鐵路IP數(shù)據(jù)網(wǎng)安全運行建議

【摘要】近年來，隨著IP數(shù)據(jù)網(wǎng)在各個鐵路沿線逐步建設(shè)開通，計算機(jī)網(wǎng)絡(luò)已經(jīng)成為鐵路網(wǎng)不可或缺的一部分。IP數(shù)據(jù)網(wǎng)的應(yīng)用不僅加快了鐵路沿線各站的信息調(diào)度和處理，而且為提高工作效率、減輕人工勞動強(qiáng)度以及資源擴(kuò)大共享等方面起到了積極的作用。然而正是由于IP數(shù)據(jù)網(wǎng)在鐵路網(wǎng)中起著至關(guān)重要的作用，其安全問題才顯得尤為突出。影響IP數(shù)據(jù)網(wǎng)運行安全與否的因素包含諸多方面，本文首先分析闡述了這些問題，最后有針對性地提出了鐵路IP數(shù)據(jù)網(wǎng)安全運行的幾點建議。

【關(guān)鍵詞】鐵路；IP數(shù)據(jù)網(wǎng)；安全；建議

1.影響IP數(shù)據(jù)網(wǎng)安全運行的因素

鐵路通信系統(tǒng)作為鐵路安全、高效運行的基本設(shè)施，其好壞直接關(guān)系到整個鐵路系統(tǒng)的通暢與否。其中，IP數(shù)據(jù)網(wǎng)作為鐵路通信系統(tǒng)的主要方面，是一個承載著網(wǎng)絡(luò)系統(tǒng)各個節(jié)點之間的數(shù)據(jù)、圖形等各種信息交換的平臺。它是按照所傳輸業(yè)務(wù)帶寬的需求，憑借物理光纖以及數(shù)據(jù)網(wǎng)絡(luò)等資源和設(shè)備，提供服務(wù)保證和隔離業(yè)務(wù)，并構(gòu)成接入層、核心層和匯聚層這樣的三層網(wǎng)絡(luò)。因此影響IP數(shù)據(jù)網(wǎng)安全運行有諸多的因素，主要有以下幾個方面：

①網(wǎng)絡(luò)的管理和維護(hù)。我們知道，無論什么樣的網(wǎng)絡(luò)都需要細(xì)心的管理和維護(hù)，如果管理和維護(hù)出現(xiàn)了差錯，那么將會導(dǎo)致操作、信息更新、信息交換、越權(quán)配置等方面的錯誤。除此之外，網(wǎng)絡(luò)維護(hù)人員安全意識薄弱，比如在使用移動硬盤等外部設(shè)備進(jìn)行路由信息備份時，忽略對病毒的查殺，從而制造病毒、木馬得以生存?zhèn)鞑サ臋C(jī)會，為通信網(wǎng)絡(luò)安全帶來隱患。

②網(wǎng)絡(luò)的安全。要保證通信數(shù)據(jù)網(wǎng)的安全，前提是要確保通信數(shù)據(jù)網(wǎng)中的所有設(shè)備是安全可靠的。要做到這一點，就需要對網(wǎng)絡(luò)進(jìn)行合理的配置和規(guī)劃，同時采取必不可少的防護(hù)、保護(hù)措施，減少或避免由于網(wǎng)絡(luò)內(nèi)部某處的不安全帶給整個網(wǎng)絡(luò)的風(fēng)險、漏洞。

③承載業(yè)務(wù)的安全。鐵路IP數(shù)據(jù)網(wǎng)的主要職能是交換和傳送圖像、文本以及多媒體等信息，此外，還負(fù)責(zé)承載視頻會議、GPRS、監(jiān)控系統(tǒng)等業(yè)務(wù)，這些系統(tǒng)在組網(wǎng)時分別從不同的通道聚集到IP數(shù)據(jù)網(wǎng)，因此，如果個別接入的系統(tǒng)不安全不穩(wěn)定，那么將會影響整個網(wǎng)絡(luò)的安全。

2. 鐵路IP數(shù)據(jù)網(wǎng)安全運行建議

①對于網(wǎng)絡(luò)的管理和維護(hù)，可以建立完善的安全管理體系。首先應(yīng)當(dāng)加強(qiáng)網(wǎng)絡(luò)管理、使用以及維護(hù)人員的安全培訓(xùn)。在鐵路IP數(shù)據(jù)網(wǎng)中，最薄弱的環(huán)節(jié)是人，最容易出現(xiàn)不可預(yù)料錯誤的也是人。如果能夠提升管理、使用、維護(hù)人員的安全意識和素質(zhì)，那么無疑是事半功倍的。上海鐵路局上海通信段可以定期對各種人員進(jìn)行相關(guān)培訓(xùn)，從防毒意識到專業(yè)知識逐步詳盡地進(jìn)行講解，這樣才能從根本上保障IP數(shù)據(jù)網(wǎng)的運行安全；其次可以加強(qiáng)監(jiān)控力度，做好數(shù)據(jù)分析。網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以及時通報網(wǎng)絡(luò)中的異常并報警，是獲知網(wǎng)絡(luò)運行情況的有效手段。上海鐵路局上海通信段可以指派專人監(jiān)控異常的網(wǎng)絡(luò)流量，采用命令屏蔽、路由過濾等防侵策略，并對重要信息定期備份。

②對于網(wǎng)絡(luò)安全，首先應(yīng)保證通信網(wǎng)絡(luò)中存在設(shè)備的安全。設(shè)備包括硬件設(shè)備和軟件設(shè)備，在網(wǎng)絡(luò)管理過程中，對于硬件安全，應(yīng)當(dāng)配置UPS來預(yù)防系統(tǒng)掉電等異常情況；對于軟件安全，應(yīng)當(dāng)在網(wǎng)絡(luò)出口設(shè)置防火墻，此外，還要控制各種人員對于關(guān)鍵計算機(jī)的使用權(quán)限，對重要信息加密等；其次，做好路由器的選擇和配置工作。鐵路IP數(shù)據(jù)網(wǎng)的信息量大，接入業(yè)務(wù)多，路由器充當(dāng)了非常關(guān)鍵的角色。從IP包的轉(zhuǎn)發(fā)、尋找路由、防御入侵等方面考慮，通信網(wǎng)絡(luò)的兩個節(jié)點核心層和匯聚層基本承載了線路上的所有業(yè)務(wù)，因此高端路由器必不可少。另外，和數(shù)據(jù)備份一樣，對于像電源、路由引擎等的關(guān)鍵部件應(yīng)當(dāng)有備件；再次，采用動態(tài)路由協(xié)議。由于IP數(shù)據(jù)網(wǎng)承載的主要是視頻、會議等信息，那么如果通信鏈路擁塞或者中斷，數(shù)據(jù)包遭到丟棄，那么將導(dǎo)致視頻的無法播放，會議無法正常進(jìn)行。動態(tài)路由相對于靜態(tài)路由來說，它使用的是ISIS、BGP等協(xié)議，可以在物理鏈路阻塞或者異常中斷時自動調(diào)整路由表，從而保證業(yè)務(wù)的順利到達(dá)。此外，建議次用MD5的加密算法對經(jīng)過的路由消息加密；最后，將未啟用的物理端口和無關(guān)、缺省的服務(wù)關(guān)閉掉。路由器通常會默認(rèn)提供部分和通信業(yè)務(wù)不相關(guān)的功能和服務(wù)，關(guān)閉這些無用的服務(wù)可以減少或避免惡意攻擊等原因造成的網(wǎng)絡(luò)異常。比如要停止HTTP服務(wù)可以執(zhí)行“no ip http server”，停止CDP服務(wù)執(zhí)行“no cdp enable”，而關(guān)閉未啟用的端口是“shutdown”命令。從字面意義上看，這些命令簡單易懂并且和服務(wù)名緊密聯(lián)系，是平時能夠掌握的內(nèi)容。

③對于承載業(yè)務(wù)的安全，可以從組網(wǎng)方式的改進(jìn)來加強(qiáng)。為了避免鐵路IP數(shù)據(jù)多種接入業(yè)務(wù)之間互相干擾和影響，需要采取VLAN等技術(shù)手段來防止各個業(yè)務(wù)的交叉和互擾。VLAN劃分能夠保證各接入點之間的獨立性，如果將多業(yè)務(wù)接入一個SWITCH，VLAN可以控制他們彼此隔離，使得各接入點之間是安全、獨立的。

結(jié)語

鐵路IP數(shù)據(jù)網(wǎng)是鐵路系統(tǒng)內(nèi)部的互聯(lián)網(wǎng)，它的安全運行直接影響著整個鐵路系統(tǒng)，因此必須保證它的安全和可靠。鐵路IP數(shù)據(jù)網(wǎng)的安全問題不是一個短期的課題，需要不斷調(diào)整管理水平，不斷升級現(xiàn)有技術(shù)，不斷加強(qiáng)自身素質(zhì)，才能保障鐵路IP數(shù)據(jù)網(wǎng)的可持續(xù)運行。通過以上的建議，一方面能夠預(yù)防、發(fā)現(xiàn)IP數(shù)據(jù)網(wǎng)中的隱含威脅，并快速、準(zhǔn)確地采取專業(yè)措施；另一方面為鐵路安全工作提出了警示，為以后鐵路IP數(shù)據(jù)網(wǎng)的安全運行提供了可用策略。

參考文獻(xiàn)

[1]劉富強(qiáng).數(shù)字視頻監(jiān)控系統(tǒng)開發(fā)及應(yīng)用[M].機(jī)械工業(yè)出版社，2010.

[2]黃孝建.多媒體技術(shù)[M].郵電大學(xué)出版社，2011.

[3]楊波.數(shù)字圖像通信[M].人民郵電出版社，2010.

[4]何俊峰.IP數(shù)據(jù)網(wǎng)綜合網(wǎng)管系統(tǒng)的開發(fā)[J].通信世界，2011.

[5]柯巖.加強(qiáng)鐵路IP數(shù)據(jù)網(wǎng)安全的建議[J].科技創(chuàng)新與應(yīng)用，2009.