浅谈轨道交通网络信息安全技术--中国期刊网

字体：大中小

首页> 原创作品> 正文

浅谈轨道交通网络信息安全技术

发表时间：2021/6/18 来源：《基层建设》2021年第6期作者：王卫涛

[导读] 摘要：轨道交通网络信息安全会影响系统运行，轻则导致系统故障，轨道停运，重则引发人员伤亡事故，阻碍社会和谐稳定的发展。

        中车青岛四方机车车辆股份有限公司山东青岛 266000
        摘要：轨道交通网络信息安全会影响系统运行，轻则导致系统故障，轨道停运，重则引发人员伤亡事故，阻碍社会和谐稳定的发展。因此，在轨道交通管理中，加强对网络信息安全的重视，根据轨道交通网络的特点及运行现状，选择最佳的安全技术，并结合安全风险点，优化技术手段，提高轨道交通网络的安全性。本文对轨道交通网络信息安全技术进行探讨。
        关键词：轨道交通；网络信息；安全技术
        1工控网信息安全技术的改进措施
        1.1硬件改进措施
        基于轨道交通网络工业控制系统的自动化特征，技术人员可将现场级系统独立划分，并将其分解为多层结构，在每层网络中配置相应的硬件设备，组成工业级网络产品，保证设备安全可靠的运行。
        1.2软件改进措施
        针对轨道交通工业控制系统的安全隐患，软件设施需具备可视化功能、备份功能、故障排除功能。在进行软件改进时，技术人员需遵循IEC62443标准，将安全管理渗透于控制系统安装、运行等多个环节。在安装环节，软件程序需配置设备安全功能，根据设备的运行环境与要求，明确其安全级别，应用不同的安全条款与协议；在运行环节，软件程序需具备可视化拓扑结构，在结构中标注不同设备的安全级别，为设备管理提供便利。同时，在设备出现故障时，软件程序可自动报警，保障轨道交通工业控制系统可靠运行。在运维管理环节，轨道交通工业控制系统运维安全隐患，主要来源于操控程序指令部分的内部指令运作混乱，亦或者是故障警报失灵。此时程序进行安全防护时，一方面是通过定期进行轨道交通工业控制系统自动更新法，对轨道程序中存在的漏洞进行弥补，以达到整体运维的目的。一方面是安全警报防护程序对应管理，针对容易出现安全隐患的软件部分安装备用程序。例如，防火墙部分的交换机操控与处理环节，就主要采取防火墙周围建设安全防护补丁的方法解决问题。
        2网络隔离安全技术
        2.1网络隔离安全技术的安全隐患
        1）轨道交通各线路设备单点连接，在遇到异常流量时，会对所有线路造成影响，引发安全事故。2）系统业务模块与计算机资源网络无序连接，数据连接缺乏规范，影响通信效果。3）轨道交通工业控制系统的运营企业、项目企业与运维中心，均按照独立网络运行，三者在公众网络连接方面无规范标准，易出现混乱，影响数据通信。
        2.2网络隔离安全技术的改进措施
        针对网络隔离技术的应用不足，技术人员需要制定完善的单向隔离方案，优化轨道交通工业控制系统各模块的连接次序，保障系统的信息化安全运行。数据链路设计。针对轨道交通工业控制系统的运行流程，需设置5个链路。1号链路负责系统与运营企业的连接，选用分离异步通信技术；2号链路负责系统与运营平台计算资源的连接，运行流程为数据沉淀仓库→操作数据集→仓库；3号链路负责系统与外部网络的连接，需要配置防火墙与B2B服务网关；4号链路负责系统与管理中心的连接，需要具备用户访问功能；5号链路负责内部连接，整合系统各项资源，包括网络资源、数据资源等。内容方案制定。技术人员需要通过内容方案隔离轨道交通的生产网络与管理网络，将工业控制系统划分为不同模块，配置相应的软硬件设施，保障系统可靠运行。例如，在生产网络前置模块，需要配置EBS服务器、大容量磁盘阵列与数据服务器，根据数据类型构建多个数据库，统一监管系统的冗余与监管数据信息，保障轨道交通网络信息安全。
        冗余性能设计。轨道交通工业控制系统具有特殊性，需配置相应的冗余性能，在网络隔离技术应用下，技术人员需配置A-A或A-S模式的冗余性能，避免网络隔离导致数据通信遇到瓶颈。例如，从当前轨道交通工业控制核心系统之上，重点延伸出多个与其相互对应的子程序。其余部分是应用这一框架中进行的轨道交通工业控制系统的平稳运作。其中最具代表的就是轨道交通工业控制系统中的配置模型的层次化调整。

期刊文章分类查询,尽在期刊图书馆

实际设定与管理时，如果程序中已经有A-A模式，则A-S模式则无需继续给予重点辅助，而是要作为子程序中的分支进行补足之处的弥补，就可以达到主干程序与辅助部分相互调节的状态了。在轨道交通网络信息安全管理中，管理人员可以根据实际状况，选择上述2种安全技术，推动轨道交通网络的可持续发展。
        3轨道交通网络信息安全系统
        3.1分区分域功能
        在轨道交通网络信息安全系统中，需要结合列车的运行区域，进行分区分域，使不同区域的轨道交通网络信息均可得到有效监管。在该文设计的系统中，将列车划分为2个安全域与1个蜜网安全域，前者是指轨道列车的内外部网络；后者是指轨道列车车载控制系统配置的蜜罐主机群组，用于连接列车的内外部网络，该群组配置多种算法，可解密网络攻击或黑客的代码，如shellcode代码、xss代码和SQL语句等，将恶意代码进行还原，配合网络爬虫技术，进行恶意代码溯源，追踪攻击者。此外，轨道交通工业控制系统中的分区域功能调节部分，也善于借助安全防控与密网防护两者的相互协调方法解决问题，其过程可以避免在程序代码的深入引导下，使轨道交通工业控制系统受到外部影响因素的干扰，或者出现常规代码源部分的辅助组合调配了。
        3.2对外隔离功能
        在轨道交通网络信息安全系统中，对外隔离功能可以将轨道交通内部网络与其他外部网络分隔开，进而避免其他网络因素影响轨道交通内部网络，实现网络信息安全的有效防护。基于该功能的特殊性与重要性，在进行软硬件配置时，需遵循相关国家标准，具体内容见表1。从表中外部硬件配置与功能调节的实际情况来说，轨道交通工业控制系统应用环境是最基础的构成部分，而电磁程序、电子装置、冲击振动性能、脉冲抗群部分的对应调节，也是其工作过程中不能忽视的组成部分。这些相互分散的轨道交通程序，分别用于系统内部动力的传输和调整，并完成每一个阶段的信息互动，自然也就实现了综合调节和辅助性隔离的目的。
        3.3对内认证功能
        在轨道交通网络信息安全系统中，对内认证功能用于认证与轨道交通网络连接的设备，认证标准为802.1x协议，满足IEEE标准要求。基于上述认证流程，设备身份认证顺利通过后，才可以连接轨道交通网络，并针对身份认证结果，为设备提供相应的网络权限，控制设备在轨道交通网络中的运行行为，避免其对轨道交通网络运行产生影响。
        3.4审计功能
        在轨道交通网络信息安全系统中，审计功能是指对轨道交通网络的日志及流量进行审计，可记录轨道交通网络出现的安全事件，评估轨道交通网络的状态，分析其是否存在安全隐患。其中，日志审计是指对设备运行日志、设备配置信息等数据进行整合，通过大数据技术对日志信息数据进行深入挖掘，选出可代表轨道交通网络信息安全的数据进行存储，并构建统一展示平台，用于展示信息数据；流量审计是指深度剖析轨道交通网络的通信报文，结合流量协议、流量行为等信息，构建基线模型，检测轨道交通网络的各项行为，分析其中是否存在网络攻击。
        3.5安全管理中心
        1）系统管理模块，全面检测轨道交通网络信息安全系统的软硬件设备运行状况，管理内容包括白名单、资产等。2）安全管理模块，制定安全设备运行策略，如访问控制策略等。3）审计管理模块，存储与管理审计信息，制定审计工作方案，将审计结果进行可视化处理。通过三个模块的协调配合，保障轨道交通网络信息安全系统稳定运行，发挥轨道交通网络信息安全技术作用。
        结束语
        总的来说，轨道交通网络信息安全风险点较多，且处于动态变化状态，需不断更新安全技术，实时保障网络安全。通过该文的分析可知，技术人员可从硬件与软件两方面强化工控网信息安全技术，合理设计单向网络隔离方案，避免轨道交通网络受到外界攻击，提升网络架构的层次化与逻辑性，保障群众的出行安全。
        参考文献：
        [1]陈智慧.城市轨道交通信号系统信息安全设计方案探析[J].建筑技术开发，2018，45（6）：85-86.
        [2]李跃.基于网络隔离技术的轨交信息安全防护设计[J].网络安全技术与应用，2017（8）：27-28.