導(dǎo)語(yǔ)：鐵路計(jì)算機(jī)網(wǎng)絡(luò)安全論文一文來(lái)源于網(wǎng)友上傳，不代表本站觀(guān)點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

1我國(guó)鐵路計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要安全問(wèn)題

我國(guó)鐵路計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)體系建設(shè)工作雖然獲得了較大的改善，基本能夠確保整個(gè)鐵路計(jì)算機(jī)網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行。但是，其在實(shí)施過(guò)程中依然面臨著一些問(wèn)題，主要包括以下3個(gè)方面。

1.1計(jì)算機(jī)病毒威脅

計(jì)算機(jī)病毒作為一種人為制造的能夠在計(jì)算機(jī)運(yùn)行過(guò)程中對(duì)計(jì)算機(jī)信息、系統(tǒng)造成直接破壞的程序，其主要以存在于其他的應(yīng)用程序當(dāng)中。因此，具有隱蔽性強(qiáng)的特點(diǎn)，一旦攜帶病毒的計(jì)算機(jī)在運(yùn)行過(guò)程中達(dá)到了病毒制造者所設(shè)定的條件，病毒將突然發(fā)作，對(duì)計(jì)算機(jī)的系統(tǒng)安全造成影響。當(dāng)計(jì)算機(jī)病毒入侵情況嚴(yán)重時(shí)，將使得整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)癱瘓，造成部分重要數(shù)據(jù)出現(xiàn)丟失的問(wèn)題。計(jì)算機(jī)病毒的特點(diǎn)主要包括：其一，傳播速度快、制造與更新周期短。在1995年，全世界每個(gè)星期的計(jì)算機(jī)新病毒只有10多種，而至1999年則達(dá)到了平均每天6種新病毒的水平。當(dāng)前，在世界范圍內(nèi)，每20min就會(huì)出現(xiàn)一種新的病毒，計(jì)算機(jī)病毒的制造周期明顯縮短；其二，其擴(kuò)散范圍大、感染途徑多。計(jì)算機(jī)病毒的傳播不但包括傳統(tǒng)的磁盤(pán)、光盤(pán)等存儲(chǔ)介質(zhì)，同時(shí)還包括了當(dāng)前廣泛應(yīng)用的計(jì)算機(jī)網(wǎng)絡(luò)，通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播。從計(jì)算機(jī)病毒的傳播新途徑來(lái)看，其傳播的新途徑包括了網(wǎng)絡(luò)共享磁盤(pán)、網(wǎng)絡(luò)共享文件夾、網(wǎng)絡(luò)服務(wù)器、電子郵件等；其三，病毒種類(lèi)多種多樣，數(shù)量巨大。當(dāng)前，計(jì)算機(jī)病毒呈現(xiàn)出幾何級(jí)增長(zhǎng)的趨勢(shì)，當(dāng)前活躍的計(jì)算機(jī)病毒達(dá)已經(jīng)達(dá)到了14000種，且病毒的制造機(jī)理及變種持續(xù)演變，從最初簡(jiǎn)單的文本型、引導(dǎo)型以及混合型發(fā)展到當(dāng)前的欺騙性、非文件型等，其欺騙性及危害性都更大。若鐵路計(jì)算機(jī)網(wǎng)絡(luò)感染了其中破壞力較大的病毒，則可能給整個(gè)網(wǎng)絡(luò)的軟、硬件系統(tǒng)造成損害。

1.2惡意網(wǎng)絡(luò)攻擊

惡意網(wǎng)絡(luò)攻擊包括了系統(tǒng)內(nèi)部攻擊以及系統(tǒng)外部攻擊兩種。從當(dāng)前的情況來(lái)看，鐵路信息系統(tǒng)網(wǎng)絡(luò)承受的攻擊類(lèi)型以?xún)?nèi)部攻擊為主，外部黑客攻擊的威脅相對(duì)較低。但是，惡意攻擊形成的威脅依然不能夠被忽視。據(jù)相關(guān)資料統(tǒng)計(jì)，在當(dāng)前已經(jīng)發(fā)生的網(wǎng)絡(luò)安全攻擊事件當(dāng)中，大約70%左右的攻擊行為來(lái)自于系統(tǒng)內(nèi)部。黑客在實(shí)施惡意攻擊過(guò)程中，主要是利用計(jì)算機(jī)操作系統(tǒng)漏洞或者是數(shù)據(jù)庫(kù)缺陷來(lái)對(duì)網(wǎng)絡(luò)或者計(jì)算機(jī)中存儲(chǔ)的重要數(shù)據(jù)進(jìn)行惡意修改、獲取敏感的機(jī)密數(shù)據(jù)等，有時(shí)甚至直接造成整個(gè)系統(tǒng)的癱瘓。2.3突發(fā)事件威脅鐵路計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所面臨的突發(fā)事件威脅主要包括水災(zāi)、地震、火災(zāi)以及其他的極端氣候條件等，這些突發(fā)事件的發(fā)生將造成整個(gè)運(yùn)行系統(tǒng)的失靈，從而出現(xiàn)電源故障、設(shè)備不能正常工作，使得計(jì)算機(jī)數(shù)據(jù)庫(kù)信息丟失、設(shè)備遺失、數(shù)據(jù)被盜等。另外，強(qiáng)電磁干擾同樣會(huì)造成計(jì)算機(jī)網(wǎng)絡(luò)的通信中斷。

2鐵路計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的建沒(méi)

針對(duì)鐵路計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)所提出的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)主要包括數(shù)字證書(shū)系統(tǒng)、安全訪(fǎng)問(wèn)控制系統(tǒng)等主要管理控制子系統(tǒng)，各個(gè)子系統(tǒng)通過(guò)相互協(xié)同的方式完成對(duì)鐵路計(jì)算機(jī)網(wǎng)絡(luò)及信息平臺(tái)的保護(hù)。在整個(gè)系統(tǒng)建設(shè)過(guò)程中，采用了“應(yīng)用分區(qū)、安全分級(jí)、網(wǎng)絡(luò)分層”的基本原則，以做好基礎(chǔ)網(wǎng)絡(luò)設(shè)施建設(shè)、保護(hù)網(wǎng)絡(luò)邊界安全、確保局域網(wǎng)環(huán)境等工作為網(wǎng)絡(luò)安全防御建設(shè)作為主要工作內(nèi)容。

2.1鐵路計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的整體架構(gòu)

鐵路計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)將計(jì)算機(jī)網(wǎng)絡(luò)縱深防御體系作為基礎(chǔ)，通過(guò)全路網(wǎng)絡(luò)的所有拓?fù)浣Y(jié)構(gòu)進(jìn)行物理以及邏輯上的劃分來(lái)形成安全網(wǎng)絡(luò)體系。例如，根據(jù)網(wǎng)絡(luò)功能，將局域網(wǎng)劃分成為安全生產(chǎn)網(wǎng)絡(luò)、內(nèi)部建設(shè)服務(wù)網(wǎng)絡(luò)以及外部服務(wù)網(wǎng)絡(luò)3個(gè)縱深的結(jié)構(gòu)層次，而且通過(guò)使用隔離設(shè)備將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離開(kāi)來(lái)，實(shí)現(xiàn)設(shè)備的動(dòng)態(tài)物理隔離。同時(shí)，將廣域網(wǎng)劃分成為骨干網(wǎng)與基層網(wǎng)，這樣就將傳統(tǒng)的平面網(wǎng)絡(luò)結(jié)構(gòu)變成了多層次的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，最終逐步形成了具有不同安全區(qū)域的縱深網(wǎng)絡(luò)防御體系。根據(jù)鐵路通信信息系統(tǒng)的安全需要，還將相關(guān)的業(yè)務(wù)網(wǎng)絡(luò)與外部服務(wù)網(wǎng)絡(luò)連接起來(lái)，通過(guò)密碼技術(shù)對(duì)兩個(gè)網(wǎng)絡(luò)之間的信息通訊進(jìn)行加密隔離，保證達(dá)到內(nèi)部和外部雙重保護(hù)的目的。另外，在自主安全管理及控制體系作用下，能夠?qū)崿F(xiàn)數(shù)據(jù)的可靠控制交換，最終達(dá)到保護(hù)鐵路計(jì)算機(jī)網(wǎng)絡(luò)信息安全的目的。

2.2鐵路行業(yè)專(zhuān)用數(shù)字證書(shū)子系統(tǒng)

鐵路行業(yè)的數(shù)字證書(shū)主要包括數(shù)字簽名以及加密證書(shū)兩種基本形式。通過(guò)建設(shè)鐵路行業(yè)的數(shù)字證書(shū)認(rèn)證系統(tǒng)能夠基本形成全路網(wǎng)絡(luò)訪(fǎng)問(wèn)的內(nèi)部身份認(rèn)證基本體系。利用網(wǎng)絡(luò)訪(fǎng)問(wèn)身份認(rèn)證的方式，可以實(shí)現(xiàn)對(duì)鐵路計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)部信息以及數(shù)據(jù)資源的有效保護(hù)。當(dāng)前，針對(duì)鐵路計(jì)算機(jī)網(wǎng)絡(luò)建立起來(lái)的數(shù)字證書(shū)體系是基于公鑰設(shè)施的一種(PKI/CA)體系，同時(shí)也是作為確保計(jì)算機(jī)網(wǎng)絡(luò)信息安全的一種訪(fǎng)問(wèn)控制基礎(chǔ)設(shè)施。其具有相對(duì)集中的數(shù)字證書(shū)認(rèn)證中心(CA)、授權(quán)數(shù)字證書(shū)認(rèn)證服務(wù)(RA)已經(jīng)初步形成了鐵路數(shù)字證書(shū)認(rèn)證管理體系。CA層包括了根CA、二級(jí)CA(MORCA)以及密鑰管理體系。而RA層則包括了所有各級(jí)鐵路局級(jí)的RA。整個(gè)數(shù)字證書(shū)系統(tǒng)采用了標(biāo)準(zhǔn)的LDAP接口以及目錄服務(wù)，實(shí)現(xiàn)了實(shí)時(shí)數(shù)據(jù)的存儲(chǔ)與修改。通過(guò)構(gòu)建的鐵路數(shù)字證書(shū)認(rèn)證體系，不但能夠?yàn)橛脩?hù)提供身份的強(qiáng)制認(rèn)證體系，確保了系統(tǒng)的信息及數(shù)據(jù)安全，同時(shí)還為訪(fǎng)問(wèn)者提供了數(shù)據(jù)交換以及數(shù)據(jù)獲取的可追溯依據(jù)，有效地保證了數(shù)據(jù)安全。

2.3訪(fǎng)問(wèn)控制子系統(tǒng)

鐵路計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的中心是訪(fǎng)問(wèn)控制子系統(tǒng)，其通過(guò)集中認(rèn)證授權(quán)以及對(duì)應(yīng)的機(jī)制實(shí)現(xiàn)了用戶(hù)在對(duì)應(yīng)區(qū)域內(nèi)的授權(quán)訪(fǎng)問(wèn)行為控制。通過(guò)應(yīng)用機(jī)制有效地防止了用戶(hù)對(duì)數(shù)據(jù)資源的直接操作，通過(guò)將系統(tǒng)在網(wǎng)絡(luò)中具體的位置進(jìn)行隱藏，使得用戶(hù)數(shù)據(jù)資源的獲取行為得到控制，提高了整個(gè)網(wǎng)絡(luò)的信息安全程度。在依據(jù)相關(guān)策略進(jìn)行授權(quán)的基礎(chǔ)上，能夠很好地對(duì)用戶(hù)訪(fǎng)問(wèn)資源進(jìn)行控制，確保信息資源流動(dòng)的合法性。訪(fǎng)問(wèn)控制子系統(tǒng)將機(jī)制作為基礎(chǔ)，針對(duì)不同級(jí)別的用戶(hù)采用了不同的安全級(jí)別，也可以針對(duì)安全級(jí)別不同的資源采用多層次、多節(jié)點(diǎn)的訪(fǎng)問(wèn)控制機(jī)制。服務(wù)系統(tǒng)通?？梢苑譃榉聪?、正向以及應(yīng)用與安全幾種基本的類(lèi)型，其中的應(yīng)用包含有Web服務(wù)以及數(shù)據(jù)傳輸安全幾種類(lèi)型。通過(guò)應(yīng)用Web服務(wù)能夠?qū)崿F(xiàn)網(wǎng)絡(luò)系統(tǒng)內(nèi)部客戶(hù)端對(duì)Internet與內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn)，形成對(duì)訪(fǎng)問(wèn)行為的認(rèn)證、授權(quán)、緩沖策略體系。在訪(fǎng)問(wèn)控制系統(tǒng)當(dāng)中，數(shù)據(jù)傳輸?shù)陌踩腔赬ML協(xié)議與SAML協(xié)議建立的。任何進(jìn)入到內(nèi)部網(wǎng)絡(luò)中的訪(fǎng)問(wèn)行為都必須經(jīng)過(guò)PKI/CA認(rèn)證以及授權(quán)，且傳輸?shù)臄?shù)據(jù)還必須通過(guò)安全機(jī)制的合法性檢查與認(rèn)證處理。這樣就形成了單點(diǎn)登錄與多層次授權(quán)相結(jié)合的控制方式，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)系統(tǒng)的多層次保護(hù)。訪(fǎng)問(wèn)控制系統(tǒng)是內(nèi)、外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換的必要渠道，通過(guò)使用信息交換設(shè)備以及安全隔離機(jī)制實(shí)現(xiàn)了內(nèi)部與外部網(wǎng)絡(luò)的合理連接，使得任何時(shí)刻網(wǎng)絡(luò)內(nèi)部和外部之間都不會(huì)出現(xiàn)直接連接的問(wèn)題。

3強(qiáng)化應(yīng)用層安全機(jī)制建設(shè)

應(yīng)用層的訪(fǎng)問(wèn)通常包括了基于Internet的廣域互聯(lián)網(wǎng)絡(luò)訪(fǎng)問(wèn)、鐵路系統(tǒng)自身業(yè)務(wù)等?；趹?yīng)用層的安全機(jī)制管理措施是針對(duì)應(yīng)用層的訪(fǎng)問(wèn)行為而提出的一種可以審計(jì)的安全管理策略體系。

3.1優(yōu)化信息安全審計(jì)程序

安全審計(jì)是鐵路計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)及控制的一個(gè)重要環(huán)節(jié)，通過(guò)安全審計(jì)環(huán)節(jié)能夠詳細(xì)地對(duì)通過(guò)網(wǎng)絡(luò)的所有信息操作行為進(jìn)行記錄，例如：對(duì)安全產(chǎn)品配置的更改、信息讀取或者對(duì)服務(wù)器數(shù)據(jù)更改；不同子網(wǎng)絡(luò)之間的數(shù)據(jù)交換行為等。安全審計(jì)給系統(tǒng)管理人員提供了一個(gè)詳細(xì)的數(shù)據(jù)“流向”日志，可以有效地支持網(wǎng)絡(luò)系統(tǒng)管理人員的信息審計(jì)需要，有需要時(shí)還可以對(duì)用戶(hù)所訪(fǎng)問(wèn)的信息進(jìn)行內(nèi)容恢復(fù)、對(duì)話(huà)還原等，便于對(duì)計(jì)算機(jī)信息非法行為的控制。

3.2故障恢復(fù)與信息備份

故障恢復(fù)與數(shù)據(jù)備份主要包括了關(guān)鍵系統(tǒng)的雙機(jī)備份、重要數(shù)據(jù)的冷備份等措施。

（1）故障恢復(fù)。

通過(guò)使用多臺(tái)計(jì)算機(jī)形成網(wǎng)絡(luò)集群結(jié)構(gòu)的方式，使得整個(gè)系統(tǒng)不會(huì)出現(xiàn)單點(diǎn)故障問(wèn)題。對(duì)于關(guān)鍵性的應(yīng)用系統(tǒng)，通過(guò)使用系統(tǒng)內(nèi)的雙機(jī)熱備份方式能夠在一臺(tái)設(shè)備失效時(shí)迅速進(jìn)行切換。通過(guò)磁盤(pán)鏡像的方式，應(yīng)用兩臺(tái)服務(wù)器使用光纖共享磁盤(pán)，能夠?qū)崿F(xiàn)主機(jī)磁盤(pán)系統(tǒng)的高速連接。

（2）數(shù)據(jù)備份。

對(duì)于鐵路系統(tǒng)中的關(guān)鍵性業(yè)務(wù)，必須形成必要的熱備份機(jī)制，例如上文中提到的雙機(jī)熱備份、磁盤(pán)鏡像等措施。對(duì)于所有的其他業(yè)務(wù)數(shù)據(jù)，必須建立磁盤(pán)冷備份以及數(shù)據(jù)恢復(fù)機(jī)制，確保所備份的數(shù)據(jù)能夠在短時(shí)間內(nèi)恢復(fù)到所制定的時(shí)間狀態(tài)。

4結(jié)束語(yǔ)

當(dāng)前，我國(guó)的鐵路事業(yè)正處于關(guān)鍵的發(fā)展時(shí)期，在這個(gè)時(shí)間段離不開(kāi)信息化的建設(shè)，而21世紀(jì)的信息化網(wǎng)絡(luò)為鐵路事業(yè)的發(fā)展提供了有力的支撐。這時(shí)，只有建立一個(gè)安全可靠、信息流暢的鐵路計(jì)算機(jī)網(wǎng)絡(luò)才能更加充分地發(fā)揮鐵路在國(guó)民經(jīng)濟(jì)建設(shè)中大動(dòng)脈的作用。

作者：張京單位：太原理工大學(xué)太原鐵路局太原車(chē)務(wù)段