怎样保证“信息铁路”的安全

    ——包神铁路信息系统网络整体安全防护方案

    对于铁路行业而言，安全显然是压倒一切的头等大事。随着网络信息化的深入，铁路与网络的联系也更加紧密，保障这条“信息铁路”的安全，成为了不可回避的问题。

    现实的思考

    目前的计算机病毒主要通过网络进行传播破坏，对于包神铁路信息网，其网络安全是合格网络建设中非常重要的一部分。其总体目标就是要保证网络建成后的安全、稳定、有效的运行，保障系统的硬件、软件、各种业务数据不受偶然或恶意破坏、更改及泄露，使得能够在可控、安全、保密的情况下得以畅通地分发流转。

    包神铁路信息系统网络属于神华集团广域网的一部分,包神铁路局域网跨地域176公里,包括运输生产网、金财网、机关局域网、机辆段局域网，运输段局域网，工务段局域网，电务段局域网，物业公司局域网，信息中心局域网等九个子网,网内约有30台服务器，400台微机终端。

    考虑到当前计算机病毒逐渐趋于多元化，企业遭受计算机病毒的攻击次数、计算机病毒造成的危害以及复杂程度一直在不断上升。因此，单一的安全产品已经无法满足企业网络安全的需求，企业网络的安全必须要进行多层次地防护。

    另一方面，铁路信息系统通常网络地域跨度大、子网多、结构相对复杂，一旦病毒侵入局域网内部则会给管理造成较大的困难。因此，在整个网络上不仅要建立一个统一的、多层次、全方位、集中化管理的安全防护系统，并且在整个网络边缘（网关）处还要部署网关级病毒防护产品以防止计算机病毒从互联网进入企业内部网络。

    扰人的三大隐患

    包神铁路信息系统是一个典型的局域网应用系统，其最大的安全隐患主要来自网络平台、应用平台、管理平台等三个方面，我们先在此基础上对每种类别的安全隐患具体分析描述，同时指出相应的安全需求类型。

    内外网安全隐患分析

    外网与内网间以及内部网络中通常存在最大的安全隐患。在没有部署网络安全产品之前，包神铁路信息系统经常会受到黑客的越权访问、恶意攻击，以及来自网络的病毒入侵。同时在网络内部也同样存在着同级、上级和下级节点的越权访问、恶意攻击以及病毒入侵的危险。

    应用平台安全隐患分析

    包神铁路信息系统的应用平台包含关键业务主机系统以及数据库系统。由于应用平台提供整个系统的关键业务，因此，不仅要求应用平台有极高的安全系数，还必须保证应用平台的绝对稳定。现有的系统并不能实时监控主机软硬件系统和数据库的运行状况，同时由于操作系统存在一些漏洞以及安全设置不够严格，都会造成黑客的攻击。

    管理平台安全隐患分析

    在没有部署网络安全产品之前，包神铁路信息系统管理平台缺乏完善的管理机制，不能及时发现已经发生的网络安全事件并迅速确定其来源。网络管理复杂且成本较高，在此平台上要求安置能够进行集中管理的网络安全产品。

    网络安全防护实施方案

    根据包神铁路信息系统的网络情况，用户采用了由瑞星公司提供的防火墙加防毒墙的安全防护解决方案。防火墙被连接在包头与国铁网络的接口处，而防毒墙部署在互联网与内部网络连接的入口（网关），这样不会对原有网络拓扑结构有任何改动，便于安全体系的实施和原有网络的维护。

    因为包神铁路信息系统网络对计算机网络安全要求相当严格，所以针对它的特殊需求，最终制定了如下的解决方案。（见总拓扑图）



    保护网络不受病毒侵犯的首要办法是在它们进入网络前即阻断它们。其它安全应用产品采用的逻辑是在客户端和服务器安装监控杀毒软件，而防毒墙在毁灭性病毒和蠕虫病毒进入网络前即在网络边缘进行全面扫描。如果发现病毒，系统将尝试修理感染的文件。如果文件不能被修理，它将被删除或隔离以备日后检查。

    防毒墙对数据包进行状态检测过滤，不但能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等数据包进行控制，而且能够记录通过防毒墙的连接状态，直接对分组里的数据进行处理；具有完备的状态检测表追踪连接会话状态，并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过，通过连接状态进行更迅速更安全的过滤。防毒墙提供对黑客攻击强大的防御功能，可以防止系统被黑客攻击，确保关键业务正常运行。

    通过在内网部署杀毒软件网络版，对全网制定完善的防病毒策略，根据网络结构、网络应用的具体情况，实施统一的防病毒策略，使分布在每台计算机上的防病毒系统实施相同的防病毒策略，全网达到统一的病毒防护强度，防止系统网络被来自内部的病毒感染，保障信息系统安全运行。

    包神铁路网络信息安全系统

    ■ 关键特性

    该网络地域跨度大、子网多、结构相对复杂，要建立一个统一的、多层次、全方位、集中化管理的安全防护系统。

    ■ 选用产品

    瑞星防病毒墙、杀毒软件网络版等产品

    ■ 产品优势

    提供网关病毒扫描、数据包状态检测过滤、垃圾邮件过滤、反黑防御体系等全面功能。并具有QoS（服务质量）和完善的日志审计功能。

    ■ 实施效果

    该方案很好地解决了传统安全产品无法防止计算机病毒从互联网进入企业内部网络的难题，建立了全面立体的解决方案，使包神铁路信息安全得到了很大提升。