鐵路站段網絡安全防護方案

時間:2022-09-01 11:18:09

導語:鐵路站段網絡安全(quan)防護方案(an)一(yi)文(wen)來源于網友(you)上傳,不代表本站觀(guan)點,若需要原創文(wen)章可咨詢(xun)客(ke)服老師,歡迎參考(kao)。

鐵路站段網絡安全防護方案

摘要:本文參考等保2.0的相關標準,結合鐵路基層站段實際,在深入分析站段信息系統架構和安全問題的基礎上,圍繞安全通信網絡、安全區域邊界、安全計算環境、安全管理中心四個方面提出了鐵路站段網絡安全防護方案設計。

關鍵詞:網絡安(an)全;等保2.0;鐵路站(zhan)段;邊界防護;訪問控(kong)制

鐵(tie)(tie)路綜合信(xin)(xin)(xin)息(xi)網(wang)(wang)(wang)(wang)由(you)國(guo)(guo)鐵(tie)(tie)集團、鐵(tie)(tie)路局集團公(gong)司和(he)站段局域網(wang)(wang)(wang)(wang)構成。基(ji)層(ceng)(ceng)站段的(de)(de)(de)(de)網(wang)(wang)(wang)(wang)絡(luo)安(an)(an)(an)全(quan)(quan)處(chu)于鐵(tie)(tie)路“一(yi)(yi)個(ge)中心(xin)、三重防御”的(de)(de)(de)(de)縱(zong)深(shen)防御體系的(de)(de)(de)(de)最前端,其安(an)(an)(an)全(quan)(quan)作用的(de)(de)(de)(de)發揮(hui)對(dui)整(zheng)個(ge)鐵(tie)(tie)路信(xin)(xin)(xin)息(xi)系統網(wang)(wang)(wang)(wang)絡(luo)安(an)(an)(an)全(quan)(quan)有著重要影響(xiang)。當前國(guo)(guo)鐵(tie)(tie)集團和(he)集團公(gong)司的(de)(de)(de)(de)網(wang)(wang)(wang)(wang)絡(luo)安(an)(an)(an)全(quan)(quan)防護(hu)體系已覆蓋到(dao)基(ji)層(ceng)(ceng)站段,但由(you)于站段信(xin)(xin)(xin)息(xi)系統及(ji)其應(ying)用環(huan)境的(de)(de)(de)(de)復(fu)雜程度、基(ji)層(ceng)(ceng)專業技術力量不足的(de)(de)(de)(de)現狀,基(ji)層(ceng)(ceng)站段的(de)(de)(de)(de)網(wang)(wang)(wang)(wang)絡(luo)安(an)(an)(an)全(quan)(quan)仍然是整(zheng)個(ge)鐵(tie)(tie)路信(xin)(xin)(xin)息(xi)網(wang)(wang)(wang)(wang)絡(luo)的(de)(de)(de)(de)一(yi)(yi)個(ge)薄弱環(huan)節(jie)。同(tong)時伴隨著我國(guo)(guo)鐵(tie)(tie)路的(de)(de)(de)(de)智能(neng)化發展(zhan),各類(lei)智能(neng)裝備(bei)(bei)、智能(neng)運(yun)維逐步賦(fu)能(neng)站段發展(zhan),物聯網(wang)(wang)(wang)(wang)設備(bei)(bei)、5G設備(bei)(bei)等(deng)的(de)(de)(de)(de)接(jie)入也給(gei)鐵(tie)(tie)路信(xin)(xin)(xin)息(xi)網(wang)(wang)(wang)(wang)絡(luo)帶來了新的(de)(de)(de)(de)安(an)(an)(an)全(quan)(quan)威脅。網(wang)(wang)(wang)(wang)絡(luo)安(an)(an)(an)全(quan)(quan)等(deng)級(ji)保(bao)護(hu)2.0制(zhi)度,延續等(deng)保(bao)1.0標(biao)準的(de)(de)(de)(de)“安(an)(an)(an)全(quan)(quan)管理中心(xin)、安(an)(an)(an)全(quan)(quan)計(ji)算環(huan)境、安(an)(an)(an)全(quan)(quan)區域邊界、安(an)(an)(an)全(quan)(quan)通信(xin)(xin)(xin)網(wang)(wang)(wang)(wang)絡(luo)”,并擴大(da)了對(dui)大(da)數據、物聯網(wang)(wang)(wang)(wang)、云計(ji)算等(deng)新型(xing)網(wang)(wang)(wang)(wang)絡(luo)的(de)(de)(de)(de)保(bao)護(hu),為新時期網(wang)(wang)(wang)(wang)絡(luo)安(an)(an)(an)全(quan)(quan)工作開展(zhan)和(he)網(wang)(wang)(wang)(wang)絡(luo)安(an)(an)(an)全(quan)(quan)防護(hu)方案研究提供了指(zhi)導。

1站段信息系統架構

以某(mou)客(ke)運站為例,除專網系(xi)統(tong)(tong)外,信息(xi)系(xi)統(tong)(tong)大致分為辦公類系(xi)統(tong)(tong)、以車次信息(xi)為數據源的(de)(de)旅(lv)客(ke)服務類系(xi)統(tong)(tong)、保(bao)障車站設(she)施運行的(de)(de)運維(wei)管理(li)類系(xi)統(tong)(tong)。在傳統(tong)(tong)的(de)(de)信息(xi)系(xi)統(tong)(tong)基礎(chu)上,越來(lai)越多的(de)(de)物(wu)聯網系(xi)統(tong)(tong)也(ye)接入站段局(ju)域網內,包括(kuo)環境監(jian)(jian)測、設(she)備(bei)監(jian)(jian)控、站臺(tai)防入侵(qin)、能源管理(li)、指紋考(kao)勤(qin)、門(men)禁系(xi)統(tong)(tong)等。系(xi)統(tong)(tong)總體框架如表(biao)1所示。

2站段網絡安全問題

站段(duan)信息(xi)系統種類(lei)繁雜,終端數(shu)量多且(qie)位置分(fen)散、暴露(lu)面廣。無法(fa)有(you)效(xiao)管(guan)控(kong)的資產、碎片(pian)化的安(an)全策略、不規范的安(an)全管(guan)理(li)易造成整個鐵(tie)路信息(xi)網(wang)絡的隱患。站段(duan)網(wang)絡安(an)全問(wen)題(ti)包(bao)括以下(xia)幾個方面。

2.1網絡傳輸

區(qu)域(yu)(yu)劃(hua)(hua)分(fen)(fen):隨著(zhu)鐵路信(xin)息化的(de)發(fa)展,站段(duan)信(xin)息系統(tong)的(de)規(gui)模(mo)在不斷增加,聚(ju)集的(de)系統(tong)架(jia)構變得難于管理(li),網絡安(an)全(quan)(quan)域(yu)(yu)劃(hua)(hua)分(fen)(fen)不清(qing)缺少安(an)全(quan)(quan)隔離,在安(an)全(quan)(quan)事(shi)件(jian)發(fa)生時導致影響范(fan)圍擴大。物理(li)環境:站段(duan)現場網絡設備布置分(fen)(fen)散,有的(de)設備直接暴露(lu)于公共環境,易(yi)造成空閑的(de)網絡端口被接入(ru)非法(fa)終(zhong)端。系統(tong)漏洞:交換(huan)機、路由器等網絡設備及其(qi)管理(li)平臺本身(shen)存在的(de)安(an)全(quan)(quan)漏洞易(yi)被攻(gong)擊。

2.2服務器

系統(tong)漏洞(dong):服(fu)務(wu)器(qi)操(cao)作系統(tong)存(cun)在漏洞(dong),特別是普速站開(kai)(kai)(kai)發較(jiao)早的信息系統(tong),由于(yu)(yu)部署(shu)于(yu)(yu)內部局域(yu)網(wang)而疏于(yu)(yu)安裝(zhuang)補丁升級。訪問控(kong)制(zhi):系統(tong)管(guan)理(li)員賬(zhang)號密碼或(huo)數據庫管(guan)理(li)員賬(zhang)號密碼為弱口(kou)令易被攻破;服(fu)務(wu)器(qi)安裝(zhuang)了(le)不(bu)必要的服(fu)務(wu)或(huo)開(kai)(kai)(kai)啟了(le)不(bu)必要的端口(kou),從而增(zeng)加了(le)安全隱患。應(ying)用(yong)服(fu)務(wu):Web應(ying)用(yong)服(fu)務(wu)器(qi)安全配(pei)置錯誤導致攻擊者(zhe)惡意(yi)代(dai)(dai)碼被執行;服(fu)務(wu)器(qi)應(ying)用(yong)軟件使用(yong)未經安全驗(yan)證(zheng)的開(kai)(kai)(kai)源(yuan)代(dai)(dai)碼或(huo)存(cun)在sql注入漏洞(dong)。

2.3計算機終端

系統(tong)漏洞(dong):目前站(zhan)段(duan)計算(suan)(suan)機(ji)(ji)終端系統(tong)仍以(yi)Windows系統(tong)為(wei)主,其中Windows7、Windows10占絕大多(duo)數(shu),主機(ji)(ji)系統(tong)存(cun)在(zai)(zai)漏洞(dong)后(hou)(hou)門風(feng)險。訪(fang)問控制(zhi):站(zhan)段(duan)的倒(dao)班(ban)或輪(lun)流值班(ban)制(zhi)度情況下,信息系統(tong)易出現(xian)越權訪(fang)問或共(gong)用(yong)(yong)(yong)同一賬號的現(xian)象。使(shi)(shi)用(yong)(yong)(yong)行為(wei):由于使(shi)(shi)用(yong)(yong)(yong)人(ren)員在(zai)(zai)內部局域(yu)網(wang)計算(suan)(suan)機(ji)(ji)終端使(shi)(shi)用(yong)(yong)(yong)無線網(wang)卡或手(shou)機(ji)(ji)連(lian)接計算(suan)(suan)機(ji)(ji)以(yi)及計算(suan)(suan)機(ji)(ji)錯(cuo)誤(wu)連(lian)接互聯網(wang)網(wang)絡設備等行為(wei)造(zao)成一機(ji)(ji)兩網(wang)。使(shi)(shi)用(yong)(yong)(yong)存(cun)在(zai)(zai)后(hou)(hou)門漏洞(dong)的瀏(liu)覽器(qi)、音視頻處理(li)等辦公軟件。

2.4感知層設備

物理環(huan)境:感知層設備(bei)部署區域無人(ren)監管(guan),易(yi)發(fa)生終(zhong)(zhong)端(duan)被(bei)(bei)拆除(chu)替換的(de)事件,成(cheng)為入(ru)侵網絡的(de)入(ru)口。設備(bei)漏洞(dong):系(xi)統(tong)組(zu)件存(cun)在漏洞(dong)易(yi)被(bei)(bei)入(ru)侵;終(zhong)(zhong)端(duan)設備(bei)硬(ying)件調試接口無須身份認證(zheng)(zheng),成(cheng)為惡(e)意攻擊入(ru)口;存(cun)在弱口令(ling)導致被(bei)(bei)他人(ren)登(deng)錄(lu);開放不(bu)必要的(de)遠程(cheng)服務被(bei)(bei)入(ru)侵。終(zhong)(zhong)端(duan)資產:站段(duan)物聯網設備(bei)越(yue)來越(yue)多,各廠家標準(zhun)和協(xie)議不(bu)統(tong)一,海量終(zhong)(zhong)端(duan)接入(ru)造成(cheng)身份認證(zheng)(zheng)與(yu)資產管(guan)理難題(ti)。

2.5安全管理

資產管理:目(mu)前站段(duan)大多通(tong)過(guo)人工(gong)進(jin)行信息資產統(tong)計,難以全面掌握數量龐大的設備終端。技術隊伍(wu):基層(ceng)技術人員缺乏(fa)網絡安(an)(an)(an)全專業培訓,無(wu)法有(you)效應用各種(zhong)安(an)(an)(an)全設備,更(geng)缺乏(fa)對威脅的主動(dong)判(pan)斷能力。安(an)(an)(an)全制度:使用人員安(an)(an)(an)全意識淡薄(bo),管理制度缺失導致數據泄漏、篡(cuan)改、刪除問題。

3網絡安全方案

3.1安(an)全通信網(wang)絡

(1)冗(rong)余設計(ji):站(zhan)(zhan)段去(qu)往鐵(tie)路綜合信(xin)息網(wang)(wang)廣域網(wang)(wang)出口(kou)、站(zhan)(zhan)段局(ju)域網(wang)(wang)內部(bu)網(wang)(wang)交換設備(bei)及鏈路均采用(yong)可靠的(de)冗(rong)余備(bei)份機制,最(zui)大(da)化保障數據訪問(wen)的(de)可用(yong)性(xing)和(he)業務的(de)連續性(xing)。(2)安(an)全(quan)域劃(hua)分(fen):站(zhan)(zhan)段局(ju)域網(wang)(wang)按照同(tong)數據源、同(tong)業務類別、同(tong)安(an)全(quan)等級的(de)原則(ze)劃(hua)分(fen)VLAN,有效分(fen)散不同(tong)VLAN中的(de)運行維護風(feng)險和(he)網(wang)(wang)絡攻(gong)擊風(feng)險。以客運站(zhan)(zhan)為(wei)例,劃(hua)分(fen)VLAN分(fen)別為(wei):廣域網(wang)(wang)接入區(qu)(qu)、核心交換區(qu)(qu)、服務器區(qu)(qu)、辦公(gong)系(xi)統(tong)(tong)(tong)區(qu)(qu)、旅客服務系(xi)統(tong)(tong)(tong)區(qu)(qu)、智能運維系(xi)統(tong)(tong)(tong)區(qu)(qu)、安(an)全(quan)管理區(qu)(qu),并利用(yong)ACL設置VLAN間訪問(wen)規則(ze)。安(an)全(quan)區(qu)(qu)域劃(hua)分(fen)如圖1所示。

3.2安(an)全區域邊界

對(dui)網(wang)(wang)(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)區域邊(bian)(bian)(bian)界(jie)(jie)進行(xing)(xing)重點防(fang)(fang)護,邊(bian)(bian)(bian)界(jie)(jie)部(bu)(bu)(bu)(bu)署(shu)(shu)防(fang)(fang)火(huo)(huo)(huo)墻(qiang)(qiang)實(shi)(shi)現(xian)訪(fang)(fang)問(wen)控制(zhi)、入(ru)(ru)(ru)侵防(fang)(fang)范(fan)、惡(e)意(yi)代(dai)(dai)碼(ma)防(fang)(fang)范(fan)。核心(xin)交(jiao)換(huan)機(ji)旁路部(bu)(bu)(bu)(bu)署(shu)(shu)審(shen)計服(fu)務(wu)器,實(shi)(shi)現(xian)邊(bian)(bian)(bian)界(jie)(jie)和(he)重要網(wang)(wang)(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)節點的(de)(de)(de)(de)審(shen)計功能(neng)。在核心(xin)交(jiao)換(huan)機(ji)旁路通過鏡像部(bu)(bu)(bu)(bu)署(shu)(shu)流量(liang)感知設備(bei)。核心(xin)交(jiao)換(huan)機(ji)旁路部(bu)(bu)(bu)(bu)署(shu)(shu)網(wang)(wang)(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)準(zhun)入(ru)(ru)(ru)平臺(tai),實(shi)(shi)現(xian)終端(duan)接(jie)入(ru)(ru)(ru)控制(zhi)。(1)訪(fang)(fang)問(wen)控制(zhi):在廣域網(wang)(wang)(wang)(wang)(wang)(wang)接(jie)入(ru)(ru)(ru)邊(bian)(bian)(bian)界(jie)(jie)部(bu)(bu)(bu)(bu)署(shu)(shu)下一代(dai)(dai)防(fang)(fang)火(huo)(huo)(huo)墻(qiang)(qiang),禁止(zhi)外部(bu)(bu)(bu)(bu)網(wang)(wang)(wang)(wang)(wang)(wang)訪(fang)(fang)問(wen)內部(bu)(bu)(bu)(bu)網(wang)(wang)(wang)(wang)(wang)(wang),對(dui)所轄中(zhong)間站(zhan)及(ji)(ji)其他(ta)必要單位開啟白名單。在服(fu)務(wu)器邊(bian)(bian)(bian)界(jie)(jie)部(bu)(bu)(bu)(bu)署(shu)(shu)防(fang)(fang)火(huo)(huo)(huo)墻(qiang)(qiang),只允(yun)許訪(fang)(fang)問(wen)服(fu)務(wu)器區域的(de)(de)(de)(de)特定(ding)(ding)服(fu)務(wu)器的(de)(de)(de)(de)特定(ding)(ding)端(duan)口。嚴格內部(bu)(bu)(bu)(bu)網(wang)(wang)(wang)(wang)(wang)(wang)安全準(zhun)入(ru)(ru)(ru),建(jian)立(li)站(zhan)段局域網(wang)(wang)(wang)(wang)(wang)(wang)網(wang)(wang)(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)準(zhun)入(ru)(ru)(ru)認證平臺(tai),基于網(wang)(wang)(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)設備(bei)端(duan)口和(he)終端(duan)設備(bei)MAC地(di)址對(dui)終端(duan)設備(bei)的(de)(de)(de)(de)網(wang)(wang)(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)訪(fang)(fang)問(wen)權限進行(xing)(xing)控制(zhi),實(shi)(shi)現(xian)邊(bian)(bian)(bian)界(jie)(jie)隔離和(he)非法接(jie)入(ru)(ru)(ru),從源頭上切斷外來安全威(wei)脅的(de)(de)(de)(de)流入(ru)(ru)(ru)通道(dao)。(2)入(ru)(ru)(ru)侵防(fang)(fang)范(fan):在廣域網(wang)(wang)(wang)(wang)(wang)(wang)邊(bian)(bian)(bian)界(jie)(jie)開啟下一代(dai)(dai)防(fang)(fang)火(huo)(huo)(huo)墻(qiang)(qiang)IPS模(mo)塊并(bing)定(ding)(ding)期更(geng)新(xin)特征庫,檢(jian)(jian)測數據包,防(fang)(fang)范(fan)包括Flood、惡(e)意(yi)掃描(miao)、欺騙防(fang)(fang)護、異常包攻擊等(deng)(deng);對(dui)進出網(wang)(wang)(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)的(de)(de)(de)(de)流量(liang)開啟雙向攻擊檢(jian)(jian)測,及(ji)(ji)時發現(xian)內部(bu)(bu)(bu)(bu)網(wang)(wang)(wang)(wang)(wang)(wang)計算(suan)機(ji)威(wei)脅,做出處置并(bing)向集團公司相關部(bu)(bu)(bu)(bu)門報告(gao)。(3)惡(e)意(yi)代(dai)(dai)碼(ma)防(fang)(fang)范(fan):開啟下一代(dai)(dai)防(fang)(fang)火(huo)(huo)(huo)墻(qiang)(qiang)病毒防(fang)(fang)護模(mo)塊,定(ding)(ding)期更(geng)新(xin)策略,在網(wang)(wang)(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)層進行(xing)(xing)病毒查殺,預防(fang)(fang)和(he)阻斷網(wang)(wang)(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)病毒、蠕蟲(chong)、木馬等(deng)(deng)惡(e)意(yi)代(dai)(dai)碼(ma)攻擊。在網(wang)(wang)(wang)(wang)(wang)(wang)關處封閉135、138、139、445、3389等(deng)(deng)端(duan)口,阻止(zhi)僵尸網(wang)(wang)(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)的(de)(de)(de)(de)連接(jie)和(he)病毒的(de)(de)(de)(de)更(geng)新(xin)、擴散。(4)安全審(shen)計:部(bu)(bu)(bu)(bu)署(shu)(shu)安全審(shen)計設備(bei),記錄分析人員訪(fang)(fang)問(wen)以及(ji)(ji)對(dui)數據的(de)(de)(de)(de)增、刪、改、查等(deng)(deng)行(xing)(xing)為(wei),對(dui)異常通信進行(xing)(xing)報警。開啟廣域網(wang)(wang)(wang)(wang)(wang)(wang)邊(bian)(bian)(bian)界(jie)(jie)下一代(dai)(dai)防(fang)(fang)火(huo)(huo)(huo)墻(qiang)(qiang)應用審(shen)計,對(dui)特定(ding)(ding)文件(jian)內容進行(xing)(xing)過濾,避免(mian)信息泄漏。檢(jian)(jian)測終端(duan)流量(liang),并(bing)對(dui)特定(ding)(ding)類型文件(jian)進行(xing)(xing)流量(liang)深度監測,防(fang)(fang)止(zhi)數據文件(jian)被盜。

3.3安全計算環境

(1)身(shen)(shen)份鑒(jian)別(bie):各應(ying)用(yong)(yong)(yong)(yong)系(xi)(xi)(xi)(xi)統(tong)均(jun)設(she)(she)(she)置身(shen)(shen)份鑒(jian)別(bie)策(ce)略(lve),用(yong)(yong)(yong)(yong)戶登(deng)(deng)錄(lu)(lu)時(shi)(shi)對(dui)身(shen)(shen)份鑒(jian)別(bie)信(xin)息加(jia)密傳輸,拒絕未授權用(yong)(yong)(yong)(yong)戶登(deng)(deng)錄(lu)(lu)系(xi)(xi)(xi)(xi)統(tong);對(dui)重要系(xi)(xi)(xi)(xi)統(tong)采用(yong)(yong)(yong)(yong)靜態(tai)口(kou)令+動態(tai)口(kou)令的(de)雙因子認(ren)(ren)(ren)證(zheng);對(dui)登(deng)(deng)錄(lu)(lu)失敗次數(shu)進(jin)行(xing)限(xian)(xian)制(zhi);主機開啟復雜口(kou)令保護、入(ru)站(zhan)規則、限(xian)(xian)制(zhi)非(fei)法登(deng)(deng)錄(lu)(lu)次數(shu)等安(an)全(quan)策(ce)略(lve)。(2)訪問控(kong)(kong)(kong)制(zhi):各應(ying)用(yong)(yong)(yong)(yong)系(xi)(xi)(xi)(xi)統(tong)設(she)(she)(she)置用(yong)(yong)(yong)(yong)戶權限(xian)(xian)及(ji)訪問行(xing)為控(kong)(kong)(kong)制(zhi)策(ce)略(lve)。設(she)(she)(she)置用(yong)(yong)(yong)(yong)戶變更策(ce)略(lve),及(ji)時(shi)(shi)清理長期(qi)未登(deng)(deng)錄(lu)(lu)賬(zhang)號(hao);制(zhi)定管理制(zhi)度,對(dui)人員離職、調(diao)動崗位及(ji)時(shi)(shi)調(diao)整(zheng)賬(zhang)號(hao);刪除多余賬(zhang)號(hao)、默認(ren)(ren)(ren)賬(zhang)號(hao),避免(mian)共用(yong)(yong)(yong)(yong)權限(xian)(xian)。(3)入(ru)侵和(he)惡意代碼(ma)防(fang)范:安(an)裝(zhuang)(zhuang)統(tong)一的(de)終端(duan)(duan)防(fang)護軟(ruan)(ruan)(ruan)件,通(tong)過(guo)(guo)終端(duan)(duan)防(fang)護平(ping)臺防(fang)范一機兩網(wang)、非(fei)法外聯、非(fei)法接(jie)入(ru),并實現(xian)病毒防(fang)護、補丁管理、介質管控(kong)(kong)(kong)。定期(qi)對(dui)站(zhan)段(duan)局域網(wang)內(nei)設(she)(she)(she)備(bei)進(jin)行(xing)漏(lou)洞(dong)掃描,并根據鐵路網(wang)絡安(an)全(quan)漏(lou)洞(dong)平(ping)臺發(fa)布的(de)信(xin)息及(ji)時(shi)(shi)修(xiu)復可(ke)能(neng)存在漏(lou)洞(dong)。(4)資(zi)(zi)產管理:利用(yong)(yong)(yong)(yong)統(tong)一安(an)全(quan)平(ping)臺實現(xian)終端(duan)(duan)資(zi)(zi)產識別(bie)和(he)分(fen)(fen)析。通(tong)過(guo)(guo)IP掃描、SNMP掃描、流量發(fa)現(xian)等手段(duan)對(dui)網(wang)內(nei)的(de)IP存活(huo)情(qing)況進(jin)行(xing)跟蹤監控(kong)(kong)(kong),分(fen)(fen)組管理。(5)安(an)全(quan)審計(ji):利用(yong)(yong)(yong)(yong)日志審計(ji)服務器(qi)監控(kong)(kong)(kong)分(fen)(fen)析安(an)全(quan)生產網(wang)內(nei)信(xin)息系(xi)(xi)(xi)(xi)統(tong)服務器(qi)系(xi)(xi)(xi)(xi)統(tong)資(zi)(zi)源、用(yong)(yong)(yong)(yong)戶操作、應(ying)用(yong)(yong)(yong)(yong)程(cheng)序等,及(ji)時(shi)(shi)發(fa)現(xian)系(xi)(xi)(xi)(xi)統(tong)異(yi)常行(xing)為。(6)感(gan)知層設(she)(she)(she)備(bei)安(an)全(quan)對(dui)感(gan)知層設(she)(she)(she)備(bei)和(he)節點裝(zhuang)(zhuang)置,進(jin)行(xing)軟(ruan)(ruan)(ruan)件身(shen)(shen)份認(ren)(ren)(ren)證(zheng)或軟(ruan)(ruan)(ruan)件加(jia)密。禁用(yong)(yong)(yong)(yong)閑置的(de)外部設(she)(she)(she)備(bei)接(jie)口(kou)、外接(jie)存儲設(she)(she)(she)備(bei)的(de)自(zi)啟動功能(neng)。通(tong)過(guo)(guo)本地接(jie)口(kou)進(jin)行(xing)軟(ruan)(ruan)(ruan)件更新調(diao)試時(shi)(shi),需進(jin)行(xing)人員身(shen)(shen)份認(ren)(ren)(ren)證(zheng)、權限(xian)(xian)控(kong)(kong)(kong)制(zhi)。

3.4安全管理(li)中心

建設安(an)全(quan)管(guan)(guan)(guan)理(li)(li)中心(xin),實(shi)現(xian)主動防(fang)御和態(tai)勢(shi)感知。設立(li)系(xi)統(tong)管(guan)(guan)(guan)理(li)(li)賬戶(hu)、審計(ji)管(guan)(guan)(guan)理(li)(li)賬戶(hu)。系(xi)統(tong)管(guan)(guan)(guan)理(li)(li)賬戶(hu)負責系(xi)統(tong)運行資源配置、控制和管(guan)(guan)(guan)理(li)(li);審計(ji)管(guan)(guan)(guan)理(li)(li)賬戶(hu)負責審計(ji)記錄分析和處理(li)(li)。在安(an)全(quan)管(guan)(guan)(guan)理(li)(li)區集中部署(shu)審計(ji)設備(bei)、網(wang)絡準入(ru)平臺、流量監控設備(bei),及時發現(xian)異常行為(wei)和網(wang)絡安(an)全(quan)事(shi)件。利用(yong)終(zhong)端防(fang)護平臺實(shi)現(xian)資產(chan)統(tong)一管(guan)(guan)(guan)理(li)(li)。對網(wang)絡設備(bei)、服務器、安(an)全(quan)設備(bei)等(deng)進行信息(xi)采集,實(shi)施掌(zhang)握鏈路、設備(bei)、應用(yong)系(xi)統(tong)情況,掌(zhang)握系(xi)統(tong)整體態(tai)勢(shi),做(zuo)到(dao)早(zao)發現(xian)早(zao)防(fang)御。

4結論

本文依據(ju)等保(bao)2.0標準,提(ti)出鐵(tie)(tie)路(lu)基層站(zhan)(zhan)(zhan)段(duan)“一(yi)個中心、三重防(fang)御”的(de)(de)(de)網(wang)(wang)絡(luo)安全(quan)(quan)(quan)防(fang)護方案。明確基層站(zhan)(zhan)(zhan)段(duan)網(wang)(wang)絡(luo)邊界(jie),合理劃分(fen)區域,制定出恰(qia)當的(de)(de)(de)邊界(jie)防(fang)護策(ce)略(lve),以(yi)兼顧數據(ju)共享和(he)(he)網(wang)(wang)絡(luo)安全(quan)(quan)(quan)需要。在國鐵(tie)(tie)集(ji)團和(he)(he)集(ji)團公司的(de)(de)(de)網(wang)(wang)絡(luo)安全(quan)(quan)(quan)體系總(zong)體框架(jia)下,利用鐵(tie)(tie)路(lu)統一(yi)的(de)(de)(de)終端防(fang)護平臺以(yi)及安全(quan)(quan)(quan)漏洞平臺等,結合站(zhan)(zhan)(zhan)段(duan)的(de)(de)(de)網(wang)(wang)絡(luo)準入平臺和(he)(he)安全(quan)(quan)(quan)審(shen)計設備,設計出站(zhan)(zhan)(zhan)段(duan)信息資產識別(bie)管(guan)理、漏洞補丁修復、入侵和(he)(he)病毒(du)防(fang)范、威脅監(jian)測報告等機(ji)制,實現站(zhan)(zhan)(zhan)段(duan)網(wang)(wang)絡(luo)安全(quan)(quan)(quan)主動防(fang)御,并與(yu)上(shang)級部門緊(jin)密聯系,形成協同防(fang)護的(de)(de)(de)網(wang)(wang)絡(luo)安全(quan)(quan)(quan)局面。

參考文獻:

[1]張伯(bo)駒.新形勢(shi)下鐵(tie)路網(wang)絡安(an)全(quan)工(gong)作探索與發展(zhan)展(zhan)望[J].鐵(tie)路計算機應用,2020,29(8):1-5.

[2]劉剛,楊軼杰.基于等(deng)級(ji)保護2.0的鐵路(lu)網絡安(an)全(quan)技術防護體系研究(jiu)[J].鐵路(lu)計算(suan)機應用,2020,29(8):19-27.

[3]李向陽,王冰(bing),馬曉(xiao)雅(ya).鐵路(lu)網絡安全防護策略研究[J].鐵路(lu)計算機(ji)應(ying)用,2021,30(11):11-14.

[4]范(fan)博,龔鋼軍,孫淑嫻.基于(yu)等保2.0的配電(dian)物聯(lian)網動態安全(quan)(quan)體系研究[J].信息網絡(luo)安全(quan)(quan),2020,20(11):10-14.

[5]趙姍.網(wang)絡安(an)全主動防御(yu)體系淺析[J].網(wang)絡安(an)全技術(shu)與應用,2022(4):4-5.

作者:胡文君 單位:中國(guo)鐵路北(bei)(bei)京(jing)局集團有限公(gong)司北(bei)(bei)京(jing)站