網(wǎng)絡(luò)安全防御體系的功能研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網(wǎng)絡(luò)安全防御體系的功能研究范文，希望能給你帶來靈感和參考，敬請(qǐng)閱讀。

【摘要】近年來，我國大力發(fā)展客運(yùn)專線，以滿足我國鐵路運(yùn)輸市場的需求?？瓦\(yùn)專線的建立及運(yùn)營對(duì)信號(hào)系統(tǒng)的要求也更高。論文主要對(duì)客運(yùn)專線信號(hào)系統(tǒng)的基本組成進(jìn)行介紹。

【關(guān)鍵詞】客運(yùn)專線；CTC網(wǎng)絡(luò)安全防御系統(tǒng)；功能研究 

1引言

CTC又名分散自律調(diào)度系統(tǒng)，該系統(tǒng)的功能主要是確保列車安全正常地行駛，調(diào)度生產(chǎn)業(yè)務(wù)系統(tǒng)。這一系統(tǒng)具有2大特點(diǎn)，即獨(dú)立成網(wǎng)及封閉運(yùn)行，并且其主要組件并不強(qiáng)大[1]?？瓦\(yùn)專線的行車安全主要在于系統(tǒng)的保密性、完整性、可用性3點(diǎn)，按照我國等級(jí)保護(hù)防御區(qū)劃分原則和信息系統(tǒng)的功能、安全性能等標(biāo)準(zhǔn)，客運(yùn)專線CTC系統(tǒng)必須具備防火墻、入侵檢測、動(dòng)態(tài)口令、安全漏洞、SAV網(wǎng)絡(luò)病毒防護(hù)5個(gè)安全系統(tǒng)。

2防火墻及入侵檢測系統(tǒng)

CTC的安全防御系統(tǒng)中，防火墻和入侵檢測系統(tǒng)屬于基本安全設(shè)施，這對(duì)于構(gòu)建安全密實(shí)的網(wǎng)絡(luò)系統(tǒng)十分必要。防火墻的功能是過濾數(shù)據(jù)包，對(duì)鏈接狀態(tài)進(jìn)行檢查，并檢查入侵的行為和會(huì)話。防火墻按照用戶定義對(duì)一些數(shù)據(jù)實(shí)行允許進(jìn)入或阻攔，以確保內(nèi)部網(wǎng)絡(luò)設(shè)備及系統(tǒng)不會(huì)遭受非法攻擊，從而影響訪問。此外，可以實(shí)現(xiàn)每個(gè)通過防火墻的鏈接都可以快速地建立對(duì)應(yīng)的狀態(tài)表。如果鏈接異常，會(huì)話遭到威脅或攻擊后，防火墻可以很快地阻斷非法鏈接。通過入侵行為的特點(diǎn)，入侵系統(tǒng)可以及時(shí)地對(duì)每一個(gè)數(shù)據(jù)包進(jìn)行認(rèn)真檢查，如果數(shù)據(jù)包對(duì)系統(tǒng)存在攻擊性，入侵檢測系統(tǒng)必須及時(shí)斷開這一鏈接，并且由管理人員定義的處理系統(tǒng)會(huì)盡快獲取幕后攻擊者的詳細(xì)信息，同時(shí)，為要得到處理的事件提供對(duì)應(yīng)數(shù)據(jù)。CTC網(wǎng)絡(luò)的結(jié)構(gòu)性質(zhì)為雙通道冗余結(jié)構(gòu)，CTC中心和沿線的各個(gè)車站數(shù)量龐大，并且有著海量的數(shù)據(jù)流量，業(yè)務(wù)連接安全性要求很高，CTC中心和沿線車站的各個(gè)接口都安置了4臺(tái)中心防火墻，每網(wǎng)段安置2臺(tái)；CTC中心和其他系統(tǒng)接口各安置2臺(tái)防火墻，采用透明模式進(jìn)行接入?？瓦\(yùn)專線CTC系統(tǒng)防火墻詳見圖1。

3安全漏洞評(píng)估

安全漏洞的評(píng)估系統(tǒng)是一個(gè)漏洞及風(fēng)險(xiǎn)評(píng)估的有效工具，主要用來對(duì)網(wǎng)絡(luò)的安全漏洞進(jìn)行發(fā)現(xiàn)、報(bào)告以及挖掘，主要作用是對(duì)目標(biāo)網(wǎng)絡(luò)設(shè)備安全漏洞實(shí)行檢測，并提出具體檢測報(bào)告以及安全可行的漏洞解決方案，使系統(tǒng)管理員可以提前修補(bǔ)可能引發(fā)黑客進(jìn)入的多個(gè)網(wǎng)絡(luò)安全漏洞，避免黑客入侵帶來損失?？瓦\(yùn)專線CTC系統(tǒng)中心完整地部署了一整套安全漏洞評(píng)估系統(tǒng)，基于全面以及多角度的網(wǎng)絡(luò)關(guān)鍵服務(wù)器漏洞分析的評(píng)估基礎(chǔ)，確保CTC以及TDCS等系統(tǒng)安全運(yùn)行。還能對(duì)黑客的進(jìn)攻方式進(jìn)行模擬，并提交相應(yīng)的風(fēng)險(xiǎn)評(píng)估報(bào)告，提出對(duì)應(yīng)的整改措施。預(yù)防性的安全檢查暴露了目前網(wǎng)絡(luò)系統(tǒng)存在的安全隱患，對(duì)此必須實(shí)行相應(yīng)的整改，最大程度地降低網(wǎng)絡(luò)的運(yùn)行風(fēng)險(xiǎn)。漏洞評(píng)估組需要在網(wǎng)絡(luò)安全集中管理平臺(tái)下實(shí)現(xiàn)統(tǒng)一監(jiān)測，并且匯總漏洞威脅時(shí)間，結(jié)合實(shí)際情況及設(shè)施制定相應(yīng)的安全策略。當(dāng)前存在的安全漏洞掃描一定要從技術(shù)底層實(shí)現(xiàn)有效劃分，分別對(duì)主機(jī)及網(wǎng)絡(luò)漏洞進(jìn)行掃描。主機(jī)漏洞評(píng)估EVP，針對(duì)文件權(quán)限、屬性、登錄設(shè)置的值和使用者賬號(hào)等使用主機(jī)型漏洞評(píng)估掃描器進(jìn)行評(píng)估。網(wǎng)絡(luò)型漏洞掃描器NSS，在網(wǎng)絡(luò)漏洞基礎(chǔ)上的評(píng)估掃描器采用黑客入侵觀點(diǎn)，自動(dòng)對(duì)網(wǎng)上系統(tǒng)和服務(wù)實(shí)行掃描，對(duì)一般性的入侵和具體入侵場景實(shí)行真實(shí)模擬，最重要的是測試網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全漏洞，會(huì)提供相應(yīng)的修補(bǔ)漏洞意見，掃描圖形視圖的完整顯示過程，掃描相應(yīng)漏洞而且對(duì)漏洞的出現(xiàn)原因進(jìn)行查找，提供具有實(shí)際執(zhí)行可行性的管理報(bào)告，針對(duì)多個(gè)系統(tǒng)實(shí)施掃描。

4反病毒網(wǎng)絡(luò)系統(tǒng)

根據(jù)病毒具有的特征以及多層保護(hù)需求，客運(yùn)專線CTC系統(tǒng)必須要統(tǒng)一、集中監(jiān)控、多面防護(hù)，正對(duì)整體以及全面反病毒系統(tǒng)實(shí)現(xiàn)積極有效的安排，并融合各層面，覆蓋CTC中心、下屬車站等。并且還要在客運(yùn)專線的中心部署2臺(tái)SAV反病毒服務(wù)器，二者相互輔助。對(duì)服務(wù)器設(shè)備和車站終端等實(shí)施統(tǒng)一的SAV客戶端，并且對(duì)網(wǎng)絡(luò)內(nèi)存的所有病毒實(shí)行統(tǒng)管理、分析，監(jiān)控、查殺[2]。以整體反病毒解決方案為依據(jù)，網(wǎng)絡(luò)反病毒系統(tǒng)的部署具體要從下面幾項(xiàng)開展，多操作系統(tǒng)的服務(wù)器、反病毒軟件、集中監(jiān)管的多個(gè)系統(tǒng)。

5動(dòng)態(tài)口令

身份認(rèn)證屬于安全防御線的第一道保護(hù)。我國的CTC安全建設(shè)在最初的使用中運(yùn)用的是靜態(tài)密碼認(rèn)證，每一系統(tǒng)和設(shè)備都具備自身的專屬密碼，管理很不方便。大量的管理和維護(hù)導(dǎo)致操作人員難以實(shí)現(xiàn)方便快捷的使用，因此，出于使用便利，會(huì)將設(shè)備密碼設(shè)置為統(tǒng)一密碼，系統(tǒng)內(nèi)各種網(wǎng)絡(luò)設(shè)備和服務(wù)器的密碼基本上人人都知道；另外，靜態(tài)口令極易被人猜出、截獲、破解，黑客可以通過對(duì)密碼的猜測或使用成熟破譯軟件破解用戶口令，導(dǎo)致CTC面臨極大的隱患。在CTC系統(tǒng)網(wǎng)絡(luò)中，對(duì)CTC系統(tǒng)中心設(shè)置相應(yīng)的動(dòng)態(tài)口令，隨后客戶端認(rèn)證請(qǐng)求會(huì)自動(dòng)地分配到認(rèn)證服務(wù)器，該模式充分降低了服務(wù)器的工作負(fù)荷，提升了系統(tǒng)性能。身份證的依據(jù)和訪問控制組能通過網(wǎng)絡(luò)安全集中管理平臺(tái)發(fā)揮監(jiān)測、報(bào)警等功能。安全策略的集中配備，對(duì)安全事件進(jìn)行統(tǒng)一響應(yīng)，并且充分實(shí)現(xiàn)分層、統(tǒng)一用戶管理、訪問認(rèn)證授權(quán)AAA等策略。動(dòng)態(tài)口令身份認(rèn)證在AAA認(rèn)證中的功能為雙因素認(rèn)證，有效解決了靜態(tài)口令存在的多種問題，提升了系統(tǒng)的安全性?？瓦\(yùn)專線CTC系統(tǒng)運(yùn)用動(dòng)態(tài)口令后，實(shí)現(xiàn)了對(duì)整個(gè)網(wǎng)絡(luò)、運(yùn)用和主機(jī)等的統(tǒng)一覆蓋，實(shí)現(xiàn)了安全的身份認(rèn)證控制訪問組件，統(tǒng)一身份認(rèn)證和授權(quán)統(tǒng)一，同時(shí)還提供了集中身份認(rèn)證等，通過授權(quán)嚴(yán)格對(duì)多個(gè)訪問資源權(quán)限實(shí)施限制。

6結(jié)語

目前，客運(yùn)專線CTC中心網(wǎng)絡(luò)運(yùn)用安全，正處于建立知識(shí)信息安全系統(tǒng)和確保信息化的重要階段，在這一進(jìn)程的后期階段還要滿足國家等級(jí)保護(hù)政策需求，對(duì)縱深防護(hù)體系進(jìn)行深入研究，確保鐵路運(yùn)輸生產(chǎn)業(yè)務(wù)順利開展，充分實(shí)現(xiàn)鐵路信息化運(yùn)行，將鐵路運(yùn)行的安全性實(shí)現(xiàn)提升。

【參考文獻(xiàn)】

【1】戴啟元.客運(yùn)專線CTC系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)[J].鐵道通信信號(hào),2010,46(4):66-68.

【2】李一龍.客運(yùn)專線CTC調(diào)度集中應(yīng)急處置仿真系統(tǒng)開發(fā)研究[J].長沙鐵道學(xué)院學(xué)報(bào)（社會(huì)科學(xué)版）,2013,14(4):223-224.

作者:范立敏 單位:沈陽鐵路局錦州電務(wù)段