張志鵬
摘 要:隨著目前軌道交通的不斷發(fā)展,軌道交通信息的價(jià)值也越來(lái)越重要,需要對(duì)軌道交通信息進(jìn)行安全防護(hù)。在當(dāng)前軌道交通信息安全防護(hù)方面,為能夠保證軌道交通信息的安全性,需要以網(wǎng)絡(luò)隔離技術(shù)為基礎(chǔ),實(shí)行的有效的安全防護(hù)設(shè)計(jì),對(duì)軌道交通信息進(jìn)行更有效保護(hù),避免出現(xiàn)信息安全問(wèn)題,為軌道交通的更好運(yùn)行及持續(xù)良好的發(fā)展提供更好支持及依據(jù)。
關(guān)鍵詞:網(wǎng)絡(luò)隔離技術(shù);軌道交通信息;安全防護(hù);設(shè)計(jì)
軌道交通是現(xiàn)代城市交通中的一種重要方式,保證城市軌道交通的安全穩(wěn)定運(yùn)行十分必要,這就需要確保各個(gè)方面的安全性,而軌道交通信息安全就是其中比較重要的一個(gè)方面,這就需要有效進(jìn)行軌道交通信息安全防護(hù)?;诖耍疚闹饕槍?duì)基于網(wǎng)絡(luò)隔離技術(shù)的軌道交通信息安全防護(hù)設(shè)計(jì)進(jìn)行分析,確保安全防護(hù)設(shè)計(jì)可以得到滿意的效果,更好保證軌道交通信息安全性,滿足軌道交通的實(shí)際需求及要求。
1 城市軌道交通信息安全現(xiàn)狀
就目前的互聯(lián)網(wǎng)發(fā)展實(shí)際情況來(lái)看,網(wǎng)絡(luò)設(shè)備的維護(hù)及管理、資產(chǎn)調(diào)配及安全監(jiān)測(cè)等相關(guān)內(nèi)容,均選擇單線模式,不同系統(tǒng)之間都是獨(dú)立建設(shè)的,并且彼此之間孤立存在,在異域上也表現(xiàn)出異構(gòu)性,在系統(tǒng)管理方面與各個(gè)分公司具備的配置相互對(duì)應(yīng),與基于網(wǎng)絡(luò)化統(tǒng)籌的管理體制之間存在不匹配的情況。同時(shí),在信息采集及獲取方面也是局限在單點(diǎn)、線及面等層面,基礎(chǔ)信息整合相對(duì)比較缺乏,無(wú)法實(shí)現(xiàn)統(tǒng)一的分析處理,有關(guān)部門之間的信息共享缺乏暢通,在運(yùn)營(yíng)指揮及網(wǎng)絡(luò)綜合管理、維修及調(diào)配方面,缺乏有力的信息支持以及保障,影響運(yùn)行及管理,具體分析如下。
在當(dāng)前的有些生產(chǎn)網(wǎng)絡(luò)中,每條線路通常都是以控制中心作為中心,不同業(yè)務(wù)應(yīng)用系統(tǒng)之間獨(dú)立形成網(wǎng)絡(luò)。線路中心的設(shè)備都是單點(diǎn)存在的,不存在隔離匯聚情況,不同的線路中心之間存在隔離情況,異常流量會(huì)對(duì)全部線路產(chǎn)生影響。生產(chǎn)系統(tǒng)使用的是管理網(wǎng)絡(luò)。各個(gè)業(yè)務(wù)機(jī)構(gòu)依據(jù)業(yè)務(wù)開(kāi)展的實(shí)際需求,與計(jì)算機(jī)資源網(wǎng)絡(luò)之間進(jìn)行無(wú)序聯(lián)通,且隨意連接數(shù)據(jù)、應(yīng)用及服務(wù)接口。另外,在當(dāng)前的計(jì)算機(jī)資源網(wǎng)絡(luò)中,在每條線路中都具備邊界獨(dú)立的網(wǎng)絡(luò),這些網(wǎng)絡(luò)將控制中心作為中心。此外,在各個(gè)項(xiàng)目公司、運(yùn)營(yíng)公司及運(yùn)營(yíng)中心與維保中心內(nèi),還有集中辦公場(chǎng)所中,都存在獨(dú)立性的計(jì)算機(jī)網(wǎng)絡(luò),公眾網(wǎng)絡(luò)基本上都是無(wú)序連接[1]。
2 基于網(wǎng)絡(luò)隔離技術(shù)的軌道交通信息安全防護(hù)設(shè)計(jì)策略
2.1 安全防護(hù)設(shè)計(jì)目標(biāo)
為能夠使安全防護(hù)設(shè)計(jì)的技術(shù)方案更加具有適用性及合理性,不但需要對(duì)安全管理的具體要求理解,在確保最小投入獲得最大效益的基礎(chǔ)上,還需要保證在安全管理方面提供比較容易操作的相關(guān)平臺(tái)。在實(shí)際設(shè)計(jì)過(guò)程中,應(yīng)當(dāng)以安全域劃分作為依據(jù),將生產(chǎn)網(wǎng)與管理網(wǎng)之間的區(qū)域間隔作為重點(diǎn)隔離內(nèi)容,使兩個(gè)大區(qū)之間可以實(shí)現(xiàn)單向隔離。對(duì)于信息網(wǎng)絡(luò)安全框架層面,保證生產(chǎn)網(wǎng)區(qū)及管理網(wǎng)區(qū)中可以實(shí)現(xiàn)分區(qū)管理及穩(wěn)定過(guò)渡。在生產(chǎn)網(wǎng)絡(luò)內(nèi)構(gòu)建全局網(wǎng)管,并且針對(duì)安全事件構(gòu)建分析、發(fā)現(xiàn)以及預(yù)告警與審計(jì)、處理等有關(guān)的軟件系統(tǒng)。生產(chǎn)網(wǎng)絡(luò)網(wǎng)管及安管系統(tǒng)要能夠保證合理進(jìn)行安全域管控,保證網(wǎng)絡(luò)狀態(tài)的可視性,使信息流及數(shù)據(jù)流可以實(shí)現(xiàn)可控性,相關(guān)安全事件可以實(shí)現(xiàn)發(fā)現(xiàn)、追溯及審計(jì)。生產(chǎn)網(wǎng)絡(luò)在對(duì)外服務(wù)方面要能夠?qū)崿F(xiàn)基本不存在漏洞,各項(xiàng)業(yè)務(wù)可以實(shí)現(xiàn)穩(wěn)定過(guò)渡。
2.2 數(shù)據(jù)物理鏈路的設(shè)計(jì)
對(duì)于數(shù)據(jù)物理鏈路的設(shè)計(jì),其設(shè)計(jì)結(jié)構(gòu)圖如下圖所示。
其中,1號(hào)鏈路。這一鏈路為單向推送鏈路,具體來(lái)說(shuō)就是生產(chǎn)網(wǎng)區(qū)FEP在經(jīng)過(guò)單向隔離區(qū),由運(yùn)管平臺(tái)的出入口VSS所經(jīng)過(guò)的鏈路。這一項(xiàng)目的決定因素就是單向隔離裝置類型,若選擇單向隔離方式,則在單向隔離裝置兩側(cè),需要配置應(yīng)用服務(wù)開(kāi)關(guān),且需要利用服務(wù)網(wǎng)關(guān)實(shí)現(xiàn)協(xié)議橋接、授權(quán)及數(shù)據(jù)加密與接口的統(tǒng)一管理,可以使系統(tǒng)內(nèi)部的數(shù)據(jù)及文檔實(shí)現(xiàn)無(wú)縫連接。
2號(hào)鏈路。這一項(xiàng)主要就是指由VSS到運(yùn)管FEP,再到運(yùn)管平臺(tái)內(nèi)部的相關(guān)計(jì)算資源池,共包含兩條鏈路,并且這兩條鏈路是同時(shí)存在的,其中一條為直接到運(yùn)管數(shù)據(jù)倉(cāng)庫(kù),另一條為操作數(shù)據(jù)集的應(yīng)用,在操作完成之后,一次數(shù)據(jù)及二次數(shù)據(jù)同時(shí)到運(yùn)管數(shù)據(jù)倉(cāng)庫(kù)內(nèi)。
3號(hào)鏈路。這一鏈路就是由VSS到外部網(wǎng)絡(luò),其作用就是FEP直接數(shù)據(jù)及文檔,在通過(guò)防火墻及B2B服務(wù)網(wǎng)管與公眾網(wǎng)絡(luò)進(jìn)行連接時(shí)。同時(shí),利用這一鏈路,外部的有關(guān)非結(jié)構(gòu)化數(shù)據(jù)及信息流與文檔等可以與數(shù)據(jù)倉(cāng)庫(kù)中的相關(guān)大數(shù)據(jù)應(yīng)用平臺(tái)連接,然后再連接到EDS。
4號(hào)鏈路。這一鏈路為VSS到管理網(wǎng)絡(luò)的相關(guān)核心內(nèi)容,可以提供給終端用戶進(jìn)行運(yùn)管平臺(tái)的訪問(wèn)。
5號(hào)鏈路。這一鏈路就是將運(yùn)管平臺(tái)當(dāng)做數(shù)據(jù)中心內(nèi)部子節(jié)點(diǎn),實(shí)現(xiàn)內(nèi)部高速連接,使防火墻、存儲(chǔ)資源池及計(jì)算資源池與網(wǎng)絡(luò)資源池等實(shí)現(xiàn)一體化整合[2-3]。
2.3 單向隔離的內(nèi)容透?jìng)髟O(shè)計(jì)
在這一方案設(shè)計(jì)中,選擇內(nèi)外網(wǎng)絡(luò)兩套ESB總線,在中間部分選擇單向UDP傳輸協(xié)議實(shí)現(xiàn)級(jí)聯(lián),從而使通用通道架構(gòu)得以形成,具體方案拓?fù)淙缦?。該方案主要包括五個(gè)部分的內(nèi)容,分別為生產(chǎn)網(wǎng)絡(luò)前置區(qū)、交換區(qū)以及單向推送隔離區(qū),還有交換區(qū)及網(wǎng)絡(luò)管理前置區(qū)。其中,對(duì)于生產(chǎn)網(wǎng)絡(luò)前置區(qū),在這一區(qū)域共布置兩臺(tái)ESB服務(wù)器,通過(guò)數(shù)據(jù)總線形式實(shí)現(xiàn)COCC/ACC中相關(guān)結(jié)構(gòu)數(shù)據(jù)化、實(shí)時(shí)數(shù)據(jù)流及應(yīng)用接口與文件等內(nèi)容的采集及聚集,依據(jù)緩存要求、傳送頻度要求及業(yè)務(wù)數(shù)據(jù)落地要求等,使各個(gè)方面落地在數(shù)據(jù)服務(wù)器中。在生產(chǎn)網(wǎng)絡(luò)側(cè)交換區(qū)內(nèi),其中主要包含兩臺(tái)交換機(jī),相關(guān)背板級(jí)聯(lián)可以使雙機(jī)虛擬交換機(jī)形成,利用路由方式連接COCC/ACC核心交換機(jī),使通訊鏈路得以形成。在單向推送隔離區(qū)之內(nèi),對(duì)中間單向推送裝置而言,其只能支持以UDP協(xié)議為基礎(chǔ)的單點(diǎn)對(duì)口傳輸。選擇雙機(jī)冗余方式,由于在兩側(cè)選擇ESB消息總線方式實(shí)現(xiàn)級(jí)聯(lián),因而兩臺(tái)單向推送隔離裝置,將其當(dāng)做兩條單向推送的透明通道進(jìn)行應(yīng)用。最后,對(duì)管理網(wǎng)絡(luò)側(cè)交換區(qū)及數(shù)據(jù)前置區(qū),這兩個(gè)區(qū)域基本上與生產(chǎn)網(wǎng)絡(luò)數(shù)據(jù)前置區(qū)之間是對(duì)等關(guān)系,其區(qū)別就是在通過(guò)接口服務(wù)器實(shí)現(xiàn)接口服務(wù)時(shí),在ESB總線構(gòu)建完成之后,將服務(wù)總線注冊(cè)進(jìn)入,實(shí)現(xiàn)統(tǒng)一化管理[3]。
3 結(jié)語(yǔ)
在當(dāng)前的軌道交通信息的安全防護(hù)中,為能夠使安全防護(hù)得到滿意的效果,需要以結(jié)合網(wǎng)絡(luò)隔離技術(shù)進(jìn)行安全防護(hù)設(shè)計(jì)。作為設(shè)計(jì)人員,應(yīng)當(dāng)對(duì)軌道交通信息安全現(xiàn)狀加強(qiáng)認(rèn)識(shí),在此基礎(chǔ)上通過(guò)與網(wǎng)絡(luò)合理技術(shù)相結(jié)合,從各個(gè)方面入手進(jìn)行信息安全防護(hù)的合理設(shè)計(jì),使信息安全防護(hù)得到滿意的效果,使信息安全得到更好保證。
參考文獻(xiàn):
[1]林曉偉.城市軌道交通綜合監(jiān)控系統(tǒng)信息安全建設(shè)方案[J].工業(yè)控制計(jì)算機(jī),2020,33(12):121-122+132.
[2]黨曉勇.城市軌道交通綜合監(jiān)控系統(tǒng)信息安全防護(hù)方案研究[J].電氣化鐵道,2020,31(S1):133-136.
[3]李躍.基于網(wǎng)絡(luò)隔離技術(shù)的軌交信息安全防護(hù)設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017(8):27-28.