1]陈豪然.计算机网络安全与防范技术研究[J],科技风,2009(22):35—36.