摘要:现阶段,我国的铁路数据通信网络建设已获得一定的成就,当下所使用的铁路数据通信网涵盖铁通划转数据、客专数据等子网络,各系统间的运营呈现出协作性和独立性。在多个系统的作用下,铁路数据通信网能够提供应急通信、视频监控、视频会议等多种不同的服务,同时涉及GSM-R系统,使通信业务愈发多样。但在铁路数据通信网的安全管理方面却暴露出一些问题,所选用的技术方式还不够完善,故铁路部门带着前瞻性思维从安全技术、后续管理和审计等环节入手,做到多角度的考虑与研究,也对未来进行憧憬,继而寻找到准确的前行方向。
关键词:铁路数据通信;安全技术;发展;问题研究
1铁路数据通信网应用的现状
在新时期下,铁路数据通信网络承载了各铁路局运营中所产生的数据量和业务通信情况,在接入方式上较为简单,而且传输时的宽度也大,有着诸多的优点,同时涵盖了铁路局各部门、总公司、车间和工区等多个业务的接入,还涉及旅服信息、变电所数据收集、综合监控系统和应急通信等多种业务。因信息化与网络安全间有着极强的依赖性,安全是通信系统得以运行的先决条件,而发展又是安全的有力保障,必须做到同步。换之言,即网络管理系统应使数据管理愈发高效,但在实际操作中,却缺少安全意识,没有可行的防御手段,故暴露出被动与局限性,继而给业务系统和网络操作等环节留下不同程度的安全隐患。
2铁路数据通信网技术的特点及作用
2.1数据通信网技术的特点
数字通信技术的通话质量较高,特别是其中的无线通信技术,就有线技术而言,抗干扰能力极强,同时误码率也不高,重要的是可对通信内容做到有效加密。为此,即便通信的环境恶劣,在进行通信时也不会受到过多的影响,故呈现出较高的稳定性。在对信息系统进行构建时,数据通信技术彰显出其独有优势,使通信质量得到极大程度的提升,也使系统有所优化,满足铁路系统的真实需求。
2.2铁路通信网技术的作用
传统的铁路运输在信息交流时,多是选用信号灯来进行指挥,故所需劳动力大,同时整体的工作效率也不高,在一定程度上暴露出人身安全的问题。此时,数据通信网的引入,将以往的劳动成本做到相应的降低,更是提升了各部门的工作效率,彰显出数据通信网的实效性。除此之外,铁路运输系统已普遍采用了该通信网,操作系统已逐渐成熟,各部门间的交流也呈现出实时性,可通过信息技术的调度明确地发布指挥信息,使铁路运输工作所应具有的安全性得到切实有效的保障。
3铁路数据通信网安全技术的分析
3.1有线网络
对于网络所遇的网络攻击,因缺少入侵防范系统,也没有增设边界防火墙,故无法完成实时的监控与后续的拦截。为此,应选用网内检测系统,例如,可及时发现网内出现异常状态的流量分析技术。对于网络边界而言,防火墙可能无法检测出数据内存在的攻击,对于滥用的P2P软件也没有制定科学的控制方案,继而应选用具有深层检测的先进技术和产品,对网络资源滥用、破坏应用系统的行为做到有效阻断。
3.2网络接入
因缺少应对终端设备接入网络的行为没有进行有效的管理,故无法对终端设备身份进行统计,只要获得访问的权限与静态IP地址即可轻松接入网络,给数据通信网络带来不同程度地攻击,致使管理控制系统出现问题。
3.3安全日志
正常来讲,日志审计可让安全人员对系统运行的情况做到准确掌握,能够迅速完成非法入侵和攻击的识别,防止信息的泄露与篡改。为此,日志审计与内控的需求应做到极大程度的契合,继而达到行业的标准,呈现出规范化,是数据通信网的必备功能。
3.4终端安全
针对终端的管理,因技术手段不足将无法对网络访问、打印、移动存储介质等行为做到严格管控,更不能进行后续的审计操作,故应通过多种手段加强终端安全。
3.5安全管理
一是在配置核查环节,入侵者会通过安全配置中的漏洞侵入系统而带来不同程度的威胁。此时,管理人员要通过复杂的操作才能完成配置的合规检查,故应借助自动化的检查工具来完成,保证工作的整体效率。二是漏洞修补环节,若无进行细致化的扫描与修补,则会给体系统带来威胁。在现阶段的,漏洞的利用技术得到更新,发掘漏洞的速度也较快,应通过先进的技术对系统所具有的脆弱性做到快速且精准的定位,在攻击者未实施攻击时先修复系统中的漏洞,使信息系统的运行环境愈发安全。三是审视与登录环节,需要完成IT资源账号、授权等的集中控制,还应做好运维过程的记录审计,可通过文本方式和视频来进行记录,借助细粒度查询方式,减少恶意操作,同时将责任做到细致化落实,让整个运维过程可查并可控。
3.6数据流量
在新时期下,铁路数据通信网中所承载的数据量呈现出激增的趋势,给运维工作带来一定的压力和困难,一方面要分析流量中的尖峰差异与属性比例,另一方面还需对监控线路所具有的总带宽做到实时监控,同时借助NetStream对异常流量做到精准化的识别。若遇到蠕虫攻击,该技术可对攻击者进行识别,也可对异常的通讯做到跟踪,依托IP和MAC绑定的方式来维护终端的安全,使攻击者无法接入终端。
4铁路数据通信网安全问题的解决对策
第一、通过网络准入管理系统,让合法用户对数据通信网内的资源进行使用,使没有通过身份验证的台式机、服务器或移动终端不可对系统进行操作。第二、完成二代防火墙的布设,将网络边界的安全性做到极大程度的提升,将位置、应用、时间与威胁等多个维度进行组合,继而从全局角度感知各类威胁,给应用层安全带来保护。第三、以集中登录的方式完成运维人员的管理,借助封闭式管理使系统账号不会泄露,同时让运维账号以自动形式进行分配,加大审计的整体力度。第四、优化日志审计系统,使之对路由器等基础设备、服务器设备、应用系统各阶段的运行日志等完成全面化的采集,通过集中监测的方式完成可疑行为的跟踪。第五、选用数据安全交换网闸,满足互联网与铁路数据通信网在网络分时隔离状态下易可完成数据的交换,完成病毒库、系统补丁的及时升级。第六、依托病毒防护软件、安全管理系统软件等进行终端设备的有效管理,使台式机、笔记本等终端主机得到极大程度的保护,也可对用户和组、移动存储介质等的情况做到精准化的管理。第七、通过数据流分析系统,对Flow数据包、计算流速等进行分析,对异常的通信做到准确的识别,继而完成攻击源及其目的的定位。与此同时,借助链路的基线来完成链路模型的构建,使阈值设置彰显出极强的科学性,若网络阈值与网络链路指标值不符时,系统会进行及基线告警,寻找到网内攻击。第八、对数据通信网络中的安全设备、主机设备进行安全漏洞的扫描,再通过细粒度自动化手段来完成系统配置的修复,优化漏洞扫描与配置核查的流程。第九、通过IDS入侵检测设备对防火墙的缺陷做到有针对性地弥补,使来自外部的一些攻击得到有效检测,保证应用层的安全。
5铁路数据通信网安全技术的前行方向
铁路数据通信网已与现代化技术做到极大程度的结合,不仅将以往的运输效率做到切实有效的提升,还给系统的运行带来极高的安全保障。为此,铁路部门应对每一个运输环节进行实时监控,加大整体的监管力度,特别是在设备操作与关键环节应做好细致化的管控,让铁路运输愈发稳定与长效。因铁路数据通信网中涵盖了诸多的监测设备,故可借助这些设备来完成全方位的网络系统检测与多角度的监控。在实际操作中,安全管理技术及方案将重点放置于网络安全,导致评估结果出现偏差,暴露出对整体趋势认识不足的缺陷。基于此,应将感知技术所获取的多个要求进行切实有效的结合,将整体的安全状态做到准确获知,继而结合实际情况来完成发展趋势的多角度预测。相关部门应将漏洞脆弱性、攻击威胁性和各节点的关键价值等做好分析,找到当中联系,紧跟时代进步趋势,保证网络的安全与系统运行的长效性。一方面可对网络运行各阶段的安全动态进行实时掌控,另一方面也反映出不同阶段下网络的变化特点,能够面对不断出现的困难与问题并完成及时补救。
参考文献
[1]邓烨飞.铁路数据通信网的流量调优应用研究[J].铁道通信信号,2020,56(11):51-54.
[2]王韬,张智慧,张洋.铁路数据通信网安全技术及其发展[J].通信电源技术,2020,37(08):142-143+146.
[3]陈丹晖.构建铁路数据通信网骨干网的网络安全管理中心[J].铁道通信信号,2020,56(04):69-72.
[4]李岩.综合网管在铁路通信网安全生产中的应用[J].中国安全科学学报,2019,29(S2):51-56.
[5]刘红阳.铁路公务通信平台构建方案研究[J].铁道通信信号,2019,55(08):61-64.
《铁路数据通信网安全技术及其发展研究》来源:《电子测试》,作者:盛国军