基于铁路站间安全管控措施

基于铁路站间安全管控措施

曹瑞红

（陕西欣宇通信技术有限公司，陕西 西安 710075）

摘要：中国铁路西安局集团公司管内的铁路山区线路，占铁路局运营线路里程比重较大。山区铁路多年来山体风化、开裂、剥落现象严重，存在严重的滑坡及危岩落石风险；尤其是近年来，随着气候变化，雨季时间增长，山体受雨水冲刷、浸泡、侵蚀、冻胀等影响，造成山体滑坡、自然水沟堵塞形成堰塞湖及大量泥石流土石方。严重威胁铁路线路及桥涵，给铁路行车安全构成极大威胁。本文将对拟采用的网络架构、整体组网方案、安全解决方案进行研究。

关键词：PTN；MPLS-TP；LSP；DWDM

1 PTN专网技术

1.1技术原理

PTN是基于分组转发的面向连接的多业务传送技术。PTN支持电信级以太网、TDM和IP业务承载，具有高可靠性、高安全性、高扩展性、高业务质量和可控可管等电信级网络特点。PTN适合各种粗细颗粒业务、端到端的组网能力，它能够提供各种“柔性”传输管道，更加适合于IP业务特性；同时它可以支持多种基于分组交换业务的双向点对点连接通道；它可以在短时间内完成点对点连接通道的保护切换，可实现传输级别的业务保护和恢复；继承了SDH技术的操作、管理和维护机制，具有点对点连接的完整OAM功能，保证网络具备保护切换、错误检测和通道监控能力;网管系统可以控制连接信道的建立和设置，实现了业务QoS的区分和保证等。

基于MPLS-TP的PTN包括如下一些关键技术。

(1)分组转发机制

PTN数据转发基于标签进行，即由标签构成端到端的面向连接的路径， MPLS-TE基于20比特的 MPLS-TP标签转发，是局部标签，在中间节点进行LSP标签交换。

(2)多业务承载

MPLS-TP采用伪线电路仿真技术来适配不同类型的客户业务，包括以太网、TDM和ATM等客户业务。支持以太网点到点线型业务、以太网多点到多点专网线业务和以太网点到多点树形业务。

(3)运行维护管理机制

PTN的MPLS-TP运行维护管理机制分为虚线层、标签交换路径层和段层三层。每层都支持运行维护管理功能机制，包括连续性检验、连接确认、性能分类、告警抑制、远端完整性能等。

(4)网络保护方式

PTN网络支持的标签交换路径的保护方式，主要有环路保护、线路倒换和网状网恢复等。保护范围包括光纤、节点、环的段层等;线路倒换时网络的恢复，主要依靠自动重新选择路由机制完成。

(5)服务质量机制

PTN支持的服务质量机制，包括流量管理、优先级映射、流量整形、队列调度和拥塞控制等。

1.2 PTN网络结构

光传送网络分三级架构搭建，其中一级干线光传送网络按区域搭建的西部环（DWDM40X10Gb/s）、东部环（DWDM40X10Gb/s）、东北环（DWDM40X10Gb/s）三个系统覆盖全国31个省，出入各省（包括西藏）传送网络不但在逻辑组网上实现基本的自愈环网保护，而且在物理组网上实现光缆双路由、节点双归属,具备业界最高网络安全级别。

二级干线光传送网络以省会城市为枢纽，按地理区域搭建的陕北环（DWDM40X10Gb/s）、关中环（DWDM40X10Gb/s）、陕南环（DWDM40X10Gb/s）三个系统覆盖全省10市。采用全球领先的网络传输技术可对城市间业务提供永久1+1保护，并与成熟的传输系统紧密配合，共同构建了一个高安全级别、大颗粒传送的全业务承载平台。

本地城域光传送网络分别以环型、星型、链型等不同的拓扑结构覆盖城市、区、县、乡镇、村接入点累计超过6万个，敷设光缆17万皮长公里。并采用FSO、微波、PDH、MSTP、PTN等多种接入设备，可提供E1、FE、GE、155M、622M、2.5G等不同速率全业务接口，为用户端全业务接入提供安全、灵活的解决方案。

网络拓扑图

2系统组成及网络结构

项目新建视频监控系统采用视频监控前端采集点、地区（站段）视频监控汇聚平台（视频监控前端汇集及视频存储、管理、分发等）、路局视频监控核心平台（视频管理、分发等）三级网络结构，项目在西安局管内铁路沿重点地段新建视频监控前端设备，在西安（西安工务段）、宝鸡（宝鸡工务段）、汉中（汉中工务段）、安康（安康工务段）、榆林（绥德工电段）、渭南（延安工务段）、延安（延安车务段）7个地区（站段）新建视频监控区域汇聚平台，在路局新建局视频监控核心平台。

整体架构

视频监控前端设备至站段监控平台传输采用新建光缆+移动PTN专线网络传输方式，由区间视频监控前端敷设光缆至就近基站，在经移动基站至铁路站段PTN传输设备提供专线接入至站段视频监控平台，站段视频监控平台利用移动PTN传输设备提供专线接入路局视频监控平台。

视频汇聚节点接入视频前端设备按照区域结合站段管辖范围的原则进行，区域划分按照陕西移动省内地市管辖区域划分，除咸阳、商洛和铜川地区外，其余7个地市分别设置视频汇聚节点，负责本区域视频前端设备的接入汇集，对于咸阳、商洛、省外移动区域的接入按照铁路业务管辖范围接入汇集，其中咸阳区域内银西高铁沿线视频前端通过本地移动专线传输设备汇集后接入西安（西安工务段）汇聚节点，商洛区域内西康铁路沿线按照业务归属分别在本区域汇集后接入西安（西安工务段）或安康（安康工务段）汇聚节点，本次项目涉及省外四川、甘肃移动相关区域的视频前端设备按照铁路业务分别在通过本地移动专线传输设备汇集后接入安康（安康工务段）、汉中（汉中工务段）、宝鸡（宝鸡工务段）汇聚节点。

2.1视频存储方案

根据视频监控网络结构及网络使用情况，为节约传输资源，新建视频监控前端采集的信息存储在区域汇聚视频监控平台，各区域汇聚视频监控平台新建磁盘阵列设备，存储方式采用IP-SAN方式。并采用RAID 5保护机制。流媒体服务器及存储服务器采用双电源备份、磁盘RAID 5 N+1备份。

对于视频网络承载部分，组网方式应满足各通道峰值视频流对传输带宽的需求及今后数据业务的需求，视频图像采用1080P/25图像分辨率，H.265压缩方式，每路图像的存储带宽为6M。根据要求新建视频设备录像存储时间按30天考虑。视频图像按照30×24小时方案循环存储。视频图像按照前端—站段平台上传，在区域汇聚视频监控平台节点集中存储，其存储容量大小计算如下：视频图像以每路视频6Mbit/s带宽，按30天计算，每路视频存储容量为：6/8×3600×24×30/1000=1944Gbps。

2.2网络安全方案：

等级保护三级网络安全防护对象包括：通信网络、区域边界、计算环境。以等级保护三级要求为基础，采用新的信息安全保护技术，按照体系化的信息安全防护策略进行的整体规划，同时强化风险应对（监测、预警、处置、溯源等）能力，建设一套完整的“事前有防范、事中有应对、事后有追溯”的安全防御体系，合理的安全运营管理，实现新形势下安全管理上台阶、安全技术见实效、综合实力有提升的建设成效，形成具有主动防御和协同运营能力的新一代网络安全保障体系，实现信息系统长期安全稳定的运行。

系统网络安全整体规划结构

通过对网络安全等级保护标准中技术内容的分析，结合集团公司区间视频实际网络情况，对区间视频监控项目的安全防护主要从安全计算环境要求：用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计；安全区域边界方面：区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护；安全通信网络要求：通信网络安全审计、通信网络数据传输完整性保护、通信网络数据传输保密性保护、通信网络可信接入；安全管理中心要求：系统管理、安全管理、审计管理等方面进行加强，通过成熟的安全技术和可落地的安全管理措施构建单位可信、可控、可管的网络安全防御体系。

在二级汇聚节点桌面终端部署防病毒安全软件，可实现终端PC的全面病毒、木马、间谍软件的防护外，同时支持移动存储设备控制，网络共享控制，恶意软件行为智能阻止技术，阻止指定的程序软件运行。

在集团公司核心交换机上旁路部署安全运维平台、堡垒机、数据库审计、日志审计、漏洞扫描系统等设备，运维中心提供威胁监控、联动监控、产品监控，威胁情报管理、联动资源管理、联动日志及报表管理的功能；漏洞扫描系统提供识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补；堡垒机实现全局的策略管理、统一访问页面、集中身份认证、统一授权及认证请求转发等功能，对业务系统的系统资源账号、维护操作实施集中管理、访问认证、集中授权和操作审计；数据库审计系统提供完整的数据库审计分析、泄密轨迹分析、数据库访问关系可视、数据库攻击威胁分析；日志审计系统提供全面收集网络中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志（包括运行、告警、操作、消息、状态等）并进行存储、监控、审计、分析、报警、响应和报告的功能。

3结束语

通过对建设的环境条件、技术要求以及经济效益等方面认真研究及分析，认为建设方案可以满足中国铁路西安局集团有限公司工务部门对铁路沿线滑坡、泥石流、落石、水害等灾害重点防控地段的监测预警需求，可以在有限投资规模下，构建一个先进的、可靠的、安全的、实时的、功能完善的监测平台，为中国铁路西安局集团有限公司提升工务部门铁路养护技术手段奠定坚实基础。

参考文献：

[1]《信息安全技术》 作者：栾方军

[2]《信息安全原理与实践》 作者：Mark Stamp

[3]《网络安全基础：应用与标准》 作者：威廉▪斯托林斯

[4]《网站入侵与脚本攻防修炼》 作者：逍遥

[5]《0day安全：软件漏洞分析技术》 作者：王清

[6]《PTN光传输技术》 作者：秦玉娟,李文祥