馬雨

中鐵建電氣化局集團南方工程有限公司 湖北 武漢 430070

隨著通信技術的不斷發(fā)展，在鐵路運輸運營方面對于鐵路通信網(wǎng)的建設有了更加嚴格的要求。為達到高速列車的通信需求，需要建立更加安全穩(wěn)定的鐵路通信網(wǎng)絡提供服務支持。而在傳統(tǒng)的鐵路通信網(wǎng)體系中，為確保通信網(wǎng)絡的整體質量，提高鐵路通信網(wǎng)絡的運行安全性，往往會選擇控制移頻信號輸出的方式，收集移頻信號在傳輸通道各個節(jié)點中的電平以及頻率信息，在其余通信軌道區(qū)域中，通常會存在移頻干擾信號，針對這些干擾信號的電平需要進行準確檢測，從而保證鐵路通信網(wǎng)的穩(wěn)定運行，避免網(wǎng)絡安全隱患的出現(xiàn)。

1 鐵路通信網(wǎng)的特點及面臨的網(wǎng)絡安全問題

1.1 鐵路通信網(wǎng)的特點

鐵路通信網(wǎng)同時包含了業(yè)務網(wǎng)、承載網(wǎng)、支撐網(wǎng)三大體系，其中承載網(wǎng)是鐵路通信網(wǎng)的運行基礎，具體可以劃分為傳輸網(wǎng)絡以及數(shù)據(jù)通信網(wǎng)絡，能夠為鐵路各部門提供網(wǎng)絡接入和承載通道服務；業(yè)務網(wǎng)主要包含了調度通信系統(tǒng)以及專用移動通信系統(tǒng)、視頻監(jiān)控系統(tǒng)、電視電話會議系統(tǒng)、應急通信系統(tǒng)等部分，是鐵路部門運輸與管理工作的重要支持網(wǎng)絡；支撐網(wǎng)主要包含時鐘和時間同步網(wǎng)絡等。隨著越來越多新興技術的廣泛運用，鐵路通信網(wǎng)中的通信電源以及環(huán)境監(jiān)控檢測系統(tǒng)也開始引進先進的信息技術，為鐵路通信網(wǎng)的穩(wěn)定運行提供支持，也能提高承載網(wǎng)以及業(yè)務網(wǎng)的安全運作，對監(jiān)控網(wǎng)絡的運作以及提高服務質量來說具有關鍵意義[1]。

1.2 鐵路通信網(wǎng)面臨的安全問題

在鐵路通信網(wǎng)快速發(fā)展的背景下，傳統(tǒng)的電信網(wǎng)絡安全技術手段已經無法滿足鐵路通信網(wǎng)的安全保障需求，鐵路通信網(wǎng)面臨的安全風險基本可以概括為以下幾點：其一，網(wǎng)絡規(guī)模在進一步拓展，但網(wǎng)絡配置和管理卻逐漸復雜化，鐵路通信網(wǎng)難以做到可視化、可控化、可測化等目標；其二，越來越多業(yè)務的逐漸拓展，對于鐵路通信網(wǎng)的通信承載能力具有更高的要求，但同時安全防護邊界也在不斷拓展；其三，鐵路通信網(wǎng)運行管理的安全措施不夠深入，網(wǎng)絡安全標準體系以及安全配置有待進一步完善。

對于鐵路通信網(wǎng)絡系統(tǒng)來說，用戶量和信息量越來越大，共享信息越來越密集，這導致網(wǎng)絡系統(tǒng)的運行壓力也越來越大。種種因素導致鐵路通信網(wǎng)經常受到壓力和沖擊，鐵路通信網(wǎng)絡系統(tǒng)的運行也存在著很多安全隱患，甚至可能會對鐵路運輸帶來嚴重的經濟損失。鐵路通信網(wǎng)所面臨的安全問題具體如下：其一，鐵路通信網(wǎng)建設過程中，網(wǎng)絡結構建設有所缺失，或系統(tǒng)架構設計上沒能考慮安全性和結構的健全性，導致鐵路通信網(wǎng)系統(tǒng)存在安全隱患；其二，在鐵路通信網(wǎng)的硬件建設方面，服務器以及網(wǎng)卡等硬件設施選擇不合理，導致網(wǎng)絡功能性不完善，網(wǎng)絡可靠性難以保障；其三，沒能合理安裝鐵路通信網(wǎng)操作系統(tǒng)以及應用軟件，或在鐵路通信網(wǎng)軟件的選擇、應用、維護等方面存在一定缺失，導致鐵路通信網(wǎng)系統(tǒng)在長時間運行過程中很容易暴露出一些安全問題；其四，供電系統(tǒng)以及地線、網(wǎng)絡附屬設施的建設存在一定不足，鐵路通信網(wǎng)的運行外部條件不夠完善，可能會危及鐵路通信網(wǎng)系統(tǒng)的安全性。結合這些安全隱患及其原因來看，鐵路通信網(wǎng)系統(tǒng)的安全技術標準亟需進一步優(yōu)化，提高通信系統(tǒng)的安全性[2]。

2 網(wǎng)絡安全技術在鐵路通信網(wǎng)中的具體應用

2.1 接入網(wǎng)技術

接入網(wǎng)技術是一種廣泛應用的網(wǎng)絡安全技術手段，在鐵路通信網(wǎng)中的應用一般表現(xiàn)在有線接入網(wǎng)、無線接入網(wǎng)、閉塞電話、共線電話調度系統(tǒng)等方面。例如在無線接入網(wǎng)中，網(wǎng)絡安全技術可以通過SDH光同步數(shù)字傳輸設備建立完善的鐵路通信網(wǎng)絡，這也是無線接入網(wǎng)技術的典型應用模式。網(wǎng)絡IP通信和ATM交換等技術的結合應用建立了完善的通信主干網(wǎng)絡，雙纖單向環(huán)的介入設計能夠在提高鐵路通信網(wǎng)安全性的同時節(jié)約成本，提高傳輸穩(wěn)定性和傳輸效率等，大大提高了鐵路通信網(wǎng)的可靠性以及運行穩(wěn)定性，在接入網(wǎng)技術的支持下能夠促進鐵路通信網(wǎng)的長遠發(fā)展。據(jù)了解，400MHz的無線列調系統(tǒng)在鐵路通信網(wǎng)中的運用非常普遍，這種系統(tǒng)模式可以負責駛入?yún)^(qū)段列車和車站人員的通話，在一般情況下沒有通信工作，只有在列車進站出站過程中進行通信，相同頻率的干擾因素能夠得到很好的規(guī)避，也能通過這種方式節(jié)約頻率資源。系統(tǒng)還可以利用小區(qū)制的手段實現(xiàn)“大三角”功能，也就是列車駕駛人員與車站工作人員通信、調度中心與列車駕駛人員通信、車站工作人員與調度中心通信，能夠做到動態(tài)性的雙向無線數(shù)據(jù)通信，滿足了鐵路通信網(wǎng)的功能要求，也能保障網(wǎng)絡安全性與可靠性[3]。

2.2 雙重冗余的網(wǎng)絡拓撲結構

為有效提高鐵路通信網(wǎng)的網(wǎng)絡層安全性，雙重冗余的網(wǎng)絡拓撲結構的應用能夠發(fā)揮顯著作用，這種結構也是現(xiàn)代網(wǎng)絡安全技術的經典手段之一。通過漸變性光纖作為傳輸媒介，以雙重冗余結構和環(huán)形網(wǎng)絡結構作為網(wǎng)絡拓撲結構的應用中心，相比于傳統(tǒng)的雙環(huán)結構來說，這種結構設計模式可以在故障情況下依然保持信息收發(fā)的通暢性。但雙重冗余的網(wǎng)絡拓撲結構的建設成本相對較高，目前只在高速鐵路通信網(wǎng)絡建設中應用，對于高鐵通信網(wǎng)來說，以往的雙環(huán)結構通信網(wǎng)難以在軌道電路以及車載列控設備出現(xiàn)故障時實現(xiàn)信號的穩(wěn)定收發(fā)，而雙重冗余網(wǎng)絡拓撲結構則可以在環(huán)路故障但另一個環(huán)路正常運行的情況下實現(xiàn)信號的穩(wěn)定收發(fā)，提高了通信網(wǎng)的運行效率和安全性，同時也是鐵路通信網(wǎng)安全技術發(fā)展的趨勢之一。

2.3 訪問控制

在鐵路通信網(wǎng)安全控制方面，訪問控制技術能夠避免網(wǎng)絡資源的非法應用與訪問，一般通過網(wǎng)絡權限控制和屬性控制、入網(wǎng)控制、目錄級控制等方式實現(xiàn)。網(wǎng)絡權限控制指的是采用分權管理的方式進行訪問權限的分配與登錄設置，當用戶賬號不具備所有資源的訪問權限，只有部分權限時，就可以在訪問過程中進行權限鎖定，對部分資源或目錄進行隱藏或鎖定，實現(xiàn)訪問控制的有效保護；屬性控制是一種級別更高的安全防護手段，管理人員可以對網(wǎng)絡資源進行預先性的安全屬性差異設計，不同的用戶可以定向匹配對應的網(wǎng)絡控制訪問表，從而控制用戶訪問網(wǎng)絡資源的權限與能力，針對不同類型的用戶制定不同層級的訪問權限；入網(wǎng)控制指的是利用控制用戶的方式達到訪問控制的1層保護，只有操作滿足規(guī)定要求的用戶才能進行登錄訪問操作。目錄級控制指的是為用戶分配一定權限，可以訪問目錄及文件資源，并利用其他指令的方式允許訪問下級別文件資源，但更高級別的文件資源可以進行約束和管控[4]。

2.4 防火墻技術

防火墻是最簡單最直觀，也是應用最廣泛的一種網(wǎng)絡安全技術，本身屬于計算機軟件的一種，其功能開發(fā)可以有效抵御各種黑客以及病毒的入侵，確保鐵路通信網(wǎng)系統(tǒng)的安全性，避免外部入侵帶來的經濟損失。防火墻技術能夠將鐵路通信網(wǎng)的互聯(lián)網(wǎng)與外界進行連接，設立安全防護網(wǎng)關，提高鐵路通信網(wǎng)專用資源的安全性，避免其被互聯(lián)網(wǎng)盜竊或入侵的風險。同時在不限制內部互聯(lián)網(wǎng)對外部互聯(lián)網(wǎng)使用的情況下，防火墻技術還可以對內部互聯(lián)網(wǎng)與外部互聯(lián)網(wǎng)起到一個阻斷的作用，避免黑客與病毒的入侵。如今的防火墻技術經過不斷的發(fā)展已經較為完善，包含了數(shù)據(jù)包過濾技術和代理技術、網(wǎng)絡監(jiān)測技術等，在鐵路通信網(wǎng)中可以利用防火墻技術來抵御外部入侵，提高網(wǎng)絡系統(tǒng)的安全性。

2.5 入侵行為檢測技術

入侵行為檢測技術是針對網(wǎng)絡行為的一種監(jiān)控和分析手段，可以掌握并限制網(wǎng)絡內部或外部出現(xiàn)的網(wǎng)絡攻擊行為，準確記錄到這些攻擊行為的信息，例如攻擊源IP地址以及攻擊類型、目標、時間等。入侵行為檢測技術能夠準確攔截各種網(wǎng)絡非法入侵行為。而隨著網(wǎng)絡入侵技術的不斷發(fā)展，從原本單一識別的入侵攻擊技術開始有了更多的升級，攻擊方式和攻擊時間、破壞力、威脅性等都有了一定提升。網(wǎng)絡入侵技術若從攻擊的周期來看，可以劃分為探測、入侵、潛伏、退出四個周期，攻擊方一般會利用相對復雜的方式發(fā)起網(wǎng)絡攻擊，根據(jù)各種監(jiān)測技術從多個方向檢測出網(wǎng)絡入侵技術的特征則是入侵行為檢測技術的重點，入侵行為檢測技術可以利用威脅情報和出口規(guī)則、日志記錄與分析、流量分析、大數(shù)據(jù)分析等方式對網(wǎng)絡入侵行為進行檢測與分析，建立安全控制中心以及安全運維體系，能夠幫助鐵路通信網(wǎng)系統(tǒng)更好地應對網(wǎng)絡入侵行為[5]。

2.6 虛擬專網(wǎng)及切片隔離

虛擬專網(wǎng)也叫做VPN技術，能在一個IP承載網(wǎng)中為各項業(yè)務提供廣域網(wǎng)專網(wǎng)組網(wǎng)，同時將這些虛擬專網(wǎng)進行隔離處理。對于鐵路通信網(wǎng)系統(tǒng)來說，可以利用多協(xié)議標簽交換以及邊界網(wǎng)關協(xié)議VPN的手段來區(qū)分承載對應業(yè)務系統(tǒng)，部分可以選擇虛擬專用局域網(wǎng)也就是VPLS技術來建立雙層的虛擬專網(wǎng)功能。網(wǎng)絡切片指的是將網(wǎng)絡資源根據(jù)實際情況劃分出多個虛擬網(wǎng)絡，這種技術方法比較適用于業(yè)務需求差異化或統(tǒng)籌網(wǎng)絡承載等情況，尤其是硬切片技術，其優(yōu)勢在于隔離度與可靠性更強，能夠做到業(yè)務網(wǎng)絡之間的隔離，從根本上提高了各項業(yè)務網(wǎng)絡之間的安全水平。對于鐵路通信網(wǎng)系統(tǒng)來說，切片隔離技術可以覆蓋承載網(wǎng)、無線網(wǎng)、核心網(wǎng)，承載網(wǎng)中的切片隔離可以將靈活以太網(wǎng)技術為中心，在介質訪問控制層以及實體層、實體編碼子層中建立全新的中介層，利用每66個字節(jié)的調度方式進行各個切片的數(shù)據(jù)處理。無線網(wǎng)切片一般利用幀結構設計的方式實現(xiàn)，確保每一個切片都擁有專用資源塊進行分配以及映射，實現(xiàn)切片與切片間資源的隔離，通過幀格式和調度優(yōu)先級的合理配置，能夠滿足切片空口側的性能要求。核心網(wǎng)的切片技術重點在于網(wǎng)絡功能的虛擬化，從傳統(tǒng)網(wǎng)絡系統(tǒng)中分離出硬件和軟件部分，前者通過服務器進行全方位部署，而后者則利用對應的網(wǎng)絡功能負責，達到靈活組裝業(yè)務的效果。網(wǎng)絡切片是根據(jù)邏輯概念對資源進行重構，依照服務等級協(xié)議來為對應的服務選擇所需的虛擬機以及資源。

2.7 大數(shù)據(jù)技術

大數(shù)據(jù)技術是現(xiàn)代信息技術飛速發(fā)展下的產物，在鐵路通信網(wǎng)安全防護中，大數(shù)據(jù)技術也是一種典型的網(wǎng)絡安全技術形式，該技術一般體現(xiàn)在入侵攻擊檢測和網(wǎng)絡異常檢測兩個方向，利用大數(shù)據(jù)技術的入侵攻擊檢測能夠有效解決鐵路通信網(wǎng)入侵攻擊威脅。入侵攻擊通常具有隱蔽性、滲透性等特點，而大數(shù)據(jù)技術的應用可以有效降低這些威脅因素。網(wǎng)絡入侵攻擊的方法和路徑具有一定的不確定性，而當前國內鐵路通信網(wǎng)系統(tǒng)在抵御網(wǎng)絡攻擊方面的表現(xiàn)仍然有待提高?；诖髷?shù)據(jù)技術的支持，Beehive系統(tǒng)和Map Reduce、攻擊金字塔并行處理能夠有效檢測惡意網(wǎng)絡攻擊，這也需要建立完整的網(wǎng)絡攻擊綜合防御體系，在遭遇網(wǎng)絡攻擊時可以通過安全監(jiān)測和安全防護，以及主動防御等手段將網(wǎng)絡攻擊對網(wǎng)絡系統(tǒng)帶來的威脅程度降到最低。通過安全檢測來收集鐵路通信網(wǎng)的安全事件信息，安全防護則可以強化鐵路通信網(wǎng)的防御薄弱點，主動防御則可以利用關聯(lián)分析、數(shù)據(jù)溯源等方式對網(wǎng)絡攻擊進行防御和追蹤，為鐵路通信網(wǎng)的安全防護提供有效支持。大數(shù)據(jù)技術的應用在網(wǎng)絡異常檢測方面也能發(fā)揮顯著優(yōu)勢，根據(jù)鐵路通信網(wǎng)的越權訪問和異常流量、可疑主機等方面進行檢測，利用深度學習的流量識別、網(wǎng)絡異常檢測方案等，利用大數(shù)據(jù)支持下的可視化分析、交互式分析、關聯(lián)性分析實現(xiàn)動態(tài)性的鐵路通信網(wǎng)流量監(jiān)控，同時還可以借助變換與降維處理等方法提高圖形繪制算法的收斂速度，為鐵路通信網(wǎng)的網(wǎng)絡安全提供更加可靠的技術支持[6]。

2.8 網(wǎng)絡態(tài)勢感知

網(wǎng)絡態(tài)勢感知指的是在規(guī)定的時間和空間范圍內進行環(huán)境要素的察覺、分析短期預測等功能，從而了解空間環(huán)境信息，準確判斷當下及未來短期的網(wǎng)絡態(tài)勢并做出反應。網(wǎng)絡態(tài)勢感知更適合在大規(guī)模的網(wǎng)絡環(huán)境中運用，可以對導致網(wǎng)絡態(tài)勢變化的各項網(wǎng)絡安全要素進行察覺與獲取，并展示網(wǎng)絡態(tài)勢的變化趨勢與規(guī)律等信息，在輔助決策和安全行動方面可以提供一定參考。網(wǎng)絡安全態(tài)勢的感知屬于一種根據(jù)環(huán)境變化因素，從整體角度分析安全風險的一種技術，同時可以借助數(shù)據(jù)融合、數(shù)據(jù)挖掘、特征提取、智能分析、智能預測、可視化展現(xiàn)等技術手段，以更加直觀可視的方式展現(xiàn)出網(wǎng)絡環(huán)境中的安全態(tài)勢，為鐵路通信網(wǎng)的安全防護提供一定支持。

3 結束語

在互聯(lián)網(wǎng)技術飛速發(fā)展的背景下，鐵路通信網(wǎng)系統(tǒng)的安全運行至關重要。而由于網(wǎng)絡環(huán)境的開放性與復雜性等特征，信息安全始終是人們關注的重點，網(wǎng)絡系統(tǒng)的安全性難以做到絕對的安全和永久的安全，對于鐵路通信網(wǎng)來說，一方面需要根據(jù)鐵路運輸運營的實際需求進行網(wǎng)絡業(yè)務與服務的拓展，另一方面也要在網(wǎng)絡拓展的同時考慮其中可能存在的安全隱患，利用網(wǎng)絡安全技術來提高系統(tǒng)安全性。諸如接入網(wǎng)技術、網(wǎng)絡結構、網(wǎng)絡維護、網(wǎng)絡態(tài)勢感知、訪問控制、防火墻技術等都能為鐵路通信網(wǎng)的安全運行提供支持，結合互聯(lián)網(wǎng)技術的發(fā)展提高鐵路通信網(wǎng)的安全性，更好地維護經濟效益，促進我國鐵路運輸行業(yè)的長遠發(fā)展。