網絡安全技術在鐵路通信網中的應用

馬雨

中鐵建電氣化局集團南方工程有限公司 湖北 武漢 430070

隨著通信技術的不斷發展，在鐵路運輸運營方面對于鐵路通信網的建設有了更加嚴格的要求。為達到高速列車的通信需求，需要建立更加安全穩定的鐵路通信網絡提供服務支持。而在傳統的鐵路通信網體系中，為確保通信網絡的整體質量，提高鐵路通信網絡的運行安全性，往往會選擇控制移頻信號輸出的方式，收集移頻信號在傳輸通道各個節點中的電平以及頻率信息，在其余通信軌道區域中，通常會存在移頻干擾信號，針對這些干擾信號的電平需要進行準確檢測，從而保證鐵路通信網的穩定運行，避免網絡安全隱患的出現。

1 鐵路通信網的特點及面臨的網絡安全問題

1.1 鐵路通信網的特點

鐵路通信網同時包含了業務網、承載網、支撐網三大體系，其中承載網是鐵路通信網的運行基礎，具體可以劃分為傳輸網絡以及數據通信網絡，能夠為鐵路各部門提供網絡接入和承載通道服務；業務網主要包含了調度通信系統以及專用移動通信系統、視頻監控系統、電視電話會議系統、應急通信系統等部分，是鐵路部門運輸與管理工作的重要支持網絡；支撐網主要包含時鐘和時間同步網絡等。隨著越來越多新興技術的廣泛運用，鐵路通信網中的通信電源以及環境監控檢測系統也開始引進先進的信息技術，為鐵路通信網的穩定運行提供支持，也能提高承載網以及業務網的安全運作，對監控網絡的運作以及提高服務質量來說具有關鍵意義[1]。

1.2 鐵路通信網面臨的安全問題

在鐵路通信網快速發展的背景下，傳統的電信網絡安全技術手段已經無法滿足鐵路通信網的安全保障需求，鐵路通信網面臨的安全風險基本可以概括為以下幾點：其一，網絡規模在進一步拓展，但網絡配置和管理卻逐漸復雜化，鐵路通信網難以做到可視化、可控化、可測化等目標；其二，越來越多業務的逐漸拓展，對于鐵路通信網的通信承載能力具有更高的要求，但同時安全防護邊界也在不斷拓展；其三，鐵路通信網運行管理的安全措施不夠深入，網絡安全標準體系以及安全配置有待進一步完善。

對于鐵路通信網絡系統來說，用戶量和信息量越來越大，共享信息越來越密集，這導致網絡系統的運行壓力也越來越大。種種因素導致鐵路通信網經常受到壓力和沖擊，鐵路通信網絡系統的運行也存在著很多安全隱患，甚至可能會對鐵路運輸帶來嚴重的經濟損失。鐵路通信網所面臨的安全問題具體如下：其一，鐵路通信網建設過程中，網絡結構建設有所缺失，或系統架構設計上沒能考慮安全性和結構的健全性，導致鐵路通信網系統存在安全隱患；其二，在鐵路通信網的硬件建設方面，服務器以及網卡等硬件設施選擇不合理，導致網絡功能性不完善，網絡可靠性難以保障；其三，沒能合理安裝鐵路通信網操作系統以及應用軟件，或在鐵路通信網軟件的選擇、應用、維護等方面存在一定缺失，導致鐵路通信網系統在長時間運行過程中很容易暴露出一些安全問題；其四，供電系統以及地線、網絡附屬設施的建設存在一定不足，鐵路通信網的運行外部條件不夠完善，可能會危及鐵路通信網系統的安全性。結合這些安全隱患及其原因來看，鐵路通信網系統的安全技術標準亟需進一步優化，提高通信系統的安全性[2]。

2 網絡安全技術在鐵路通信網中的具體應用

2.1 接入網技術

接入網技術是一種廣泛應用的網絡安全技術手段，在鐵路通信網中的應用一般表現在有線接入網、無線接入網、閉塞電話、共線電話調度系統等方面。例如在無線接入網中，網絡安全技術可以通過SDH光同步數字傳輸設備建立完善的鐵路通信網絡，這也是無線接入網技術的典型應用模式。網絡IP通信和ATM交換等技術的結合應用建立了完善的通信主干網絡，雙纖單向環的介入設計能夠在提高鐵路通信網安全性的同時節約成本，提高傳輸穩定性和傳輸效率等，大大提高了鐵路通信網的可靠性以及運行穩定性，在接入網技術的支持下能夠促進鐵路通信網的長遠發展。據了解，400MHz的無線列調系統在鐵路通信網中的運用非常普遍，這種系統模式可以負責駛入區段列車和車站人員的通話，在一般情況下沒有通信工作，只有在列車進站出站過程中進行通信，相同頻率的干擾因素能夠得到很好的規避，也能通過這種方式節約頻率資源。系統還可以利用小區制的手段實現“大三角”功能，也就是列車駕駛人員與車站工作人員通信、調度中心與列車駕駛人員通信、車站工作人員與調度中心通信，能夠做到動態性的雙向無線數據通信，滿足了鐵路通信網的功能要求，也能保障網絡安全性與可靠性[3]。

2.2 雙重冗余的網絡拓撲結構

為有效提高鐵路通信網的網絡層安全性，雙重冗余的網絡拓撲結構的應用能夠發揮顯著作用，這種結構也是現代網絡安全技術的經典手段之一。通過漸變性光纖作為傳輸媒介，以雙重冗余結構和環形網絡結構作為網絡拓撲結構的應用中心，相比于傳統的雙環結構來說，這種結構設計模式可以在故障情況下依然保持信息收發的通暢性。但雙重冗余的網絡拓撲結構的建設成本相對較高，目前只在高速鐵路通信網絡建設中應用，對于高鐵通信網來說，以往的雙環結構通信網難以在軌道電路以及車載列控設備出現故障時實現信號的穩定收發，而雙重冗余網絡拓撲結構則可以在環路故障但另一個環路正常運行的情況下實現信號的穩定收發，提高了通信網的運行效率和安全性，同時也是鐵路通信網安全技術發展的趨勢之一。

2.3 訪問控制

在鐵路通信網安全控制方面，訪問控制技術能夠避免網絡資源的非法應用與訪問，一般通過網絡權限控制和屬性控制、入網控制、目錄級控制等方式實現。網絡權限控制指的是采用分權管理的方式進行訪問權限的分配與登錄設置，當用戶賬號不具備所有資源的訪問權限，只有部分權限時，就可以在訪問過程中進行權限鎖定，對部分資源或目錄進行隱藏或鎖定，實現訪問控制的有效保護；屬性控制是一種級別更高的安全防護手段，管理人員可以對網絡資源進行預先性的安全屬性差異設計，不同的用戶可以定向匹配對應的網絡控制訪問表，從而控制用戶訪問網絡資源的權限與能力，針對不同類型的用戶制定不同層級的訪問權限；入網控制指的是利用控制用戶的方式達到訪問控制的1層保護，只有操作滿足規定要求的用戶才能進行登錄訪問操作。目錄級控制指的是為用戶分配一定權限，可以訪問目錄及文件資源，并利用其他指令的方式允許訪問下級別文件資源，但更高級別的文件資源可以進行約束和管控[4]。

2.4 防火墻技術

防火墻是最簡單最直觀，也是應用最廣泛的一種網絡安全技術，本身屬于計算機軟件的一種，其功能開發可以有效抵御各種黑客以及病毒的入侵，確保鐵路通信網系統的安全性，避免外部入侵帶來的經濟損失。防火墻技術能夠將鐵路通信網的互聯網與外界進行連接，設立安全防護網關，提高鐵路通信網專用資源的安全性，避免其被互聯網盜竊或入侵的風險。同時在不限制內部互聯網對外部互聯網使用的情況下，防火墻技術還可以對內部互聯網與外部互聯網起到一個阻斷的作用，避免黑客與病毒的入侵。如今的防火墻技術經過不斷的發展已經較為完善，包含了數據包過濾技術和代理技術、網絡監測技術等，在鐵路通信網中可以利用防火墻技術來抵御外部入侵，提高網絡系統的安全性。

2.5 入侵行為檢測技術

入侵行為檢測技術是針對網絡行為的一種監控和分析手段，可以掌握并限制網絡內部或外部出現的網絡攻擊行為，準確記錄到這些攻擊行為的信息，例如攻擊源IP地址以及攻擊類型、目標、時間等。入侵行為檢測技術能夠準確攔截各種網絡非法入侵行為。而隨著網絡入侵技術的不斷發展，從原本單一識別的入侵攻擊技術開始有了更多的升級，攻擊方式和攻擊時間、破壞力、威脅性等都有了一定提升。網絡入侵技術若從攻擊的周期來看，可以劃分為探測、入侵、潛伏、退出四個周期，攻擊方一般會利用相對復雜的方式發起網絡攻擊，根據各種監測技術從多個方向檢測出網絡入侵技術的特征則是入侵行為檢測技術的重點，入侵行為檢測技術可以利用威脅情報和出口規則、日志記錄與分析、流量分析、大數據分析等方式對網絡入侵行為進行檢測與分析，建立安全控制中心以及安全運維體系，能夠幫助鐵路通信網系統更好地應對網絡入侵行為[5]。

2.6 虛擬專網及切片隔離

虛擬專網也叫做VPN技術，能在一個IP承載網中為各項業務提供廣域網專網組網，同時將這些虛擬專網進行隔離處理。對于鐵路通信網系統來說，可以利用多協議標簽交換以及邊界網關協議VPN的手段來區分承載對應業務系統，部分可以選擇虛擬專用局域網也就是VPLS技術來建立雙層的虛擬專網功能。網絡切片指的是將網絡資源根據實際情況劃分出多個虛擬網絡，這種技術方法比較適用于業務需求差異化或統籌網絡承載等情況，尤其是硬切片技術，其優勢在于隔離度與可靠性更強，能夠做到業務網絡之間的隔離，從根本上提高了各項業務網絡之間的安全水平。對于鐵路通信網系統來說，切片隔離技術可以覆蓋承載網、無線網、核心網，承載網中的切片隔離可以將靈活以太網技術為中心，在介質訪問控制層以及實體層、實體編碼子層中建立全新的中介層，利用每66個字節的調度方式進行各個切片的數據處理。無線網切片一般利用幀結構設計的方式實現，確保每一個切片都擁有專用資源塊進行分配以及映射，實現切片與切片間資源的隔離，通過幀格式和調度優先級的合理配置，能夠滿足切片空口側的性能要求。核心網的切片技術重點在于網絡功能的虛擬化，從傳統網絡系統中分離出硬件和軟件部分，前者通過服務器進行全方位部署，而后者則利用對應的網絡功能負責，達到靈活組裝業務的效果。網絡切片是根據邏輯概念對資源進行重構，依照服務等級協議來為對應的服務選擇所需的虛擬機以及資源。

2.7 大數據技術

大數據技術是現代信息技術飛速發展下的產物，在鐵路通信網安全防護中，大數據技術也是一種典型的網絡安全技術形式，該技術一般體現在入侵攻擊檢測和網絡異常檢測兩個方向，利用大數據技術的入侵攻擊檢測能夠有效解決鐵路通信網入侵攻擊威脅。入侵攻擊通常具有隱蔽性、滲透性等特點，而大數據技術的應用可以有效降低這些威脅因素。網絡入侵攻擊的方法和路徑具有一定的不確定性，而當前國內鐵路通信網系統在抵御網絡攻擊方面的表現仍然有待提高。基于大數據技術的支持，Beehive系統和Map Reduce、攻擊金字塔并行處理能夠有效檢測惡意網絡攻擊，這也需要建立完整的網絡攻擊綜合防御體系，在遭遇網絡攻擊時可以通過安全監測和安全防護，以及主動防御等手段將網絡攻擊對網絡系統帶來的威脅程度降到最低。通過安全檢測來收集鐵路通信網的安全事件信息，安全防護則可以強化鐵路通信網的防御薄弱點，主動防御則可以利用關聯分析、數據溯源等方式對網絡攻擊進行防御和追蹤，為鐵路通信網的安全防護提供有效支持。大數據技術的應用在網絡異常檢測方面也能發揮顯著優勢，根據鐵路通信網的越權訪問和異常流量、可疑主機等方面進行檢測，利用深度學習的流量識別、網絡異常檢測方案等，利用大數據支持下的可視化分析、交互式分析、關聯性分析實現動態性的鐵路通信網流量監控，同時還可以借助變換與降維處理等方法提高圖形繪制算法的收斂速度，為鐵路通信網的網絡安全提供更加可靠的技術支持[6]。

2.8 網絡態勢感知

網絡態勢感知指的是在規定的時間和空間范圍內進行環境要素的察覺、分析短期預測等功能，從而了解空間環境信息，準確判斷當下及未來短期的網絡態勢并做出反應。網絡態勢感知更適合在大規模的網絡環境中運用，可以對導致網絡態勢變化的各項網絡安全要素進行察覺與獲取，并展示網絡態勢的變化趨勢與規律等信息，在輔助決策和安全行動方面可以提供一定參考。網絡安全態勢的感知屬于一種根據環境變化因素，從整體角度分析安全風險的一種技術，同時可以借助數據融合、數據挖掘、特征提取、智能分析、智能預測、可視化展現等技術手段，以更加直觀可視的方式展現出網絡環境中的安全態勢，為鐵路通信網的安全防護提供一定支持。

3 結束語

在互聯網技術飛速發展的背景下，鐵路通信網系統的安全運行至關重要。而由于網絡環境的開放性與復雜性等特征，信息安全始終是人們關注的重點，網絡系統的安全性難以做到絕對的安全和永久的安全，對于鐵路通信網來說，一方面需要根據鐵路運輸運營的實際需求進行網絡業務與服務的拓展，另一方面也要在網絡拓展的同時考慮其中可能存在的安全隱患，利用網絡安全技術來提高系統安全性。諸如接入網技術、網絡結構、網絡維護、網絡態勢感知、訪問控制、防火墻技術等都能為鐵路通信網的安全運行提供支持，結合互聯網技術的發展提高鐵路通信網的安全性，更好地維護經濟效益，促進我國鐵路運輸行業的長遠發展。