城市軌道交通信息網(wǎng)絡(luò)安全設(shè)計

喬杰

通號工程局集團(tuán)天津交通信息技術(shù)有限公司

城市軌道交通信息網(wǎng)絡(luò)安全設(shè)計

喬杰

通號工程局集團(tuán)天津交通信息技術(shù)有限公司

近年來我國城市軌道交通信息化建設(shè)越來越快，城市軌道交通信息網(wǎng)絡(luò)存在著嚴(yán)重的安全問題。本文主要分析了目前城市軌道交通信息網(wǎng)絡(luò)中的安全問題，并從安全設(shè)計原則、安全設(shè)計和入侵防范措施三個方面論述了城市軌道交通信息網(wǎng)絡(luò)安全設(shè)計。

我國在城市軌道交通建設(shè)中通常都很重視土建，忽視了對信息化網(wǎng)絡(luò)的建設(shè)。隨著城市化軌道交通的建設(shè)與發(fā)展，其中存在著諸多急需解決的問題。比如信息化網(wǎng)絡(luò)難以與業(yè)務(wù)需求、增長相符，來自內(nèi)外部因素對信息網(wǎng)絡(luò)的威脅等。因此，要重視城市軌道交通信息化網(wǎng)絡(luò)建設(shè)，尤其是安全設(shè)計，從而有效保障信息網(wǎng)絡(luò)的安全、高效運行。

1　問題城市軌道交通信息網(wǎng)絡(luò)安全

安全攻擊手段多樣化

在信息技術(shù)日新月異的同時，攻擊技術(shù)也更加先進(jìn)，安全攻擊手段發(fā)展得更加多樣化，和以往相比也更加復(fù)雜。其中較為典型的攻擊手段有：外部入侵、網(wǎng)絡(luò)嗅探、IP欺騙、木馬攻擊、信息垃圾以及拒絕服務(wù)（DoS）/分布式拒絕服務(wù)（DDoS）攻擊等。除此之外，主要攻擊手段從單一攻擊方式逐步轉(zhuǎn)變?yōu)槎喾N攻擊相結(jié)合的方式，攻擊手段發(fā)展的更具綜合性。

交通信息網(wǎng)內(nèi)部因素

為實現(xiàn)信息處理效率與速度的提升，城市軌道交通已經(jīng)不再使用紙制文檔，而是更多的運用電子文檔，將很多企業(yè)密級信息通過電子文檔的方式在內(nèi)網(wǎng)中儲存。另外，運用了協(xié)同、HR、OA、EAM和ERP等電子信息管理系統(tǒng)。在運用這些先進(jìn)管理系統(tǒng)后，在提高企業(yè)生產(chǎn)效率的同時，也讓企業(yè)信息安全管理面臨著更嚴(yán)峻的挑戰(zhàn)。通常情況下，70%以上安全事故存在于局域網(wǎng)內(nèi)部，一般由內(nèi)部濫用或誤用導(dǎo)致。因為城市軌道交通網(wǎng)絡(luò)有著用戶眾多、規(guī)模較大的特點，加強對內(nèi)部濫用或誤用的監(jiān)管，能夠促進(jìn)城市軌道交通網(wǎng)絡(luò)順利運行。

來自病毒泛濫的影響

城市軌道交通中的很多用戶都使用城市軌道交通信息網(wǎng)，對互聯(lián)網(wǎng)進(jìn)行訪問，并且在互聯(lián)網(wǎng)很多資源中都攜帶有病毒，比如FTP病毒、QQ病毒、網(wǎng)頁病毒以及郵件病毒等。病毒在侵入城市軌道交通信息網(wǎng)絡(luò)后，能夠自動對有價值信息進(jìn)行收集，比如網(wǎng)絡(luò)中傳輸明文口令、郵件地址列表等。并且還會對網(wǎng)絡(luò)中計算機存在的漏洞進(jìn)行探測，并根據(jù)這些漏洞傳播到網(wǎng)內(nèi)計算機中。當(dāng)病毒在網(wǎng)絡(luò)中進(jìn)行大量復(fù)制或者大規(guī)模傳播時，會嚴(yán)重消耗網(wǎng)絡(luò)資源，甚至還會因此導(dǎo)致網(wǎng)絡(luò)出現(xiàn)堵塞，嚴(yán)重時造成網(wǎng)絡(luò)癱瘓，對城市軌道交通信息網(wǎng)絡(luò)威脅很大。

2　設(shè)計城市軌道交通信息網(wǎng)絡(luò)安全

安全設(shè)計原則

第一，性價比平衡原則。只有提高資金投入力度，才能有效保證網(wǎng)絡(luò)的安全，并提高網(wǎng)絡(luò)安全級別。在城市軌道交通信息網(wǎng)絡(luò)設(shè)計過程中，需要對其性價比進(jìn)行優(yōu)先考慮，同時還要對城市交通軌道信息網(wǎng)絡(luò)存在的風(fēng)險與安全隱患進(jìn)行定量或者定性分析，制定出有效的安全措施，對相應(yīng)的保護(hù)措施、安全策略加以確定，最大限度實現(xiàn)性價比平衡。

第二，整體規(guī)劃，分步實施原則。從以往建設(shè)經(jīng)驗可知，本線是各線工程信息網(wǎng)絡(luò)建設(shè)的主要范圍，不能在整體上對網(wǎng)信息網(wǎng)絡(luò)進(jìn)行規(guī)范，特別是對于新建城市軌道交通來說，缺乏建設(shè)經(jīng)驗，未能統(tǒng)一規(guī)劃線網(wǎng)，資源共享意識不強，很容易發(fā)生在某些工程中，其應(yīng)用系統(tǒng)的設(shè)置、信息網(wǎng)絡(luò)建設(shè)等單獨對線路網(wǎng)絡(luò)結(jié)構(gòu)加以考慮，配置十分冗余，無法將安全措施落實到位。不能立足于線網(wǎng)的高度進(jìn)行通盤考慮，會導(dǎo)致資源出現(xiàn)嚴(yán)重浪費，難以取得較好安全效果。所以，要在城市軌道交通信息網(wǎng)絡(luò)安全設(shè)計過程中，從整體上做好規(guī)劃，以分布實施為原則，根據(jù)系統(tǒng)工程的觀點，并充分結(jié)合到線網(wǎng)各線路建設(shè)時序，做好線網(wǎng)的安全布局，確保配置更加安全，真正實現(xiàn)安全資源共享，從而有效減少建設(shè)投資，降低運營成本，對后續(xù)線路信息網(wǎng)絡(luò)安全建設(shè)提供指導(dǎo)。

第三，保證安全措施的靈活和簡單。目前，威脅信息網(wǎng)絡(luò)安全的因素既有外部的，也有內(nèi)部，并且對信息網(wǎng)絡(luò)安全造成的危害也越來越嚴(yán)重。對于這些存在的安全威脅，運維工程師能夠根據(jù)實際的網(wǎng)絡(luò)安全設(shè)施，有針對性的選擇各種安全措施，如果所選擇的安全措施較為復(fù)雜，對運維工程師有著極高要求，那么就會對信息網(wǎng)絡(luò)安全性產(chǎn)生不利影響，所以要盡量選擇靈活、簡單的安全措施。

第四，綜合運用多種安全技術(shù)的原則。為不斷提高信息網(wǎng)絡(luò)的安全性，讓信息網(wǎng)絡(luò)存在的安全風(fēng)險降到最低，只具備單一安全技術(shù)是遠(yuǎn)不能滿足這些要求的。這是由于不論何種安全保護(hù)措施，其必定存在一定的缺陷，所以在信息系統(tǒng)受到各種安全威脅或者遇到各類防護(hù)重點時，其保護(hù)系統(tǒng)要綜合運用多種安全技術(shù)，這樣能夠保證在某一種安全技術(shù)被攻破后，信息安全仍然能夠受到其他安全技術(shù)的保護(hù)。

安全設(shè)計

第一，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。網(wǎng)絡(luò)設(shè)計的基礎(chǔ)就是結(jié)構(gòu)層次化，能夠?qū)W(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行簡化，讓數(shù)據(jù)流更合理，實現(xiàn)路由交換設(shè)備效率的提升，讓網(wǎng)絡(luò)更具拓展性，并趨于穩(wěn)定。根據(jù)網(wǎng)絡(luò)維護(hù)組織結(jié)構(gòu)、建設(shè)規(guī)模以及服務(wù)質(zhì)量等要求，對基礎(chǔ)承載網(wǎng)中網(wǎng)絡(luò)層級劃分為接入層、匯聚層和核心層，也可以選擇匯聚層與核心層結(jié)合的扁平結(jié)構(gòu)，在劃分好層級好，匯聚流量，控制風(fēng)險的影響范圍。為讓網(wǎng)絡(luò)更加連通，防止單鏈路和單點出現(xiàn)故障，可在備份、路由冗余、物理鏈路及設(shè)備節(jié)點下實現(xiàn)。在不同位置設(shè)置核心層節(jié)點，比如不同車輛段、控制中心等。要將網(wǎng)狀結(jié)構(gòu)與環(huán)狀結(jié)構(gòu)應(yīng)用于核心層節(jié)點中，匯聚層與接入層、核心層節(jié)點間要選擇環(huán)形結(jié)構(gòu)與雙星形結(jié)構(gòu)。

第二，網(wǎng)絡(luò)安全策略。為讓核心層網(wǎng)絡(luò)更加可靠，要運用快速重路由技術(shù)，比如IP FRR、VPN FRR和TE FRR等，于核心節(jié)點做好鏈路保護(hù)。通過報文過濾異常流量、預(yù)防DDoS攻擊、關(guān)閉路由設(shè)備中多余服務(wù)以及加強用戶管理等，減少在主控板出現(xiàn)過載網(wǎng)絡(luò)流量，避免CPU資源被浪費等。實行隊列機制，在流量超出閾值后，限制通往主控板的流量，確保在過載流量條件下主控板能夠正常工作。在匯聚層中，冗余配置鏈路不能使用冷備用方式，要運用負(fù)載均衡方式。為匯聚層可靠性更強，其通路要運用轉(zhuǎn)發(fā)檢測技術(shù)（BFD）對故障進(jìn)行快速檢測。在各設(shè)備接入端對接入IP地址數(shù)進(jìn)行限制，避免受到DoS、DDoS的攻擊。在接入層中，從實際需求入手，運用端口限制用戶惡意行為及網(wǎng)絡(luò)攻擊。運用QinQ技術(shù)，對VLAN數(shù)量加以拓展，避免出現(xiàn)盜用IP與賬號、用戶間的ARP攻擊等情況。運用MAC地址和IP地址綁定，避免接入非授權(quán)用戶，防止IP被盜用。

入侵防范措施

第一，IPS。對于網(wǎng)絡(luò)威脅，IPS有著實時、主動防御的特點，有效控制信息網(wǎng)絡(luò)風(fēng)險。IPS主要使用HIPS與NIPS，其中而在被保護(hù)主機上使用HIPS部署，必須先考慮HIPS部署對主機性能的影響。而NIPS既能夠串行部署，還能夠旁掛，最好選擇具備故障倒換能力、高吞吐能力的NIPS型號。

第二，IDS。IDS也可使用HIPS與NIPS，其中HIPS主要應(yīng)用于加強主機防御能力方面。而NIPS一般要配合防火墻使用，發(fā)揮NIDS安全檢測的作用。另外，為防止NIDS頻繁出現(xiàn)告警，要在防火墻內(nèi)側(cè)安置NIDS。

3　結(jié)語

總之，隨著我國城市軌道交通信息化建設(shè)速度日益加快，信息網(wǎng)絡(luò)在城市軌道交通運營管理中的作用也更加凸顯?，F(xiàn)代城市軌道交通運營管理主要以高效、安全和節(jié)約為目標(biāo)，因此信息網(wǎng)絡(luò)的穩(wěn)定與安全就顯得尤為重要。怎樣為城市軌道交通信息網(wǎng)絡(luò)提供更安全的保障，是一項復(fù)雜而重要的課題。在網(wǎng)絡(luò)技術(shù)發(fā)展日新月異的今天，還需要在實踐中繼續(xù)加強對信息網(wǎng)絡(luò)安全設(shè)計的研究。

10.3969/j.issn.1001-8972.2015.06.035