论文部分内容阅读
摘 要:随着信息技术的发展,信息系统在铁路基层站段的应用越来越普遍。信息系统的安全关系到铁路运输生产的安全,因此研究计算机信息系统的网络安全具有重大的现实意义。本论文介绍了信息系统网络安全的策略,包括物理安全策略和访问控制策略。
关键词:铁路基层站段;信息系统;网络安全;安全策略
随着信息技术不断发展,各行业都迎来了信息化时代,计算机信息系统在铁路基层站段各项工作中的运用也逐渐普及。以工务系统为例,微机监测系统、工务段办公网等信息系统已经得到广泛应用,信息系统的网络安全对铁路运输生产至关重要。然而,由于互联网的开放性特点,信息系统的网络安全问题比如计算机病毒和黑客攻击等日益突出。因此,铁路基层站段信息系统的安全问题,引起了人们的高度关注。本文介绍了铁路基层站段网络安全的情况,着重分析了信息系统的安全策略和访问控制策略,以期对铁路基层站段的信息系统安全建设提供有效的帮助。
一、信息系统安全问题概述
根据信息系统安全的结构来看,计算机信息系统安全分为五个层面,首先是物理层面,主要是基础设施、运行硬件、外界环境、介质等方面;其次是网络层面,安全的网络环境确保信息系统的安全运行;主机层面,提供安全的操作系统和安全的数据库管理系统;应用层面,实现用户安全需求和安全目标;数据备份及备份恢复层面:确保信息系统中数据存储、数据传输和数据处理的安全性。
当前,计算机网络面临的威胁主要包括对网络中信息的威胁和对网络设备的威胁。影响计算机网络安全的因素主要有两个方面,首先是人为失误,比如用户口令丢失,或用户安全配置不当造成的安全漏洞。其次,是恶意攻击,恶意攻击分为主动攻击和被动攻击,恶意攻击对信息进行截获、窃取和破译以获得重要机密,破坏信息的有效性和完整性。
二、信息系统的网络安全策略
网络安全是信息系统在网络环境的安全运行的基础保障。信息系统的安全运行需要网络设备安全和传输数据的安全。网络安全策略包括制定网络操作使用规程和网络系统的维护制度和应急措施等。访问控制是网络安全保护的主要策略,可以保护网络资源正常访问和使用。访问控制是保证网络安全的核心策略之一。
1.网络的权限控制。网络权限控制是系统针对不同用户身份限制其使用数据资源能力的一种技术手段,是系统完整性、安全性和合法使用性的重要途径,是网络安全策略之一。通常系统管理员依据某些控制策略来控制用户对文件和服务器等资源的访问。权限控制的目标是限制用户对服务器等网络资源的访问,保障信息资源被合法有效地使用。为阻止网络非法操作,用户被授予一定的权限。根据访问权限,用户可以分为系统管理员、一般用户(根据实际工作需要分配操作权限)和审计用户(负责网络的安全控制与资源使用情况的审计),用户的访问权限通过访问控制表来描述。基层站段将所有网络设备进行统一管理,网络设备经授权方可接入站段的网络。
2.入网访问控制与网络监测。入网访问控制用户登录和用户获取网络资源的权限,以及用户入网的时间和IP。入网访问控制分为三个步骤:用户的IP验证、用户口令验证和用户账号的缺省限制检查。用户口令字符长度不应少于6个字符,用户的口令需经过加密处理,加密方法可用基于测试模式的口令加密或基于公钥加密方案的加密。用户还可用智能卡来验证用户的身份。网络管理员控制用户的账号使用,并对用户的访问进行监测审计,若口令多次输入错误,则认为是非法用户侵入。对非法访问,服务器应报警,若非法访问达到一定的频度,自动锁定该账户。
3.防火墙控制。防火墙是一个用以阻止黑客访问某个网络的屏障,有控制进出两个方向的门槛,在网络边界上通过网络通信监控系统来隔离内部网络和外部网络,以阻挡外网的侵入。防火墙有以下几种:包过滤防火墙、双宿主主机防火墙、屏蔽主机网关防火墙和屏蔽子网防火墙。
信息系统的访问都经过防火墙,防火墙记录这些网络访问,统计网络使用情况的数据。当监测到网络行为可疑,防火墙提供网络监测和攻击的信息。此外,通过防火墙对内部网络进行划分,实现内网重点网段的隔离。内网中某些的细节可能因为包含了安全的线索而引起外部攻击,因此而暴露了内网的安全漏洞,使用防火墙可以隐蔽泄露内部细节的服务。防火墙还可以阻塞内网中的域名服务器信息,这样主机的域名和IP地址就不会被外界所知。
4.入侵检测技术。入侵检测技术是防火墙之后的第2道安全门,可以对网络进行实时监控,从计算机网络的关键点采集和分析网络行为、安全日志和审计数据,分析网络中是否有违反安全策略的行为。入侵检测是一种积极的安全防护技术,在网络系统被入侵之前对非法网络行为进行拦截,可以在不影响网络运行性能的情况下能对网络进行监测。入侵检测通过监视和分析用户活动、识别已知攻击的模式、異常网络行为模式的分析、对系统和数据文件的完整性评估和操作系统的跟踪管理来识别违反安全策略的网络行为。入侵检测系统监听网络原始流量,对获取的网络数据进行分析,把提取到信息与已知攻击特征相匹配的网络行为模型进行比对,以此来确认网络攻击事件。入侵检测系统可以检测到协议攻击以及特定环境攻击。入侵检测技术扩展了网络管理员的安全管理能力,提高了信息系统的安全性。
三、网络安全管理
针对铁路基层站段的信息系统,我们需要系统地考虑网络安全的控制措施,做到一致实施,优化基层站段的运维。同时明确规定网络规划和系统实施等安全技术标准,监控网络安全状态,对有关错误、故障以及补救措施做好记录。
由网络管理员负责网络安全管理,网络管理员需掌握网络安全和网络管理的知识,使用安全技术进行系统的访问控制,根据系统的安全等级在系统的接入点部署防火墙和入侵检测等网络安全产品,确保网络安全。除网络管理人员外,任何其他人员不得在内部网络利用各类工具进行扫描、架设代理服务器等攻击尝试。网络管理员管理网络设备的系统权限,监测系统的安全状况,预防网络安全漏洞,升级必要的系统补丁。网络管理员负责管理网络设备的软件版本和配置修改工作,统筹系统的优化和升级方案,对网络结构等进行优化和调整,绘制管理网络拓扑图,以进一步提高网络安全可靠性和运行效率。
核心的网络设备应有备份设备,骨干链路应有备份路由,服务器设备应具备冗余网络链路。铁路内部网与互联网相连必须利用硬件防火墙等隔离措施进行访问控制,从而限制外网用户访问铁路信息系统的信息。规定不得擅自将系统内的计算机系统与其他单位的网络互联,如确实需要应由双方单位的网络管理人员和系统管理人员相互配合,设计出安全可靠的互联方案。在与其它网络互联时,必须设置防火墙,以防止非法数据包的入侵,并阻止未授权数据向外泄露。利用加密软件保护通过公共网传输的数据的完整性和机密性,对敏感数据进行加密处理。(作者单位:济南铁路局临沂工务段)
参考文献:
[1] 王裕明,网络管理信息系统安全对策探索,《上海工程技术大学学报》,1997,11,1
[2] 汤希才,管理信息系统的脆弱性及其安全问题,《电脑开发与应用)),1999,1
[3] 刘英,企业计算机网络信息系统的安全问题及对策,《浙江电力》,2001,4
[4] 宋如顺,信息系统安全风险综合分析方法,计算机工程,2000,12
[5] 魏云鹏.网上招生管理系统安全性研究[南昌大学硕士学位论文].南昌:南昌大学图书馆,2011,41-44
[6] 陈燕莉.信息安全技术初探.第十届全国互联网与音视频广播发展研讨会,2010年,昆明:昆明科技出版社,211-213
关键词:铁路基层站段;信息系统;网络安全;安全策略
随着信息技术不断发展,各行业都迎来了信息化时代,计算机信息系统在铁路基层站段各项工作中的运用也逐渐普及。以工务系统为例,微机监测系统、工务段办公网等信息系统已经得到广泛应用,信息系统的网络安全对铁路运输生产至关重要。然而,由于互联网的开放性特点,信息系统的网络安全问题比如计算机病毒和黑客攻击等日益突出。因此,铁路基层站段信息系统的安全问题,引起了人们的高度关注。本文介绍了铁路基层站段网络安全的情况,着重分析了信息系统的安全策略和访问控制策略,以期对铁路基层站段的信息系统安全建设提供有效的帮助。
一、信息系统安全问题概述
根据信息系统安全的结构来看,计算机信息系统安全分为五个层面,首先是物理层面,主要是基础设施、运行硬件、外界环境、介质等方面;其次是网络层面,安全的网络环境确保信息系统的安全运行;主机层面,提供安全的操作系统和安全的数据库管理系统;应用层面,实现用户安全需求和安全目标;数据备份及备份恢复层面:确保信息系统中数据存储、数据传输和数据处理的安全性。
当前,计算机网络面临的威胁主要包括对网络中信息的威胁和对网络设备的威胁。影响计算机网络安全的因素主要有两个方面,首先是人为失误,比如用户口令丢失,或用户安全配置不当造成的安全漏洞。其次,是恶意攻击,恶意攻击分为主动攻击和被动攻击,恶意攻击对信息进行截获、窃取和破译以获得重要机密,破坏信息的有效性和完整性。
二、信息系统的网络安全策略
网络安全是信息系统在网络环境的安全运行的基础保障。信息系统的安全运行需要网络设备安全和传输数据的安全。网络安全策略包括制定网络操作使用规程和网络系统的维护制度和应急措施等。访问控制是网络安全保护的主要策略,可以保护网络资源正常访问和使用。访问控制是保证网络安全的核心策略之一。
1.网络的权限控制。网络权限控制是系统针对不同用户身份限制其使用数据资源能力的一种技术手段,是系统完整性、安全性和合法使用性的重要途径,是网络安全策略之一。通常系统管理员依据某些控制策略来控制用户对文件和服务器等资源的访问。权限控制的目标是限制用户对服务器等网络资源的访问,保障信息资源被合法有效地使用。为阻止网络非法操作,用户被授予一定的权限。根据访问权限,用户可以分为系统管理员、一般用户(根据实际工作需要分配操作权限)和审计用户(负责网络的安全控制与资源使用情况的审计),用户的访问权限通过访问控制表来描述。基层站段将所有网络设备进行统一管理,网络设备经授权方可接入站段的网络。
2.入网访问控制与网络监测。入网访问控制用户登录和用户获取网络资源的权限,以及用户入网的时间和IP。入网访问控制分为三个步骤:用户的IP验证、用户口令验证和用户账号的缺省限制检查。用户口令字符长度不应少于6个字符,用户的口令需经过加密处理,加密方法可用基于测试模式的口令加密或基于公钥加密方案的加密。用户还可用智能卡来验证用户的身份。网络管理员控制用户的账号使用,并对用户的访问进行监测审计,若口令多次输入错误,则认为是非法用户侵入。对非法访问,服务器应报警,若非法访问达到一定的频度,自动锁定该账户。
3.防火墙控制。防火墙是一个用以阻止黑客访问某个网络的屏障,有控制进出两个方向的门槛,在网络边界上通过网络通信监控系统来隔离内部网络和外部网络,以阻挡外网的侵入。防火墙有以下几种:包过滤防火墙、双宿主主机防火墙、屏蔽主机网关防火墙和屏蔽子网防火墙。
信息系统的访问都经过防火墙,防火墙记录这些网络访问,统计网络使用情况的数据。当监测到网络行为可疑,防火墙提供网络监测和攻击的信息。此外,通过防火墙对内部网络进行划分,实现内网重点网段的隔离。内网中某些的细节可能因为包含了安全的线索而引起外部攻击,因此而暴露了内网的安全漏洞,使用防火墙可以隐蔽泄露内部细节的服务。防火墙还可以阻塞内网中的域名服务器信息,这样主机的域名和IP地址就不会被外界所知。
4.入侵检测技术。入侵检测技术是防火墙之后的第2道安全门,可以对网络进行实时监控,从计算机网络的关键点采集和分析网络行为、安全日志和审计数据,分析网络中是否有违反安全策略的行为。入侵检测是一种积极的安全防护技术,在网络系统被入侵之前对非法网络行为进行拦截,可以在不影响网络运行性能的情况下能对网络进行监测。入侵检测通过监视和分析用户活动、识别已知攻击的模式、異常网络行为模式的分析、对系统和数据文件的完整性评估和操作系统的跟踪管理来识别违反安全策略的网络行为。入侵检测系统监听网络原始流量,对获取的网络数据进行分析,把提取到信息与已知攻击特征相匹配的网络行为模型进行比对,以此来确认网络攻击事件。入侵检测系统可以检测到协议攻击以及特定环境攻击。入侵检测技术扩展了网络管理员的安全管理能力,提高了信息系统的安全性。
三、网络安全管理
针对铁路基层站段的信息系统,我们需要系统地考虑网络安全的控制措施,做到一致实施,优化基层站段的运维。同时明确规定网络规划和系统实施等安全技术标准,监控网络安全状态,对有关错误、故障以及补救措施做好记录。
由网络管理员负责网络安全管理,网络管理员需掌握网络安全和网络管理的知识,使用安全技术进行系统的访问控制,根据系统的安全等级在系统的接入点部署防火墙和入侵检测等网络安全产品,确保网络安全。除网络管理人员外,任何其他人员不得在内部网络利用各类工具进行扫描、架设代理服务器等攻击尝试。网络管理员管理网络设备的系统权限,监测系统的安全状况,预防网络安全漏洞,升级必要的系统补丁。网络管理员负责管理网络设备的软件版本和配置修改工作,统筹系统的优化和升级方案,对网络结构等进行优化和调整,绘制管理网络拓扑图,以进一步提高网络安全可靠性和运行效率。
核心的网络设备应有备份设备,骨干链路应有备份路由,服务器设备应具备冗余网络链路。铁路内部网与互联网相连必须利用硬件防火墙等隔离措施进行访问控制,从而限制外网用户访问铁路信息系统的信息。规定不得擅自将系统内的计算机系统与其他单位的网络互联,如确实需要应由双方单位的网络管理人员和系统管理人员相互配合,设计出安全可靠的互联方案。在与其它网络互联时,必须设置防火墙,以防止非法数据包的入侵,并阻止未授权数据向外泄露。利用加密软件保护通过公共网传输的数据的完整性和机密性,对敏感数据进行加密处理。(作者单位:济南铁路局临沂工务段)
参考文献:
[1] 王裕明,网络管理信息系统安全对策探索,《上海工程技术大学学报》,1997,11,1
[2] 汤希才,管理信息系统的脆弱性及其安全问题,《电脑开发与应用)),1999,1
[3] 刘英,企业计算机网络信息系统的安全问题及对策,《浙江电力》,2001,4
[4] 宋如顺,信息系统安全风险综合分析方法,计算机工程,2000,12
[5] 魏云鹏.网上招生管理系统安全性研究[南昌大学硕士学位论文].南昌:南昌大学图书馆,2011,41-44
[6] 陈燕莉.信息安全技术初探.第十届全国互联网与音视频广播发展研讨会,2010年,昆明:昆明科技出版社,211-213