智能铁路时代网络安全问题探讨

智能铁路时代网络安全问题探讨

唐超

武汉高速铁路职业技能训练段湖北武汉430000

摘要：随着科学技术的不断发展和信息时代的到来,互联网技术在企业管理和发展中起着越来越多的作用。当前我国网络技术研究的最主要的问题一直是网络通信信息安全问题,从铁路通信网络建设和运行情况来看,虽然该网络系统在很大程度上提升了企业工作效率,加快了铁路信息管理的速度和正确率的提升。但同时计算机病毒的频发,也造成通信网络系统旅客信息安全和列车行驶安全的风险因素有所提高。

关键词：智能铁路；网络安全；问题；措施

1铁路信息网络系统安全问题讨论

1.1病毒威胁

计算机病毒一直是影响网络信息安全的最主要的来源,计算机病毒是一种由人为恶意编制的,在计算机程序中插入病毒代码可以破坏计算机的数据和相关功能,破坏性强,潜伏性大,传播速度快,一般很难得以完全根除。同时,由于互联网效应造成计算机病毒传播速度极快,并可以通过广泛的介质进行传播,比如电脑,手机以及一切需要联网的设备。对我国相关企业计算机网络系统带来了极大的威胁,尤其是铁路企业系统,一旦铁路企业相关计算机管理体系受到病毒的侵害,会对铁路的正常运行以及人们的生命财产安全带来极大的威胁,甚至造成整个铁路信息网络的瘫痪,造成极大的损失。

1.2恶意网络攻击

当前,计算机网络面临的严峻问题之一是恶意网络攻击,有关不法人员为了自身的经济效益而铤而走险,对相关系统的内部和外部分别进行攻击,对企业带来很大的管理风险和通信隐患。计算机的恶意网络攻击外部表现在违法窃听、辐射信号截获等方面。但由于这种方式需要较大的技术支持和空间要求,因此铁路系统的互联网网络一般不会遭受此等侵害。比较常见的为系统的内部攻击,主要是指对计算机网络越权进行系统破坏,攻击的隐蔽性强,以黑客攻击为主要形式,会对整个网络系统的正常运行带来极大的损失。相关不法人员把铁路系统中的数据库和漏洞缺陷作为突破点,对有关计算机数据进行违法的盗取和篡改,以获得自身的经济效益。在恶意网络攻击严重的情况下,不仅会造成铁路信息系统的瘫痪,而且会对列车运行造成影响,因此规避计算机网络系统的恶意网络攻击势在必行。

1.3计算机系统本身的错误和遗漏

我国当前铁路局建立了统一的开发软件,以更好地对相关铁路计算机网络系统进行管理,这种方式虽然可以将全国铁路系统串联在一起,实现信息的共享,但与此同时,也会造成系统内部操作缺陷的暴露。不同铁路部门地理区域之间存在差距,容易在系统的使用和安装过程中出现失误,影响相关用户的系统配置,并在不同区域之间存在用户用法区别的问题。同时,由于铁路计算机网络系统相关管理人员技能水平参差不齐,很多技能水平低下的人员在进行实际操作时往往会产生失误而影响工作效率,带来计算机系统操作风险。

2智能铁路网络安全

2.1理念

网络安全理念考虑的是智能铁路安全构建思路问题。做好智能铁路的网络安全工作需要有顶层设计,层次化的设计理念是解决智能铁路面临的网络安全问题的一种可行思路。将安全问题分为终端层、云端层、感知层3个层面,终端层面向系统末梢,解决固定终端、移动终端、传感器、PLC、网络边界层面的安全接入问题,从源头抓安全风险;云端层面向系统中枢,解决云架构环境、主机、数据的安全管控问题,从核心抓安全风险;感知层面向系统未知,解决的是潜在安全问题,通过数据分析预判安全风险。

2.2架构

网络安全技术架构解决的是智能铁路安全的技术路线问题。铁路跨域系统一般按总公司、集团公司、站段3级架构构建,并按不同的服务对象将系统部署在外部服务网、内部服务网、安全生产网中。因此,在构建铁路网络安全架构时,需要体现“横向隔离、纵向认证、分区分域、等级保护”的原则,在三网边界部署安全隔离设备,在3级管理边界采取安全认证措施,划分不同的安全域,在安全域内部,将系统按等级分区管理,每个安全区之间根据等级不同,采取相应的安全措施。

2.3平台

网络安全平台解决的是智能铁路安全技术架构如何落地的问题。根据前述网络安全层次化思路,需要在终端层构建终端安全防护平台、移动应用安全接入平台、物联网应用安全接入平台、控制类终端安全防护平台、区域边界安全防护平台,在云端层构建数据中心安全防护平台、电子认证平台、集中管控平台,在感知层构建安全态势感知平台。

2.3.1终端安全防护平台

终端安全防护平台为通用固定终端设备接入系统提供安全防护措施。根据各铁路集团公司等单位对终端安全管理的迫切需求,终端安全防护平台主要提供介质管控、一机两网、非法外联、非法接入、病毒防护、补丁管理、行为审计等铁路常见终端安全管理问题的解决措施。

2.3.2移动应用接入平台

移动应用接入平台为使用移动互联技术的应用系统移动设备端接入安全防护措施。涉及的安全问题主要有移动终端安全、APP应用安全和无线网络安全。移动终端安全主要解决硬件认证、操作系统隔离、安全协议、用户访问控制、页面防拷贝等安全问题;APP应用安全主要解决铁路移动应用APP的统一管理和发布、授权管理、下载权限控制,无线网络安全主要解决有线网络与无线网络边界之间的访问和数据流传输通道的安全。

2.3.3物联网应用安全接入平台

物联网在铁路的应用场景有铁路桥隧涵监测系统、集装箱运输监控系统、综合视频监控系统等,一般使用传感器、RFID、视频摄像头等智能感知设备。接入平台主要解决感知层的安全问题,对涉及感知节点及网关节点设备和连接这些设备的短距离无线网络提供安全接入处理措施,保证只有授权的感知节点设备及可信的网络地址可以接入,避免陌生地址的攻击行为。

2.3.4控制类终端安全防护平台

铁路控制类终端分为3类:a.与行车相关的控制终端;b.与供电相关的控制类终端;c.与灾害监测风险防控相关的控制类终端。控制类终端安全防护平台可以借鉴通用终端的安全防护措施,主要区别在核心处理器芯片上。由于控制类系统大多属铁路关键信息基础设施,因此,控制类终端的核心处理芯片需要采用符合国家商用密码管理要求的加密芯片,防范芯片存在恶意指令或模块,采取真随机数发生器、存储加密、总线传输加密等措施进行安全防护[10],并具备“开盖毁钥”措施。

2.3.5区域边界安全防护平台

铁路安全区域边界分为两类:a.铁路外部服务网与互联网边界、内部服务网与外部服务网边界、安全生产网与内部服务网边界;b.铁路总公司、集团公司、站段三级系统间的安全区域边界。区域边界安全防护平台为这两类边界提供安全防护措施,采用可信验证技术实现网络边界设备的身份鉴别、访问控制、协议过滤、流量控制、数据摆渡、安全审计、非法外联和非法接入阻断等功能。

2.3.6数据中心安全防护平台

数据中心在日常运行过程中面临物理风险、网络风险、系统风险和数据风险,因此,在构建数据中心安全防护平台时,主要解决的也是物理安全、网络安全、系统安全和数据安全问题。物理安全主要考虑机房断电、空调故障、防火防盗等问题;网络安全主要考虑在各安全区域边界部署防火墙、入侵检测、防病毒、堡垒机等安全设备;系统安全主要通过对系统和服务器等设备的系统程序和重要配置参数等进行安全验证、全病毒查杀、日志分析和行为审计,提升日常安全运维管理;数据安全主要通过数据库安全防范、数据备份等措施规避安全风险。

2.3.7电子认证平台

电子认证平台用于构建铁路统一的人员及设备身份认证系统。提供铁路唯一的CA认证中心根证书,并与国家CA认证中心进行根证书互认。为各类应用系统提供用户证书、网站证书、服务器证书、移动设备证书的签发等业务管理、USBKEY介质管理、证书客户端管理、证书应用服务管理、证书吊销和在线查询等功能。

结论

综上所述,在铁路计算机网络系统中进行安全设施的构建和杀毒软件的安装对于维护计算机网络正常运行,保证铁路运行安全是十分重要的。本文主要通过对当前计算机网络面临的风险措施进行分析,提出针对性的解决方案,希望能为相关行业提供一定的参考。

参考文献：

[1]卢晓琴.完善铁路计算机网络安全的途径分析[J].电子制作,2018(2):173.

[2]张京.铁路计算机网络安全及防范措施[J].电脑开发与应用,2018(8):27-29,33.