淺談TDCS CTC系統(tǒng)網(wǎng)絡(luò)安全防護(hù)

本文格式為Word版，下載可任意編輯——淺談TDCSCTC系統(tǒng)網(wǎng)絡(luò)安全防護(hù)

TDCS/CTC系統(tǒng)是構(gòu)建在一個(gè)通用開放的操作平臺(tái)上,TDCS/CTC系統(tǒng)雖然是相對(duì)獨(dú)立的內(nèi)部網(wǎng),安全管理工作相對(duì)好做些,目前由于一些狀況可能大家不以為然,病毒乘虛而入,最終造成大家疲于奔命。因此不可避免地要面對(duì)計(jì)算機(jī)病毒問題,特別是病毒造成的車站子系統(tǒng)死機(jī)給日常維護(hù)帶來了很大困難,這個(gè)題目我從自己的實(shí)際工作狀況出發(fā),通過平日的資料積累總結(jié),提出一些看法和觀點(diǎn)。

第1章TDCS/CTC網(wǎng)絡(luò)系統(tǒng)安全防護(hù)現(xiàn)狀

在鐵路跨越式發(fā)展的旅程中，鐵路信號(hào)技術(shù)的發(fā)展朝著新技術(shù)、信息化、網(wǎng)絡(luò)化發(fā)展的目標(biāo)前進(jìn)。列車調(diào)度指揮系統(tǒng)TDCS和分散調(diào)度集中系統(tǒng)CTC一般采用2Mb/s光通道及電纜回線構(gòu)成的專用廣域網(wǎng)，信息傳輸按TCP/IP協(xié)議進(jìn)行，終端計(jì)算機(jī)和中心服務(wù)器選用WindowsNT/2000和UNIX操作系統(tǒng)，其應(yīng)用程序均基于此平臺(tái)進(jìn)行開發(fā)，也就是說TDCS/CTC是構(gòu)建在一個(gè)通用開放的操作平臺(tái)上，TDCS/CTC系統(tǒng)雖然是相對(duì)獨(dú)立的內(nèi)部網(wǎng)，安全管理工作相對(duì)好做些，目前由于一些狀況可能大家不以為然，病毒乘虛而入，最終造成大家疲于奔命。因此不可避免地要面對(duì)計(jì)算機(jī)病毒問題。

1.1網(wǎng)絡(luò)遭遇病毒侵襲的主要途徑：

1、現(xiàn)部分TDCS/CTC維護(hù)人員日常使用硬盤盒維護(hù)，由于硬盤盒容量大、攜帶便利，免不了日常移動(dòng)和儲(chǔ)存好多其他數(shù)據(jù)文件，硬盤盒無意之中極易由此感染病毒。在調(diào)試或修改程序時(shí)病毒由此進(jìn)入網(wǎng)絡(luò)；

2、與其他系統(tǒng)合用一網(wǎng)，從其它系統(tǒng)傳染病毒，譬如網(wǎng)絡(luò)上有任何一點(diǎn)接入了互聯(lián)網(wǎng)。

3、一機(jī)多網(wǎng)使用，如某臺(tái)計(jì)算機(jī)既在TDCS網(wǎng)中運(yùn)用，又在互聯(lián)網(wǎng)或日常辦公網(wǎng)上使用；

4、遭遇惡意攻擊等其他非正常途徑。

1.2防、殺病毒案例分析：

下面僅通過TDCS/CTC網(wǎng)絡(luò)殺毒、防毒工作實(shí)例，來擴(kuò)展探討TDCS/CTC系統(tǒng)的安全防護(hù)方案。

故障分析：

故障現(xiàn)象，佗城站車務(wù)終端機(jī)及TDCS/CTC電務(wù)段中心的多個(gè)工作站發(fā)現(xiàn)計(jì)算機(jī)病毒。TDCS/CTC中心維護(hù)機(jī)上發(fā)現(xiàn)IP地址為172.24.133.129的計(jì)算機(jī)，每隔2秒鐘，便向中心機(jī)發(fā)送病毒。被感染的車站計(jì)算機(jī)內(nèi)存顯示不足，然后屏幕顯示黑屏后計(jì)算機(jī)死機(jī)，重新啟動(dòng)后故障再次出現(xiàn)，致使與該站相鄰車站的各終端機(jī)被迫離網(wǎng)關(guān)機(jī)。此種現(xiàn)象，遭遇攻擊最嚴(yán)重的是安裝Windows2000操作系統(tǒng)的計(jì)算機(jī)，由于使用以來從未打過系統(tǒng)補(bǔ)丁，而

TDCS/CTC系統(tǒng)是構(gòu)建在一個(gè)通用開放的操作平臺(tái)上,TDCS/CTC系統(tǒng)雖然是相對(duì)獨(dú)立的內(nèi)部網(wǎng),安全管理工作相對(duì)好做些,目前由于一些狀況可能大家不以為然,病毒乘虛而入,最終造成大家疲于奔命。因此不可避免地要面對(duì)計(jì)算機(jī)病毒問題,特別是病毒造成的車站子系統(tǒng)死機(jī)給日常維護(hù)帶來了很大困難,這個(gè)題目我從自己的實(shí)際工作狀況出發(fā),通過平日的資料積累總結(jié),提出一些看法和觀點(diǎn)。

且均未安裝防火墻和殺毒軟件，日常維護(hù)基本沒有開展防毒工作，因此網(wǎng)絡(luò)根本沒有抗?fàn)幉《灸芰Α?/p>

1.3病毒侵入后的應(yīng)急預(yù)案

1、重新新配置服務(wù)器，用于管理局域網(wǎng)內(nèi)以及基層網(wǎng)中各計(jì)算機(jī)、工作站的防毒、殺毒和升級(jí)工作，安裝網(wǎng)絡(luò)版殺毒軟件和防火墻。

2、局域網(wǎng)計(jì)算機(jī)內(nèi)存相應(yīng)改造，以滿足防病毒軟件運(yùn)行的基礎(chǔ)硬件條件。

3、TDCS/CTC維修中心安排專職技術(shù)人員，定期從指定的網(wǎng)站或服務(wù)器上下載防病毒升級(jí)軟件和操作系統(tǒng)補(bǔ)丁，并結(jié)合年度TDCS/CTC設(shè)備集中檢查指導(dǎo)計(jì)劃開展相應(yīng)的維護(hù)工作，確保各站TDCS/CTC設(shè)備正常運(yùn)行,一般安排在春檢、秋鑒活動(dòng)中進(jìn)行。

4、做好系統(tǒng)軟件的備份，包括每個(gè)車站的系統(tǒng)和數(shù)據(jù)作為光盤備份，每站的數(shù)據(jù)和系統(tǒng)作移動(dòng)硬盤備份，TDCS/CTC維護(hù)中心管理的各個(gè)工作站及維護(hù)臺(tái)、前置機(jī)等也做類似的備份。

5、要求各車間安排負(fù)責(zé)TDCS/CTC人員，封堵車站終端機(jī)上的I/O接口，如光驅(qū)、軟驅(qū)、USB插口等并在主板BIOS里修改相應(yīng)項(xiàng)屏蔽各端口，杜絕在車站終端機(jī)及網(wǎng)內(nèi)計(jì)算機(jī)上進(jìn)行與業(yè)務(wù)無關(guān)的作業(yè)內(nèi)容。

6、清理非法接入局域網(wǎng)的計(jì)算機(jī)，查清有無一機(jī)多網(wǎng)的可能，并對(duì)非法接入計(jì)算機(jī)進(jìn)行屏蔽。

采取以上應(yīng)急措施后，TDCS/CTC網(wǎng)絡(luò)安全得到了很大的提高，封堵了病毒的侵害，使操作系統(tǒng)及各應(yīng)用軟件在一個(gè)相對(duì)安全的環(huán)境中工作，從而保證了TDCS/CTC的正常工作。

TDCS/CTC系統(tǒng)是構(gòu)建在一個(gè)通用開放的操作平臺(tái)上,TDCS/CTC系統(tǒng)雖然是相對(duì)獨(dú)立的內(nèi)部網(wǎng),安全管理工作相對(duì)好做些,目前由于一些狀況可能大家不以為然,病毒乘虛而入,最終造成大家疲于奔命。因此不可避免地要面對(duì)計(jì)算機(jī)病毒問題,特別是病毒造成的車站子系統(tǒng)死機(jī)給日常維護(hù)帶來了很大困難,這個(gè)題目我從自己的實(shí)際工作狀況出發(fā),通過平日的資料積累總結(jié),提出一些看法和觀點(diǎn)。

第2章現(xiàn)有系統(tǒng)存在的問題及分析

從現(xiàn)有安全設(shè)施來看，TDCS/CTC網(wǎng)絡(luò)系統(tǒng)安全體系初步形成。但是，隨著計(jì)算機(jī)網(wǎng)絡(luò)的日益普及和廣泛使用，各種安全要挾和計(jì)算機(jī)病毒也隨之而來。因此，現(xiàn)有的網(wǎng)絡(luò)安全系統(tǒng)雖然起到了較好的防護(hù)作用，但并不能完全解決整個(gè)骨干網(wǎng)絡(luò)系統(tǒng)的安全問題。另外，必需有一套完整有效的備份方案和應(yīng)急預(yù)案。

2.1直接或間接來自于Internet的安全要挾

這類要挾以病毒、網(wǎng)絡(luò)攻擊和黑客攻擊的方式直接作用于內(nèi)部網(wǎng)絡(luò)。由于“一機(jī)雙網(wǎng)〞可能性的存在，內(nèi)部網(wǎng)絡(luò)通過防火墻向外提供服務(wù)的服務(wù)器、內(nèi)部網(wǎng)絡(luò)連接中產(chǎn)生的后門、接收電子郵件乃至普通的Internet訪問，都可能為這種安全要挾提供便利條件。

2.2操作系統(tǒng)的安全要挾

TDCS/CTC中心服務(wù)器采用Unix操作系統(tǒng)，而其他中心服務(wù)器采用何種操作系統(tǒng)不受限制。有資料顯示Unix操作系統(tǒng)占據(jù)服務(wù)器的高端市場。雖然Unix和Windows操作系統(tǒng)的安全等級(jí)應(yīng)當(dāng)同屬于C2級(jí)，但網(wǎng)絡(luò)上針對(duì)對(duì)Windows系統(tǒng)產(chǎn)生的攻擊相對(duì)較多，簡單受到破壞的可能性就大。

另外，服務(wù)器的應(yīng)用問題80%和操作系統(tǒng)接口有關(guān)。在服務(wù)器操作系統(tǒng)的安裝過程中“缺省安裝〞，就意味著默認(rèn)操作系統(tǒng)所有的額外服務(wù)和開放端口，為攻擊者接納計(jì)算機(jī)鋪平了道路。而好多應(yīng)用開發(fā)有時(shí)建立在“缺省安裝〞基礎(chǔ)上的，這樣就整體構(gòu)架了一個(gè)極為擔(dān)憂全的系統(tǒng)。所以對(duì)于應(yīng)用開發(fā)來講，要高度重視應(yīng)用環(huán)節(jié)，無論是自主開發(fā)或是使用通用軟件，加強(qiáng)防止攻擊的措施是十分必要的。

2.3應(yīng)用軟件的安全要挾

設(shè)備提供商面向用戶提供的一半是應(yīng)用軟件，每個(gè)應(yīng)用授權(quán)版本不可能作到盡善盡美，于是出現(xiàn)各種各樣的后門、漏洞、BUG等，這樣就自然招來了的病毒和黑客。因此對(duì)于一個(gè)完整的應(yīng)用軟件，不僅應(yīng)當(dāng)能夠滿足系統(tǒng)功能，同時(shí)也要滿足系統(tǒng)安全的要求，譬如為防衛(wèi)病毒升級(jí)補(bǔ)丁。系統(tǒng)安全防護(hù)體系，建立健全系統(tǒng)服務(wù)器安全管理制度，盡快完善信息系統(tǒng)安全管理的具體措施和方法，由上級(jí)相關(guān)部門或單位，定期發(fā)布系統(tǒng)安全信息，

TDCS/CTC系統(tǒng)是構(gòu)建在一個(gè)通用開放的操作平臺(tái)上,TDCS/CTC系統(tǒng)雖然是相對(duì)獨(dú)立的內(nèi)部網(wǎng),安全管理工作相對(duì)好做些,目前由于一些狀況可能大家不以為然,病毒乘虛而入,最終造成大家疲于奔命。因此不可避免地要面對(duì)計(jì)算機(jī)病毒問題,特別是病毒造成的車站子系統(tǒng)死機(jī)給日常維護(hù)帶來了很大困難,這個(gè)題目我從自己的實(shí)際工作狀況出發(fā),通過平日的資料積累總結(jié),提出一些看法和觀點(diǎn)。

在制定的網(wǎng)絡(luò)安全服務(wù)器上下載升級(jí)軟件或補(bǔ)丁等。

2.4現(xiàn)有安全狀況下的可操作分析

1、對(duì)新建或早期建成的TDCS/CTC系統(tǒng)，組織專家小組或聘請專業(yè)公司針對(duì)系統(tǒng)應(yīng)用程序做滲透測試，濾出安全漏洞，防止引發(fā)安全風(fēng)險(xiǎn)。

2、TDCS/CTC中心應(yīng)增設(shè)網(wǎng)絡(luò)安全服務(wù)器，安裝防火墻，對(duì)連接在網(wǎng)絡(luò)中的任何一臺(tái)合法機(jī)器，實(shí)行統(tǒng)一管理，以確保網(wǎng)絡(luò)的安全。

3、完善各級(jí)TDCS/CTC維護(hù)中心、工作站的設(shè)備維護(hù)、故障處理體系。TDCS/CTC中心應(yīng)設(shè)專職網(wǎng)絡(luò)安全管理人員，各電務(wù)段應(yīng)成立信息設(shè)備維護(hù)站，負(fù)責(zé)本段范圍內(nèi)信息設(shè)備安全養(yǎng)護(hù)和故障處理。其機(jī)構(gòu)組織和人員定編及職能應(yīng)在相關(guān)的上級(jí)文件中加以明確。

4、科學(xué)處理補(bǔ)丁和病毒的矛盾。有些補(bǔ)丁可能與正在運(yùn)行的操作發(fā)生沖突，影響系統(tǒng)的穩(wěn)定工作，因此每次安裝補(bǔ)丁都需經(jīng)過慎重的論證測試，應(yīng)先在分系統(tǒng)或開發(fā)系統(tǒng)上測試。系統(tǒng)開發(fā)商，應(yīng)提供相應(yīng)的測試環(huán)境和測試系統(tǒng)，以保證該項(xiàng)工作科學(xué)、有效地進(jìn)行。

5、十分有必需要對(duì)TDCS與CTC盡快獨(dú)立組網(wǎng)，實(shí)現(xiàn)專網(wǎng)專用，清理非正常接入網(wǎng)絡(luò)的計(jì)算機(jī)及無關(guān)作業(yè)，減少外界干擾。在網(wǎng)絡(luò)安全管理上，應(yīng)盡量避免遠(yuǎn)程登錄。確因工作需要時(shí)，對(duì)廠家（或登錄方）調(diào)試用計(jì)算機(jī)應(yīng)采取殺毒措施和身份驗(yàn)證后，方可進(jìn)入網(wǎng)內(nèi)開展遠(yuǎn)程診斷、處理等工作。

TDCS/CTC現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，不能完全適應(yīng)新技術(shù)與新應(yīng)用帶來的實(shí)際需求。因此，應(yīng)當(dāng)建立完善的、多層次的網(wǎng)絡(luò)防護(hù)體系，建立動(dòng)態(tài)和主動(dòng)的保護(hù)機(jī)制，時(shí)刻檢查和解析所有的訪問請求及內(nèi)容，一旦發(fā)現(xiàn)可疑行為，及時(shí)做出響應(yīng)，將網(wǎng)絡(luò)系統(tǒng)調(diào)整到“最安全〞和“風(fēng)險(xiǎn)最低〞的狀態(tài)。

TDCS/CTC系統(tǒng)是構(gòu)建在一個(gè)通用開放的操作平臺(tái)上,TDCS/CTC系統(tǒng)雖然是相對(duì)獨(dú)立的內(nèi)部網(wǎng),安全管理工作相對(duì)好做些,目前由于一些狀況可能大家不以為然,病毒乘虛而入,最終造成大家疲于奔命。因此不可避免地要面對(duì)計(jì)算機(jī)病毒問題,特別是病毒造成的車站子系統(tǒng)死機(jī)給日常維護(hù)帶來了很大困難,這個(gè)題目我從自己的實(shí)際工作狀況出發(fā),通過平日的資料積累總結(jié),提出一些看法和觀點(diǎn)。

第3章現(xiàn)有系統(tǒng)改進(jìn)的必要性及參考原則

3.1系統(tǒng)改進(jìn)的必要性

隨著網(wǎng)絡(luò)安全攻、防技術(shù)的不斷發(fā)展，任何一個(gè)網(wǎng)絡(luò)管理者或使用者都十明顯了，所有計(jì)算機(jī)網(wǎng)絡(luò)都必然存在著被有意或無意攻擊和破壞的風(fēng)險(xiǎn)。對(duì)于大多數(shù)網(wǎng)絡(luò)黑客來說，都能夠成功地侵入到某個(gè)網(wǎng)絡(luò)系統(tǒng)中，竊取該系統(tǒng)的內(nèi)部數(shù)據(jù)，甚至破壞其真實(shí)性和完整性。因此，建立完善的網(wǎng)絡(luò)安全防護(hù)體系，就顯得十分必要了。

在TDCS/CTC網(wǎng)絡(luò)系統(tǒng)中建立分層的安全防護(hù)體系，能夠有效地避免較流行的網(wǎng)絡(luò)攻擊方式和可能造成的嚴(yán)重后果，保證明時(shí)業(yè)務(wù)系統(tǒng)及相關(guān)數(shù)據(jù)的安全性，提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)等共享資源的利用率和可服務(wù)性，最終實(shí)現(xiàn)對(duì)骨干網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)操作過程的有效控制與管理。

3.2涉及安全防護(hù)參考原則

根據(jù)防范安全攻擊的安全需求、需要達(dá)到的安全目標(biāo)、對(duì)應(yīng)安全機(jī)制所需的安全服務(wù)等因素，我們在設(shè)計(jì)分層的網(wǎng)絡(luò)安全防護(hù)體系時(shí)將參考并遵循以下原則：

3.2.1體系化設(shè)計(jì)原則

通過分析骨干網(wǎng)絡(luò)系統(tǒng)的層次關(guān)系，提出科學(xué)的安全體系和安全框架，從中分析出存在的各種安全風(fēng)險(xiǎn)，充分利用現(xiàn)有投資，并合理運(yùn)用當(dāng)今主流的安全防護(hù)技術(shù)和手段，最大限度地解決骨干網(wǎng)中可能存在的安全問題。

3.2.2全局性、均衡性、綜合性設(shè)計(jì)原則

從骨干網(wǎng)絡(luò)整體建設(shè)角度出發(fā)，提供一個(gè)具有相當(dāng)高度、可擴(kuò)展性強(qiáng)的安全防護(hù)解決方案；從TDCS/CTC網(wǎng)絡(luò)系統(tǒng)的實(shí)際狀況看，單純依靠一兩種安全措施，并不能解決全部的安全問題。所以，應(yīng)均衡考慮各種安全措施的效果，提供具有最優(yōu)性價(jià)比的網(wǎng)絡(luò)安全防護(hù)解決方案。

3.2.3可行性、可靠性、持久性原則

可行性是設(shè)計(jì)網(wǎng)絡(luò)安全防護(hù)方案的根本，它將直接影響到網(wǎng)絡(luò)通信平臺(tái)的暢通；可靠性是安全系統(tǒng)和網(wǎng)絡(luò)通信平臺(tái)正常運(yùn)行的保證。由于政策規(guī)定、服務(wù)需求的不明確，環(huán)境、條件、時(shí)間等的變化，攻擊手段的進(jìn)步，安全防護(hù)不可能一步到位，應(yīng)當(dāng)在一個(gè)比較全面

TDCS/CTC系統(tǒng)是構(gòu)建在一個(gè)通用開放的操作平臺(tái)上,TDCS/CTC系統(tǒng)雖然是相對(duì)獨(dú)立的內(nèi)部網(wǎng),安全管理工作相對(duì)好做些,目前由于一些狀況可能大家不以為然,病毒乘虛而入,最終造成大家疲于奔命。因此不可避免地要面對(duì)計(jì)算機(jī)病毒問題,特別是病毒造成的車站子系統(tǒng)死機(jī)給日常維護(hù)帶來了很大困難,這個(gè)題目我從自己的實(shí)際工作狀況出發(fā),通過平日的資料積累總結(jié),提出一些看法和觀點(diǎn)。

的安全策略或規(guī)劃下，根據(jù)網(wǎng)絡(luò)的實(shí)際需求，在初步建立安全防護(hù)體系的基礎(chǔ)上，進(jìn)一步保證信息網(wǎng)絡(luò)的安全性。

TDCS/CTC系統(tǒng)是構(gòu)建在一個(gè)通用開放的操作平臺(tái)上,TDCS/CTC系統(tǒng)雖然是相對(duì)獨(dú)立的內(nèi)部網(wǎng),安全管理工作相對(duì)好做些,目前由于一些狀況可能大家不以為然,病毒乘虛而入,最終造成大家疲于奔命。因此不可避免地要面對(duì)計(jì)算機(jī)病毒問題,特別是病毒造成的車站子系統(tǒng)死機(jī)給日常維護(hù)帶來了很大困難,這個(gè)題目我從自己的實(shí)際工作狀況出發(fā),通過平日的資料積累總結(jié),提出一些看法和觀點(diǎn)。

第4章相關(guān)網(wǎng)絡(luò)安全機(jī)制及改進(jìn)方向

完善鐵路TDCS/CTC網(wǎng)絡(luò)安全配套設(shè)施建設(shè)，是在現(xiàn)有網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的基礎(chǔ)上，充分考慮防火墻、入侵檢測/防護(hù)、漏洞掃描、防病毒系統(tǒng)等安全技術(shù)及產(chǎn)品在整個(gè)安全體系中所起到的不同防護(hù)功能，增加相應(yīng)的硬件設(shè)施，建立多層次的安全防護(hù)體系，更有效的保障骨干網(wǎng)絡(luò)系統(tǒng)的運(yùn)行。因此，在鐵路信號(hào)系統(tǒng)中運(yùn)用網(wǎng)絡(luò)技術(shù)時(shí)應(yīng)要做好充分的考慮。

4.1相關(guān)安全因素的防護(hù)作用

4.1.1防火墻防護(hù)

防火墻是第一道防線，主要用于抵御外部網(wǎng)絡(luò)黑客或黑客程序或節(jié)點(diǎn)故障導(dǎo)致的對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，是實(shí)施訪問控制策略的系統(tǒng)，對(duì)流經(jīng)的網(wǎng)絡(luò)流量的合法性進(jìn)行檢查，攔截不符合安全策略的數(shù)據(jù)包。它部署在內(nèi)外網(wǎng)交界處和不同安全等級(jí)區(qū)域的結(jié)合點(diǎn)處。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，而對(duì)于好多的入侵攻擊依舊無計(jì)可施。

4.1.2入侵檢測系統(tǒng)

入侵檢測系統(tǒng)(IDS)是對(duì)防火墻的有益補(bǔ)充，能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它是防火墻之后的其次道安全閘門，在不影響網(wǎng)絡(luò)性能的狀況下對(duì)網(wǎng)絡(luò)或系統(tǒng)資源進(jìn)行監(jiān)聽，尋覓違反安全策略的行為或攻擊跡象，并發(fā)出報(bào)警，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。IDS是一種被動(dòng)的防衛(wèi)。而入侵防護(hù)系統(tǒng)(IPS)是一種主動(dòng)的、積極的入侵防范及阻止系統(tǒng)，主要部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測到攻擊企圖后，會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。IPS是建立在IDS發(fā)展基礎(chǔ)上的網(wǎng)絡(luò)安全產(chǎn)品，更具有網(wǎng)絡(luò)防護(hù)優(yōu)勢。

目前，幾乎所有的操作系統(tǒng)和軟件都存在安全漏洞，而這些漏洞是防火墻等安全設(shè)施無法防衛(wèi)的，所以應(yīng)當(dāng)根據(jù)具體的應(yīng)用環(huán)境，通過漏洞掃描系統(tǒng)或工具在內(nèi)部網(wǎng)絡(luò)系統(tǒng)中盡可能早地發(fā)現(xiàn)它們，并及時(shí)采取適當(dāng)?shù)奶幚泶胧┻M(jìn)行修補(bǔ)，即可有效地阻止入侵事件的發(fā)生。

4.1.3防病毒系統(tǒng)

防病毒系統(tǒng)能夠及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒的入侵，并采取有效手段遏制病毒的傳播和破

TDCS/CTC系統(tǒng)是構(gòu)建在一個(gè)通用開放的操作平臺(tái)上,TDCS/CTC系統(tǒng)雖然是相對(duì)獨(dú)立的內(nèi)部網(wǎng),安全管理工作相對(duì)好做些,目前由于一些狀況可能大家不以為然,病毒乘虛而入,最終造成大家疲于奔命。因此不可避免地要面對(duì)計(jì)算機(jī)病毒問題,特別是病毒造成的車站子系統(tǒng)死機(jī)給日常維護(hù)帶來了很大困難,這個(gè)題目我從自己的實(shí)際工作狀況出發(fā),通過平日的資料積累總結(jié),提出一些看法和觀點(diǎn)。

壞，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。主要部署在用戶端，用于病毒的發(fā)現(xiàn)、隔離與清除。

因此，在鐵路TDCS/CTC網(wǎng)絡(luò)系統(tǒng)安全防護(hù)的改進(jìn)過程中，我們要結(jié)合不同的安全保護(hù)因素，創(chuàng)立一個(gè)比單一防護(hù)更有效的綜合保護(hù)屏障。這種分層的安全防護(hù)體系成倍地增加了黑客或病毒攻擊的成本和難度，從而大大減少了他們對(duì)骨干網(wǎng)絡(luò)的攻擊。

4.2建立多層次的網(wǎng)絡(luò)安全防護(hù)體系

在骨干網(wǎng)絡(luò)系統(tǒng)中，建立一個(gè)集入侵檢測系統(tǒng)、安全漏洞掃描、防火墻系統(tǒng)和防病毒系統(tǒng)于一體的多層次、全方位的網(wǎng)絡(luò)安全防護(hù)體系。這種分層的網(wǎng)絡(luò)安全防護(hù)技術(shù)具體來說包括攻擊檢測，攻擊防范，攻擊后的恢復(fù)這三大方向，每一個(gè)方向上都有代表性的技術(shù)手段和安全產(chǎn)品。

在建立了這種多層防護(hù)的安全體系以后，即使網(wǎng)絡(luò)中的入侵檢測系統(tǒng)失效，防火墻、安全漏洞掃描和防病毒軟件還會(huì)起作用。配置合理的防火墻系統(tǒng)能夠在入侵檢測系統(tǒng)發(fā)現(xiàn)之前阻止最普通的攻擊。安全漏洞掃描能夠發(fā)現(xiàn)漏洞并幫助清除這些漏洞。假使一個(gè)系統(tǒng)沒有安全漏洞，即使一個(gè)攻擊沒有被發(fā)現(xiàn)，那么這樣的攻擊也不會(huì)成功。即使入侵檢測系統(tǒng)沒有發(fā)現(xiàn)已知病毒，防火墻沒能阻止病毒，安全漏洞掃描沒有清除病毒傳播途徑，防病毒軟件也同樣能夠偵測這些病毒?？傊?，那些企圖侵入骨干網(wǎng)絡(luò)系統(tǒng)的黑客或病毒將要付出數(shù)倍的代價(jià)才有可能達(dá)到目的，這就使得骨干網(wǎng)絡(luò)的安全防護(hù)系數(shù)有了較大程度的提升。

4.3保證網(wǎng)絡(luò)安全的其他本卷須知

4.3.1硬件安全

1、瓶頸安全：每種網(wǎng)絡(luò)都有其弱點(diǎn)，如采用的星型以太網(wǎng)，其瓶頸在于交換機(jī)，交換機(jī)的安全可靠性直接關(guān)系到整個(gè)系統(tǒng)的安全，因此，選擇硬件時(shí)在備品備件上應(yīng)做好充分的考慮，如采用雙機(jī)熱備，條件許可再冷備等等。

2、硬件期限：電子設(shè)備特別是計(jì)算機(jī)設(shè)備的使用周期在鐵路信號(hào)的維修規(guī)程中無很明確的輪修周期，因此，選擇優(yōu)良的國際品牌、便捷優(yōu)良的售后服務(wù)是關(guān)鍵。

3、隔離措施：強(qiáng)電、雷電等沖擊很簡單造成硬件的損壞，除做好系統(tǒng)防雷外，硬件本身的每個(gè)I/O應(yīng)具備光隔措施，以確保整個(gè)系統(tǒng)的安全。

4.3.2軟件安全

1、系統(tǒng)安全：作為網(wǎng)絡(luò)技術(shù)支撐的UNIX和WindowsNT（2000、XP）等，本身系統(tǒng)具

TDCS/CTC系統(tǒng)是構(gòu)建在一個(gè)通用開放的操作平臺(tái)上,TDCS/CTC系統(tǒng)雖然是相對(duì)獨(dú)立的內(nèi)部網(wǎng),安全管理工作相對(duì)好做些,目前由于一些狀況可能大家不以為然,病毒乘虛而入,最終造成大家疲于奔命。因此不可避免地要面對(duì)計(jì)算機(jī)病毒問題,特別是病毒造成的車站子系統(tǒng)死機(jī)給日常維護(hù)帶來了很大困難,這個(gè)題目我從自己的實(shí)際工作狀況出發(fā),通過平日的資料積累總結(jié),提出一些看法和觀點(diǎn)。

有廣泛的開放性，部分代碼是公開的，系統(tǒng)在發(fā)展中必然存在一些不可避免的安全漏洞，黑客利用漏洞制造的病毒全球泛濫。從安全上的考慮，在選擇操作系統(tǒng)時(shí)可采用一些專用的操作系統(tǒng)，這將對(duì)網(wǎng)絡(luò)系統(tǒng)的安全起到獨(dú)特的效果，如駝峰采用的DEC公司的OpenVMS操作系統(tǒng)。

2、網(wǎng)絡(luò)安全：杜絕與互聯(lián)網(wǎng)相連的可能，整個(gè)系統(tǒng)網(wǎng)內(nèi)任何一個(gè)子網(wǎng)內(nèi)任何一臺(tái)計(jì)算機(jī)不得存在與互聯(lián)網(wǎng)相通狀況，遠(yuǎn)程診斷服務(wù)端計(jì)算機(jī)的安全性也不例外，這可能是一個(gè)簡單忽略的問題。另外，設(shè)置防火墻是網(wǎng)絡(luò)系統(tǒng)中必不可少的條件，且需定期升級(jí)。

3、協(xié)議安全：協(xié)議間的相互認(rèn)證是網(wǎng)絡(luò)安全的一個(gè)組成部分，采用增加協(xié)議的認(rèn)證層次或區(qū)別于目前流行的通信協(xié)議等方式也是確保網(wǎng)絡(luò)安全的一個(gè)層面，軟件設(shè)計(jì)時(shí)是應(yīng)當(dāng)可以考慮的。

4、程序安全：核心程序?qū)こＳ赡硞€(gè)