大型企业中计算机网络安全防护体系
本文针对计算机网络安全的现状,结合在铁路行业实际工作经验,从网络安全技术、安全管理角度论述了在铁路计算机网络内建立安全防护体系的构想。
[关键词] 网络安全 关键技术 铁路网 网络管理 防护体系 一、引言 铁路系统的计算机应用和信息化建设已具规模,TMIS、客票、调度、集装箱和物资等管理信息系统相继建成并已投入使用。
在铁道部、铁路局、基层站段三级网络的支撑下,以TMIS和电子政务应用为核心的各项计算机应用系统已在铁路运输生产中发挥着越来越重要的作用。
对于现代营销、现代物流和电子商务等应用系统,仅具有连通功能的网络是无法满足其要求的,针对大型企业网络安全方面存在的漏洞和隐患,利用简单的技术防范措施已无法解决。
必须调整网络结构,克服平面网络结构先天性的抵御攻击能力差、控制乏力的弱点,并采用先进的技术、加强基础设施和有效的网络管理,形成保证网络和信息安全的纵深立体防御体系。
二、建立计算机网络安全体系 对于网络而言,没有绝对保证的信息安全,只有根据网络自身特点,合理运用网络安全技术,建立适应性的安全运行机制,才能从技术上最大限度地保证信息安全。
1.网络安全关键技术 由防火墙(Firewall)、PKI(Public Key Infrastructure)公钥安全体系、虚拟局域网(VLAN)和物理隔离与信息交换系统等构成了网络安全的关键技术。
2.创建铁路网络立体安全防护体系 网络安全防护体系是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、通信加密、网络反病毒等多个安全组件共同组成的,每个组件只能完成其中部分功能。
(1)路由器。
路由器是架构网络的第一层设备,也是网络入侵者的首要攻击目标,因此路由器必须安装必要的过滤规则,滤掉被屏蔽的IP地址和服务。
例如,我们首先屏蔽所有的IP地址,然后有选择的放行一些地址进入我们的网络。
路由器也可以过滤服务协议,允许需要的协议通过,而屏蔽其他有安全隐患的协议。
入侵监测系统是被动的,它监测你的网络上所有的包(packets)。
其目的就是捕捉危险或有恶意的动作,并及时发出警告信息。
它是按用户指定的规则运行的,它的功能和防火墙有很大的区别,它是对端口进行监测、扫描等。
入侵检测系统是立体安全防御体系中日益被普遍采用的成分,它能识别防火墙通常不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息,帮助系统移植。
(3)防火墙。
防火强可防止“黑客”进入网络的防御体系,可以限制外部用户进入内部网,同时过滤掉危及网络的不安全服务,拒绝非法用户的进入。
同时可利用其产品的安全机制建立VPN(Virtual Private Networks)。
铁路内部网是铁路运输系统的指挥中枢,调度指令必须实时、准确下达。
内部网调度服务的实时可用性成为铁路信息系统最为核心的安全需求。
因此不能因为信息化建设过程中对外网访问的需求而影响内部网络系统的安全性及可用性。
物理隔离与信息交换系统是运用物理隔离网络安全技术设计的安全隔离系统,它保证内部网络与不可信网络物理隔断,能够阻止各种已知和未知的网络层和操作系统层攻击,提供比防火墙、入侵检测等技术更好的安全性能,既保证了物理的隔离,又实现了在线实时访问不可信网络所必需的数据交换。