現(xiàn)代網(wǎng)絡安全技術在鐵路通信網(wǎng)中的運用探討

郭喜瑩

（北京鐵路局北京鐵路通信技術中心，北京 100038）

1 鐵路通信網(wǎng)安全隱患應對重要性

惡劣天氣、線路檢修不及時、維修人員技術水平不高、自動監(jiān)測技術不完善、信號可靠性不高屬于鐵路通信網(wǎng)常見的安全隱患，但隨著網(wǎng)絡領域安全問題的日漸復雜，網(wǎng)絡攻擊、病毒等方面帶來的鐵路通信網(wǎng)安全沖擊日漸嚴重化。在《中國鐵路總公司關于做好鐵路數(shù)據(jù)網(wǎng)網(wǎng)絡安全專項整治工作的通知》（運電通信函[2016]123號）中，通知提出了網(wǎng)管冗余設備、防火墻、堡壘機、入侵檢測設備、終端管控設備等安全防護配置要求，并同時明確了鐵路通信網(wǎng)安全防護等級，這些均直觀說明了鐵路通信網(wǎng)網(wǎng)絡安全的重要性[1]。

2 現(xiàn)代網(wǎng)絡安全技術在鐵路通信網(wǎng)中的應用路徑

2.1 接入網(wǎng)技術

接入網(wǎng)技術屬于典型的現(xiàn)代網(wǎng)絡安全技術，該技術在鐵路通信網(wǎng)中的應用主要體現(xiàn)在無線接入網(wǎng)、有線接入網(wǎng)、熱線電話與閉塞電話、共線電話調度系統(tǒng)領域，以其中的無線接入網(wǎng)為例，采用SDH光同步數(shù)字傳輸設備組成的鐵路通信網(wǎng)便屬于無線接入網(wǎng)技術的應用典型，而網(wǎng)絡IP通信、ATM交換等技術的融合則實現(xiàn)了通信主干網(wǎng)絡的構建，“雙纖單向環(huán)”接入方式便能夠在保證鐵路通信網(wǎng)安全的前提下具備價格合理、傳輸效果優(yōu)秀、傳輸速度快等優(yōu)勢，整個鐵路通信網(wǎng)的可靠性、自愈能力將在該技術支持下實現(xiàn)長足提升。在筆者的實際調研中發(fā)現(xiàn)，400MHz的無線列調系統(tǒng)在我國鐵路通信網(wǎng)領域的應用極為廣泛，該系統(tǒng)主要負責駛入?yún)^(qū)段列車與車站值班人員的通話，且在常規(guī)無特殊情況工作環(huán)境中無通信工作，僅在列車進出站動作時進行通訊動作，相同頻率干擾因此大幅減少，頻率資源也因此實現(xiàn)了較好節(jié)約，同時該系統(tǒng)還能夠通過小區(qū)制的方式實現(xiàn)大三角的功能，即列車司機與車站工作人員的通訊、調度中心與列車司機的通訊、車站工作人員與調度中心的通訊，由此實現(xiàn)的實時雙向無線數(shù)據(jù)通訊不僅能夠滿足鐵路通信網(wǎng)功能需求，同時可較好保證其網(wǎng)絡領域的安全。

2.2 雙重冗余的網(wǎng)絡拓撲結構

為保證鐵路通信網(wǎng)的網(wǎng)絡層面安全，雙重冗余的網(wǎng)絡拓撲結構在其中的應用不應被忽視，其同樣屬于向現(xiàn)代網(wǎng)絡安全技術的應用典型。采用漸變性光纖作為傳輸介質、采用雙重冗余結構、采用環(huán)形網(wǎng)絡結構均屬于雙重冗余的網(wǎng)絡拓撲結構的應用要點，相較于傳統(tǒng)的雙環(huán)結構，雙重結構能夠在一定故障狀態(tài)下保證收發(fā)信息的正常，但由于雙重冗余的網(wǎng)絡拓撲結構存在成本較高特點，其現(xiàn)階段主要用于我國高鐵通信網(wǎng)建設。以高鐵通信網(wǎng)為例，傳統(tǒng)雙環(huán)結構通信網(wǎng)無法在軌道電路、車載列控設備、信號機等連接站點發(fā)生故障時安全可靠的收發(fā)信息，但雙重冗余的網(wǎng)絡拓撲結構卻能夠在環(huán)路故障而另一個環(huán)路正常的情況下正常工作，形成安全保證、通信網(wǎng)效率提升均將由此得到較為積極影響[2]。

2.3 大數(shù)據(jù)技術

為保證鐵路通信網(wǎng)的網(wǎng)絡安全，大數(shù)據(jù)技術的應用同樣屬于現(xiàn)代網(wǎng)絡安全技術的應用典型，這一應用主要集中在APT攻擊檢測與網(wǎng)絡異常檢測兩個層面，其中應用大數(shù)據(jù)技術的APT攻擊檢測可較好應對鐵路通信網(wǎng)APT攻擊威脅，APT攻擊具備的隱蔽性、滲透性、針對性較強優(yōu)勢也將由此得到有效削弱，在筆者的實際調研中發(fā)現(xiàn)，由于APT攻擊的渠道與空間路徑均不確定，我國鐵路通信網(wǎng)在APT攻擊表現(xiàn)不佳情況較為常見，但在大數(shù)據(jù)技術支持下，Beehive系統(tǒng)、攻擊金字塔、Map Reduce并行處理均可實現(xiàn)高質量APT惡意攻擊檢測，而結合這類技術建立APT綜合防御框架，便能夠通過安全檢測、安全防護、主動防御將APT攻擊對鐵路通信網(wǎng)的威脅降到最低，其中安全檢測主要負責收集鐵路通信網(wǎng)安全事件特征，而安全防護則主要負責針對性加強鐵路通信網(wǎng)脆弱點，主動防御則主要通過關聯(lián)分析與數(shù)據(jù)溯源實現(xiàn)，APT攻擊的抑制、鐵路通信網(wǎng)的安全保障均將由此得到有力支持；應用大數(shù)據(jù)技術的網(wǎng)絡異常檢測則主要圍繞鐵路通信網(wǎng)的越權資源訪問、流量突變、設備失效、可疑主機展開，由此通過深度學習的流量識別與網(wǎng)絡異常檢測方案，即可通過大數(shù)據(jù)技術支持下的可視分析、交互式分析、關聯(lián)分析全面而實時的掌握鐵路通信網(wǎng)流量情況，同時采用變換與降維處理方式，可實現(xiàn)圖形繪制算法收斂速度的提升，大數(shù)據(jù)技術將由此更好服務于鐵路通信網(wǎng)的網(wǎng)絡安全保障。

3 結束語

綜上所述，現(xiàn)代網(wǎng)絡安全技術能夠較好服務于鐵路通信網(wǎng)，在此基礎上，本文涉及的接入網(wǎng)技術、雙重冗余的網(wǎng)絡拓撲結構、大數(shù)據(jù)技術等內容，則提供了可行性較高的現(xiàn)代網(wǎng)絡安全技術應用路徑，而為了更好保證鐵路通信網(wǎng)的網(wǎng)絡安全，防火墻、堡壘機、入侵檢測等技術的應用也必須得到重視。