鐵路數據通信網網管系統安全防護的探索

王帥　薄天麒

摘要：當前，我國的經濟發展水平已經越來越高，國家交通網絡也處于不斷的改進與完善的過程當中。鐵路數據通信網絡建設對于鐵路的管理與發展發揮著至關重要的作用，有關部門必須要建立鐵路數據通信網網管系統，的并且對該系統進行有效的管理，保障網管系統安全，促進安全防護工作。本文就針對鐵路數據通信網網管系統安全防護進行進一步的探索與研究，希望通過本文的研究能夠為有關部門和有關人員提供響應的借鑒與支持，并且能夠有效促進我國鐵路數據通信網絡的建設與發展。

關鍵詞：鐵路數據通信網；網管系統；安全等級；防護；設備配置

我國鐵路建設已經逐步實現完善化，鐵路網絡建設自己鐵路配套設施和服務等建設逐步完善，大部分的國家鐵路局都已經建立起了鐵路數據通信網，因此，與之相關的數據網安全問題以及其他方面問題開始成為鐵路部門的新問題。有關部門也對鐵路數據通信網網管系統的安全性提出了新的要求和規定標準。

一、信息系統等級保護介紹

通常情況下。信息系統都是有著等級區分的，信息安全等級保護包括對國家、社會、個人、群體等的信息方面的安全保護的等級。信心系統的安全與否會直接關系到個人或者整體的經濟利益，因此信息系統等級的確定和保護必須符合國家的規定和標準，從而有效保護信息安全，有效對信息系統進行安全管理。對于信息系統中的不安全因素，以及一些危險事件或者突發事件等也需要進行安全等級的區分，根據不同的等級制定不同的解決方案，及時處理問題。

信息系統安全保護等級主要可以分為5個等級，如下所示。

第一級： 對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級：對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級：對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級：對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級：對國家安全造成特別嚴重損害。

從以上五個等級我們可以清晰明確的看出，不同的等級有著不同的危險因素以及不同的破壞性，從第一級到第五級，危險程度和破壞程度是逐級上升的。由此可見對于安全管理的是非常重要的，對于危險因素和破壞結果也需要實現及時的排查與解決。

二、鐵路數據通信網安全防護配置要求

鐵路部門根據國家規定和相關要求制定了等級保護的基本要求，對我國鐵路數據通信網也進行了初步的評估，并且參照評估情況又提出了一些新的要求與規定。鐵路有關部門和單位需要根據實際情況進行定期的檢查，定期進行數據通信網絡的安全性，對于排查出的問題要進行匯總與整理，將各類問題納入題庫并且形封閉管理模式。根據國家有關文件提出的新的要求和標準，鐵路數據通信網網管系統還需要進行不斷的系統完善與升級，配備更加安全的防護和硬件設施，設計更為科學合理的程序等，例如：防火墻、終端控制、危險因素測控。

（一）網管冗余設備

目前有許多鐵路部門的數據通信網絡存在著網管冗余設備，這些設備通常都是為數據通信網絡管理服務的，是管理設備也是儲存設備。配備網管冗余設備需要滿足一些多方面的條件因素，例如數據網絡的重要設備應當采用冗余的方式來保證網絡業務，管理網絡業務，并且實現抗災以及問題的修復。

（二）防火墻

防火墻主要實現鐵路數據網絡系統的區域管理，進行設備之間的隔離，網絡之間的隔離。防火墻的配置需要滿足以下幾個方面的功能：

1）技術隔離功能：通過有效的網絡技術手段實現區域間、網絡間的隔離，禁止不合理的連接，禁止其他系統或者其他網絡的直接連接，從而對本區域的網絡形成一種保護作用。

2）過濾功能：對于網絡內的各種信心進行檢查、篩選和過濾。

3）邏輯隔離功能：對于網絡的管理和檢測需要應用邏輯隔離功能，維護網絡運行，限制設備訪問，制定安全策略與控制策略。

（三）入侵檢測設備

對于入侵設備檢測的配置需要滿足以下幾個方面的功能：

1）追蹤功能：對于網絡進行追蹤控制，對于安事件進行追蹤控制，對于入侵網絡系統或者連接進入的網絡系統進行追蹤觀測與檢查。

2）告警監測功能：在網絡運行過程中，對于數據網絡以及其他的安全設備都進行總體的監督與控制，一旦發現安全問題就啟東告警功能，并且形成安全告警日志，對安全事件進行全面的分析與整理。

3）入侵檢測及報警功能：對入侵進網絡的其他網絡或者其他連接進行及時的檢測與報警，記錄入侵網絡的來源、地址、類型等詳細信息，做好記錄工作，必要時發出安全報警。

4）完整性檢測功能：對于網絡系統或者網絡程序的完整性進行檢測，如果網絡程序的完整性遭到破壞就需要通過檢測查明之后，采取有效的措施，制定合理的方案來展開程序恢復工作。

5）惡意代碼防御功能：網絡系統都會不可避免的出現惡意代碼的侵入，對于惡意代碼的侵入能夠進行及時的檢測與清除。

（四）終端管控設備

終端管控設備的配置需要滿足以下幾個方面的功能：

1）接入阻斷功能：在局域網絡內，對網絡系統進行檢測，及時監測出接入網絡的安全性自己運行行為，對于接入的網絡設備進行定位與監控，一旦出現問題就對其進行阻斷。

2）接出阻斷功能：對本局域網絡私自接入外部網絡的行為進行監督與控制，有效檢測所接入的外部的網絡的來源等信息，并且進行阻斷。

三、總結

我國鐵路系統的發展正在逐步完善化，同時人們對于鐵路有關配套基礎設施的要求標準也越來越高，尤其是目前人們所必須的數據網絡，這也是鐵路部門進行鐵路數據網網管系統安全防護的重要原因之一。對于數據網絡的安全防護與管理不僅出于滿足乘客標準的需要，同時也是不僅鐵路建設與發展的需要，是國家的需要。鐵路數據網絡是一個非常龐大的系統，包含了各方面的數據與信息，在未來的發展過程當中，鐵路數據網絡還將承擔更多的信息、辦公與管理等方面的功能，因此，鐵路數據通信網網管系統的安全防護應當不斷進行調整與完善，只有這樣才能保證數據的安全性，信息的安全性，從而有效促進鐵路“兩網融合”的建設與發展。

參考文獻：

[1]中國鐵路總公司.運電通信函[2016]123號 關于做好鐵路數據網網絡安全專項整治工作的通知[Z].北京：中國鐵路總公司，2016

[2]中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求[S].北京：中國標準出版社，2008