TDCS網路系統安全維護

ｔｄｃｓ系統和ｔｄｍｓ（鐵路運輸管理系統）實施ｔ／ｄ結合

安全性應該進行安全配置，盡量做到只開放必須使用的服務，關閉不經常用的協議及協議埠。充分利用應用系統本身的日資訊交換後，２個系統進行資訊共享、資訊交換和事蹟資料實

時傳輸，一旦其中乙個網路系統出現問題都會影響對方的正常使用。

２　ｔｄｃｓ網路安全威脅維護措施

２．１計算機硬體實體安全防範

（１）環境保護的防範：對特定區域（如機房）通過電子手

段（如紅外掃瞄等）或其他手段進行各種形式的保護（如監測和控制等），嚴格執行國家標準電子計算機機房設計規範計算站場地技術條件》、ｇｂ９３６ｌ一８８十算站場地安全要求》中對有關環境區域條件的明確規定，防止外部人員接觸微機硬體及網路裝置，杜絕非法使

用。（２）確保整個硬體系統的安全：除做好系統防雷外，硬體

本身的每個ｉ／０都應具備光隔措施，避免強電、雷電等衝擊造

成硬體的損壞。

（３）要求各車間安排負責ｔｄｃｓ操作的專責人員，封堵或

拆除車站ｐｃ機卜的ｉ／ｏ介面（如光碟機、軟碟機、ｕｓｂ插口等），並在主機板ｂｉｏｓ裡修改相應項遮蔽各埠，杜絕在車站終端微機上進行與業務無關的作業內容。

２＿２計算機病毒防範

（１）對微機及伺服器裝置進行記憶體公升級，以滿足防毒及安傘防護軟體執行的基礎硬體條件。

（２）ｔｄｃｓ重新配置伺服器，用於管理區域網內以及基層網中各計算機、：ｉ作站的防毒、防毒和公升級工作，按規定安裝

網路版防毒軟體和配備防火牆。

（３）為了防範病毒的入侵，要嚴禁將其他部門的計算機及

相關儲存裝置接入本系統，謹慎使用公共軟體，防止病毒的傳播和擴散。ｔｄｃｓ維修中心安排專職技術人員，定期從指定的**或伺服器上**防病毒公升級軟體和作業系統補丁，並結合年度ｔｄｃｓ裝置集中檢查，指導開展相應的維護ｔ作，確保各站作業系統及防毒軟體處於良好的安全防護狀態。

（４）對作業系統使用者進行分級許可權管理，實行最小許可權限制，特定許可權只允許執行特定程式，避免許可權提公升，保護作業系統安全。

（５）做好系統軟體的備份，包括對每個車站的系統和資料做光碟備份，對每站的資料和系統備份。對ｔｄｃｓ維護中心管

理的各個ｔ作站及維護臺、前置機等都應備份。

２．３作業系統應用軟體安全防範

對作業系統必須進行安全配置、科學處理補丁，還要利用相應的漏洞掃瞄軟體對其進行安全性掃瞄評估，檢測其存在的安全漏洞，分析系統的安全性，提出補救措施。

應用軟體一般都是針對某些應用而開發的，對應用軟體的

志功能，對使用者所訪問的資訊做記錄，為事後審查提供依據。使用應用軟體時，要通過加強使用者登入的身份認證以確保使用者

使用的合法性，嚴格限制登入者的操作許可權，將其完成的操作

限制在許可權範圍內。

２．４網路攻擊防範

（１）使用防火牆技術：通過對網路作拓撲結構和服務型別

隔離來加強網路安全。這是電腦網路之間的一種特殊裝置，主

要用來接收資料，確認其**及去處，檢查資料的格式及內容，並依照使用者的規則傳送或阻止資料。

（２）使用網閘技術：採用獨特的硬體設計並整合多種軟體防護策略，在保證２個網路安全隔離的基礎上實現安全資訊交換和資源共享，能夠抵禦各種已知和未知的攻擊，顯著提高內網的安全強度，為使用者創造無憂的網路應用環境。

（３）使用漏洞掃瞄技術：自動檢測遠端或本地主機安全脆弱點，通過執行一些指令碼檔案對系統進行攻擊並記錄其反應，從而發現其中的漏洞。這一技術查詢ｔｃｐ／ｉｐ埠，並記錄目標的響應，收集關於某些特定專案的有用資訊（如正在進行的服務、擁有這些服務的使用者、是否支援匿名登入、是否有某些

網路服務需要鑑別等），可以為審計收集初步的資料。

（４）使用入侵檢測技術：對網路資源上的惡意使用行為進

行識別和響應處理。它不僅檢測來自外部的入侵行為，同時也檢測內部使用者的未授權活動，還能發現合法使用者濫用特權，為

追究入侵者法律責任提供有效證據。通過分析入侵過程的特徵、條件、排列以及事件問的關係，具體描述入侵行為的跡象，而這些跡象不僅對分析已經發生的入侵行為有幫助，還能對即將發生的入侵有警戒作用。

（５）加強路由器密碼管理：路由裝置負責將網路中的資訊

傳輸和交換選擇優化路徑。路南裝置在資訊網路中處於核心地

位，路由裝置的安全直接影響到整個網路的安全，因此，加強路由裝置的安全設定勢在必行。主要措施是：加強路由器密碼管理，使用不小於８位的密碼，最好使用數字、字母、特殊字元、大小寫混合的密碼，並且按一定週期更改密碼。

（６）加強通訊埠過濾：使用路由器訪問控制列表（ａ—ｃｌ）技術對允許通過路由器的資料進行過濾。ａｃｌ通過對網路資源進行訪問輸入和輸出控制，確保網路裝置不被非法訪問或用作攻擊跳板。

ａｃｌ是一張規則表，交換機按照順序執行這些規則，並且處理每乙個進入埠的資料報。每條規則根據資料報的屬性

（如源位址、目的位址和協議）要麼允許、要麼

拒絕資料報通過。由於規則是按照一定順序處理的，因此每條規則的相對位置對於確定允許和不允許資料報通過網路至關重要。通過只允許指定埠或指定協議的資料報通過路由器，禁止常用的病毒傳播埠，即使某個車站終端染上病毒，病毒也無法傳出該站區域網，使網路病毒被控制在狹窄的範圍內，避

７免危害擴大化。

（７）使用虛擬區域網（ｖｌａｎ）技術，控制病毒影響範圍：

虛擬區域網（ｖｌａｎ）具有加強型交換機功能，是應用廣泛的安全策略。虛擬區域網路是指在交換區域網的基礎上，採用網

也使得網路管理變得簡單、直觀。

２．５加強安全制度的建立和落實工作

根據實際情況和所採用的技術條件，參照有關的法規、條例制定出切實可行又比較全面的各類安全管理制，主要包括操作安全管理制度、裝置安全管理制度、計算機網路安全

絡管理軟體構建的可跨越不同網段、不同網路的端到端的邏輯網路。乙個ｖｌａｎ組成乙個邏輯子網，即乙個邏輯廣播域，它可以覆蓋多個網路裝置，允許處於不同地理位置的網路使用者管理制度、軟體安全管理制度、計算機病毒防治管理制度、

網路故障應急預案制度等。制度的建立不能流於形式，應重加入到乙個邏輯子網中。從技術角度講，ｖｌａｎ的劃分可依據

不同原則，具體劃分方法一般包括基於埠的ｖｉ．ａｎ劃分、

基於ｍａｃ位址的ｖｌａｎ劃分、基於路由的ｖｌａｎ劃分３種。

就目前來說，對於ｖｌａｎ的劃分主要採取基於埠的ｖｌａｎ

劃分和基於路由的ｖｌａｎ劃分。通過路由訪問列表和ｍａｃ位址分配等ｖｌａｎ劃分原則，可以控制使用者訪問許可權和邏輯網段大小，將不同使用者群劃分在不同ｖｌａｎ，從而提高交換式網路的整體效能和安全性。通過對ｖｌａｎ的建立，隔離了廣播，縮小了廣播範圍，可以控制廣播風暴的產生。

對於採用ｖｌａｎ技術的網路來說，乙個ｖｌａｎ可以根據部門職能、物件組或者應用將不同地理位置的網路使用者劃分為乙個邏輯網段。這樣

８在落實和監督。

３結語ｔｄｃｓ網路安全是相對的，安全問題關鍵因素在人，只有排除了安全意識、管理力度、管理水平等方面的人為安全隱患，不斷探索新技術以適應現代化發展的需求，不斷使訊號

裝置維護人員的知識更新以跟上時代步伐，不斷發展與完善訊號裝置維護管理模式和辦法，才能確保ｔｄｃｓ網路發揮其重大作用，為鐵路運輸事業添磚加瓦。囝

［責任編輯：鄧進利］

醫院網路系統安全管理制度

一 為了保證醫院網路的正常執行，保護醫院網路系統的安全和網路使用者的使用權益，特制定本安全管理制度。二 本管理制度所稱的醫院網路系統是指在醫院資訊系統中，由計算機及配套設施構成的，按照醫院網路資訊系統的應用目標和規定，對資料進行採集 加工 儲存 傳輸 檢索等處理的人機系統。三 醫院網路系統安全管理是...

醫院網路系統安全管理制度

第一條為了保證醫院網路的正常執行，保護醫院網路系統的安全和網路使用者的使用權益，特制定本安全管理制度。第二條本管理制度所稱的醫院網路系統是指在醫院資訊系統中，由計算機及配套設施構成的，按照醫院網路資訊系統的應用目標和規定，對資料進行採集 加工 儲存 傳輸 檢索等處理的人機系統。第三條醫院網路系統安全...

網路系統安全執行突發事故應急預案

附件 一 編制目的 為了及時 迅速 有效地應對 資訊網路系統可能發生的突發事件，最大程度地預防和減少資訊網路突發事故造成的危害和損失，不斷提公升資訊網路系統的安全防護能力，保障網路的正常穩定執行，特制訂本預案。二 工作原則 以科學發展觀為指導，堅持 關口前移 預防為主 快速反應 統一指揮 科學處置 ...