铁路计算机终端安全管理体系构建的探讨

张 勇 上海铁路局信息技术所

我局铁路信息系统由调度、车务、机务、电务、工务、车辆等多个部门的业务管理信息系统以及办公自动化、决策支持等综合信息管理系统等几十个子系统组成，在结构上覆盖了路局、站段、车间、班组四个层次，在范围上覆盖了局管界内各单位成千上万个计算机终端。分布在信息系统末端的铁路计算机终端中分布着大量的、极具实用和决策分析价值的生产数据，这些数据涵盖了我局货源分布、货物流向、生产经营、收入明细、客户资源、运力资源等状态信息。可以说，铁路计算机终端与我局铁路信息安全密切相关。

随着信息安全技术的高速发展，攻防手段的不断更新，从国内信息安全现状来看，终端安全已成为信息安全防御体系中薄弱的一环，是最短的一块板。调查显示，超过80%的信息安全威胁来自内部计算机终端。此外，为提高我国网络与信息系统安全保障能力和水平，国家制定了《信息安全等级保护管理办法》，同时还推出了等级保护基本要求等相关标准。加强终端安全管理，提高终端安全防护能力是等级保护安全建设整改的重要内容之一。

为了落实国家等级保护的要求以及铁路信息系统自身运行管理的需求，在铁路计算机网络中加强计算机终端安全管理，以保证铁路信息安全是非常具有现实意义的。

1 计算机终端安全管理现状及对策

我局铁路信息系统的计算机终端地理位置分散，用户水平参差不齐，承载业务不同，需求各异，这就决定了终端安全管理的复杂性和多元性。我局已制定了相关的终端安全管理规定（包括系统补丁、口令、防病毒、保密等)，建设实施了全路统一的Mcafee防病毒系统及BES补丁管理系统，对全局病毒防范策略制定及系统补丁升级进行统一管理，全面实现了终端病毒防护、病毒疫情实时监控、系统及时升级和漏洞实时监测，有效防范和控制了病毒、恶意程序的肆虐和蔓延。

但计算机终端安全管理是一个复杂的问题，随着信息技术水平的不断发展，新问题不断涌现出来。比如说路局明确规定计算机终端和移动存储介质只能专网专用，内网终端不能上外网；但目前无法有效阻止内网终端通过无线网络（WiFi等）、无线上网卡等方式在线上互联网，无法有效控制内网移动存储介质在互联网和内网间混用等情况。显然目前的防护措施不足以解决新问题，网络和信息安全是三分技术，七分管理，必须从管理和技术两个层面全面考虑，统一规划，建立全局统一的计算机终端安全管理体系：

（1）管理层面：建立健全计算机终端安全管理规范和制度。针对铁路计算机终端安全管理面临的新问题，对原有管理规定进行梳理，形成一套完整的终端管理标准规范、管理制度、教育培训制度，确保计算机终端安全管理的制度标准化，为技术支撑体系的应用提供制度保障。

（2）技术层面：建设全局计算机终端安全管理系统。采用先进的终端安全管理技术对终端作统一管理，与现有Mcafee防病毒及BES补丁管理系统等安全保障系统相辅相成，确保全局终端网络准入控制、非法外联监控、移动存储介质使用、涉密文件审计等方面管理的标准化和自动化，全面掌握全局计算机终端的安全态势。

2 构建计算机终端安全管理体系

2.1 建立健全终端安全管理规范和制度

针对铁路计算机终端安全管理面临的新问题，在原有管理规定的基础上，形成一套完整的铁路计算机终端安全管理规范和制度，解决目前终端安全管理中存在的规范和制度不完善的问题。这套规范和制度要与信息安全技术和铁路信息系统未来的发展相适应，同时满足国家等级保护基本要求及国际与业界安全管理标准ISO27001的主要内容，为进行有效的终端安全管理工作提供支持。具体来说包括以下内容：

（1）标准规范：针对计算机终端管理工作中需要的实际管理要求制定相关标准和规范，为计算机管理人员日常管理提供常态参考标准，为终端用户人员日常操作提供遵循依据。根据铁路实际情况，制定《计算机终端安全管理规范》，对终端网络准入、无线网卡及无线网络使用、移动存储介质使用、软件安装、涉密文件处理等作出明确规定；制定《计算机终端管理员维护手册》，对终端的日常管理工作制定技术维护标准，实现统一的常规操作和运营维护管理；制定《计算机终端操作规范》，对内部用户的平时行为进行规范。

（2）管理制度：建立健全计算机终端安全管理制度，制定《计算机终端运行管理考核制度》，促使各级人员积极参与终端安全管理工作，而不仅仅是计算机维护人员参与，确保制定的标准规范得到有效落实，而不只是停留在纸面上当作摆设。

（3）教育培训：制定必要的终端安全教育与培训计划，对内部人员进行教育和培训。安全意识和相关技能的教育是信息安全管理中重要的内容，其实施力度将直接关系到信息安全策略被理解的程度和被执行的效果。可采用案例分析、新闻播报、知识竞赛等形式来提高员工对安全教育的兴趣，实际掌握安全防护技能，使安全教育深人人心。

2.2 建设全局计算机终端安全管理系统

只有建立统一管理的计算机终端安全管理系统，统一配置终端安全策略，监测、分析和管理终端安全状态，才能确保前面制定的《计算机终端安全管理规范》等规范得到技术上的落实，全面掌握全局计算机终端的安全态势，提高铁路计算机终端的安全保障能力。

2.2.1 功能规划

根据铁路计算机终端安全管理的现状，该系统需实现下列功能：

（1）执行计算机终端网络准入控制管理。设置准入的安全策略对接入终端进行验证，根据终端安全性检查结果，确定终端接入方式。对于认证失败的用户，断开其网络连接；认证成功但安全性检查没通过的终端，放入隔离区自动引导其完成完整性修复；认证和安全性检查全部通过的终端才能接入内部网络。杜绝任意终端未经任何身份认证和安全认证，就可以随意接入网络，访问网络和计算机的资源，对整个网络和应用造成很大的安全威胁。

（2）执行“一机两用”非法外联行为监控管理。对内部终端“一机两用”、“一机两网”行为进行实时监控及阻断报警；对内部终端通过不同方式（如无线网卡、双网卡、代理、MODEM等）连接互联网，系统能够自动阻断其连接行为并报警。系统还应能限定内部终端（包含便携笔记本）只能在路局内部网络使用，无法接入其他网络（包括互联网），防止“一机两用”现象的发生。

（3）执行移动存储介质使用管理。对允许在内部网络使用的存储介质进行统一标签认证，未打标签的存储介质不能在内部网使用；同样，打了标签的移动存储介质在外部环境中无法使用；杜绝局域网、互联网终端所使用的存储介质混用的现象发生，防止内部信息外泄。

（4）执行终端涉密文件审计管理。系统应有效防范内部涉密信息及文件的泄露，能对终端指定目录或盘符下的内容检查其是否包含涉密内容并及时报警。

（5）执行终端安全行为监控管理。主要包括：①系统应可以启用或禁止使用内部网络终端的并口、串口、移动存储设备、无线网卡、蓝牙、USB等外设，防止通过终端外设进行非法外联，并减小病毒传播的风险；②对内网终端用户有弱口令的情况进行实时监控；③对内网中使用路局内部禁用软件的终端进行实时监控，自动发现报警使用违规软件的终端，杜绝影响工作效率的非工作软件（聊天软件、游戏软件、电影播放软件等）的安装和使用。

（6）执行异常行为监控管理。对内网中所有终端的流量进行实时监控，对流量过大可疑的终端报警，确保快速有效定位病毒、蠕虫引入点，及时、准确地切断安全事件发生点和网络。对内部终端进行IP与MAC地址的绑定管理，防止用户私自更改IP地址造成网络地址冲突。

（7）执行资产汇总、日志审计等其他管理。资产管理功能应实现对全网终端软硬件资产的统计汇总，系统报表日志管理功能应提供详细的各种审计日志报表输出，通过上述详细的报表分析为管理决策提供支持，提高资源分配和使用的合理性，提升网络安全管理的整体水平。

2.2.2 部署规划

计算机终端安全管理系统需在铁路计算机网络内部署安全管理服务器，对全网进行计算机终端的各种策略设定和配置并对终端进行各种行为和状态的监控，所有终端需要安装客户端程序以对其进行监控和管理。

根据我局网络现状分析，内部计算机网络近2万台终端分布在不同的物理位置，属于跨地域分布。从管理、投资费用角度综合考虑，终端管理系统的部署应采用级联管理模式，即二级管理部署，部署示意见图1。

图1 系统部署示意图

路局设置终端管理系统的中心管理服务器（一级管理服务器），一级管理服务器对全局所有终端进行接入认证管理及策略管理，接收二级管理服务器上报的报警信息，同时一级管理服务器可以制定全局策略在全局范围内使用，如准入控制策略、“一机两用”策略等。在徐州、蚌埠、南京、上海、杭州地区设立系统的二级管理区域，在各地区核心机房安装终端管理系统二级管理服务器，各二级管理服务器向路局一级管理服务器上报报警信息，同时接收路局下发的全局策略。除路局下发的全局策略外，本地管理员可以根据各分属机构网络管理情况制定本地专用管理策略。

客户端程序可采用动态页面方式部署。具体实施时在路局内部办公网主页上嵌入客户端注册信息检测脚本，当终端用户访问网站主页时，脚本将自动检测客户端注册情况。若没有注册，则弹出提示框提示其注册。终端注册后将接受终端安全管理系统的管理和控制。

3 结束语

计算机终端安全管理标准规范和规章制度的制定保证了铁路终端安全管理的制度化和标准化，为技术支撑体系的应用提供制度保障；终端安全管理系统的建立对全局终端进行状态安全管控，确保安全管理规范得到技术上的落实，全面掌握全局计算机终端的安全态势；二者相辅相成，构建了全局统一的计算机终端安全管理体系，将有助于进一步提高我局的信息安全管理水平，也可满足《信息系统安全等级保护基本要求》等国家相关政策和法规对计算机终端安全管理的要求。