铁路计算机网络安全论文

时间:2022-09-03 02:58:57

导语:铁路计算机网络安全论文一文来源于网友上传,不代表本站观点,若需要原创文章可咨询客服老师,欢迎参考。

铁路计算机网络安全论文

1我国铁路计算机网络面临的主要安全问题

我国铁路计算机网络的安全防护体系建设工作虽然获得了较大的改善,基本能够确保整个铁路计算机网络的安全、稳定运行。但是,其在实施过程中依然面临着一些问题,主要包括以下3个方面。

1.1计算机病毒威胁

计算机病毒作为一种人为制造的能够在计算机运行过程中对计算机信息、系统造成直接破坏的程序,其主要以存在于其他的应用程序当中。因此,具有隐蔽性强的特点,一旦携带病毒的计算机在运行过程中达到了病毒制造者所设定的条件,病毒将突然发作,对计算机的系统安全造成影响。当计算机病毒入侵情况严重时,将使得整个计算机网络系统瘫痪,造成部分重要数据出现丢失的问题。计算机病毒的特点主要包括:其一,传播速度快、制造与更新周期短。在1995年,全世界每个星期的计算机新病毒只有10多种,而至1999年则达到了平均每天6种新病毒的水平。当前,在世界范围内,每20min就会出现一种新的病毒,计算机病毒的制造周期明显缩短;其二,其扩散范围大、感染途径多。计算机病毒的传播不但包括传统的磁盘、光盘等存储介质,同时还包括了当前广泛应用的计算机网络,通过计算机网络进行传播。从计算机病毒的传播新途径来看,其传播的新途径包括了网络共享磁盘、网络共享文件夹、网络服务器、电子邮件等;其三,病毒种类多种多样,数量巨大。当前,计算机病毒呈现出几何级增长的趋势,当前活跃的计算机病毒达已经达到了14000种,且病毒的制造机理及变种持续演变,从最初简单的文本型、引导型以及混合型发展到当前的欺骗性、非文件型等,其欺骗性及危害性都更大。若铁路计算机网络感染了其中破坏力较大的病毒,则可能给整个网络的软、硬件系统造成损害。

1.2恶意网络攻击

恶意网络攻击包括了系统内部攻击以及系统外部攻击两种。从当前的情况来看,铁路信息系统网络承受的攻击类型以内部攻击为主,外部黑客攻击的威胁相对较低。但是,恶意攻击形成的威胁依然不能够被忽视。据相关资料统计,在当前已经发生的网络安全攻击事件当中,大约70%左右的攻击行为来自于系统内部。黑客在实施恶意攻击过程中,主要是利用计算机操作系统漏洞或者是数据库缺陷来对网络或者计算机中存储的重要数据进行恶意修改、获取敏感的机密数据等,有时甚至直接造成整个系统的瘫痪。2.3突发事件威胁铁路计算机网络系统所面临的突发事件威胁主要包括水灾、地震、火灾以及其他的极端气候条件等,这些突发事件的发生将造成整个运行系统的失灵,从而出现电源故障、设备不能正常工作,使得计算机数据库信息丢失、设备遗失、数据被盗等。另外,强电磁干扰同样会造成计算机网络的通信中断。

2铁路计算机网络安全系统的建没

针对铁路计算机网络安全风险所提出的计算机网络安全系统主要包括数字证书系统、安全访问控制系统等主要管理控制子系统,各个子系统通过相互协同的方式完成对铁路计算机网络及信息平台的保护。在整个系统建设过程中,采用了“应用分区、安全分级、网络分层”的基本原则,以做好基础网络设施建设、保护网络边界安全、确保局域网环境等工作为网络安全防御建设作为主要工作内容。

2.1铁路计算机网络安全系统的整体架构

铁路计算机网络安全系统建设将计算机网络纵深防御体系作为基础,通过全路网络的所有拓扑结构进行物理以及逻辑上的划分来形成安全网络体系。例如,根据网络功能,将局域网划分成为安全生产网络、内部建设服务网络以及外部服务网络3个纵深的结构层次,而且通过使用隔离设备将内部网络与外部网络隔离开来,实现设备的动态物理隔离。同时,将广域网划分成为骨干网与基层网,这样就将传统的平面网络结构变成了多层次的网络拓扑结构,最终逐步形成了具有不同安全区域的纵深网络防御体系。根据铁路通信信息系统的安全需要,还将相关的业务网络与外部服务网络连接起来,通过密码技术对两个网络之间的信息通讯进行加密隔离,保证达到内部和外部双重保护的目的。另外,在自主安全管理及控制体系作用下,能够实现数据的可靠控制交换,最终达到保护铁路计算机网络信息安全的目的。

2.2铁路行业专用数字证书子系统

铁路行业的数字证书主要包括数字签名以及加密证书两种基本形式。通过建设铁路行业的数字证书认证系统能够基本形成全路网络访问的内部身份认证基本体系。利用网络访问身份认证的方式,可以实现对铁路计算机网络系统内部信息以及数据资源的有效保护。当前,针对铁路计算机网络建立起来的数字证书体系是基于公钥设施的一种(PKI/CA)体系,同时也是作为确保计算机网络信息安全的一种访问控制基础设施。其具有相对集中的数字证书认证中心(CA)、授权数字证书认证服务(RA)已经初步形成了铁路数字证书认证管理体系。CA层包括了根CA、二级CA(MORCA)以及密钥管理体系。而RA层则包括了所有各级铁路局级的RA。整个数字证书系统采用了标准的LDAP接口以及目录服务,实现了实时数据的存储与修改。通过构建的铁路数字证书认证体系,不但能够为用户提供身份的强制认证体系,确保了系统的信息及数据安全,同时还为访问者提供了数据交换以及数据获取的可追溯依据,有效地保证了数据安全。

2.3访问控制子系统

铁路计算机网络安全系统的中心是访问控制子系统,其通过集中认证授权以及对应的机制实现了用户在对应区域内的授权访问行为控制。通过应用机制有效地防止了用户对数据资源的直接操作,通过将系统在网络中具体的位置进行隐藏,使得用户数据资源的获取行为得到控制,提高了整个网络的信息安全程度。在依据相关策略进行授权的基础上,能够很好地对用户访问资源进行控制,确保信息资源流动的合法性。访问控制子系统将机制作为基础,针对不同级别的用户采用了不同的安全级别,也可以针对安全级别不同的资源采用多层次、多节点的访问控制机制。服务系统通常可以分为反向、正向以及应用与安全几种基本的类型,其中的应用包含有Web服务以及数据传输安全几种类型。通过应用Web服务能够实现网络系统内部客户端对Internet与内部网络的访问,形成对访问行为的认证、授权、缓冲策略体系。在访问控制系统当中,数据传输的安全是基于XML协议与SAML协议建立的。任何进入到内部网络中的访问行为都必须经过PKI/CA认证以及授权,且传输的数据还必须通过安全机制的合法性检查与认证处理。这样就形成了单点登录与多层次授权相结合的控制方式,实现了对网络系统的多层次保护。访问控制系统是内、外部网络进行数据交换的必要渠道,通过使用信息交换设备以及安全隔离机制实现了内部与外部网络的合理连接,使得任何时刻网络内部和外部之间都不会出现直接连接的问题。

3强化应用层安全机制建设

应用层的访问通常包括了基于Internet的广域互联网络访问、铁路系统自身业务等。基于应用层的安全机制管理措施是针对应用层的访问行为而提出的一种可以审计的安全管理策略体系。

3.1优化信息安全审计程序

安全审计是铁路计算机网络安全建设及控制的一个重要环节,通过安全审计环节能够详细地对通过网络的所有信息操作行为进行记录,例如:对安全产品配置的更改、信息读取或者对服务器数据更改;不同子网络之间的数据交换行为等。安全审计给系统管理人员提供了一个详细的数据“流向”日志,可以有效地支持网络系统管理人员的信息审计需要,有需要时还可以对用户所访问的信息进行内容恢复、对话还原等,便于对计算机信息非法行为的控制。

3.2故障恢复与信息备份

故障恢复与数据备份主要包括了关键系统的双机备份、重要数据的冷备份等措施。

(1)故障恢复。

通过使用多台计算机形成网络集群结构的方式,使得整个系统不会出现单点故障问题。对于关键性的应用系统,通过使用系统内的双机热备份方式能够在一台设备失效时迅速进行切换。通过磁盘镜像的方式,应用两台服务器使用光纤共享磁盘,能够实现主机磁盘系统的高速连接。

(2)数据备份。

对于铁路系统中的关键性业务,必须形成必要的热备份机制,例如上文中提到的双机热备份、磁盘镜像等措施。对于所有的其他业务数据,必须建立磁盘冷备份以及数据恢复机制,确保所备份的数据能够在短时间内恢复到所制定的时间状态。

4结束语

当前,我国的铁路事业正处于关键的发展时期,在这个时间段离不开信息化的建设,而21世纪的信息化网络为铁路事业的发展提供了有力的支撑。这时,只有建立一个安全可靠、信息流畅的铁路计算机网络才能更加充分地发挥铁路在国民经济建设中大动脉的作用。

作者:张京单位:太原理工大学太原铁路局太原车务段