铁路网络安全现状初探及建议

2010-06-20钟小华上海铁路局芜湖车务段

上海铁道增刊 2010年4期

钟小华上海铁路局芜湖车务段

信息化网络在当今铁路运输物流的过程中扮演着异常重要的角色。不管是客票发售、车站作业，还是运输生产数据的传递，都离不开计算机网络。上至领导决策，下至一线班组，覆盖面之广，深入运输生产之深，使得网络安全问题日益突出。如何确保计算机网络免遭破坏，保证信息网络的安全，是当前面临的重大课题。

1 铁路计算机网络安全建设现状

自上世纪九十年代信息技术飞速发展以来，铁路在其主营业务上率先应用了计算机、网络等新技术，为客货运行车等提供了强有力的支撑，大大提升了工作效率，为世界上最繁忙的铁路运输网做出了巨大贡献。从客货运业务到办公自动化，信息化网络覆盖了铁路所有的岗位，终端类型多种多样，网络架构复杂，接入部门众多，包括一些和铁路部门有业务往来的重点企业，使用人网络安全意识缺失，移动存储设备等广泛使用，使得铁路网络存在着诸多安全薄弱环节，隐患很大。

在列车调度指挥系统（TDCS）和分散自律调度集中系统（CTC）上，信息安全防护体系主要包括：防火墙、网络防病毒系统、身份认证、安全漏洞评估系统。在铁路客票发售网络上，信息安全防护体系有：前台终端有永达安全管控系统、用户身份认证系统，在路局级则有业务和管控系统服务器负责业务安全管理等。在铁路综合信息网络上，信息安全防护体系有：防火墙、网络防病毒系统等。它们主要是依靠网络的封闭性即物理隔离来确保安全，但是一旦有外来设备接入，系统缺少相应的预警和检测机制来防范未经授权的非法接入，内部网络系统没有足够的安全管理机制。铁路综合信息网负载的应用系统众多，单一防病毒系统更无法应对恶意的非法入侵和因个人操作系统、生产应用系统存在的大量安全漏洞引起的安全问题。

2 当今计算机网络面临的安全威胁和常见防护措施的缺陷

2.1 计算机病毒

作为一种恶意的程序，能在系统中生存、传播、自我复制，给计算机系统造成严重损失。网络的互通更给了病毒广阔的传播空间，对它的检测难度也更大。病毒可以通过各种移动存储设备、电子邮件、网络下载、文件传输等方式传播。单机上的病毒有时可通过删除带毒文件、低格硬盘等措施将病毒彻底删除，而网络中只要有一台工作站未能杀毒彻底就会使整个网络重新被感染。蠕虫木马等更是严重影响网络传输性能。比如，前几年的“熊猫烧香”造成exe文件全部无法正常运行，系统运行很慢，而且借助于windows系统的默认共享在网络中大肆传播，给很多主机造成了巨大的破坏。像“arp欺骗”病毒，更是典型的网络杀手，通过伪造网关地址或者是用错误的mac地址来欺骗网关造成局域网内主机无法正常上网。

2.2 系统漏洞

铁路信息系统种类众多，比如unix、linux就有很多版本的应用、windows更是个人办公平台的标准操作系统；数据库方面，oracle、sybase、sqlserver 等主流软件都有应用于关键生产信息系统；iis、apache、ftp server等也大量应用在内部网站建设上。C/C＋＋、Object pascal、java、vb等各类语言编写的软件都有应用。操作系统自身存在的安全漏洞，无法及时地得到安装补丁服务，语言的某些设计缺陷，站点在配置上没有严格限制访问权限，telnet、ftp服务的匿名开放，口令文件缺乏安全保护等等都成了网络安全的一大威胁。另外，网络传输协议、ActiveX插件、设备硬件驱动等的漏洞也成为了网络攻击的新热点。

2.3 数据泄漏

数据泄漏已逐渐成为企业最关心的问题之一，随着新介质、电邮、社区等新型信息传播工具的应用，数据泄漏攻击出现新的特征：通过U盘、移动硬盘、蓝牙、手机等传输模式携带或者外传重要敏感信息；通过植入木马盗取主机介质或者外设上的重要信息数据；通过截获互联网传播的e-mail信息或无线传播的数据，获取敏感信息。由于信息已经成为经济社会中重要的竞争力，对保密信息的窃取早已成为信息网络安全的防范重点，像“摆渡木马”的出现更应敲响我们的警钟。这种专门针对内外网隔离的木马正是利用了windows系列操作系统宏自动执行功能等方式将木马植入计算机，借助于U盘等移动介质来盗取机密数据。当某台接入互联网的机器被植入摆渡木马后成为病毒源，有移动存储介质接入该机器就会被感染，然后借助于移动存储介质来扩散感染面，每一个移动存储介质将内部网络机器中的机密信息收集隐藏于自身后，当它接入互联网，会自动将机密信息传送出去，给企业造成巨大的损失。

2.4 内部威胁

企业员工由于对网络安全认识不足，漠视安全规定，所采取的安全防范措施不当等，导致了网络安全事故逐年上升。诸如一机接两网，通过modem拨号、无线宽带等绕过企业统一的网络管理浏览不安全的网站造成病毒的传入，使用U盘、数码相机等移动存储设备造成信息被动泄密，越权访问保密信息，甚至有意泄漏保密信息，都给企业造成了不小的损失。而这些都是防火墙、杀毒软件等无法防范的。

2.5 防火墙的局限性

传统防火墙，作为工作在可信网络和不可信网络之间的安全防护设备，包括包过滤、状态检测、应用代理等多种类型。可实现基于网络层的IP包头和TCP包头的策略控制，还可以跟踪TCP会话状态等，限制对某些特殊服务的访问，但对于网络内部的攻击和信息泄露，对来自于外部应用层合法但恶意的攻击依然束手无策，因为为了确保通讯，防火墙内的端口都必须处于开放状态。

3 加强铁路网络安全的对策建议

3.1 防火墙和入侵检测（IDS）的联动

入侵检测系统就像一个倾听者藏在防火墙的身后，不去对网络访问做控制，不去限制信道流量，它从中发现违反安全策略的行为和攻击迹象，网络管理人员可以根据入侵检测的结果来修正防火墙的过滤规则，弥补了防火墙内容检查和协议解析的不足，但是损失可能已经造成。所以，实现入侵检测和防火墙的联动可以提高防范攻击的功效。其主要方式有：系统嵌入方式，把入侵检测嵌入防火墙中，入侵检测的数据都是流经防火墙的数据流，所有通过的包都要接受防火墙的验证；端口映像方式，防火墙将一部分流量镜像到入侵检测系统，IDS再将处理后的结果告知防火墙，要求其修改相应的策略；专用响应方式，入侵检测系统发现网络中存在攻击企图时，通过一个开放接口与防火墙通信，双方按固定协议进行安全事件传输，更改防火墙策略封堵攻击源。通过这种联动，对外网的攻击起到了一个有效的阻隔作用，对内部合法用户的滥用行为也能识别，提升了企业内部网络的安全系数。

3.2 应用内外网安全隔离网闸

随着铁路逐步实现现代化、高效率的经营模式，原有局限于企业内部网络的经济活动必然会被更大范围的电子商务体系所涵盖，这时在内外网络之间进行安全可靠的数据交换，确保数据服务准确正常至关重要，某些系统、应用服务就必须要实现内部网络和互联网的交互，但是直接借助于tcp/ip协议来完成数据交换必然存在巨大的安全隐患，破坏了铁路信息网络的独立性，极易遭受攻击。

网闸是一种使用带有多种控制功能的固态开关读写介质，连接两个或多个独立主机系统的信息安全设备。不存在通信的物理和逻辑连接、传输协议，不存在信息数据包转发，只有文件等静态数据流的“摆渡”。摆渡之前还要进行代码扫描等安全审查，只有通过严格身份认证的用户才可以获取所需数据。网闸对数据包的分析主要是防止黑客恶意伪造非法数据来入侵内网和破坏核心数据库，它主要借助于硬件模块来高效完成。另一方面，对数据的同步、确保完整、有效，还有配合数据库的软件机制来保证。这样，就可以实现不同网络间信息的实时可靠同步。

3.3 终端安全管理

当下的单个计算设备已经成为危害网络安全的关键点之一。仅仅依靠防病毒网络软件和操作系统本身的用户登录认证和文件读写授权已不能满足安全需求。我们需要的是针对所有网络终端的接入安全管理系统：涉及到终端的网络接入许可、系统软件补丁分发、防病毒软件安装及病毒库更新、移动存储介质管理、ip地址分配、实名认证等多个方面。我们可以在路局级设立安全管理服务器、认证和修复服务器等，局管内所有终端安装客户端，通过实名注册，匹配员工信息库信息后，检测终端的安全防护策略，若符合要求，允许其以预设静态IP地址接入网络，若不符合安全策略，则要将其连接到修复服务器，实现对终端的安全监控和管理。图1即为终端用户的工作流程。

图1 终端用户的工作流程

终端在达到网络的安全认证级别后，才可接入网络。安全管理系统的另一主要功能就是对存储介质进行统一认证，使用加密存储、访问控制等手段，有效防止未经认证的移动设备联网，同时还将操作涉及的信息及过程生成日志，以便事后审计。

3.4 提升Web应用安全

Web网站在铁路内部网络上广泛地应用，是办公自动化、电子公文、电邮系统、各类安全生产管理、数据采集、软件升级分发等的平台，自然也是安全防范的重点。虽然路内网站很少出现主页被篡改、挂马、钓鱼等获取用户密码、因DDos攻击无法服务等情况，但我们仍要采取必要的技术手段来防范，比如Web应用防火墙。它作为客户端和服务器端的“中间人”，避免web服务器直接暴露在网络上，提供了以下功能：(1)网页篡改在线防护，实时过滤诸如sql注入、跨站脚本攻击等；(2)网页挂马在线防护，自动过滤恶意代码；(3)网站隐身，比如网页主目录的绝对路径、出错的sql语句及参数、系统配置信息等；(4)敏感信息泄露防护，实现指定敏感关键字的自动过滤。这样可以有效减少网站的安全隐患。