網(wǎng)絡安全等級保護在地鐵AFC系統(tǒng)中的實踐分析

劉欣

摘要：本文主要介紹了網(wǎng)絡安全等級保護的背景以及當前地鐵當中AFC系統(tǒng)的情況，對其中的主機防護系統(tǒng)以及入侵檢測系統(tǒng)還有防火墻系統(tǒng)的整體情況進行分析，對網(wǎng)絡安全維護進行了分析。當前是信息時代和網(wǎng)絡時代，伴隨著科技進步的同時也不可避免出現(xiàn)一些問題，網(wǎng)絡安全需要有功能全面的產(chǎn)品系統(tǒng)來為軌道交通的安全運營提供科學調(diào)度和決策的依據(jù)。對AFC系統(tǒng)進行信息安全防護系統(tǒng)的全面建設，構建地鐵票務系統(tǒng)信息安全體系。

關鍵詞：網(wǎng)絡安全等級保護;地鐵AFC系統(tǒng);實踐分析

1.當前存在的安全風險

1.1物理風險

目前所說的物理風險主要就是機房物理環(huán)境的安全穩(wěn)定問題，例如機房管理工作、機房的安全防控以及監(jiān)控工作還有機房的配電和選址工作等，機房設計施工以及運轉(zhuǎn)和維護都會對機房網(wǎng)絡運行過程的安全性以及機房承載的信息系統(tǒng)的安全性產(chǎn)生影響。

1.2網(wǎng)絡風險

需要將必要的安全防護設備、措施和策略，運用地鐵AFC系統(tǒng)重要資產(chǎn)的安全區(qū)域，不合理的基礎網(wǎng)絡安全設置，以及安全區(qū)域劃分的不合理都影響到信息數(shù)據(jù)以及數(shù)據(jù)傳輸?shù)陌踩€(wěn)定。其中主機系統(tǒng)還會因網(wǎng)絡安全缺陷受到病毒和安全漏洞等威脅，導致業(yè)務運行時出現(xiàn)重大故障，還有一些開放性的權限會通過網(wǎng)絡擴大影響范圍，在不同的程度上威脅著主機系統(tǒng)。

1.3數(shù)據(jù)風險

地鐵的AFC系統(tǒng)當中儲存著大量的數(shù)據(jù)，這些核心數(shù)據(jù)是相當關鍵的，如果一旦被竊取或者是破壞，那么地鐵AFC系統(tǒng)就會整個出現(xiàn)問題，整個地鐵的運轉(zhuǎn)也會受到阻礙。一般地鐵內(nèi)部的數(shù)據(jù)庫被入侵的原因都是地鐵的數(shù)據(jù)系統(tǒng)存在安全漏洞和對其中一些重要信息的安全設置不夠完善導致了數(shù)據(jù)的非法訪問以及篡改和刪減等重要安全事件。

1.4管理風險

地鐵當中AFC系統(tǒng)自身出現(xiàn)問題的概率是很小的，AFC系統(tǒng)出現(xiàn)問題的更多原因是人工操作的不規(guī)范或者是沒有安全防范意識導致的，其中甚至存在安全運行操作和維護人員受到了利益誘導來進行數(shù)據(jù)的竊取和販賣，這樣給地鐵的信息系統(tǒng)帶來了很大損失。因此地鐵AFC系統(tǒng)在建設的過程當中不但需要對工作人員的個人素質(zhì)重視，也需要關注運維人員的個人道德修養(yǎng)和工作態(tài)度，在具體的工作當中建立科學合理的運轉(zhuǎn)模式，規(guī)范操作和管理，這樣才可以在新時代下構建良好的信息防護體系。

2.地鐵AFC系統(tǒng)架構

AFC系統(tǒng)由主要由中心系統(tǒng)、線路系統(tǒng)、站點系統(tǒng)和車站AFC終端設備構成。中心系統(tǒng)為各線路系統(tǒng)數(shù)據(jù)匯聚節(jié)點，使用交換機單獨連接各線路系統(tǒng)網(wǎng)絡。線路系統(tǒng)分別與其線路內(nèi)各站點系統(tǒng)相連接，且各線路系統(tǒng)之間不連接。站點系統(tǒng)與其車站內(nèi)各AFC終端設備相連接，AFC終端設備一般包括閘機、自動售票機、售票處機器和手持查詢驗卡機等設備，另外站點服務器、工作站和配電設備也是車站系統(tǒng)重要組成部分。維修中心搭建在中心系統(tǒng)內(nèi)，主要包括檢測維修服務器，中心系統(tǒng)、線路系統(tǒng)和車站系統(tǒng)模擬器，AFC終端設備以及維修系統(tǒng)工作站等軟硬件，具有維修效果檢測、模擬測試、業(yè)務技能培訓等功能。

3.網(wǎng)絡安全等級保護在地鐵AFC系統(tǒng)中的應用

3.1入侵檢測系統(tǒng)

地鐵AFC系統(tǒng)當中設置入侵防御系統(tǒng)主要目的一是主動防御，二是幫助維護人員，使其充分了解網(wǎng)絡內(nèi)部安全狀況，監(jiān)控網(wǎng)絡內(nèi)的入侵指令，同時將相關的網(wǎng)絡安全決策向維護人員提供，如果在網(wǎng)絡的內(nèi)部有異常的情況出現(xiàn)，入侵防御系統(tǒng)會及時發(fā)現(xiàn)異常情況，將出現(xiàn)情況的具體原因和位置以及解決辦法告知維護人員，讓維護人員可以快速有效及時進行處理。國家也將信息系統(tǒng)安全等級保護基本要求發(fā)布了出來，在基本要求之內(nèi)，明確了主機安全和應用安全以及網(wǎng)絡安全等要求，入侵防御系統(tǒng)需要在中心系統(tǒng)和線路系統(tǒng)部署，而且還需要將不同等級的入侵防御系統(tǒng)向站點系統(tǒng)內(nèi)劃分，這樣才可以將整體的監(jiān)測效果保證。該項系統(tǒng)需要對病毒木馬的供給以及AFC系統(tǒng)內(nèi)部設備的端口漏洞進行掃描以及網(wǎng)絡蠕蟲和IP碎片的供給等攻擊行為進行實時的監(jiān)視，檢測到這些攻擊行為后，對這些具有攻擊行為的IP地址和進行攻擊的可能目的進行深度分析，方便維護人員開展后續(xù)工作。

3.2防火墻系統(tǒng)

一些重要的區(qū)域在開展安全隔離工作的時候，一項關鍵性的系統(tǒng)就是防火墻系統(tǒng)，在部署防火墻的時候，需要結合各種不同的安全策略，這樣才可以應對繁多的攻擊事件，精準的對安全區(qū)域開展防護工作。與國家相關要求標準，以及主機安全和應用安全以及網(wǎng)絡安全要求相結合，在設計方案的時候，需要將防火墻系統(tǒng)在網(wǎng)絡邊界處部署。防火墻的部署主要實現(xiàn)的目的有在網(wǎng)絡的邊界處實現(xiàn)訪問控制，可以將不使用的網(wǎng)段及端口進行單向或雙向隔離。防火墻系統(tǒng)一般部署在中心系統(tǒng)、線路系統(tǒng)網(wǎng)絡邊界處，以滿足網(wǎng)絡安全等級保護要求。

3.3主機防護系統(tǒng)

主機防護系統(tǒng)需要采用對細粒度強力控制的應用方式，阻止病毒對系統(tǒng)的攻擊。與相關標準規(guī)范相結合，將最細粒度的控制向終端開展，以保證各項業(yè)務及操作安全穩(wěn)定。主機應當符合網(wǎng)絡安全等級保護各項要求，以確保準入控制無盲點，安全防護無盲區(qū)。

計算機系統(tǒng)和終端設備之間的聯(lián)系如圖1所示。

4.總結

網(wǎng)絡安全等級保護在地鐵AFC實踐當中需要從安全防護方案的設計、實施再到主機設備技術管理方面來開展，對非法攻擊和竊取信息以及非常創(chuàng)建操作指令等情況進行控制，阻斷各種非法訪問的情況，保證城市地鐵軌道交通的正常運營。

參考文獻：

[1]周紅濤，何治達.網(wǎng)絡安全等級保護在鄭州地鐵AFC系統(tǒng)中的應用[J].交通世界（下旬刊），2019，（7）：12-13.

[2]李兆君，張建，宋宸等.地鐵票務系統(tǒng)信息安全等級保護建設方案探討[J].設備管理與維修，2019，（15）：105-107.