網絡安全防御體系的功能研究
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網絡安全防御體系的功能研究范文,希望能給你帶來靈感和參考,敬請閱讀。
【摘要】近年來,我國大力發展客運專線,以滿足我國鐵路運輸市場的需求。客運專線的建立及運營對信號系統的要求也更高。論文主要對客運專線信號系統的基本組成進行介紹。
1引言
CTC又名分散自律調度系統,該系統的功能主要是確保列車安全正常地行駛,調度生產業務系統。這一系統具有2大特點,即獨立成網及封閉運行,并且其主要組件并不強大[1]。客運專線的行車安全主要在于系統的保密性、完整性、可用性3點,按照我國等級保護防御區劃分原則和信息系統的功能、安全性能等標準,客運專線CTC系統必須具備防火墻、入侵檢測、動態口令、安全漏洞、SAV網絡病毒防護5個安全系統。
2防火墻及入侵檢測系統
CTC的安全防御系統中,防火墻和入侵檢測系統屬于基本安全設施,這對于構建安全密實的網絡系統十分必要。防火墻的功能是過濾數據包,對鏈接狀態進行檢查,并檢查入侵的行為和會話。防火墻按照用戶定義對一些數據實行允許進入或阻攔,以確保內部網絡設備及系統不會遭受非法攻擊,從而影響訪問。此外,可以實現每個通過防火墻的鏈接都可以快速地建立對應的狀態表。如果鏈接異常,會話遭到威脅或攻擊后,防火墻可以很快地阻斷非法鏈接。通過入侵行為的特點,入侵系統可以及時地對每一個數據包進行認真檢查,如果數據包對系統存在攻擊性,入侵檢測系統必須及時斷開這一鏈接,并且由管理人員定義的處理系統會盡快獲取幕后攻擊者的詳細信息,同時,為要得到處理的事件提供對應數據。CTC網絡的結構性質為雙通道冗余結構,CTC中心和沿線的各個車站數量龐大,并且有著海量的數據流量,業務連接安全性要求很高,CTC中心和沿線車站的各個接口都安置了4臺中心防火墻,每網段安置2臺;CTC中心和其他系統接口各安置2臺防火墻,采用透明模式進行接入。客運專線CTC系統防火墻詳見圖1。
3安全漏洞評估
安全漏洞的評估系統是一個漏洞及風險評估的有效工具,主要用來對網絡的安全漏洞進行發現、報告以及挖掘,主要作用是對目標網絡設備安全漏洞實行檢測,并提出具體檢測報告以及安全可行的漏洞解決方案,使系統管理員可以提前修補可能引發黑客進入的多個網絡安全漏洞,避免黑客入侵帶來損失。客運專線CTC系統中心完整地部署了一整套安全漏洞評估系統,基于全面以及多角度的網絡關鍵服務器漏洞分析的評估基礎,確保CTC以及TDCS等系統安全運行。還能對黑客的進攻方式進行模擬,并提交相應的風險評估報告,提出對應的整改措施。預防性的安全檢查暴露了目前網絡系統存在的安全隱患,對此必須實行相應的整改,最大程度地降低網絡的運行風險。漏洞評估組需要在網絡安全集中管理平臺下實現統一監測,并且匯總漏洞威脅時間,結合實際情況及設施制定相應的安全策略。當前存在的安全漏洞掃描一定要從技術底層實現有效劃分,分別對主機及網絡漏洞進行掃描。主機漏洞評估EVP,針對文件權限、屬性、登錄設置的值和使用者賬號等使用主機型漏洞評估掃描器進行評估。網絡型漏洞掃描器NSS,在網絡漏洞基礎上的評估掃描器采用黑客入侵觀點,自動對網上系統和服務實行掃描,對一般性的入侵和具體入侵場景實行真實模擬,最重要的是測試網絡基礎設施的安全漏洞,會提供相應的修補漏洞意見,掃描圖形視圖的完整顯示過程,掃描相應漏洞而且對漏洞的出現原因進行查找,提供具有實際執行可行性的管理報告,針對多個系統實施掃描。
4反病毒網絡系統
根據病毒具有的特征以及多層保護需求,客運專線CTC系統必須要統一、集中監控、多面防護,正對整體以及全面反病毒系統實現積極有效的安排,并融合各層面,覆蓋CTC中心、下屬車站等。并且還要在客運專線的中心部署2臺SAV反病毒服務器,二者相互輔助。對服務器設備和車站終端等實施統一的SAV客戶端,并且對網絡內存的所有病毒實行統管理、分析,監控、查殺[2]。以整體反病毒解決方案為依據,網絡反病毒系統的部署具體要從下面幾項開展,多操作系統的服務器、反病毒軟件、集中監管的多個系統。
5動態口令
身份認證屬于安全防御線的第一道保護。我國的CTC安全建設在最初的使用中運用的是靜態密碼認證,每一系統和設備都具備自身的專屬密碼,管理很不方便。大量的管理和維護導致操作人員難以實現方便快捷的使用,因此,出于使用便利,會將設備密碼設置為統一密碼,系統內各種網絡設備和服務器的密碼基本上人人都知道;另外,靜態口令極易被人猜出、截獲、破解,黑客可以通過對密碼的猜測或使用成熟破譯軟件破解用戶口令,導致CTC面臨極大的隱患。在CTC系統網絡中,對CTC系統中心設置相應的動態口令,隨后客戶端認證請求會自動地分配到認證服務器,該模式充分降低了服務器的工作負荷,提升了系統性能。身份證的依據和訪問控制組能通過網絡安全集中管理平臺發揮監測、報警等功能。安全策略的集中配備,對安全事件進行統一響應,并且充分實現分層、統一用戶管理、訪問認證授權AAA等策略。動態口令身份認證在AAA認證中的功能為雙因素認證,有效解決了靜態口令存在的多種問題,提升了系統的安全性。客運專線CTC系統運用動態口令后,實現了對整個網絡、運用和主機等的統一覆蓋,實現了安全的身份認證控制訪問組件,統一身份認證和授權統一,同時還提供了集中身份認證等,通過授權嚴格對多個訪問資源權限實施限制。
6結語
目前,客運專線CTC中心網絡運用安全,正處于建立知識信息安全系統和確保信息化的重要階段,在這一進程的后期階段還要滿足國家等級保護政策需求,對縱深防護體系進行深入研究,確保鐵路運輸生產業務順利開展,充分實現鐵路信息化運行,將鐵路運行的安全性實現提升。
【參考文獻】
【1】戴啟元.客運專線CTC系統網絡安全設計[J].鐵道通信信號,2010,46(4):66-68.
【2】李一龍.客運專線CTC調度集中應急處置仿真系統開發研究[J].長沙鐵道學院學報(社會科學版),2013,14(4):223-224.
作者:范立敏 單位:沈陽鐵路局錦州電務段
