現代網絡安全技術在鐵路通信網中的運用探討

郭喜瑩

（北京鐵路局北京鐵路通信技術中心，北京 100038）

1 鐵路通信網安全隱患應對重要性

惡劣天氣、線路檢修不及時、維修人員技術水平不高、自動監測技術不完善、信號可靠性不高屬于鐵路通信網常見的安全隱患，但隨著網絡領域安全問題的日漸復雜，網絡攻擊、病毒等方面帶來的鐵路通信網安全沖擊日漸嚴重化。在《中國鐵路總公司關于做好鐵路數據網網絡安全專項整治工作的通知》（運電通信函[2016]123號）中，通知提出了網管冗余設備、防火墻、堡壘機、入侵檢測設備、終端管控設備等安全防護配置要求，并同時明確了鐵路通信網安全防護等級，這些均直觀說明了鐵路通信網網絡安全的重要性[1]。

2 現代網絡安全技術在鐵路通信網中的應用路徑

2.1 接入網技術

接入網技術屬于典型的現代網絡安全技術，該技術在鐵路通信網中的應用主要體現在無線接入網、有線接入網、熱線電話與閉塞電話、共線電話調度系統領域，以其中的無線接入網為例，采用SDH光同步數字傳輸設備組成的鐵路通信網便屬于無線接入網技術的應用典型，而網絡IP通信、ATM交換等技術的融合則實現了通信主干網絡的構建，“雙纖單向環”接入方式便能夠在保證鐵路通信網安全的前提下具備價格合理、傳輸效果優秀、傳輸速度快等優勢，整個鐵路通信網的可靠性、自愈能力將在該技術支持下實現長足提升。在筆者的實際調研中發現，400MHz的無線列調系統在我國鐵路通信網領域的應用極為廣泛，該系統主要負責駛入區段列車與車站值班人員的通話，且在常規無特殊情況工作環境中無通信工作，僅在列車進出站動作時進行通訊動作，相同頻率干擾因此大幅減少，頻率資源也因此實現了較好節約，同時該系統還能夠通過小區制的方式實現大三角的功能，即列車司機與車站工作人員的通訊、調度中心與列車司機的通訊、車站工作人員與調度中心的通訊，由此實現的實時雙向無線數據通訊不僅能夠滿足鐵路通信網功能需求，同時可較好保證其網絡領域的安全。

2.2 雙重冗余的網絡拓撲結構

為保證鐵路通信網的網絡層面安全，雙重冗余的網絡拓撲結構在其中的應用不應被忽視，其同樣屬于向現代網絡安全技術的應用典型。采用漸變性光纖作為傳輸介質、采用雙重冗余結構、采用環形網絡結構均屬于雙重冗余的網絡拓撲結構的應用要點，相較于傳統的雙環結構，雙重結構能夠在一定故障狀態下保證收發信息的正常，但由于雙重冗余的網絡拓撲結構存在成本較高特點，其現階段主要用于我國高鐵通信網建設。以高鐵通信網為例，傳統雙環結構通信網無法在軌道電路、車載列控設備、信號機等連接站點發生故障時安全可靠的收發信息，但雙重冗余的網絡拓撲結構卻能夠在環路故障而另一個環路正常的情況下正常工作，形成安全保證、通信網效率提升均將由此得到較為積極影響[2]。

2.3 大數據技術

為保證鐵路通信網的網絡安全，大數據技術的應用同樣屬于現代網絡安全技術的應用典型，這一應用主要集中在APT攻擊檢測與網絡異常檢測兩個層面，其中應用大數據技術的APT攻擊檢測可較好應對鐵路通信網APT攻擊威脅，APT攻擊具備的隱蔽性、滲透性、針對性較強優勢也將由此得到有效削弱，在筆者的實際調研中發現，由于APT攻擊的渠道與空間路徑均不確定，我國鐵路通信網在APT攻擊表現不佳情況較為常見，但在大數據技術支持下，Beehive系統、攻擊金字塔、Map Reduce并行處理均可實現高質量APT惡意攻擊檢測，而結合這類技術建立APT綜合防御框架，便能夠通過安全檢測、安全防護、主動防御將APT攻擊對鐵路通信網的威脅降到最低，其中安全檢測主要負責收集鐵路通信網安全事件特征，而安全防護則主要負責針對性加強鐵路通信網脆弱點，主動防御則主要通過關聯分析與數據溯源實現，APT攻擊的抑制、鐵路通信網的安全保障均將由此得到有力支持；應用大數據技術的網絡異常檢測則主要圍繞鐵路通信網的越權資源訪問、流量突變、設備失效、可疑主機展開，由此通過深度學習的流量識別與網絡異常檢測方案，即可通過大數據技術支持下的可視分析、交互式分析、關聯分析全面而實時的掌握鐵路通信網流量情況，同時采用變換與降維處理方式，可實現圖形繪制算法收斂速度的提升，大數據技術將由此更好服務于鐵路通信網的網絡安全保障。

3 結束語

綜上所述，現代網絡安全技術能夠較好服務于鐵路通信網，在此基礎上，本文涉及的接入網技術、雙重冗余的網絡拓撲結構、大數據技術等內容，則提供了可行性較高的現代網絡安全技術應用路徑，而為了更好保證鐵路通信網的網絡安全，防火墻、堡壘機、入侵檢測等技術的應用也必須得到重視。