客運(yùn)專線信號(hào)安全數(shù)據(jù)網(wǎng)網(wǎng)管系統(tǒng)安全防范及優(yōu)化措施

王大群

（北京全路通信信號(hào)研究設(shè)計(jì)院有限公司，北京 100073）

1 概述

客運(yùn)專線信號(hào)系統(tǒng)安全數(shù)據(jù)網(wǎng)是一個(gè)保障客運(yùn)專線安全、穩(wěn)定、高效運(yùn)行的信息承載網(wǎng)絡(luò)，信號(hào)系統(tǒng)安全數(shù)據(jù)網(wǎng)需確保車站設(shè)備（計(jì)算機(jī)聯(lián)鎖（CBI）和列控中心（TCC）、中繼站／無(wú)岔站（列控中心）間及其與中心信號(hào)設(shè)備（如無(wú)線閉塞中心（RBC）、臨時(shí)限速服務(wù)器（TSRS））間的安全信息可靠傳輸?？瓦\(yùn)專線信號(hào)安全數(shù)據(jù)網(wǎng)通過(guò)獨(dú)立設(shè)置的網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)連接狀態(tài)和設(shè)備工作狀態(tài)監(jiān)測(cè)、記錄、故障報(bào)警和設(shè)備維護(hù)功能。

成熟的以太網(wǎng)技術(shù)為各專業(yè)用戶設(shè)備帶來(lái)了極大的便利，強(qiáng)大的網(wǎng)絡(luò)管理功能為網(wǎng)絡(luò)維護(hù)提供了方便，但是由于網(wǎng)絡(luò)系統(tǒng)本身的開(kāi)放性、信息資源的共享性、連接方式的多樣性，使網(wǎng)絡(luò)存在很多脆弱點(diǎn)。因此，有必要對(duì)客運(yùn)專線數(shù)據(jù)網(wǎng)網(wǎng)管系統(tǒng)存在的主要安全問(wèn)題進(jìn)行細(xì)致分析，選擇合適的網(wǎng)絡(luò)技術(shù)，確定客運(yùn)專線安全數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全的工程實(shí)施方案。

2 網(wǎng)管系統(tǒng)的威脅因素

客運(yùn)專線信號(hào)安全數(shù)據(jù)網(wǎng)的安全邊界在網(wǎng)管系統(tǒng)接入的安全網(wǎng)交換機(jī)和網(wǎng)管系統(tǒng)的路由器兩處。極端情況下，信號(hào)安全數(shù)據(jù)網(wǎng)可能面臨配置被修改的威脅，常見(jiàn)的有DoS/DDoS，?syn?flood、icmp?flood、udp?flood、tcp?scan、udp?scan、ping?sweep、?teardrop、land、ping? of? death、smurf、winnuke、圣誕樹(shù)、tcp無(wú)標(biāo)記、syn?fin、無(wú)確認(rèn)fin、松散源路由、嚴(yán)格源路由、ip安全選項(xiàng)、ip記錄路由、?ip流攻擊、ip時(shí)間戳、arp欺騙、廣播和組播泛洪等攻擊，病毒侵害等安全威脅。針對(duì)網(wǎng)絡(luò)的特點(diǎn)，其攻擊方式主要有兩種。

1）?利用網(wǎng)絡(luò)系統(tǒng)漏洞進(jìn)行攻擊

利用網(wǎng)絡(luò)系統(tǒng)中操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)協(xié)議的漏洞，完成密碼探測(cè)、權(quán)限提升、數(shù)據(jù)篡改、系統(tǒng)入侵等攻擊。

2）?解密攻擊

使用密碼是最常見(jiàn)并且最重要的安全保護(hù)方法，攻擊者通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)或暴力破解等方式獲得密碼通過(guò)身份校驗(yàn)，對(duì)網(wǎng)絡(luò)實(shí)施攻擊。

3 網(wǎng)管系統(tǒng)結(jié)構(gòu)及相關(guān)設(shè)備安全配置

3.1 網(wǎng)管服務(wù)器的主機(jī)和軟件的安全配置

1）在超級(jí)用戶下，新建某受限用戶，在受限用戶下安裝網(wǎng)管軟件；增加網(wǎng)管軟件編輯權(quán)限的密碼復(fù)雜性，關(guān)閉遠(yuǎn)程修改交換機(jī)配置的功能。

2）配置服務(wù)器日志：除了開(kāi)啟安裝在網(wǎng)管服務(wù)器上的網(wǎng)管軟件本身具備的日志文件記錄功能外，服務(wù)器操作系統(tǒng)日志文件記錄著服務(wù)器對(duì)每一請(qǐng)求的響應(yīng)行為信息，分析這些日志可以得到有用的安全信息。目前有許多日志文件分析工具，大部分可對(duì)兩種標(biāo)準(zhǔn)日志文件格式進(jìn)行分析，這兩種格式是“Common?Log?Format”和“Extended?Common?Log?Format”。服務(wù)器應(yīng)該配置成能生成兩種格式中任意一種格式的日志文件。

3）配置服務(wù)器的輔助網(wǎng)絡(luò)服務(wù)：一般WEB服務(wù)器可同時(shí)提供其他的網(wǎng)絡(luò)服務(wù)，如文件傳輸協(xié)議（FTP），gopher協(xié)議，電子郵件或接受從網(wǎng)管終端來(lái)的文件上載等，為增加WEB服務(wù)器的安全性，在確定不需要這些服務(wù)的條件下，關(guān)閉所有的輔助服務(wù)。

4）配置服務(wù)器可執(zhí)行的外部程序。

5）配置服務(wù)器的本地或遠(yuǎn)程管理。

6）確定操作系統(tǒng)提供什么樣的訪問(wèn)控制。有些操作系統(tǒng)可以對(duì)WEB服務(wù)的遠(yuǎn)程訪問(wèn)文件加以限制，這些進(jìn)程可以限制為對(duì)某些文件的只讀訪問(wèn)，而對(duì)另一些文件不允許訪問(wèn)。

7）配置服務(wù)器使之不能提供指定文件目錄數(shù)以外文件的服務(wù)。具體的實(shí)現(xiàn)可以通過(guò)服務(wù)器軟件，本身的配置選擇也可以通過(guò)操作系統(tǒng)選擇。必須避免在文件目錄樹(shù)中使用鏈接或別名，因?yàn)樗赋隽朔?wù)器主機(jī)或網(wǎng)絡(luò)中的其他文件。

8）使用功能較為強(qiáng)大的殺毒軟件，如symantec，并及時(shí)更新病毒庫(kù)。

3.2 防火墻的配置

防火墻可以無(wú)間斷地實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全主要端點(diǎn)的監(jiān)視和預(yù)警，客運(yùn)專線信號(hào)安全數(shù)據(jù)網(wǎng)網(wǎng)管系統(tǒng)的2臺(tái)防火墻分別設(shè)置在路由器和網(wǎng)管終端、路由器和網(wǎng)管服務(wù)器之間。防火墻是識(shí)別和抵御網(wǎng)絡(luò)攻擊的第一道保護(hù)屏障，其安全策略設(shè)置如下。

1）?關(guān)閉 ping?echo 和 ICMP。

2）?本地console登錄密碼設(shè)置足夠復(fù)雜，且需要授權(quán)的數(shù)字證書(shū)才能登錄。

3）?限制從網(wǎng)管終端或網(wǎng)管服務(wù)器流入網(wǎng)絡(luò)的流量。

4）?禁止telnet、SSH等遠(yuǎn)程配置功能。

5）?通過(guò)IP地址和端口地址過(guò)濾應(yīng)用主機(jī)和應(yīng)用程序，封掉不用的端口。

6）?啟用各種抗常見(jiàn)攻擊的策略，如DoS/DDoS攻擊，syn?flood、icmp?flood、udp?flood、?tcp?scan、udp?scan、ping?sweep、teardrop、land、ping?of?death、smurf、winnuke、圣誕樹(shù)、tcp?無(wú)標(biāo)記、syn?fin、無(wú)確認(rèn)fin、松散源路由、嚴(yán)格源路由、ip?安全選項(xiàng)、ip記錄路由、?ip?流攻擊、ip時(shí)間戳等攻擊。

3.3 路由器的配置

1）?配置訪問(wèn)控制列表（Access? Control? List，ACL）

ACL是提供網(wǎng)絡(luò)安全訪問(wèn)的基本手段，是路由器接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。安全數(shù)據(jù)網(wǎng)網(wǎng)管系統(tǒng)采用白名單過(guò)濾結(jié)束限制接入網(wǎng)管服務(wù)器的監(jiān)測(cè)維護(hù)終端的IP地址，從而保證非允許用戶對(duì)網(wǎng)管服務(wù)器進(jìn)行訪問(wèn)。配置命令如下：

Router（config）#access-list? 1? permit?（網(wǎng)管終端ip地址）?0.0.0.0！允許來(lái)自指定ip地址（終端）的流量通過(guò)

Router（config）#interf0/1

Router（config-if）#ip? access-group? 1?in！在接口下訪問(wèn)控制列表入棧流量調(diào)用

2）?配置網(wǎng)絡(luò)地址轉(zhuǎn)換（Network?Access?Translation，NAT）

采用NAT技術(shù)，使信號(hào)安全數(shù)據(jù)網(wǎng)設(shè)備和網(wǎng)管服務(wù)器之間相互隱藏真實(shí)IP地址，從而增強(qiáng)網(wǎng)管系統(tǒng)與安全數(shù)據(jù)網(wǎng)之間的安全指數(shù)。配置命令如下：

ipnat? inside? source? static?（服務(wù)器左網(wǎng)接口IP地址）（左網(wǎng)NAT地址）?route-map?NAT-L

ipnat? inside? source? static?（服務(wù)器右網(wǎng)接口IP地址）（右網(wǎng)NAT地址）?route-map?NAT-R

3）?嚴(yán)格控制CON端口的訪問(wèn)。改變默認(rèn)的連接屬性，例如修改波特率（默認(rèn)是9600，可以改為其他的）,配合使用訪問(wèn)控制列表控制對(duì)CON口的訪問(wèn),?給CON口設(shè)置高強(qiáng)度的密碼。

4）?為特權(quán)模式的進(jìn)入設(shè)置強(qiáng)壯的密碼。不要采用enable?password設(shè)置密碼。而要采用enable?secret命令設(shè)置，并且要啟用Service?passwordencryption功能使密碼不可見(jiàn)。

5）?禁止AUX端口和VTY遠(yuǎn)程訪問(wèn)。

6）?禁止其他的 HTTP、telnet、TCP、UDP?Small、CDP（Cisco? Discovery? Protocol）、IP?Source?Routing、ARP-Proxy、IP?Directed?Broadcast、WINS和DNS、SNMP協(xié)議服務(wù)、ICMP協(xié)議的IP?Unreachables,Redirects,Mask?Replies。

7）?啟用passive-interface命令，禁用一些不需要接收和轉(zhuǎn)發(fā)路由信息的端口

8）?完備的路由器安全訪問(wèn)和維護(hù)記錄日志。

4 結(jié)束語(yǔ)

信號(hào)安全數(shù)據(jù)網(wǎng)網(wǎng)管系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單，接入設(shè)備較少并采用2?M專用通道，但是不能因此忽視網(wǎng)絡(luò)安全方面的方法，要從技術(shù)角度出發(fā)，利用各種軟件和硬件，各種技巧和方法來(lái)安全管理，配合殺毒軟件與防火墻雙管齊下，保證客專信號(hào)安全數(shù)據(jù)網(wǎng)的安全。

[1] [2010]821號(hào) 客運(yùn)專線信號(hào)系統(tǒng)安全數(shù)據(jù)網(wǎng)技術(shù)規(guī)范V2.0[S].

[2]趙敬忠.網(wǎng)絡(luò)安全技術(shù)[M].北京：清華大學(xué)出版社，1999.

[3]侯廷剛.服務(wù)器搭建與管理-Windows Server 2003 [M].北京：清華大學(xué)出版社，2011.

[4]辛念，李國(guó)盛.客運(yùn)專線數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全實(shí)施方案研究[C]//2007年鐵路通信、信號(hào)、信息專業(yè)工程設(shè)計(jì)年會(huì)：129-132.