鐵路信息系統網絡安全屏障的搭建與思考

徐軍華

摘 要

文章從網絡安全管理和網絡安全技術兩個方面對鐵路信息系統網絡安全屏障的搭建進行論述。期望通過本文的研究能夠對鐵路信息系統的安全、穩定、可靠運行有所幫助。

【關鍵詞】鐵路 信息系統 網絡安全

想要從根本上確保鐵路信息系統的網絡安全，就必須構建起一道有效的屏障，并建立包含網絡安全管理和安全技術措施在內的保障體系，只有這樣，才能使鐵路信息系統的安全、穩定、可靠運行得到保證。借此，本文就鐵路信息系統網絡安全屏障的搭建展開探討。

1 鐵路信息系統網絡安全管理的有效途徑

1.1 做好網絡規劃設計保障網絡安全

鐵路辦公信息系統的網絡拓撲結構直接關系著網絡的整體性能，并在一定程度上關系著網絡運行的安全性、穩定性和可靠性，同時還與傳輸速率和通信效率有關。為了確保網絡安全，必須選擇合理的網絡拓撲結構進行網絡規劃設計。通過對一些常用的網絡拓撲結構進行研究發現，星狀拓撲結構的安全性和可靠性較高，故此建議鐵路辦公信息系統采用此種網絡拓撲結構，并以分層的方法進行網絡規劃設計，具體可將辦公信息系統的整個網絡分為核心層、分布層和接入層三個層次。通過分層規劃設計，能夠將全局通信進行合理的分配及帶寬規劃。在這個三個層次當中，核心層是網絡主干，負責網絡連通，可靠性高、容錯性強是該層應當具備的基本特性，同時還要具有良好的可管理性；分布層是核心層與接入層的連接層，它的主要作用是安全控制、VLAN分割等；接入層可以為用戶提供訪問網絡的途徑，它是一個共享帶寬的局域網。在對網絡進行規劃設計的過程中，必須要做好網絡安全管理工作，這是確保網絡正常運行的關鍵。通過對網絡設備運行情況的實時監測及參數調整，對路由器等設備進行遠程管理和維護，以此來確保網絡的安全性和可用性。

1.2 建立安全風險評估體系

在對鐵路信息系統網絡安全進行管理的過程中，應當建立起一套相對完善的風險評估體系，以此來對系統的網絡安全進行評價，進而制定合理可行的應對措施。首先，要制定科學的風險評估標準，使網絡安全風險評估工作的開展有據可依。其次，要建立風險評估機制，對相關部門的職責加以明確，確定評估周期及評估結果的運用方法。再次，要對風險評估辦法進行細化，使網絡安全風險評估工作能夠在信息系統的全壽命周期內順利進行。最后，要解決好風險評估工作與信息系統等級保護的銜接問題，使評估能夠為系統的網絡安全防護提供依據，并為系統的安全保障能力提供判斷標準，進而確保信息系統的安全、穩定、可靠運行。

1.3 強化人員管理

對于系統使用人員的安全管理，可從以下幾個方面著手：

（1）加強安全審查。應當從信息系統使用人員任用的過程中進行管理和控制，從思想政治面貌、職業道德和業務素質等幾個方面對人員進行考察，由于很多網絡安全事件都是內部人員的誤操作引起的，所以，必須不斷提升他們的專業技術水平，加大對人員的安全管理考核與培訓，建立切實可行的獎懲制度。

（2）要做好安全保密工作，應當與所有可以進入信息系統的工作人員簽訂安全保密協議，并在協議當中詳細注明工作人員需要履行的安全保密義務，不得擅自泄露工作秘密，一經發現違反協議的人員，應當對其進行嚴懲。

2 鐵路信息系統網絡安全技術措施

2.1 內網設備安全加固

從目前國內鐵路辦公信息系統的總體情況上看，內網中的網絡設備是網絡安全需要考慮的重點環節。鑒于此，為大幅度提升網絡設備的安全性，可采取如下安全加固措施：

登錄相關的官方網站，查找網絡結構中路由器等設備的最新IOS版本，及時進行下載更新和升級，借此來彌補系統的安全漏洞，關閉各種后門，為路由器的安全運行提供可靠保障。

設置管理終端口令，加強Vty和Console的口令管理強度，采用6位以上數字+字母的組合形式，提高口令的安全性，并使用md5對口令進行加密存儲。同時，加強Enable和Secret密碼的強度，密碼的長度最少應當設置為8個字符以上，并且要采用字母+數字的組合形式，需要注意的是，該密碼盡量不要與Vty和Console的密碼相同。

2.2 構建虛擬局域網

通過內部虛擬局域網的建立，能夠有效防止內部破壞分子對內網的攻擊。虛擬局域網簡稱VLAN，它一般不考慮用戶所處的地理位置，按照功能與應用等因素，從邏輯上將網絡劃分為若干個功能獨立且相互關聯的工作組，由此能夠使鐵路辦公信息系統中的核心服務器和一些重要部門的網絡安全獲得保障。

2.3 訪問控制技術

這是網絡安全防范與保護的重要技術措施之一，它的運用能夠從根本上確保網絡資源不被非法使用和訪問，借助該技術能夠使鐵路辦公信息系統的網絡安全及重要資源得到有效的保護。訪問控制技術簡稱ACL，它可以與虛擬局域網聯合使用，ACL主要包括以下安全技術：網絡監測與鎖定控制、網絡使用權限控制、網絡節點安全控制、屬性與目錄級安全控制、入網訪問控制以及防火墻控制等等。采用ACL建立安全的訪問列表，能夠通過源地址、目標地址和應用類型等，對流入網絡的數據流進行有效的控制。

2.4 數據加密技術

該技術在信息系統網絡安全方案中的應用非常廣泛，其安全防護效果較好。在對網絡數據進行加密處理的過程中，不需要特殊拓撲結構的支持，因此，基本不會對相關的網絡服務造成影響，從應用情況上看，該技術現已成為解決鐵路辦公信息系統網絡安全問題最為有效且實用性較高的方案之一。對數據信息進行加密處理之后，可以使網絡內部的重要數據、文件、指令等獲得有效保護，同時還能對網絡中傳輸的數據起到一定的保護作用。目前，較為常用的網絡加密方法有以下幾種：鏈路加密、端點和節點加密等，既可以采用私有密鑰算法進行加密，也可以采用公開密鑰算法進行加密。VPN被業界稱之為網絡加密機，這是一項非常成熟且完善的網絡安全技術，它可以對信息傳輸安全提供有效的保障，可將之作為鐵路辦公網的首選數據加密措施。

2.5 分級防火墻技術

防火墻是網絡安全防護中不可或缺的一項技術措施，分級防火墻是一種最新的防火墻技術，該技術具體是指外網與內網的連接需要先經過外部路由器，在進入首級防火墻，在此需要進行一次身份認證和訪問控制，然后再由內部路由器轉發至內網當中，并由次級防火墻做進一步防護，若是有特殊的安全需要，可設置多個次級防火墻。該技術將狀態檢測、靜態包過濾以及代理網關等訪問控制技術有機結合到一起，不但大幅度增強網絡的安全性，而且處理效率也獲得顯著提升。

3 結論

綜上所述，為確保鐵路信息系統的安全、穩定、可靠運行，必須對網絡安全問題予以足夠的重視，本文從網絡安全管理途徑和網絡安全技術措施兩個方面著手，構建起一道行之有效的網絡安全防護屏障，通過各種網絡安全技術措施的應用，進一步提升了鐵路辦公信息系統網絡的安全性，有效阻止了各種非法入侵，為鐵路部門相關工作的開展提供了強有力的保障。

參考文獻

[1]祝詠升，張彥，丁妍，姚洪磊.鐵路信息系統安全管理中心的設計[J].中國鐵路，2012（10）：125-127.

[2]高春霞，陳光偉，張文塔，岳雪梅.鐵路網絡與信息安全風險管理研究[J].鐵路計算機應用，2014（06）：85-88.

[3]張彥.鐵路信息系統安全體系研究[J].鐵路計算機應用，2015（02）：49-51.

[4]魯婷婷.鐵路基層站段信息系統網絡安全策略與管理[J].商，2015（12）：104-106.

作者單位

上海鐵路局南京東機務段物資設備科 江蘇省南京市 210046