鐵路專用數據網的組網和安全討論

黃險峰

摘要 文章首先從理論角度出發，論述并分析了鐵路專用數據網的組網方式，指出其在邏輯結構上能夠大體劃分為數據中心、核心層、匯聚層以及接入層，并且分析了各自的構成特征和職責。而后就鐵路專用數據網的安全問題展開剖析，指出網內數據隔離，即VPN的應用，和網絡軟硬兩個層面的安全設置是維系專用數據網安全的生命線。

關鍵詞 鐵路；專用；數據網；組網；安全

中圖分類號TP392 文獻標識碼A 文章編號 1674-6708（2012）67-0189-02

在鐵路系統中，數據的傳輸不僅僅為旅途中的乘客提供著必要的通信支持，更承擔著鐵路系統正常運行所必需的數據傳輸任務。隨著列車行駛速度的不斷提升，以及多種數字技術的投入應用，列車行駛過程中的數據傳輸成了確保列車安全運行的一個重要因素，也正因為如此，鐵路專用數據網的運行和安全問題才得到了更多的重視。

1 鐵路專用數據網的組網方式

從鐵路專用數據網的邏輯構成角度看，其由下至上可以大致劃分為接入層、匯聚層、核心層以及數據中心幾個主要層面。

從北京鐵路局專用數據網的邏輯結構上看，相對于數據中心的北京鐵路局網絡中心，負責對三個核心層面的子網進行必要的協調，并且實現同種協議的子網間數據傳輸。對于核心層而言，北京鐵路局專用數據網包括了三個主要區域的子網，子網的核心共同構成了整個數據網的核心層，即北京鐵路局下屬的專用數據網由北京數據網、天津數據網以及河北數據網。核心層是整個專用數據網的核心部分，由路由器和三層交換機構成，通常在設備選用的時候傾向于千兆位分布交換式路由器，妻交換容量為128Mb/s，隨著技術的發展，核心層的設備改進步伐也比較快，將會呈現出緊隨科技發展的趨勢。同時從核心網絡的傳輸介質看，通常在早期就已經采用了光纖傳輸的技術，并且隨著光復用技術的逐步完善，核心網絡能夠承受的數據流量也不斷增強，從總體上能夠滿足未來很長一段時間內數據量的增加。

匯聚層負責對接入層上報的業務進行匯聚整理。由于匯聚層的網絡劃分以地理上的區域為準繩，因此對于一些區域內的數據傳輸請求，匯聚層可以實現自行處理，而不必提交到核心網絡中。對于匯聚層而言，網絡的邏輯拓撲結構采取星形進行組織，在設備方面，多采取常規路由器、三層交換機以及DSLAM等。在網絡傳輸介質上，目前多為光銅混合網絡，主要是針對目前呈現出的需求特征來對已經存在的銅網進行必要的升級。

而對于接入層，即直接接收用戶的數據傳輸請求的網絡層，通常設定在鐵路沿線，在二三等站中，通常都只存在有接入設備。同樣采取星形拓撲結構為網絡的邏輯結構，多利用N×E1信道接入到匯聚層。該層面通常由普通路由器、二層交換機以及DSLAM等設備構成。

2 鐵路專用數據網的安全實現

鐵路用專用數據網是一個用于數據傳輸的物理平臺，其中不同部門的多種數據都需要利用該平臺進行傳送，并且從整體上看，鐵路專用數據網還處于一種半開放的狀態之下。鑒于此種情況，為了確保不同的部門和用戶之間能夠實現正確有效以及安全的數據傳輸，有必要針對鐵路專用數據網的應用狀態以及安全防范展開必要的分析。

首先，鐵路專用數據網內部的數據傳輸隔離技術早已成為必需。網內隔離技術，能夠確保鐵路工作環境中的不同部門在進行數據傳輸的過程中僅面對一個專用的邏輯網絡，而非一個物理上的綜合網絡傳輸系統。目前常見的網內隔離技術包括有L2TP VPN、GRE VPN、IPSecVPN、SSL VPN、MPLS VPN等技術，并且以MPLS VPN技術相對成熟，我國鐵路專用數據網也采用了此種技術。MPLS VPN技術存在相對完善的行業標準，且互通性良好，適合大規模使用。使用MPLS VPN技術，能夠實現較為簡潔的應用，用戶不需要進行IP路由管理和骨干網管理，對于PE或P路由器的接入以及CE路由問題也可以采取完全透明的態度。同時，MPLS VPN對于IP的管理相對靈活，在VPN構建的過程中，對于IP的部署和現有二層骨干網支持的安全程度相當。此外，MPLS技術的報頭校驗對于網內正確傳輸數據也意義重大。

其次，從網絡軟環境管理的角度看，也亟待提高其工作水平。只有對整個網絡正確的使用，才能進一步確保網絡環境的安全。針對目前可能存在的網絡資源濫用問題，應當對每個涉及網絡操作的人員都分配權限，尤其是可能接觸到鐵路系統數據VPN的工作人員更應當謹慎。對于權限的管理，應當依據一定的規章制度，并且采取動態或半動態口令配合管理。對于實際的操作而言，還有一個必須要做的方面就是相應人員的培訓，對于網絡的使用，不應當僅僅了解操作步驟，對于相關設備的原理和簡單故障的定位和排除也要進行相應的了解。并且還需要在完善人員素質的基礎上，對網絡做好必要的軟件層面監控，相應的數據和參數應當及時加以分析，并且通過軟件設定預警，增進整個通信網絡的健壯性。

最后，還需要從硬件上加以重視，完善整個網絡的安全。其中包括網管系統的安全、路由的選擇和配置、核心以及匯聚節點設備冗余配置、接入層設備鏈路雙歸屬以及數據傳輸通道保護等眾多問題。在實際的操作過程中，除了針對硬件的設定實施必要的保護，對于各種硬件的驅動設備以及控制程序也必須加以重視。常用端口和默認口令都必須要進行更改，這些都常常會成為攻擊的目標。

從鐵路專用數據網的安全角度看，是一個需要長期堅持并不斷完善的過程。只有在實際中堅持不懈的努力，才能確保整個網絡安全運行并發揮應有的作用。

參考文獻

[1]于佳亮，于天澤.鐵路通信網概論[M].北京:人民郵電出版社，2009.

[2]TB 10087-2010-J 977-2010 鐵路數據通信網設計規范[S].

[3]TB 10006-2005 鐵路運輸通信設計規范[S].

[4]夏德春，李敏，余京梅.適合高速鐵路的數據網方案[J].鐵道通信信號，2005(11).

[5]毛積綱.鐵路地區用戶接入網的規劃和實施[J].鐵道運營技術，1999(3).