王大群

（北京全路通信信號研究設計院有限公司，北京 100073）

1 概述

客運專線信號系統(tǒng)安全數(shù)據(jù)網(wǎng)是一個保障客運專線安全、穩(wěn)定、高效運行的信息承載網(wǎng)絡，信號系統(tǒng)安全數(shù)據(jù)網(wǎng)需確保車站設備（計算機聯(lián)鎖（CBI）和列控中心（TCC）、中繼站／無岔站（列控中心）間及其與中心信號設備（如無線閉塞中心（RBC）、臨時限速服務器（TSRS））間的安全信息可靠傳輸?？瓦\專線信號安全數(shù)據(jù)網(wǎng)通過獨立設置的網(wǎng)絡管理系統(tǒng)，實現(xiàn)網(wǎng)絡連接狀態(tài)和設備工作狀態(tài)監(jiān)測、記錄、故障報警和設備維護功能。

成熟的以太網(wǎng)技術(shù)為各專業(yè)用戶設備帶來了極大的便利，強大的網(wǎng)絡管理功能為網(wǎng)絡維護提供了方便，但是由于網(wǎng)絡系統(tǒng)本身的開放性、信息資源的共享性、連接方式的多樣性，使網(wǎng)絡存在很多脆弱點。因此，有必要對客運專線數(shù)據(jù)網(wǎng)網(wǎng)管系統(tǒng)存在的主要安全問題進行細致分析，選擇合適的網(wǎng)絡技術(shù)，確定客運專線安全數(shù)據(jù)網(wǎng)網(wǎng)絡安全的工程實施方案。

2 網(wǎng)管系統(tǒng)的威脅因素

客運專線信號安全數(shù)據(jù)網(wǎng)的安全邊界在網(wǎng)管系統(tǒng)接入的安全網(wǎng)交換機和網(wǎng)管系統(tǒng)的路由器兩處。極端情況下，信號安全數(shù)據(jù)網(wǎng)可能面臨配置被修改的威脅，常見的有DoS/DDoS，?syn?flood、icmp?flood、udp?flood、tcp?scan、udp?scan、ping?sweep、?teardrop、land、ping? of? death、smurf、winnuke、圣誕樹、tcp無標記、syn?fin、無確認fin、松散源路由、嚴格源路由、ip安全選項、ip記錄路由、?ip流攻擊、ip時間戳、arp欺騙、廣播和組播泛洪等攻擊，病毒侵害等安全威脅。針對網(wǎng)絡的特點，其攻擊方式主要有兩種。

1）?利用網(wǎng)絡系統(tǒng)漏洞進行攻擊

利用網(wǎng)絡系統(tǒng)中操作系統(tǒng)、網(wǎng)絡設備和網(wǎng)絡協(xié)議的漏洞，完成密碼探測、權(quán)限提升、數(shù)據(jù)篡改、系統(tǒng)入侵等攻擊。

2）?解密攻擊

使用密碼是最常見并且最重要的安全保護方法，攻擊者通過網(wǎng)絡監(jiān)聽或暴力破解等方式獲得密碼通過身份校驗，對網(wǎng)絡實施攻擊。

3 網(wǎng)管系統(tǒng)結(jié)構(gòu)及相關(guān)設備安全配置

3.1 網(wǎng)管服務器的主機和軟件的安全配置

1）在超級用戶下，新建某受限用戶，在受限用戶下安裝網(wǎng)管軟件；增加網(wǎng)管軟件編輯權(quán)限的密碼復雜性，關(guān)閉遠程修改交換機配置的功能。

2）配置服務器日志：除了開啟安裝在網(wǎng)管服務器上的網(wǎng)管軟件本身具備的日志文件記錄功能外，服務器操作系統(tǒng)日志文件記錄著服務器對每一請求的響應行為信息，分析這些日志可以得到有用的安全信息。目前有許多日志文件分析工具，大部分可對兩種標準日志文件格式進行分析，這兩種格式是“Common?Log?Format”和“Extended?Common?Log?Format”。服務器應該配置成能生成兩種格式中任意一種格式的日志文件。

3）配置服務器的輔助網(wǎng)絡服務：一般WEB服務器可同時提供其他的網(wǎng)絡服務，如文件傳輸協(xié)議（FTP），gopher協(xié)議，電子郵件或接受從網(wǎng)管終端來的文件上載等，為增加WEB服務器的安全性，在確定不需要這些服務的條件下，關(guān)閉所有的輔助服務。

4）配置服務器可執(zhí)行的外部程序。

5）配置服務器的本地或遠程管理。

6）確定操作系統(tǒng)提供什么樣的訪問控制。有些操作系統(tǒng)可以對WEB服務的遠程訪問文件加以限制，這些進程可以限制為對某些文件的只讀訪問，而對另一些文件不允許訪問。

7）配置服務器使之不能提供指定文件目錄數(shù)以外文件的服務。具體的實現(xiàn)可以通過服務器軟件，本身的配置選擇也可以通過操作系統(tǒng)選擇。必須避免在文件目錄樹中使用鏈接或別名，因為它指出了服務器主機或網(wǎng)絡中的其他文件。

8）使用功能較為強大的殺毒軟件，如symantec，并及時更新病毒庫。

3.2 防火墻的配置

防火墻可以無間斷地實現(xiàn)對網(wǎng)絡安全主要端點的監(jiān)視和預警，客運專線信號安全數(shù)據(jù)網(wǎng)網(wǎng)管系統(tǒng)的2臺防火墻分別設置在路由器和網(wǎng)管終端、路由器和網(wǎng)管服務器之間。防火墻是識別和抵御網(wǎng)絡攻擊的第一道保護屏障，其安全策略設置如下。

1）?關(guān)閉 ping?echo 和 ICMP。

2）?本地console登錄密碼設置足夠復雜，且需要授權(quán)的數(shù)字證書才能登錄。

3）?限制從網(wǎng)管終端或網(wǎng)管服務器流入網(wǎng)絡的流量。

4）?禁止telnet、SSH等遠程配置功能。

5）?通過IP地址和端口地址過濾應用主機和應用程序，封掉不用的端口。

6）?啟用各種抗常見攻擊的策略，如DoS/DDoS攻擊，syn?flood、icmp?flood、udp?flood、?tcp?scan、udp?scan、ping?sweep、teardrop、land、ping?of?death、smurf、winnuke、圣誕樹、tcp?無標記、syn?fin、無確認fin、松散源路由、嚴格源路由、ip?安全選項、ip記錄路由、?ip?流攻擊、ip時間戳等攻擊。

3.3 路由器的配置

1）?配置訪問控制列表（Access? Control? List，ACL）

ACL是提供網(wǎng)絡安全訪問的基本手段，是路由器接口的指令列表，用來控制端口進出的數(shù)據(jù)包。安全數(shù)據(jù)網(wǎng)網(wǎng)管系統(tǒng)采用白名單過濾結(jié)束限制接入網(wǎng)管服務器的監(jiān)測維護終端的IP地址，從而保證非允許用戶對網(wǎng)管服務器進行訪問。配置命令如下：

Router（config）#access-list? 1? permit?（網(wǎng)管終端ip地址）?0.0.0.0！允許來自指定ip地址（終端）的流量通過

Router（config）#interf0/1

Router（config-if）#ip? access-group? 1?in！在接口下訪問控制列表入棧流量調(diào)用

2）?配置網(wǎng)絡地址轉(zhuǎn)換（Network?Access?Translation，NAT）

采用NAT技術(shù)，使信號安全數(shù)據(jù)網(wǎng)設備和網(wǎng)管服務器之間相互隱藏真實IP地址，從而增強網(wǎng)管系統(tǒng)與安全數(shù)據(jù)網(wǎng)之間的安全指數(shù)。配置命令如下：

ipnat? inside? source? static?（服務器左網(wǎng)接口IP地址）（左網(wǎng)NAT地址）?route-map?NAT-L

ipnat? inside? source? static?（服務器右網(wǎng)接口IP地址）（右網(wǎng)NAT地址）?route-map?NAT-R

3）?嚴格控制CON端口的訪問。改變默認的連接屬性，例如修改波特率（默認是9600，可以改為其他的）,配合使用訪問控制列表控制對CON口的訪問,?給CON口設置高強度的密碼。

4）?為特權(quán)模式的進入設置強壯的密碼。不要采用enable?password設置密碼。而要采用enable?secret命令設置，并且要啟用Service?passwordencryption功能使密碼不可見。

5）?禁止AUX端口和VTY遠程訪問。

6）?禁止其他的 HTTP、telnet、TCP、UDP?Small、CDP（Cisco? Discovery? Protocol）、IP?Source?Routing、ARP-Proxy、IP?Directed?Broadcast、WINS和DNS、SNMP協(xié)議服務、ICMP協(xié)議的IP?Unreachables,Redirects,Mask?Replies。

7）?啟用passive-interface命令，禁用一些不需要接收和轉(zhuǎn)發(fā)路由信息的端口

8）?完備的路由器安全訪問和維護記錄日志。

4 結(jié)束語

信號安全數(shù)據(jù)網(wǎng)網(wǎng)管系統(tǒng)的網(wǎng)絡結(jié)構(gòu)比較簡單，接入設備較少并采用2?M專用通道，但是不能因此忽視網(wǎng)絡安全方面的方法，要從技術(shù)角度出發(fā)，利用各種軟件和硬件，各種技巧和方法來安全管理，配合殺毒軟件與防火墻雙管齊下，保證客專信號安全數(shù)據(jù)網(wǎng)的安全。

[1] [2010]821號 客運專線信號系統(tǒng)安全數(shù)據(jù)網(wǎng)技術(shù)規(guī)范V2.0[S].

[2]趙敬忠.網(wǎng)絡安全技術(shù)[M].北京：清華大學出版社，1999.

[3]侯廷剛.服務器搭建與管理-Windows Server 2003 [M].北京：清華大學出版社，2011.

[4]辛念，李國盛.客運專線數(shù)據(jù)網(wǎng)網(wǎng)絡安全實施方案研究[C]//2007年鐵路通信、信號、信息專業(yè)工程設計年會：129-132.