鐵路SIM卡管理系統(tǒng)等級(jí)保護(hù)方案的設(shè)計(jì)與實(shí)現(xiàn)

DOI：10.19850/j.cnki.2096-4706.2021.08.049

摘? 要：通過(guò)分析當(dāng)前鐵路SIM卡管理系統(tǒng)運(yùn)用現(xiàn)狀，根據(jù)現(xiàn)有信息系統(tǒng)安全等級(jí)保護(hù)二級(jí)的要求，研究了影響鐵路SIM卡管理系統(tǒng)安全運(yùn)行的因素。針對(duì)鐵路SIM卡管理系統(tǒng)的設(shè)計(jì)架構(gòu)和應(yīng)用特點(diǎn)，構(gòu)建了以安全通信網(wǎng)絡(luò)、安全區(qū)域邊界和安全計(jì)算環(huán)境為核心的三重防護(hù)體系，設(shè)計(jì)完成了一套滿足鐵路SIM卡管理系統(tǒng)等級(jí)保護(hù)二級(jí)要求的方案，實(shí)現(xiàn)對(duì)鐵路SIM卡管理系統(tǒng)的有效安全防護(hù)。

關(guān)鍵詞：SIM卡管理;等級(jí)保護(hù);網(wǎng)絡(luò)安全

中圖分類號(hào)：TP309;U231.7? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2021）08-0172-04

Design and Implementation of Grade Protection Scheme for?Railway SIM Card Management System

ZHUANG Hongzhen

（Beijing Guotie Huachen Communication Technology Co.，Ltd.，Beijing? 100070，China）

Abstract：Based on the requirements of secondary security protection of existing information system，this paper analyzes the application status of the current railway SIM card management system and studies the factors affecting the safe operation of railway SIM card management system. Aimming at the design architecture and application characteristics of railway SIM card management system，a triple protection system with secure communication network，secure area boundary and secure computing environment as the core is constructed，and a scheme meeting the secondary protection requirements of railway SIM card management system is designed to realize the effective security protection of railway SIM card management system.

Keywords：SIM card management;grade protection;network security

0? 引? 言

近年來(lái)，隨著鐵路業(yè)務(wù)對(duì)信息化的依賴程度越來(lái)越高，其面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)日趨凸顯。鐵路重要信息系統(tǒng)承載著大量的鐵路業(yè)務(wù)數(shù)據(jù)、公民個(gè)人信息等，是鐵路網(wǎng)絡(luò)安全防護(hù)工作的關(guān)鍵所在，一旦遭到破壞并影響正常使用，將對(duì)國(guó)家安全、經(jīng)濟(jì)穩(wěn)定和公眾安全產(chǎn)生一定程度的影響^[1]。SIM卡管理系統(tǒng)作為我國(guó)鐵路電務(wù)專業(yè)的常用系統(tǒng)，管理全路SIM卡數(shù)據(jù)約27萬(wàn)條、車(chē)載終端數(shù)據(jù)5萬(wàn)余條。系統(tǒng)實(shí)現(xiàn)全路GSM-R SIM卡數(shù)據(jù)、終端數(shù)據(jù)等業(yè)務(wù)管理，并形成全路GSM-R終端用戶數(shù)據(jù)及SIM卡的統(tǒng)一數(shù)據(jù)庫(kù)，由總公司級(jí)SIM卡管理系統(tǒng)和鐵路局SIM卡管理系統(tǒng)兩級(jí)構(gòu)成^[2]。系統(tǒng)采用專線方式組網(wǎng)，為系統(tǒng)設(shè)備、用戶終端提供數(shù)據(jù)承載并實(shí)現(xiàn)一、二級(jí)系統(tǒng)數(shù)據(jù)同步。

SIM卡管理系統(tǒng)定級(jí)為等級(jí)保護(hù)二級(jí)系統(tǒng)，本文的整體設(shè)計(jì)規(guī)劃從多個(gè)層面進(jìn)行，構(gòu)建以安全管理體系為根基、安全技術(shù)體系為手段、安全運(yùn)維體系為保障、安全服務(wù)體系為支撐的信息安全體系，為業(yè)務(wù)工作提供強(qiáng)有力安全能力支撐。

1? 鐵路SIM卡系統(tǒng)網(wǎng)絡(luò)安全需求分析

中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司信息系統(tǒng)與信息安全評(píng)測(cè)中心根據(jù)安全等保二級(jí)的要求對(duì)SIM卡管理系統(tǒng)進(jìn)行安全測(cè)評(píng)，評(píng)測(cè)中存在的問(wèn)題主要分類為：

（1）安全管理中心。未建立相應(yīng)的安全管理策略和安全管理制度。

（2）安全計(jì)算環(huán)境。SIM卡管理系統(tǒng)的各種硬件設(shè)備、操作系統(tǒng)、應(yīng)用軟件和系統(tǒng)本身未采取安全防護(hù)措施，不能實(shí)現(xiàn)身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范、數(shù)據(jù)保護(hù)等。

（3）安全區(qū)域邊界。SIM卡管理系統(tǒng)與其他業(yè)務(wù)關(guān)聯(lián)系統(tǒng)之間的通信未采取安全措施，不能發(fā)揮邊界訪問(wèn)控制、邊界入侵防范和邊界及重要網(wǎng)絡(luò)節(jié)點(diǎn)的審計(jì)作用。

（4）安全通信網(wǎng)絡(luò)。SIM卡管理系統(tǒng)的網(wǎng)絡(luò)架構(gòu)未劃分不同的網(wǎng)絡(luò)區(qū)域，未部署網(wǎng)絡(luò)設(shè)備來(lái)保障通信安全。

目前安全現(xiàn)狀中，非法內(nèi)聯(lián)、外聯(lián)的現(xiàn)象頻出，進(jìn)而引發(fā)一系列安全事件，如數(shù)據(jù)泄露、病毒木馬感染等，因此應(yīng)按照相關(guān)要求建立一定的管控措施，進(jìn)行受控端口的管理、配置訪問(wèn)控制策略、非法內(nèi)外聯(lián)的監(jiān)測(cè)、控制等。

2? 方案設(shè)計(jì)

2.1? 設(shè)計(jì)思路

SIM卡管理系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)方案的設(shè)計(jì)參照網(wǎng)絡(luò)安全相關(guān)法律法規(guī)以及行業(yè)標(biāo)準(zhǔn)要求，目的是保障業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行。首先將SIM卡管理系統(tǒng)在邏輯上劃分為業(yè)務(wù)服務(wù)區(qū)，運(yùn)維管理區(qū)和終端接入?yún)^(qū)三個(gè)部分，劃分安全域后即可明晰區(qū)域邊界，從安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境三個(gè)層面對(duì)網(wǎng)絡(luò)安全進(jìn)行設(shè)計(jì)^[3]。然后通過(guò)網(wǎng)絡(luò)安全管理技術(shù)手段統(tǒng)一對(duì)接入的網(wǎng)絡(luò)安全設(shè)備進(jìn)行集中管理，貼合業(yè)務(wù)系統(tǒng)特性綜合采用訪問(wèn)控制、入侵檢測(cè)等多種安全防護(hù)技術(shù)和措施，并整合網(wǎng)絡(luò)安全運(yùn)維等后端服務(wù)，構(gòu)建完整的網(wǎng)絡(luò)安全防護(hù)體系。

2.2? 總體部署

SIM卡管理系統(tǒng)作為等級(jí)保護(hù)二級(jí)系統(tǒng)，本方案構(gòu)建了安全通信網(wǎng)絡(luò)、安全區(qū)域邊界和安全計(jì)算環(huán)境三重防護(hù)體系，實(shí)現(xiàn)縱深防御。通過(guò)建立網(wǎng)絡(luò)安全管理中心，對(duì)各網(wǎng)絡(luò)安全設(shè)備和模塊等進(jìn)行集中、統(tǒng)一、有效地監(jiān)控，實(shí)現(xiàn)系統(tǒng)安全策略統(tǒng)一實(shí)施，確保系統(tǒng)運(yùn)行狀態(tài)可控、可管。

本方案設(shè)計(jì)結(jié)合網(wǎng)絡(luò)、管理、應(yīng)用等各方面現(xiàn)狀情況，整體設(shè)計(jì)圖如圖1所示。

參照SIM卡管理系統(tǒng)安全防護(hù)設(shè)計(jì)圖中可以將網(wǎng)絡(luò)安全防護(hù)進(jìn)行梳理。通過(guò)交換機(jī)的VLAN技術(shù)，劃分出特定的管理區(qū)域，對(duì)部署于在網(wǎng)絡(luò)中的安全設(shè)備、安全組件等進(jìn)行統(tǒng)一管理;建議獨(dú)立劃分一個(gè)管理區(qū)，通過(guò)邊界隔離技術(shù)，搭建一條安全的信息傳輸鏈路，對(duì)網(wǎng)絡(luò)中的安全設(shè)備和安全組件等進(jìn)行統(tǒng)一管理;通過(guò)日志審計(jì)系統(tǒng)對(duì)分散在各個(gè)網(wǎng)絡(luò)安全設(shè)備上的日志進(jìn)行統(tǒng)一匯總和集中分析，確保審計(jì)記錄的格式和留存時(shí)間等符合相關(guān)標(biāo)準(zhǔn)要求，對(duì)各類安全事件進(jìn)行識(shí)別、報(bào)警分析，溯源等。通過(guò)網(wǎng)絡(luò)安全管理模塊對(duì)業(yè)務(wù)服務(wù)器、網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)傳輸鏈路等的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)，并對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行統(tǒng)一管理，提升網(wǎng)絡(luò)安全的運(yùn)維效率。

2.2.1? 安全通信網(wǎng)絡(luò)

強(qiáng)調(diào)網(wǎng)絡(luò)架構(gòu)、通信傳輸?shù)劝踩珒?nèi)容。主要為關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)：如安全域邊界，安全設(shè)施資源利用綜合安全專用設(shè)備、輕代理模式，大大提升網(wǎng)絡(luò)處理能力和硬件冗余性。

2.2.2? 安全區(qū)域邊界

區(qū)域邊界的網(wǎng)絡(luò)安全防護(hù)內(nèi)容主要包括邊界訪問(wèn)控制、邊界入侵檢測(cè)、惡意代碼防范和安全審計(jì)等內(nèi)容。在邊界訪問(wèn)控制部分，主要通過(guò)在邊界部署綜合安全網(wǎng)關(guān)設(shè)備來(lái)實(shí)現(xiàn)，確保流經(jīng)區(qū)域邊界的數(shù)據(jù)流量受控;在邊界入侵檢測(cè)方面，通過(guò)綜合安全網(wǎng)關(guān)設(shè)備的入侵檢測(cè)模塊功能，可對(duì)跨邊界的訪問(wèn)行為進(jìn)行深度檢測(cè)，識(shí)別和阻止網(wǎng)絡(luò)攻擊行為;在惡意代碼防范部分，通過(guò)綜合安全網(wǎng)關(guān)的網(wǎng)絡(luò)防病毒模塊的功能，識(shí)別和阻斷來(lái)自外部的惡意代碼，防止惡意代碼的擴(kuò)散;在安全審計(jì)方面，區(qū)域邊界的網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的日志要進(jìn)行留存并統(tǒng)一發(fā)送至日志審計(jì)系統(tǒng)進(jìn)行匯總和分析。

2.2.3? 安全計(jì)算環(huán)境

SIM卡管理系統(tǒng)的安全計(jì)算環(huán)境是網(wǎng)絡(luò)安全防護(hù)系統(tǒng)最重要的防護(hù)部分，主要包括身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范、數(shù)據(jù)完整性和保密性、數(shù)據(jù)備份恢復(fù)等安全內(nèi)容：

（1）身份鑒別：安全運(yùn)維人員的身份鑒別使用堡壘機(jī)進(jìn)行控制，并應(yīng)滿足雙因子鑒別要求，其中一種鑒別使用密碼技術(shù)。其中，身份鑒別標(biāo)識(shí)應(yīng)具有唯一性，并滿足復(fù)雜度要求，另外身份標(biāo)識(shí)應(yīng)定期進(jìn)行更換。業(yè)務(wù)系統(tǒng)應(yīng)具備登錄失敗處理機(jī)制，如登錄次數(shù)限制和超時(shí)自動(dòng)退出系統(tǒng)等安全措施。

（2）訪問(wèn)控制：通過(guò)綜合安全網(wǎng)關(guān)對(duì)業(yè)務(wù)訪問(wèn)控制到應(yīng)用級(jí)、數(shù)據(jù)訪問(wèn)控制到字段級(jí)，初步實(shí)現(xiàn)訪問(wèn)控制策略規(guī)定主體對(duì)客體的訪問(wèn)控制規(guī)則。訪問(wèn)控制力度優(yōu)于主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)的要求。

（3）安全審計(jì)：利用日志審計(jì)，可對(duì)終端和主機(jī)的操作用戶的重要行為和重要安全事件進(jìn)行審計(jì)。

（4）入侵防范：漏洞掃描，可檢查各類終端設(shè)備的漏洞信息，提供全防護(hù)方法;在內(nèi)部終端部署內(nèi)網(wǎng)安全管理，發(fā)揮終端資產(chǎn)管理、桌面運(yùn)維、補(bǔ)丁管理等功能。

（5）惡意代碼防范：網(wǎng)絡(luò)側(cè)綜合安全網(wǎng)關(guān)提供網(wǎng)絡(luò)病毒查殺，終端使用防病毒軟件提供終端病毒集中查殺。

（6）數(shù)據(jù)完整性和保密性：使用SIM卡管理系統(tǒng)自身的數(shù)據(jù)加密確保數(shù)據(jù)傳輸過(guò)程的完整性和存儲(chǔ)的保密性。

（7）數(shù)據(jù)備份恢復(fù)：數(shù)據(jù)備份功能由“熱備”方式提供，包括實(shí)時(shí)備份和數(shù)據(jù)處理系統(tǒng)的熱冗余與高可用。

3? 詳細(xì)設(shè)計(jì)

3.1? 安全管理區(qū)

安全管理區(qū)是SIM卡管理系統(tǒng)的“安全大腦”。發(fā)揮系統(tǒng)管理、審計(jì)管理和集中管控作用。具體表現(xiàn)為：

（1）在邊界部署綜合安全網(wǎng)關(guān)，確?？缭竭吔绲脑L問(wèn)和數(shù)據(jù)流通過(guò)邊界設(shè)備提供受控端口進(jìn)行通信，發(fā)揮防火墻策略梳理、入侵檢測(cè)、防病毒功能。

（2）利用漏洞掃描系統(tǒng)，基于全網(wǎng)進(jìn)行掃描，檢查全網(wǎng)漏洞和脆弱性情況。

（3）利用日志審計(jì)系統(tǒng)，將全網(wǎng)通用型設(shè)備、安全設(shè)備的所有日志信息進(jìn)行歸并匯總，在滿足等級(jí)保護(hù)二級(jí)要求的基礎(chǔ)上，需要對(duì)日志進(jìn)行留存和審計(jì)。

（4）利用堡壘機(jī)，管控和審計(jì)運(yùn)維人員操作，幫助運(yùn)維用戶實(shí)現(xiàn)統(tǒng)一認(rèn)證管理、統(tǒng)一授權(quán)管理、統(tǒng)一審計(jì)管理、統(tǒng)一賬號(hào)管理。

3.2? 服務(wù)器應(yīng)用區(qū)

服務(wù)器應(yīng)用區(qū)主要部署了傳統(tǒng)服務(wù)器設(shè)備，包含了應(yīng)用服務(wù)器、數(shù)據(jù)存儲(chǔ)服務(wù)器、內(nèi)網(wǎng)安全管理服務(wù)器、病毒查殺服務(wù)器等。采取邊界隔離措施外，還需在服務(wù)器部署病毒查殺系統(tǒng)，將收集服務(wù)器的資產(chǎn)信息，對(duì)服務(wù)器設(shè)備的病毒查殺進(jìn)行集中管控。

3.3? 內(nèi)部終端接入?yún)^(qū)

內(nèi)部終端接入?yún)^(qū)，主要接入內(nèi)部PC等終端設(shè)備，需要對(duì)接入的設(shè)備做運(yùn)維管理、合規(guī)管理。邊界處采取邊界隔離措施外，在終端設(shè)備上安裝內(nèi)網(wǎng)安全管理系統(tǒng)。一方面可實(shí)現(xiàn)精細(xì)化終端運(yùn)維管理，包括終端信息管理、終端操作系統(tǒng)漏洞檢測(cè)和修復(fù)、終端病毒查殺、終端平臺(tái)環(huán)境規(guī)范、遠(yuǎn)程支持和維護(hù)等;另一方面從規(guī)范終端用戶行為出發(fā)，可封堵終端違規(guī)的漏洞、監(jiān)控和規(guī)范終端用戶行為，全面提升終端安全合規(guī)管理水平，避免內(nèi)部泄密和內(nèi)部攻擊破壞安全事件的發(fā)生。

3.4? 詳細(xì)功能

SIM卡管理系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的整體功能，是以網(wǎng)絡(luò)安全管理系統(tǒng)為中心，通過(guò)部署于網(wǎng)絡(luò)中的多個(gè)安全設(shè)備的不同安全防護(hù)模塊來(lái)實(shí)現(xiàn)的，涉及的主要網(wǎng)絡(luò)安全設(shè)備包括綜合安全網(wǎng)關(guān)、堡壘機(jī)、內(nèi)網(wǎng)安全管理系統(tǒng)、漏洞掃描系統(tǒng)、日志審計(jì)系統(tǒng)，服務(wù)器殺毒系統(tǒng)等。以下對(duì)各個(gè)網(wǎng)絡(luò)安全設(shè)備和系統(tǒng)的功能分別進(jìn)行描述。

3.4.1? 綜合安全網(wǎng)關(guān)

綜合安全網(wǎng)關(guān)是基于用戶的安全、面向應(yīng)用的安全、高效的轉(zhuǎn)發(fā)平臺(tái)、內(nèi)容的深度過(guò)濾、精確智能聯(lián)動(dòng)、防御高級(jí)持續(xù)性威脅的一體化安全智能網(wǎng)關(guān)^[4]。產(chǎn)品架構(gòu)如圖2所示。

該主機(jī)基于專用硬件平臺(tái)，采用自主研發(fā)的高安全實(shí)時(shí)嵌入式VSP操作系統(tǒng)，以及自主研發(fā)的USE統(tǒng)一安全引擎。在軟件體系上具有模塊化結(jié)構(gòu)，針對(duì)不同的應(yīng)用環(huán)境和不同的安全策略，可以配置不同的功能模塊。

3.4.2? 堡壘機(jī)

堡壘機(jī)，也被稱為運(yùn)維安全網(wǎng)關(guān)，是管控和審計(jì)運(yùn)維人員操作的網(wǎng)絡(luò)安全設(shè)備。使用堡壘機(jī)控制運(yùn)維人員能運(yùn)維哪些設(shè)備、執(zhí)行哪些操作命令，避免運(yùn)維人員非法或無(wú)意中執(zhí)行高危操作，并對(duì)運(yùn)維人員的操作進(jìn)行實(shí)時(shí)監(jiān)控和事后審計(jì)。利用堡壘機(jī)做運(yùn)維，不必記錄設(shè)備的IP地址、用戶名、口令等信息，也避免這些敏感信息的泄露，極大地方便了運(yùn)維工作，提升運(yùn)維效率。堡壘機(jī)可對(duì)整個(gè)運(yùn)維過(guò)程從事前預(yù)防、事中控制和事后審計(jì)進(jìn)行全程參與。

3.4.3? 內(nèi)網(wǎng)安全管理系統(tǒng)

內(nèi)網(wǎng)安全管理系統(tǒng)主要考慮來(lái)自內(nèi)部網(wǎng)絡(luò)的可信環(huán)境下的非授權(quán)網(wǎng)絡(luò)行為和授權(quán)濫用行為，因?yàn)閮?nèi)部違規(guī)行為是網(wǎng)絡(luò)安全面臨的最大威脅，也是網(wǎng)絡(luò)安全的最大挑戰(zhàn)。系統(tǒng)能夠有效地分析各內(nèi)部網(wǎng)絡(luò)環(huán)境下比較具體和重要的網(wǎng)絡(luò)安全威脅，對(duì)各個(gè)計(jì)算機(jī)終端進(jìn)行有效監(jiān)控，避免內(nèi)部IT資源濫用、內(nèi)部網(wǎng)絡(luò)信息泄露、內(nèi)部員工的故意攻擊等問(wèn)題，對(duì)各種因內(nèi)部因素產(chǎn)生的網(wǎng)絡(luò)安全問(wèn)題進(jìn)行有效的預(yù)防、監(jiān)控和審計(jì)。

3.4.4? 漏洞掃描系統(tǒng)

本系統(tǒng)采用了漏洞掃描領(lǐng)域多種最新、最先進(jìn)的掃描和檢測(cè)技術(shù)，可快速發(fā)現(xiàn)網(wǎng)絡(luò)空間的資產(chǎn)信息，準(zhǔn)確識(shí)別資產(chǎn)信息屬性，全面掃描網(wǎng)絡(luò)空間資產(chǎn)信息的安全漏洞，清晰定位安全風(fēng)險(xiǎn)，并給出修復(fù)建議和防護(hù)措施，進(jìn)而幫助用戶在全面評(píng)估業(yè)務(wù)系統(tǒng)弱點(diǎn)的基礎(chǔ)上實(shí)現(xiàn)安全自主掌控。

3.4.5? 日志審計(jì)系統(tǒng)

日志審計(jì)系統(tǒng)包括審計(jì)中心、日志采集器和日志代理三個(gè)部件。日志采集器和日志代理實(shí)現(xiàn)對(duì)審計(jì)數(shù)據(jù)源（主機(jī)/服務(wù)器類、網(wǎng)絡(luò)類和安全類等）的日志信息統(tǒng)一收集，然后上傳給審計(jì)中心進(jìn)行集中化存儲(chǔ)、分析和審計(jì)^[5]。日志審計(jì)系統(tǒng)能夠通過(guò)主被動(dòng)結(jié)合的手段，實(shí)時(shí)不間斷地采集網(wǎng)絡(luò)中各類安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)產(chǎn)生的海量日志信息，并對(duì)收集的日志信息進(jìn)行集中化存儲(chǔ)、備份、查詢、審計(jì)、告警、響應(yīng)，出具豐富的報(bào)表報(bào)告，實(shí)現(xiàn)日志全生命周期的管理，使運(yùn)維人員獲悉全網(wǎng)的整體安全運(yùn)行態(tài)勢(shì)。

3.4.6? 服務(wù)器殺毒系統(tǒng)

服務(wù)器殺毒系統(tǒng)是能夠?yàn)楣ぷ髡尽⒎?wù)器等提供跨平臺(tái)的病毒防護(hù)，采用B/S管理模式，由管控中心、升級(jí)服務(wù)器、私有云檢測(cè)中心三部分構(gòu)成中控平臺(tái)，配合客戶端組成全方位的反病毒保障體系。服務(wù)器殺毒系統(tǒng)具備集中管控、策略定制和統(tǒng)計(jì)報(bào)表等基礎(chǔ)功能，并支持網(wǎng)絡(luò)管理員自定義分組的方式管理終端用戶，更具情景設(shè)定安全策略，有效合理的利用系統(tǒng)資源。

4? SIM卡管理系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案特點(diǎn)

SIM卡管理系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)方案是在參照相關(guān)安全標(biāo)準(zhǔn)的基礎(chǔ)上貼合業(yè)務(wù)系統(tǒng)進(jìn)行的有針對(duì)性的網(wǎng)絡(luò)安全防護(hù)方案。在防火墻開(kāi)啟DDoS功能、Web防火墻開(kāi)啟安全策略后，通過(guò)安全日志可發(fā)現(xiàn)防火墻均已有效地完成了對(duì)各類攻擊的識(shí)別與防護(hù)，對(duì)保障鐵路SIM卡管理系統(tǒng)的安全穩(wěn)定運(yùn)行起到了重要作用。

本方案的主要特點(diǎn)有：

（1）參照等級(jí)保護(hù)要求和其他相關(guān)網(wǎng)絡(luò)安全法律法規(guī)和標(biāo)準(zhǔn)，在網(wǎng)絡(luò)安全方案設(shè)計(jì)之初就考慮到廣泛的合規(guī)要求。

（2）結(jié)合等級(jí)保護(hù)要求，進(jìn)行符合項(xiàng)目實(shí)際安全需求安全體系的設(shè)計(jì)，通過(guò)了解SIM卡管理系統(tǒng)安全風(fēng)險(xiǎn)和安全需求，設(shè)計(jì)符合等級(jí)保護(hù)二級(jí)的安全防護(hù)體系。

（3）方案中的網(wǎng)絡(luò)安全防護(hù)功能采用模塊化的設(shè)計(jì)理念，方便后續(xù)需求和功能等的擴(kuò)展。

5? 結(jié)? 論

本文在滿足國(guó)內(nèi)政策法規(guī)合規(guī)要求、滿足等保等監(jiān)管要求的基礎(chǔ)上，充分響應(yīng)“人防、物防、技防”相結(jié)合的安全戰(zhàn)略方針，同時(shí)在技術(shù)設(shè)計(jì)上，充分結(jié)合系統(tǒng)的IT技術(shù)架構(gòu)，確保SIM卡管理系統(tǒng)安全設(shè)計(jì)符合傳輸性能、可靠性等要求，目前已在多個(gè)鐵路局集團(tuán)的二級(jí)SIM卡管理系統(tǒng)上部署實(shí)施，對(duì)保障鐵路SIM卡管理系統(tǒng)的安全穩(wěn)定運(yùn)行起到了重要作用。SIM卡管理系統(tǒng)作為鐵路通信重要信息化系統(tǒng)之一，在鐵路通信網(wǎng)信息化系統(tǒng)中有著很強(qiáng)的代表性，該系統(tǒng)的運(yùn)用模式以及網(wǎng)絡(luò)安全防護(hù)方案可為其他通信信息化系統(tǒng)提供網(wǎng)絡(luò)安全防護(hù)參考。

參考文獻(xiàn)：

[1] 馮凱亮，張德棟，陳勛，等.鐵路網(wǎng)絡(luò)安全等級(jí)保護(hù)管理系統(tǒng)研究 [J].鐵路計(jì)算機(jī)應(yīng)用，2020，29（8）：66-70.

[2] 陳丹暉，劉清濤，張衛(wèi)軍.鐵路SIM卡管理系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案研究 [J].鐵路通信信號(hào)工程技術(shù)，2018，15（3）：35-39+50.

[3] 劉晨陽(yáng).城市軌道交通信號(hào)系統(tǒng)信息安全等級(jí)保護(hù)建設(shè)方案分析 [J].中國(guó)新通信，2018，20（13）：168.

[4] 徐可心.構(gòu)建安全網(wǎng)關(guān)的深度包檢測(cè)引擎的設(shè)計(jì)與實(shí)現(xiàn) [D].成都：電子科技大學(xué)，2010.

[5] 羅宗泰.網(wǎng)絡(luò)邊界日志審計(jì)系統(tǒng)分析與設(shè)計(jì) [C]//2009電力行業(yè)信息化年會(huì).北京：中國(guó)電機(jī)工程學(xué)會(huì)，2009：242-245.

作者簡(jiǎn)介：莊洪振（1986—），男，漢族，山東臨沂人，工程師，碩士研究生，研究方向：鐵路通信與信息技術(shù)。

收稿日期：2021-03-14