高速鐵路自然災(zāi)害及異物侵限監(jiān)測(cè)系統(tǒng)信息安全架構(gòu)設(shè)計(jì)和研究

姚洪磊，劉江川，王 彤

（1.中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081；2. 大西鐵路客運(yùn)專(zhuān)線有限責(zé)任公司 工程部，太原 030027）

安全方案設(shè)計(jì)

高速鐵路自然災(zāi)害及異物侵限監(jiān)測(cè)系統(tǒng)信息安全架構(gòu)設(shè)計(jì)和研究

姚洪磊1，劉江川2，王 彤1

（1.中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081；2. 大西鐵路客運(yùn)專(zhuān)線有限責(zé)任公司 工程部，太原 030027）

為提高高速鐵路自然災(zāi)害與異物侵限監(jiān)測(cè)系統(tǒng)（簡(jiǎn)稱(chēng)：災(zāi)害監(jiān)測(cè)系統(tǒng)）安全，保障系統(tǒng)穩(wěn)定運(yùn)行，通過(guò)分析災(zāi)害系統(tǒng)監(jiān)測(cè)面臨的安全風(fēng)險(xiǎn)和安全需求，設(shè)計(jì)了災(zāi)害監(jiān)測(cè)系統(tǒng)安全體系架構(gòu)，結(jié)合具體模型和數(shù)據(jù)處理流程，重點(diǎn)從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等不同方面對(duì)災(zāi)害監(jiān)測(cè)系統(tǒng)軟件的安全系統(tǒng)進(jìn)行設(shè)計(jì)。應(yīng)用結(jié)果表明，在不降低軟件性能條件下，安全架構(gòu)及設(shè)計(jì)方案對(duì)提高軟件安全性有明顯效果，可有效地提高災(zāi)害監(jiān)測(cè)系統(tǒng)自身安全性。

高速鐵路；災(zāi)害監(jiān)控；信息安全設(shè)計(jì)；安全架構(gòu)

我國(guó)高速鐵路建設(shè)迅猛發(fā)展，截至2013年底，我國(guó)高速鐵路運(yùn)營(yíng)里程已達(dá)到11 000 km。高速列車(chē)的運(yùn)行與旅客生命財(cái)產(chǎn)息息相關(guān)，隨著列車(chē)運(yùn)行速度的不斷提高，風(fēng)、雨、雪自然災(zāi)害和異物侵限事件對(duì)于高速列車(chē)運(yùn)行安全影響增大，在高速鐵路建設(shè)同步建設(shè)高速鐵路災(zāi)害監(jiān)測(cè)信息系統(tǒng)，以防止或減輕各類(lèi)災(zāi)害及異物侵限對(duì)高速鐵路列車(chē)行車(chē)安全的危害，為列車(chē)運(yùn)行安全提供技術(shù)保障。

高速鐵路自然災(zāi)害與異物侵限監(jiān)測(cè)系統(tǒng)（以下簡(jiǎn)稱(chēng)：災(zāi)害監(jiān)測(cè)系統(tǒng)）為列車(chē)安全運(yùn)行等方面提供有力保障的同時(shí)，也需要考慮自身運(yùn)行的安全，在進(jìn)行安全設(shè)計(jì)時(shí)，根據(jù)信息安全相關(guān)技術(shù)要求[1]，除了在保障系統(tǒng)安全、穩(wěn)定運(yùn)行以及在安全管理方面建立相應(yīng)管理規(guī)范和規(guī)章制度外，本文主要從技術(shù)角度分析災(zāi)害監(jiān)測(cè)系統(tǒng)面臨的安全風(fēng)險(xiǎn)和安全需求，從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全5個(gè)方面對(duì)安全架構(gòu)進(jìn)行設(shè)計(jì)。

1 災(zāi)害監(jiān)測(cè)系統(tǒng)介紹

災(zāi)害監(jiān)測(cè)系統(tǒng)對(duì)高速鐵路沿線風(fēng)、雨、雪及上跨鐵路的道路橋梁的異物侵限實(shí)現(xiàn)有效、準(zhǔn)確、實(shí)時(shí)的監(jiān)測(cè)，為調(diào)度指揮及維護(hù)管理提供報(bào)警、預(yù)警信息，有效防止或減少災(zāi)害對(duì)高速鐵路列車(chē)運(yùn)行安全的影響。災(zāi)害監(jiān)測(cè)信息系統(tǒng)中，鐵路局中心系統(tǒng)由數(shù)據(jù)處理中心和前端應(yīng)用兩級(jí)結(jié)構(gòu)組成，匯總處理風(fēng)、雨、雪及異物侵限監(jiān)測(cè)、報(bào)警信息，并與列車(chē)調(diào)度指揮系統(tǒng)（CTC）、防洪管理系統(tǒng)、綜合視頻監(jiān)控系統(tǒng)、其它鐵路局中心系統(tǒng)及省氣象局氣象觀測(cè)網(wǎng)相關(guān)系統(tǒng)進(jìn)行信息交換和共享，為高速鐵路動(dòng)車(chē)組運(yùn)行安全提供技術(shù)保障[2]，災(zāi)害監(jiān)測(cè)系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 災(zāi)害監(jiān)測(cè)系統(tǒng)結(jié)構(gòu)

2 安全風(fēng)險(xiǎn)及安全需求分析

2.1 安全風(fēng)險(xiǎn)

災(zāi)害監(jiān)測(cè)系統(tǒng)及其承載的網(wǎng)絡(luò)面臨以下幾個(gè)方面的安全風(fēng)險(xiǎn)[3~4]：

（1）監(jiān)測(cè)系統(tǒng)漏報(bào)和誤報(bào)的安全風(fēng)險(xiǎn)，包括由于監(jiān)測(cè)點(diǎn)采集設(shè)備接口接觸不良、傳感器設(shè)備故障或宕機(jī)、服務(wù)器故障或宕機(jī)、網(wǎng)絡(luò)數(shù)據(jù)流量超過(guò)設(shè)定閾值等導(dǎo)致災(zāi)害監(jiān)測(cè)系統(tǒng)的漏報(bào)和誤報(bào)，引起影響列車(chē)運(yùn)行的安全事故；

（2）故障導(dǎo)致災(zāi)害監(jiān)測(cè)系統(tǒng)中斷運(yùn)行的安全風(fēng)險(xiǎn)，包括由于應(yīng)用軟件或進(jìn)程發(fā)生異常、應(yīng)用服務(wù)器或數(shù)據(jù)庫(kù)服務(wù)器運(yùn)行狀態(tài)異常等導(dǎo)致災(zāi)害監(jiān)測(cè)系統(tǒng)停止運(yùn)行的安全風(fēng)險(xiǎn)；

（3）人為因素導(dǎo)致災(zāi)害監(jiān)測(cè)系統(tǒng)中斷運(yùn)行的安全風(fēng)險(xiǎn)，包括由于軟件或操作系統(tǒng)升級(jí)、服務(wù)器升級(jí)或更換、網(wǎng)絡(luò)設(shè)備升級(jí)或更換等人為操作導(dǎo)致監(jiān)測(cè)數(shù)據(jù)傳輸中斷或采集設(shè)備上報(bào)不及時(shí)的安全風(fēng)險(xiǎn)；

（4）自然環(huán)境威脅引起的安全風(fēng)險(xiǎn)，包括災(zāi)害監(jiān)測(cè)信息系統(tǒng)現(xiàn)場(chǎng)采集、傳輸、鐵路局中心設(shè)備和計(jì)算網(wǎng)絡(luò)設(shè)備設(shè)施可能遭受水災(zāi)、火災(zāi)、雪災(zāi)等環(huán)境事故等造成的安全風(fēng)險(xiǎn)；

（5）病毒和惡意攻擊安全風(fēng)險(xiǎn)，包括非授權(quán)的接入對(duì)網(wǎng)絡(luò)的入侵或攻擊、包含惡意攻擊、堵塞式攻擊、終端或服務(wù)器的病毒感染、外部用戶(hù)的非法接入等。

（6）有缺陷的設(shè)計(jì)、實(shí)現(xiàn)和維護(hù)可能導(dǎo)致應(yīng)用系統(tǒng)存在安全隱患和漏洞而影響應(yīng)用系統(tǒng)可用性的安全風(fēng)險(xiǎn)；

2.2 安全需求

（1）針對(duì)監(jiān)測(cè)系統(tǒng)漏報(bào)和誤報(bào)的安全風(fēng)險(xiǎn)，需要在災(zāi)害監(jiān)測(cè)系統(tǒng)具備監(jiān)測(cè)點(diǎn)及傳感器狀態(tài)檢測(cè)功能，可以對(duì)各數(shù)據(jù)采集節(jié)點(diǎn)的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)檢測(cè)，同時(shí)采用雙緩沖機(jī)制和負(fù)載均衡技術(shù)降低誤報(bào)和漏報(bào)的風(fēng)險(xiǎn)；

（2）針對(duì)故障導(dǎo)致災(zāi)害監(jiān)測(cè)系統(tǒng)中斷運(yùn)行的安全風(fēng)險(xiǎn)，需要在鐵路局中心機(jī)房?jī)?nèi)部署機(jī)房環(huán)境監(jiān)控系統(tǒng)，對(duì)核心服務(wù)器的運(yùn)行狀態(tài)、重要性能指標(biāo)、網(wǎng)絡(luò)設(shè)備性能、應(yīng)用軟件或進(jìn)程的狀態(tài)進(jìn)行監(jiān)控并及時(shí)報(bào)警；

（3）針對(duì)人為因素導(dǎo)致災(zāi)害監(jiān)測(cè)系統(tǒng)中斷運(yùn)行的安全風(fēng)險(xiǎn)，需要建立完備的備份機(jī)制，在對(duì)服務(wù)器或軟件進(jìn)行升級(jí)時(shí)，需保證災(zāi)害監(jiān)測(cè)系統(tǒng)的零時(shí)和無(wú)縫切換；

（4）針對(duì)自然環(huán)境威脅引起的安全風(fēng)險(xiǎn)，需加強(qiáng)對(duì)戶(hù)外監(jiān)控采集設(shè)備的防雷和防水保護(hù)，加強(qiáng)鐵路局中心機(jī)房環(huán)境的防雷、防火、防盜、防電磁泄露等保護(hù)；

（5）針對(duì)病毒和惡意攻擊導(dǎo)致的安全威脅，應(yīng)加強(qiáng)災(zāi)害監(jiān)測(cè)系統(tǒng)網(wǎng)絡(luò)邊界的安全防護(hù)，并建立有效的防病毒機(jī)制；

（6）針對(duì)應(yīng)用軟件可能存在的安全缺陷，需在應(yīng)用軟件研發(fā)和設(shè)計(jì)時(shí)從數(shù)據(jù)校驗(yàn)、資源控制、通信保密、訪問(wèn)控制和安全審計(jì)等方面考慮應(yīng)用系統(tǒng)的安全性。

3 安全架構(gòu)設(shè)計(jì)

安全架構(gòu)指提供系統(tǒng)軟硬件方面整體安全性的所有服務(wù)和技術(shù)工具的總和，安全設(shè)計(jì)涉及系統(tǒng)的各組成部分，具體內(nèi)容包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全，災(zāi)害監(jiān)測(cè)系統(tǒng)安全架構(gòu)如圖2所示。

圖2 災(zāi)害監(jiān)測(cè)系統(tǒng)安全架構(gòu)

4 設(shè)計(jì)方案

災(zāi)害監(jiān)測(cè)系統(tǒng)安全設(shè)計(jì)可按照物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全進(jìn)行設(shè)計(jì)。

4.1 物理安全設(shè)計(jì)

災(zāi)害監(jiān)測(cè)系統(tǒng)物理安全設(shè)計(jì)可從環(huán)境安全、設(shè)備安全和線路安全3個(gè)方面進(jìn)行設(shè)計(jì)。

4.1.1 環(huán)境安全

環(huán)境安全包括環(huán)境條件安全和基礎(chǔ)設(shè)施安全。保障環(huán)境條件安全應(yīng)考慮火災(zāi)、水災(zāi)、爆炸以及其他形式的自然或人為災(zāi)害，系統(tǒng)監(jiān)測(cè)設(shè)備如雨量監(jiān)測(cè)設(shè)備、風(fēng)速監(jiān)測(cè)設(shè)備等一般位于戶(hù)外，并安置于自然災(zāi)害頻發(fā)地段，應(yīng)充分考慮各個(gè)監(jiān)測(cè)點(diǎn)的地面環(huán)境，監(jiān)測(cè)設(shè)備應(yīng)有專(zhuān)門(mén)的防雷電和防水等措施；

保障基礎(chǔ)設(shè)施安全需要部署機(jī)房環(huán)境監(jiān)控系統(tǒng)，使機(jī)房溫度、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。所有的網(wǎng)絡(luò)設(shè)備（包括交換機(jī)、路由器、服務(wù)器、防火墻等）都需設(shè)置物理保護(hù)，不能隨意讓人接觸，相關(guān)主機(jī)和設(shè)備都應(yīng)統(tǒng)一編號(hào)，定期進(jìn)行維護(hù)；機(jī)房供電線路上應(yīng)配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備。

4.1.2 設(shè)備安全

在災(zāi)害監(jiān)測(cè)系統(tǒng)中，設(shè)備選型上選用高可靠性硬件設(shè)備，數(shù)據(jù)庫(kù)服務(wù)器采用雙機(jī)熱備方式配置，以確保主機(jī)的高可用性，數(shù)據(jù)存儲(chǔ)采用邏輯卷鏡像的雙智能存儲(chǔ)，以確保數(shù)據(jù)的高安全性，應(yīng)用服務(wù)器采用負(fù)載均衡方式配置以確保業(yè)務(wù)的高連續(xù)性。

4.1.3 線路安全

線路安全包括電纜安全、光纜安全和供電安全。電源電纜是提供設(shè)備電力供應(yīng)的保證，在災(zāi)害監(jiān)測(cè)系統(tǒng)建設(shè)中，通信設(shè)備的電源線和通信線路設(shè)計(jì)采取地下暗線布放方式；光纜安全根據(jù)不同的環(huán)境采取不同的防護(hù)措施，在白蟻和昆蟲(chóng)啃嚙地段采用防蟻光纜，在特殊地段如水底采用水底光纜接頭盒，同時(shí)在設(shè)計(jì)施工時(shí)需考慮防止機(jī)械損傷、防強(qiáng)電、防雷電和防潮。

4.2 網(wǎng)絡(luò)安全設(shè)計(jì)

4.2.1 網(wǎng)絡(luò)結(jié)構(gòu)安全

網(wǎng)絡(luò)結(jié)構(gòu)安全是指在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)上避免單點(diǎn)故障，災(zāi)害監(jiān)測(cè)系統(tǒng)在網(wǎng)絡(luò)結(jié)構(gòu)上使用雙星型網(wǎng)絡(luò)冗余結(jié)構(gòu)，如圖3所示。

網(wǎng)絡(luò)在結(jié)構(gòu)上分為主用和備用鏈路，監(jiān)控單元通過(guò)防災(zāi)專(zhuān)網(wǎng)接入車(chē)站的主備鏈路接入層交換機(jī)，各車(chē)站主備鏈路接入層交換機(jī)通過(guò)防災(zāi)專(zhuān)網(wǎng)主備用專(zhuān)用通道與鐵路局中心核心交換機(jī)互聯(lián)；既有防災(zāi)系統(tǒng)監(jiān)控?cái)?shù)據(jù)處理設(shè)備與鐵路局中心系統(tǒng)、相鄰鐵路局中心系統(tǒng)間、中國(guó)鐵路總公司復(fù)示終端與鐵路局中心系統(tǒng)間、行車(chē)調(diào)度與工務(wù)終端間網(wǎng)絡(luò)通信鏈路均采用上述主備鏈路通信方式來(lái)避免單點(diǎn)故障。

4.2.2 網(wǎng)絡(luò)邊界安全

網(wǎng)絡(luò)邊界安全包含系統(tǒng)內(nèi)部不同區(qū)域間的邊界安全和災(zāi)害監(jiān)測(cè)系統(tǒng)與外部系統(tǒng)間的邊界安全。

系統(tǒng)內(nèi)部不同區(qū)域間的邊界包括鐵路局中心系統(tǒng)與相鄰鐵路局中心系統(tǒng)間、既有防災(zāi)系統(tǒng)與鐵路局中心系統(tǒng)、中國(guó)鐵路總公司復(fù)示終端與鐵路局中心系統(tǒng)、行車(chē)調(diào)度與工務(wù)終端間的網(wǎng)絡(luò)邊界，此類(lèi)邊界安全防護(hù)采用的設(shè)計(jì)方案如下：

（1）在網(wǎng)絡(luò)出口、服務(wù)器區(qū)域及其他重要網(wǎng)段等各邊界部署防火墻類(lèi)邊界隔離設(shè)備，對(duì)網(wǎng)絡(luò)邊界或區(qū)域邏輯隔離，實(shí)現(xiàn)網(wǎng)絡(luò)層的訪問(wèn)控制；

圖3 災(zāi)害監(jiān)測(cè)系統(tǒng)雙星型網(wǎng)絡(luò)結(jié)構(gòu)

（2）在網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)，在服務(wù)器、終端設(shè)備上安裝防病毒系統(tǒng)（要求與防病毒網(wǎng)關(guān)具有不同的惡意代碼庫(kù)），同時(shí)在鐵路局中心部署防病毒升級(jí)服務(wù)器，保持系統(tǒng)補(bǔ)丁及時(shí)得到更新，支持病毒庫(kù)的統(tǒng)一管理；

（3）在網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)部署入侵檢測(cè)系統(tǒng)（IDS）或入侵防御系統(tǒng)（IPS）實(shí)時(shí)監(jiān)控和分析網(wǎng)絡(luò)數(shù)據(jù)流及網(wǎng)絡(luò)行為，即時(shí)發(fā)現(xiàn)各種惡意和可疑行為，提供及時(shí)的報(bào)警及響應(yīng)。

與外部系統(tǒng)間的邊界包括鐵路局中心系統(tǒng)與綜合視頻監(jiān)控系統(tǒng)間、省氣象局氣象觀測(cè)網(wǎng)間、時(shí)鐘同步系統(tǒng)、防洪管理系統(tǒng)、CTC系統(tǒng)等外部系統(tǒng)的邊界。為保證防災(zāi)專(zhuān)網(wǎng)和其他信息系統(tǒng)網(wǎng)絡(luò)的相對(duì)獨(dú)立，可采用網(wǎng)閘方式對(duì)各業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)進(jìn)行有效隔離。網(wǎng)閘是通過(guò)阻斷各業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)的直接連接，將原始數(shù)據(jù)以非網(wǎng)絡(luò)連接的方式傳送，使隔離機(jī)制傳輸具有不可編程性，使通過(guò)網(wǎng)閘的任何數(shù)據(jù)都不具有攻擊和有害特性，在較高程度上保證了不同業(yè)務(wù)系統(tǒng)間的邊界安全。

4.3 主機(jī)安全設(shè)計(jì)

主機(jī)安全是指鐵路局中心災(zāi)害監(jiān)控系統(tǒng)中的主機(jī)、桌面終端的安全，具體包括操作系統(tǒng)、中間件和數(shù)據(jù)庫(kù)系統(tǒng)的安全。

（1）選擇相對(duì)安全的操作系統(tǒng)、中間件和數(shù)據(jù)庫(kù)系統(tǒng)，對(duì)主機(jī)系統(tǒng)進(jìn)行必要的加固；對(duì)關(guān)鍵服務(wù)器和工作站均采用服務(wù)器版本的操作系統(tǒng)；

（2）應(yīng)將主要服務(wù)器的性能指標(biāo)納入機(jī)房監(jiān)控系統(tǒng)的監(jiān)測(cè)范圍，監(jiān)測(cè)指標(biāo)包括服務(wù)器的CPU利用率、內(nèi)存、磁盤(pán)空間、重要進(jìn)程運(yùn)行狀態(tài)、數(shù)據(jù)庫(kù)運(yùn)行狀態(tài)等，防止因服務(wù)器宕機(jī)或應(yīng)用服務(wù)停止造成的應(yīng)用系統(tǒng)不可用。

（3）對(duì)操作系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行有效管理，禁止缺省口令和弱口令。

（4）操作系統(tǒng)應(yīng)遵循最小安裝原則，僅安裝需要的組件和應(yīng)用程序，保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。

（5）采用漏洞掃描技術(shù)對(duì)操作系統(tǒng)進(jìn)行加固，在鐵路局中心防災(zāi)專(zhuān)網(wǎng)中部署主機(jī)漏洞掃描設(shè)備，對(duì)專(zhuān)網(wǎng)中的主機(jī)和數(shù)據(jù)庫(kù)進(jìn)行自動(dòng)發(fā)現(xiàn)、識(shí)別，根據(jù)其類(lèi)型采取相應(yīng)的漏洞掃描手段進(jìn)行掃描，發(fā)現(xiàn)系統(tǒng)在安全策略配置上的漏洞和不合理處，并提供全面的報(bào)表和查詢(xún)功能，在漏洞掃描的基礎(chǔ)上對(duì)主機(jī)進(jìn)行安全評(píng)估和加固。由于主機(jī)掃描時(shí)會(huì)產(chǎn)生大量的會(huì)話，為避免影響防火墻性能，不建議漏洞掃描產(chǎn)品跨骨干網(wǎng)和跨防火墻操作，一般部署于鐵路局中心防災(zāi)內(nèi)部局域網(wǎng)。

4.4 應(yīng)用安全設(shè)計(jì)

災(zāi)害監(jiān)測(cè)信息系統(tǒng)無(wú)論是采用B/S結(jié)構(gòu)還是C/S結(jié)構(gòu)，都要防止應(yīng)用系統(tǒng)中用戶(hù)數(shù)據(jù)的丟失、修改或?yàn)E用。應(yīng)用系統(tǒng)安全設(shè)計(jì)可以從數(shù)據(jù)校驗(yàn)、資源控制、通信保密、訪問(wèn)控制、安全審計(jì)5個(gè)方面進(jìn)行考慮。

4.4.1 數(shù)據(jù)校驗(yàn)

在對(duì)應(yīng)用系統(tǒng)設(shè)計(jì)時(shí)應(yīng)考慮對(duì)數(shù)據(jù)的有效性進(jìn)行驗(yàn)證，如通過(guò)人機(jī)接口（程序界面）輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度是否符合系統(tǒng)設(shè)定要求，防止個(gè)別用戶(hù)數(shù)據(jù)畸形數(shù)據(jù)而導(dǎo)致系統(tǒng)出錯(cuò)（如：SQL注入攻擊）。

4.4.2 資源控制

在應(yīng)用系統(tǒng)設(shè)計(jì)時(shí)應(yīng)考慮當(dāng)通信一方在一段時(shí)間未做任何相應(yīng)，另一方應(yīng)能自動(dòng)結(jié)束會(huì)話，并且該時(shí)間應(yīng)能進(jìn)行配置，同時(shí)應(yīng)考慮采取措施對(duì)最大的并發(fā)會(huì)話連接數(shù)進(jìn)行限制，該數(shù)據(jù)應(yīng)能進(jìn)行配置。

4.4.3 通信保密

在應(yīng)用系統(tǒng)設(shè)計(jì)時(shí)，與外部信息系統(tǒng)的通信應(yīng)采用加密協(xié)議，如SSL、HTTPS等安全協(xié)議。

4.4.4 訪問(wèn)控制

在應(yīng)用系統(tǒng)設(shè)計(jì)時(shí)，應(yīng)考慮具備管理員權(quán)限的用戶(hù)可以通過(guò)應(yīng)用程序靈活定制某個(gè)用戶(hù)對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)表、進(jìn)程、功能模塊等的訪問(wèn)控制權(quán)限。

4.4.5 安全審計(jì)

在應(yīng)用系統(tǒng)設(shè)計(jì)時(shí)，應(yīng)考慮具備審計(jì)功能，對(duì)登錄日志、操作日志、應(yīng)用系統(tǒng)日志、異常事件等應(yīng)能進(jìn)行記錄和審計(jì)，發(fā)生安全事件時(shí)應(yīng)能進(jìn)行報(bào)警。

4.5 數(shù)據(jù)安全設(shè)計(jì)

災(zāi)害監(jiān)測(cè)系統(tǒng)的數(shù)據(jù)安全應(yīng)根據(jù)系統(tǒng)的特點(diǎn)，從數(shù)據(jù)的可用性、數(shù)據(jù)完整性和保密性、數(shù)據(jù)備份和恢復(fù)等方面進(jìn)行設(shè)計(jì)：

4.5.1 數(shù)據(jù)可用性

數(shù)據(jù)的誤報(bào)和濫報(bào)：災(zāi)害監(jiān)測(cè)系統(tǒng)處理的數(shù)據(jù)主要為采集監(jiān)測(cè)點(diǎn)的報(bào)警類(lèi)數(shù)據(jù)，該類(lèi)數(shù)據(jù)具有訪問(wèn)不確定、隨機(jī)性較大，數(shù)據(jù)量大的特點(diǎn)，采用雙緩沖機(jī)制處理抖增類(lèi)數(shù)據(jù)，接收到此類(lèi)數(shù)據(jù)時(shí)，先將其放置在緩沖區(qū)中進(jìn)行預(yù)處理，對(duì)重復(fù)數(shù)據(jù)和異常數(shù)據(jù)進(jìn)行過(guò)濾和篩選，再將其復(fù)制至另一緩沖區(qū)進(jìn)行正式處理后上報(bào)上級(jí)系統(tǒng)，最大可能防止數(shù)據(jù)的誤報(bào)和濫報(bào)。

數(shù)據(jù)的漏報(bào)：（1）可能是攻擊或DDoS攻擊而導(dǎo)致服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不堪負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)，監(jiān)測(cè)點(diǎn)無(wú)法及時(shí)將監(jiān)測(cè)數(shù)據(jù)上報(bào)至鐵路局中心系統(tǒng)，設(shè)計(jì)時(shí)可以考慮在鐵路局中心防災(zāi)系統(tǒng)專(zhuān)網(wǎng)內(nèi)部署主機(jī)入侵檢測(cè)系統(tǒng)，防止惡意攻擊；（2）服務(wù)器、操作系統(tǒng)、應(yīng)用軟件的升級(jí)或更換導(dǎo)致服務(wù)不可用，設(shè)計(jì)時(shí)可考慮采用負(fù)載均衡方法，當(dāng)其中一套應(yīng)用服務(wù)（包含應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等）暫時(shí)不可用時(shí)，另一套應(yīng)用服務(wù)依然可用，實(shí)現(xiàn)升級(jí)過(guò)程中的無(wú)縫和零時(shí)切換，避免監(jiān)測(cè)數(shù)據(jù)的漏報(bào)。

4.5.2 數(shù)據(jù)完整性和保密性

對(duì)數(shù)據(jù)庫(kù)中存儲(chǔ)和傳輸?shù)臄?shù)據(jù)應(yīng)有完整性校驗(yàn)措施，可采用MD5算法對(duì)存儲(chǔ)和傳輸數(shù)據(jù)進(jìn)行完整性校驗(yàn)；對(duì)數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)采用加密算法進(jìn)行加密存儲(chǔ)。

4.5.3 備份和恢復(fù)

通過(guò)專(zhuān)用的備份恢復(fù)軟件，結(jié)合利用網(wǎng)絡(luò)備份手段對(duì)災(zāi)害監(jiān)測(cè)信息系統(tǒng)的重要主機(jī)、數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行備份，并制定相應(yīng)的備份恢復(fù)策略；對(duì)重要服務(wù)器采用RAID方式冗余磁盤(pán)陣列提供容錯(cuò)恢復(fù)。

5 結(jié)束語(yǔ)

本文的安全架構(gòu)設(shè)計(jì)方案從環(huán)境安全為災(zāi)害監(jiān)測(cè)系統(tǒng)安全提供了物理基礎(chǔ)，從網(wǎng)絡(luò)安全保障了通信數(shù)據(jù)的傳輸，從主機(jī)安全保障了系統(tǒng)的運(yùn)行環(huán)境，從應(yīng)用安全加強(qiáng)了系統(tǒng)安全審核機(jī)制，從數(shù)據(jù)安全方面加強(qiáng)了系統(tǒng)對(duì)數(shù)據(jù)的過(guò)濾。由于系統(tǒng)加強(qiáng)了對(duì)無(wú)效、非法以及重復(fù)數(shù)據(jù)的過(guò)濾，在提高安全的同時(shí)也提高了系統(tǒng)的處理性能。隨著災(zāi)害監(jiān)測(cè)系統(tǒng)在各行業(yè)的進(jìn)一步應(yīng)用，結(jié)合特定應(yīng)用場(chǎng)景的安全架構(gòu)設(shè)計(jì)是后續(xù)的研究方向。

[1] 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 22239–2008， 信息安全技術(shù)—信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2008.

[2] 王 瑞，喻麒睿，王 彤. 高速鐵路災(zāi)害監(jiān)測(cè)系統(tǒng)優(yōu)化升級(jí)[J]. 中國(guó)鐵路，2013（10）：17-20.

[3] 李曉宇，張 鵬，戴賢春. 高速鐵路自然災(zāi)害及異物侵限監(jiān)測(cè)系統(tǒng)運(yùn)用及管理優(yōu)化研究[J]. 中國(guó)鐵路，2013（10）：21-25.

[4] 張衛(wèi)軍.防災(zāi)監(jiān)控系統(tǒng)在高速鐵路中的應(yīng)用[J].鐵道通信信號(hào)，2010，46（6）：80-81.

責(zé)任編輯 方 圓

Information security design and research for High-Speed Railway Nature Disaster and Foreign Invasion Monitor System

YAO Honglei1, LIU Jiangchuan2, WANG Tong1
( 1.Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China; 2.Engineering Department, Atlantic Railway Passenger Dedicated Co.Ltd, Taiyuan 030027, China )

In order to improve the information security of High-speed Railway Nature Disaster and Foreign Invasion Monitor System, ensure operational stability of the System, the paper designed Information Security System, combined with specif i c models and data processing of the System. The design was focused on the physical security, network security, host security, application security and data security for the software of High-speed Railway Nature Disaster and Foreign Invasion Monitor System. The application results showed that the software security architecture and design solutions could improve software security without reducing the performance of the software, effectively improve information security of the System.

high-speed railway; disaster monitoring; information security design; security architecture

U29-39

A

1005-8451（2015）02-0028-05

2014-10-08

中國(guó)鐵道科學(xué)研究院基金項(xiàng)目(1052DZ1301)。

姚洪磊，助理研究員；劉江川，高級(jí)工程師。