网络安全防御体系的功能研究

【摘要】近年来，我国大力发展客运专线，以满足我国铁路运输市场的需求。客运专线的建立及运营对信号系统的要求也更高。论文主要对客运专线信号系统的基本组成进行介绍。

【关键词】客运专线；CTC网络安全防御系统；功能研究 

1引言

CTC又名分散自律调度系统，该系统的功能主要是确保列车安全正常地行驶，调度生产业务系统。这一系统具有2大特点，即独立成网及封闭运行，并且其主要组件并不强大[1]。客运专线的行车安全主要在于系统的保密性、完整性、可用性3点，按照我国等级保护防御区划分原则和信息系统的功能、安全性能等标准，客运专线CTC系统必须具备防火墙、入侵检测、动态口令、安全漏洞、SAV网络病毒防护5个安全系统。

2防火墙及入侵检测系统

CTC的安全防御系统中，防火墙和入侵检测系统属于基本安全设施，这对于构建安全密实的网络系统十分必要。防火墙的功能是过滤数据包，对链接状态进行检查，并检查入侵的行为和会话。防火墙按照用户定义对一些数据实行允许进入或阻拦，以确保内部网络设备及系统不会遭受非法攻击，从而影响访问。此外，可以实现每个通过防火墙的链接都可以快速地建立对应的状态表。如果链接异常，会话遭到威胁或攻击后，防火墙可以很快地阻断非法链接。通过入侵行为的特点，入侵系统可以及时地对每一个数据包进行认真检查，如果数据包对系统存在攻击性，入侵检测系统必须及时断开这一链接，并且由管理人员定义的处理系统会尽快获取幕后攻击者的详细信息，同时，为要得到处理的事件提供对应数据。CTC网络的结构性质为双通道冗余结构，CTC中心和沿线的各个车站数量庞大，并且有着海量的数据流量，业务连接安全性要求很高，CTC中心和沿线车站的各个接口都安置了4台中心防火墙，每网段安置2台；CTC中心和其他系统接口各安置2台防火墙，采用透明模式进行接入。客运专线CTC系统防火墙详见图1。

3安全漏洞评估

安全漏洞的评估系统是一个漏洞及风险评估的有效工具，主要用来对网络的安全漏洞进行发现、报告以及挖掘，主要作用是对目标网络设备安全漏洞实行检测，并提出具体检测报告以及安全可行的漏洞解决方案，使系统管理员可以提前修补可能引发黑客进入的多个网络安全漏洞，避免黑客入侵带来损失。客运专线CTC系统中心完整地部署了一整套安全漏洞评估系统，基于全面以及多角度的网络关键服务器漏洞分析的评估基础，确保CTC以及TDCS等系统安全运行。还能对黑客的进攻方式进行模拟，并提交相应的风险评估报告，提出对应的整改措施。预防性的安全检查暴露了目前网络系统存在的安全隐患，对此必须实行相应的整改，最大程度地降低网络的运行风险。漏洞评估组需要在网络安全集中管理平台下实现统一监测，并且汇总漏洞威胁时间，结合实际情况及设施制定相应的安全策略。当前存在的安全漏洞扫描一定要从技术底层实现有效划分，分别对主机及网络漏洞进行扫描。主机漏洞评估EVP，针对文件权限、属性、登录设置的值和使用者账号等使用主机型漏洞评估扫描器进行评估。网络型漏洞扫描器NSS，在网络漏洞基础上的评估扫描器采用黑客入侵观点，自动对网上系统和服务实行扫描，对一般性的入侵和具体入侵场景实行真实模拟，最重要的是测试网络基础设施的安全漏洞，会提供相应的修补漏洞意见，扫描图形视图的完整显示过程，扫描相应漏洞而且对漏洞的出现原因进行查找，提供具有实际执行可行性的管理报告，针对多个系统实施扫描。

4反病毒网络系统

根据病毒具有的特征以及多层保护需求，客运专线CTC系统必须要统一、集中监控、多面防护，正对整体以及全面反病毒系统实现积极有效的安排，并融合各层面，覆盖CTC中心、下属车站等。并且还要在客运专线的中心部署2台SAV反病毒服务器，二者相互辅助。对服务器设备和车站终端等实施统一的SAV客户端，并且对网络内存的所有病毒实行统管理、分析，监控、查杀[2]。以整体反病毒解决方案为依据，网络反病毒系统的部署具体要从下面几项开展，多操作系统的服务器、反病毒软件、集中监管的多个系统。

5动态口令

身份认证属于安全防御线的第一道保护。我国的CTC安全建设在最初的使用中运用的是静态密码认证，每一系统和设备都具备自身的专属密码，管理很不方便。大量的管理和维护导致操作人员难以实现方便快捷的使用，因此，出于使用便利，会将设备密码设置为统一密码，系统内各种网络设备和服务器的密码基本上人人都知道；另外，静态口令极易被人猜出、截获、破解，黑客可以通过对密码的猜测或使用成熟破译软件破解用户口令，导致CTC面临极大的隐患。在CTC系统网络中，对CTC系统中心设置相应的动态口令，随后客户端认证请求会自动地分配到认证服务器，该模式充分降低了服务器的工作负荷，提升了系统性能。身份证的依据和访问控制组能通过网络安全集中管理平台发挥监测、报警等功能。安全策略的集中配备，对安全事件进行统一响应，并且充分实现分层、统一用户管理、访问认证授权AAA等策略。动态口令身份认证在AAA认证中的功能为双因素认证，有效解决了静态口令存在的多种问题，提升了系统的安全性。客运专线CTC系统运用动态口令后，实现了对整个网络、运用和主机等的统一覆盖，实现了安全的身份认证控制访问组件，统一身份认证和授权统一，同时还提供了集中身份认证等，通过授权严格对多个访问资源权限实施限制。

6结语

目前，客运专线CTC中心网络运用安全，正处于建立知识信息安全系统和确保信息化的重要阶段，在这一进程的后期阶段还要满足国家等级保护政策需求，对纵深防护体系进行深入研究，确保铁路运输生产业务顺利开展，充分实现铁路信息化运行，将铁路运行的安全性实现提升。

【参考文献】

【1】戴启元.客运专线CTC系统网络安全设计[J].铁道通信信号,2010,46(4):66-68.

【2】李一龙.客运专线CTC调度集中应急处置仿真系统开发研究[J].长沙铁道学院学报（社会科学版）,2013,14(4):223-224.

作者:范立敏 单位:沈阳铁路局锦州电务段