哈尔滨铁路局计算机综合网网络安全管理与防护

陈 力，刘 军

（哈尔滨铁路局 信息技术所，哈尔滨 150006）

网络技术

哈尔滨铁路局计算机综合网网络安全管理与防护

陈 力，刘 军

（哈尔滨铁路局 信息技术所，哈尔滨 150006）

通过介绍哈尔滨铁路局计算机综合网的网络安全管理现状，分析目前主要存在的网络安全隐患问题，针对这些问题提出强化网络访问控制、部署网络安全准入以及加强病毒防范等具体解决措施，为铁路局的生产经营打造健康安全的网络环境。

计算机综合网；网络安全准入；一机两网；病毒防范

随着铁路信息化发展的不断推进，哈尔滨铁路局计算机综合网络已基本覆盖了全局所有的站段和车间，为全铁路局40余项铁路重要应用系统的运用提供了稳定的数据传输平台，在全铁路局的运输组织、客货运营销、办公管理等多个领域都发挥着重要的基石作用，但其安全性也直接影响着全局正常的生产经营活动。因此，确保计算机综合网的网络安全至关重要。

1 计算机综合网现状

哈尔滨铁路局计算机综合网络建设10余年来，已覆盖了哈尔滨、齐齐哈尔、牡丹江、佳木斯、海拉尔5个地区的机务、车务、工务、电务、通信、车辆、客运、房产等基层站段650余家，联网车间、工区（班组）2 000余个，为全铁路局运输调度指挥、客货运管理及办公管理等40余项重要应用系统提供了便利、稳定的网络环境，是全铁路局计算机业务网络中应用最复杂、覆盖范围最广的综合应用网络。

计算机综合网网络结构图如图1所示。

2 计算机综合网网络安全存在的问题

2.1 “一机两网”

“一机两网”是指一台计算机，通过本机一个或两个网络适配器同时连接到两个不同的网络，并行处理这两个网络数据的运行方式。这种现象在一些基层站段经常出现，多数情况是一边接着互联网一边接着企业内网，从安全角度来看它潜在的危害非常严重。因为在企业内网中大部分计算机都存储有重要的数据资料，需要实行严格的内、外网隔离制度。

2.2 病毒防范

在计算机综合网中铁路局统一部署了McAfee防毒系统服务器与奇虎360防毒系统服务器，针对全铁路局联网计算机提供防病毒的升级与管理，但一些站段计算机并没有按照要求安装这两种防病毒软件，有的即使安装了也因病毒库升级不够及时，导致计算机感染病毒较多。尤其是感染网络蠕虫病毒后，会使病毒在网络中不断的被传播和复制，严重威胁计算机综合网络的安全。

图1 哈尔滨铁路局计算机综合网网络结构图

2.3 网络准入控制

铁路局计算机综合网的准入制度还不尽完善，技术控制手段单一，防控效果不好。在机关部门和基层站段普遍存在着计算机随意接入网络的现象，突出表现在一些个人电脑（PC或笔记本）私自接入企业内网，这些计算机没有采取任何安全防范措施就直接联入网络，一旦这些计算机携带病毒或木马等有害程序将对计算机综合网络的整体安全构成很大威胁。

2.4 计算机综合网与互联网间访问控制

按照国家信息安全部门和铁路总公司的规定，铁路内部网络与互联网之间必须实行严格的物理隔离。铁路局计算机综合网与互联网间采用的是动态物理隔离，只允许特定的业务数据流能够通过网络安全管理控制平台穿越互联网实现对计算机综合网的内部访问，这在一定程度上解决了两网间数据交互的问题，但无法实现大数量的高效交换，很难满足日益增长的应用需求，同时也存在一定程度的安全风险隐患，尽管这种风险很小并可控。

3 具体解决措施

3.1 加强计算机综合网网络安全管理和内部访问控制

主要3个方面：（1）强化管理，坚决杜绝“一机两网”的现象。首先，严格落实铁路局网络安全相关管理制度，加强考核监督。其次，运用网络侦测等技术手段加强对入网计算机的管控，一旦发现计算机有“一机两网”现象，立即切断该计算机对内网的链接，阻断其对内网的访问。（2）严格限定安全生产网、内部服务网及外部服务网三网间跨区域访问控制，合理制定访问规则，严格界定访问权限，有效防范内网的安全风险。（3）从源头抓起，做好病毒防范工作。按照铁路局统一部署及时做好防病毒软件的安装和升级管理工作，减少病毒滋生的土壤。同时要在病毒传播途径上下功夫，通过部署防毒墙、防火墙等安全设备封堵病毒传播途径，发现病毒及时查杀。此外，还要做好操作系统补丁的升级工作和安全漏洞的升级更新工作，有效地防范病毒对操作系统造成的破坏和侵入。

3.2 部署计算机安全准入控制系统

通过对联入内部网络的计算机自身“安全”情况进行审查，例如检查计算机的防病毒软件安装情况、病毒库升级情况、防火墙策略配置情况、操作系统补丁安装升级情况，以及是否安装可疑有害程序、是否存在“一机两网”等诸多情况，判断接入计算机是否存在安全隐患问题，再根据准入控制规则，对不符合入网要求的计算机自动隔离至指定网络区域，执行安装安全软件、升级系统补丁等相关补救工作，确保接入计算机符合入网要求后才可联入内部网络。

3.3 完善计算机综合网与互联网的访问控制机制

目前，哈尔滨铁路局一直采用全路统一网络安全平台内外网访问机制，由于某些特殊原因仅应用于少数特定业务中，没有全面推广使用，但是企业内外网之间的数据交互需求越来越多，因此必须尽快完善内外网络访问控制系统，采用更先进的“动态物理隔离”技术，加强安全审核认证机制和病毒过滤机制，实现多层次纵深网络安全防护，解决内外网之间互访的安全瓶颈问题。

3.4 提升内部员工网络安全防范意识

铁路局近年来信息化发展迅速，必须尽快加强制度建设，依规落实管理责任。不断加大安全管理制度和安全防范措施的宣传培训力度，使网络安全责任深入人心，让职工不断增强自我安全防范意识。

4 结束语

随着全路信息化建设的不断发展，必将会对哈尔滨铁路局计算机综合网络提出更高的要求，我们要不断加大安全技术投入，完善安全管理机制，提升安全管理水平，为铁路局的信息化发展打造高效、稳定、安全、健康的网络环境。

[1]谌 玺，张 洋.企业网络整体安全[M].北京：电子工业出版社，2011.

[2]张 栋，刘晓辉.网络安全管理实践[M]. 3版.北京：电子工业出版社，2012.

[3]张素娟，吴 涛，朱俊东.网络安全与管理[M].北京：清华大学出版社，2012.

[4]王海军.网络信息安全管理研究[M].济南：山东大学出版社，2010.

责任编辑 徐侃春

Network security management and protection on computer integrated network in Harbin Railway Administration

CHEN Li, LIU Jun
( Institute of Information Technology, Harbin Railway Administration, Harbin 150006, China )

The paper introduced the current situation of integrated network security management in Harbin Railway Administration, analyzed potential security problems. In the meantime some concrete measures were taken to solve these problems, such as tightening network access control, deploying network security admittance, strengthening the virus prevention. These measures would help to create safe network environment for railway production and management.

computer integrated network; network security admittance; one computer with two networks; virus prevention

U29∶TP39

A

1005-8451（2015）06-0051-03

2015-01-26

陈 力，高级工程师；刘 军，高级工程师。