亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        高鐵牽引變電所信息直采直送系統(tǒng)網(wǎng)絡(luò)安全措施

        2021-08-13 12:31:26周萌姚俊杰
        鐵路技術(shù)創(chuàng)新 2021年3期
        關(guān)鍵詞:網(wǎng)絡(luò)安全鐵路信息

        周萌,姚俊杰

        (1.寧夏城際鐵路有限責(zé)任公司 工程管理部,寧夏銀川 750011;2.中國鐵路蘭州局集團(tuán)有限公司 供電部,甘肅蘭州 730030)

        0 引言

        依據(jù)《鐵道部、國家電網(wǎng)公司電氣化鐵路供電協(xié)調(diào)領(lǐng)導(dǎo)小組辦公室第三次會議紀(jì)要》規(guī)定,牽引站向電力公司提供:牽引站高壓側(cè)母線高壓、高壓斷路器位置信號、供電線路電壓等信息,并對故障分析起重要作用的事故信號和斷路器跳閘信息同時上傳。鐵路牽引變電所通信網(wǎng)在電力系統(tǒng)中稱為信息直采直送系統(tǒng)[1],主要向國家電網(wǎng)有限公司(簡稱國家電網(wǎng)公司)當(dāng)?shù)厥≌{(diào)和當(dāng)?shù)氐卣{(diào)雙平面?zhèn)魉鸵陨闲畔ⅲ阌趪译娋W(wǎng)公司掌握用戶端受電情況,及時處理故障、事故。

        未實(shí)施網(wǎng)絡(luò)安全法前,牽引變電所的信息直采直送系統(tǒng)僅涉及通信傳輸系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)接入系統(tǒng),并未過多涉及網(wǎng)絡(luò)安全相關(guān)領(lǐng)域的要求。

        我國鐵路作為國家公共交通資源的重要組成部分,隨著計(jì)算機(jī)技術(shù)在信息網(wǎng)絡(luò)建設(shè)中的不斷應(yīng)用,鐵路信息網(wǎng)絡(luò)系統(tǒng)安全性成為鐵路系統(tǒng)生產(chǎn)運(yùn)營的重要一環(huán)。隨著高鐵建設(shè)步伐的不斷推進(jìn),鐵路業(yè)務(wù)對信息網(wǎng)絡(luò)系統(tǒng)依賴度越來越高,鐵路和接入的電力網(wǎng)絡(luò)任何一方發(fā)生故障或遭到入侵破壞,將會互相影響另一方的正常運(yùn)行,例如2015年“烏克蘭大停電”事件,由于電站內(nèi)遭到黑客攻擊,導(dǎo)致烏克蘭全國大面積停電。

        2017年6月1日實(shí)施《中華人民共和國網(wǎng)絡(luò)安全法》后,對能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的公共通信及信息服務(wù)提出了建立健全網(wǎng)絡(luò)安全保障體系、提高網(wǎng)絡(luò)安全保護(hù)能力的要求。國家電網(wǎng)公司依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》,對高鐵牽引變電所信息直采直送系統(tǒng)提出新增在線監(jiān)測裝置、防火墻、隔離網(wǎng)閘、安全評估、主機(jī)加固等新的網(wǎng)絡(luò)安全防護(hù)設(shè)備及措施。

        1 傳統(tǒng)直采直送系統(tǒng)組成及配置

        傳統(tǒng)信息直采直送系統(tǒng)由服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用軟件等部分組成[1]。鐵路牽引站上傳信息需通過國家電網(wǎng)公司電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)與各級調(diào)度機(jī)構(gòu)進(jìn)行業(yè)務(wù)通信,高速鐵路牽引變電所和國家電網(wǎng)公司系統(tǒng)間采用認(rèn)證、加密、訪問控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)[2]。傳統(tǒng)直采直送系統(tǒng)網(wǎng)絡(luò)拓?fù)湟妶D1。

        傳統(tǒng)的信息直采直送系統(tǒng)僅實(shí)現(xiàn)了安全分區(qū)、網(wǎng)絡(luò)專用和縱向加密,結(jié)合牽引變電所應(yīng)用系統(tǒng)和功能模塊的特點(diǎn)(實(shí)時和非實(shí)時),將各功能模塊分別置于安全Ⅰ區(qū)控制區(qū)、安全Ⅱ區(qū)非控制區(qū),實(shí)現(xiàn)安全分區(qū)[3]。調(diào)度數(shù)據(jù)網(wǎng)在SDH專用傳輸通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng),采用基于SDH/PDH不同通道、不同光波長、不同纖芯等方式,在物理層面上實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離,實(shí)現(xiàn)網(wǎng)絡(luò)專用。業(yè)務(wù)應(yīng)用層面通過縱向加密裝置的SM2算法建立專用隧道,以策略配置業(yè)務(wù)IP點(diǎn)到點(diǎn),端口最小化為原則進(jìn)行通訊限制。

        這種工作模式下,高鐵牽引變電所直采直送系統(tǒng)存在缺失橫向隔離、綜合防護(hù)不全面等方面的安全隱患,未達(dá)到從邊界、物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)安全共6個方面的安全防護(hù)要求。應(yīng)進(jìn)一步采用縱深防御和適度安全策略,即安全防護(hù)主要針對基于網(wǎng)絡(luò)的生產(chǎn)控制系統(tǒng),重點(diǎn)強(qiáng)化邊界防護(hù),提高內(nèi)部安全防護(hù)能力,保證生產(chǎn)控制系統(tǒng)及重要數(shù)據(jù)的安全[4]?;诰W(wǎng)絡(luò)安全要求,在高鐵牽引變電所建設(shè)時,應(yīng)增加多項(xiàng)防護(hù)措施,以實(shí)現(xiàn)鐵路牽引變電所和國家電網(wǎng)公司網(wǎng)絡(luò)安全運(yùn)行。

        2 優(yōu)化后的直采直送系統(tǒng)

        以某高速鐵路新建牽引變電所直采直送系統(tǒng)建設(shè)為例,對信息直采直送系統(tǒng)進(jìn)行優(yōu)化,優(yōu)化后的網(wǎng)絡(luò)拓?fù)湟妶D2。

        圖2 優(yōu)化直采直送系統(tǒng)網(wǎng)絡(luò)拓?fù)?/p>

        一是在安全Ⅰ區(qū)加裝網(wǎng)絡(luò)安全在線監(jiān)測裝置,對整個電力監(jiān)控系統(tǒng)信息大區(qū)直采直送系統(tǒng)涉及的服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行實(shí)時監(jiān)測;二是在安全Ⅰ區(qū)和安全Ⅱ區(qū)之間加裝防火墻,杜絕Ⅰ、Ⅱ區(qū)業(yè)務(wù)混連、直連現(xiàn)象,嚴(yán)格執(zhí)行安全分區(qū)要求;三是在國家電網(wǎng)和鐵路調(diào)度網(wǎng)的連接處增加隔離網(wǎng)閘,杜絕鐵網(wǎng)和電網(wǎng)的直連現(xiàn)象,實(shí)現(xiàn)邊界安全的防護(hù)要求。

        2.1 加裝網(wǎng)絡(luò)安全在線監(jiān)測裝置

        主要對服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)備等監(jiān)測對象進(jìn)行數(shù)據(jù)采集和數(shù)據(jù)統(tǒng)計(jì)工作。其主要工作內(nèi)容如下:一是對于服務(wù)器、工作站等包含用戶在終端設(shè)備上登錄信息采集、整理,用于采集監(jiān)控操作行為信息與網(wǎng)絡(luò)連接的相關(guān)信息、系統(tǒng)運(yùn)行信息、外設(shè)接入信息、平臺核查的指令信息;二是對于網(wǎng)絡(luò)設(shè)備的運(yùn)行,可以采集到局域網(wǎng)內(nèi)部交換機(jī)設(shè)備的相關(guān)信息、連接交換機(jī)的活躍設(shè)備等網(wǎng)絡(luò)設(shè)備的拓?fù)湫畔?、在線時長、CPU使用率、內(nèi)存使用率、網(wǎng)口狀態(tài)、網(wǎng)絡(luò)連接情況等設(shè)備運(yùn)行信息;三是對于安防設(shè)備自身策略的安全事件、配置信息、運(yùn)行信息以及相關(guān)的操作信息進(jìn)行采集統(tǒng)計(jì)[5]。網(wǎng)絡(luò)安全監(jiān)測裝置的使用能立即直觀的反饋設(shè)備信息,以及非法外聯(lián)的相關(guān)告警,從而及時作出相應(yīng)的處理。設(shè)備連接正常后在裝置告警中可以看到從下聯(lián)設(shè)備中采集到的裝置信息,裝置進(jìn)行整理后上送主站。優(yōu)化后的直采直送系統(tǒng)工作界面見圖3。

        圖3 優(yōu)化后的直采直送系統(tǒng)工作界面

        2.2 加裝隔離網(wǎng)閘和防火墻

        隔離網(wǎng)閘和防火墻是電力監(jiān)控系統(tǒng)的橫向防線,隔離網(wǎng)閘和防火墻的指導(dǎo)思想不盡相同:防火墻是在保障互聯(lián)互通的前提下,盡可能安全;而隔離網(wǎng)閘是在保證必須安全的前提下,盡可能互聯(lián)互通。加裝隔離網(wǎng)閘和防火墻,能夠?qū)崿F(xiàn)各安全區(qū)間隔離,是要解決目前網(wǎng)絡(luò)安全存在的如下問題:一是對操作系統(tǒng)的依賴,因?yàn)椴僮飨到y(tǒng)也有漏洞;二是對TCP/IP協(xié)議的依賴,而TCP/IP協(xié)議有漏洞;三是解決通信連接的問題,因?yàn)閮?nèi)網(wǎng)和外網(wǎng)直接連接,存在基于通信攻擊的風(fēng)險;四是應(yīng)用協(xié)議的漏洞,如非法的命令和指令等[6]。防火墻已在寧夏新建牽引變電所的應(yīng)用(見圖4)。

        圖4 防火墻在牽引變電所的應(yīng)用界面

        隔離網(wǎng)閘(安全隔離與信息交換)是在保證電網(wǎng)調(diào)度和鐵路調(diào)度2個網(wǎng)絡(luò)安全隔離的基礎(chǔ)上實(shí)現(xiàn)安全信息交換和資源共享。通過在Ⅰ區(qū)業(yè)務(wù)交換機(jī)和鐵路調(diào)度交換機(jī)中間增加隔離網(wǎng)閘,從而實(shí)現(xiàn)2套網(wǎng)絡(luò)共享牽引變電所內(nèi)遠(yuǎn)動、保護(hù)等業(yè)務(wù)信息,并順利實(shí)現(xiàn)信息在2套網(wǎng)絡(luò)間的安全交換(見圖5)。隔離網(wǎng)閘主要有3個模塊功能,分別是內(nèi)網(wǎng)處理單元(A端)、外網(wǎng)處理單元(B端)和專用隔離交換單元(隔離通道)。

        圖5 內(nèi)、外網(wǎng)處理單元和專用隔離交換單元實(shí)物

        安全隔離網(wǎng)閘系統(tǒng)中的內(nèi)網(wǎng)處理單元(A端)連接電網(wǎng)調(diào)度,外網(wǎng)處理單元(B端)連接鐵路調(diào)度,專用隔離通道在任一時刻點(diǎn)僅連接內(nèi)網(wǎng)處理單元(A1)或外網(wǎng)處理單元(B1),與兩者間的連接受內(nèi)部硬件電路控制高速切換,其工作原理見圖6。

        圖6 內(nèi)、外網(wǎng)處理單元和專用隔離交換單元工作原理

        加裝隔離網(wǎng)閘和防火墻后,保證專用隔離硬件交換單元在任一時刻僅連通內(nèi)部網(wǎng)或者外部網(wǎng),既滿足電力調(diào)度數(shù)據(jù)網(wǎng)與鐵路調(diào)度數(shù)據(jù)網(wǎng)的物理隔離要求,又能實(shí)現(xiàn)數(shù)據(jù)的動態(tài)交換。

        2.3 風(fēng)險評估及系統(tǒng)加固

        新建牽引變電所的信息直采直送系統(tǒng)在安全防護(hù)上,不但增加了硬件防護(hù),而且可進(jìn)行主機(jī)加固和安全評估等工作。牽引變電所送電之前對站內(nèi)所有主機(jī)進(jìn)行了更換安全操作系統(tǒng)以及主機(jī)加固工作。因原有Windows操作系統(tǒng)存在太多安全漏洞,容易被黑客利用攻擊(如“熊貓燒香”“永恒之藍(lán)”“勒索病毒”等事件),故將牽引變電所的主機(jī)操作系統(tǒng)更換為相對安全的Linux操作系統(tǒng),并進(jìn)一步設(shè)置了強(qiáng)口令防止非操作員的登錄配置,關(guān)閉了無用用戶以防止遠(yuǎn)程登錄竄改文件,關(guān)閉了遠(yuǎn)程登錄相關(guān)協(xié)議及端口,設(shè)置防火墻策略,啟用了日志審計(jì)功能,對應(yīng)用主機(jī)進(jìn)行安全基線加固,漏洞消缺,強(qiáng)化了就地網(wǎng)絡(luò)安全的防范力度。

        對安全制度、人員管理、物理環(huán)境、電力監(jiān)控系統(tǒng)開展了調(diào)研、評估、走查、訪談、漏掃、基線審查等工作,對牽引變電所評估服務(wù)整體架構(gòu)、制度管理、主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用程序進(jìn)行風(fēng)險分析,暴露其在物理安全、主機(jī)安全、應(yīng)用安全、管理層面上的脆弱點(diǎn)和風(fēng)險源,并提出建議處置措施,規(guī)避相應(yīng)安全事件發(fā)生的可能性,降低安全事件損失,使整體安全運(yùn)行更加可靠[7-8]。評估結(jié)果見圖7、圖8。

        圖7 風(fēng)險匯總表

        圖8 各模塊風(fēng)險值

        由圖7、圖8可知,通過對新建牽引變電所電力監(jiān)控系統(tǒng)風(fēng)險評估,共發(fā)現(xiàn)12個風(fēng)險點(diǎn),其中高等級風(fēng)險0項(xiàng),中等級風(fēng)險0項(xiàng),低等級風(fēng)險12項(xiàng)。

        3 結(jié)論

        通過對傳統(tǒng)直采直送系統(tǒng)的優(yōu)化,堅(jiān)持以安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證為基本原則,在綜合防護(hù)方面進(jìn)行主機(jī)加固和安全評估,提高了專用網(wǎng)絡(luò)間的二次安防水平,保障了鐵路牽引站和國家電網(wǎng)公司間網(wǎng)絡(luò)通信的加密性和安全性,進(jìn)一步加強(qiáng)了抵御橫向外來攻擊、消除內(nèi)部安全隱患、降低縱向關(guān)鍵信息泄露風(fēng)險等能力。

        但是,還需在抵御黑客制造的病毒、惡意代碼等方面對牽引變電所網(wǎng)絡(luò)系統(tǒng)安全方面繼續(xù)開展工作。目前整個國家電網(wǎng)系統(tǒng)已經(jīng)制定最新安全防護(hù)要求:在電力監(jiān)控系統(tǒng)增加日志審計(jì)、入侵檢測、防惡意代碼、堡壘機(jī)等相關(guān)設(shè)備和措施[8]。相對于國家對網(wǎng)絡(luò)安全更高的要求,國鐵牽引變電所的信息安全防護(hù)系統(tǒng)建設(shè)還需進(jìn)一步研究。

        猜你喜歡
        網(wǎng)絡(luò)安全鐵路信息
        沿著中老鐵路一路向南
        網(wǎng)絡(luò)安全
        網(wǎng)絡(luò)安全人才培養(yǎng)應(yīng)“實(shí)戰(zhàn)化”
        鐵路通信線路維護(hù)體制改革探索與實(shí)踐
        上網(wǎng)時如何注意網(wǎng)絡(luò)安全?
        訂閱信息
        中華手工(2017年2期)2017-06-06 23:00:31
        無人機(jī)在鐵路工程建設(shè)中的應(yīng)用與思考
        GSM-R在鐵路通信中的應(yīng)用
        我國擬制定網(wǎng)絡(luò)安全法
        聲屏世界(2015年7期)2015-02-28 15:20:13
        展會信息
        中外會展(2014年4期)2014-11-27 07:46:46
        亚洲久无码中文字幕热| 久久理论片午夜琪琪电影网| а天堂中文在线官网| 国产成人免费a在线视频| 亚洲精品乱码久久久久久按摩高清| 97人妻中文字幕总站| 亚洲中文字幕无码爆乳app| 国产精品人妻一码二码尿失禁| 欧美人成在线播放网站免费| 黄色中文字幕视频网站| 日本h片中文字幕在线| 柠檬福利第一导航在线| 久久狠狠高潮亚洲精品暴力打| 国产一区二区三区乱码在线| 国产一区二区三区av天堂| 日韩亚洲欧美中文在线| 亚洲AV无码国产成人久久强迫| 亚洲中文字幕高清乱码毛片| 变态另类手机版av天堂看网| 在熟睡夫面前侵犯我在线播放| 亚洲一区二区在线| 极品少妇一区二区三区四区| 日本激情网站中文字幕| 人妻中文无码久热丝袜| 岛国大片在线免费观看| 一二三四在线观看韩国视频| 国产午夜福利片在线观看| 久久久久99精品成人片试看 | v一区无码内射国产| 连续高潮喷水无码| 日本一区二区三区一级片| 国产在线无码不卡影视影院| 欧美粗大无套gay| 久久洲Av无码西西人体| 精品人妻一区二区三区在线观看| 蜜桃视频无码区在线观看 | 亚洲天堂一区二区三区视频| 久久精品国产99国产精品澳门| 国产精品亚洲综合色区韩国| 无码AV无码免费一区二区| 青青草成人免费在线视频|