客運專線信號安全數據網網管系統安全防范及優化措施

王大群

（北京全路通信信號研究設計院有限公司，北京 100073）

1 概述

客運專線信號系統安全數據網是一個保障客運專線安全、穩定、高效運行的信息承載網絡，信號系統安全數據網需確保車站設備（計算機聯鎖（CBI）和列控中心（TCC）、中繼站／無岔站（列控中心）間及其與中心信號設備（如無線閉塞中心（RBC）、臨時限速服務器（TSRS））間的安全信息可靠傳輸。客運專線信號安全數據網通過獨立設置的網絡管理系統，實現網絡連接狀態和設備工作狀態監測、記錄、故障報警和設備維護功能。

成熟的以太網技術為各專業用戶設備帶來了極大的便利，強大的網絡管理功能為網絡維護提供了方便，但是由于網絡系統本身的開放性、信息資源的共享性、連接方式的多樣性，使網絡存在很多脆弱點。因此，有必要對客運專線數據網網管系統存在的主要安全問題進行細致分析，選擇合適的網絡技術，確定客運專線安全數據網網絡安全的工程實施方案。

2 網管系統的威脅因素

客運專線信號安全數據網的安全邊界在網管系統接入的安全網交換機和網管系統的路由器兩處。極端情況下，信號安全數據網可能面臨配置被修改的威脅，常見的有DoS/DDoS，?syn?flood、icmp?flood、udp?flood、tcp?scan、udp?scan、ping?sweep、?teardrop、land、ping? of? death、smurf、winnuke、圣誕樹、tcp無標記、syn?fin、無確認fin、松散源路由、嚴格源路由、ip安全選項、ip記錄路由、?ip流攻擊、ip時間戳、arp欺騙、廣播和組播泛洪等攻擊，病毒侵害等安全威脅。針對網絡的特點，其攻擊方式主要有兩種。

1）?利用網絡系統漏洞進行攻擊

利用網絡系統中操作系統、網絡設備和網絡協議的漏洞，完成密碼探測、權限提升、數據篡改、系統入侵等攻擊。

2）?解密攻擊

使用密碼是最常見并且最重要的安全保護方法，攻擊者通過網絡監聽或暴力破解等方式獲得密碼通過身份校驗，對網絡實施攻擊。

3 網管系統結構及相關設備安全配置

3.1 網管服務器的主機和軟件的安全配置

1）在超級用戶下，新建某受限用戶，在受限用戶下安裝網管軟件；增加網管軟件編輯權限的密碼復雜性，關閉遠程修改交換機配置的功能。

2）配置服務器日志：除了開啟安裝在網管服務器上的網管軟件本身具備的日志文件記錄功能外，服務器操作系統日志文件記錄著服務器對每一請求的響應行為信息，分析這些日志可以得到有用的安全信息。目前有許多日志文件分析工具，大部分可對兩種標準日志文件格式進行分析，這兩種格式是“Common?Log?Format”和“Extended?Common?Log?Format”。服務器應該配置成能生成兩種格式中任意一種格式的日志文件。

3）配置服務器的輔助網絡服務：一般WEB服務器可同時提供其他的網絡服務，如文件傳輸協議（FTP），gopher協議，電子郵件或接受從網管終端來的文件上載等，為增加WEB服務器的安全性，在確定不需要這些服務的條件下，關閉所有的輔助服務。

4）配置服務器可執行的外部程序。

5）配置服務器的本地或遠程管理。

6）確定操作系統提供什么樣的訪問控制。有些操作系統可以對WEB服務的遠程訪問文件加以限制，這些進程可以限制為對某些文件的只讀訪問，而對另一些文件不允許訪問。

7）配置服務器使之不能提供指定文件目錄數以外文件的服務。具體的實現可以通過服務器軟件，本身的配置選擇也可以通過操作系統選擇。必須避免在文件目錄樹中使用鏈接或別名，因為它指出了服務器主機或網絡中的其他文件。

8）使用功能較為強大的殺毒軟件，如symantec，并及時更新病毒庫。

3.2 防火墻的配置

防火墻可以無間斷地實現對網絡安全主要端點的監視和預警，客運專線信號安全數據網網管系統的2臺防火墻分別設置在路由器和網管終端、路由器和網管服務器之間。防火墻是識別和抵御網絡攻擊的第一道保護屏障，其安全策略設置如下。

1）?關閉 ping?echo 和 ICMP。

2）?本地console登錄密碼設置足夠復雜，且需要授權的數字證書才能登錄。

3）?限制從網管終端或網管服務器流入網絡的流量。

4）?禁止telnet、SSH等遠程配置功能。

5）?通過IP地址和端口地址過濾應用主機和應用程序，封掉不用的端口。

6）?啟用各種抗常見攻擊的策略，如DoS/DDoS攻擊，syn?flood、icmp?flood、udp?flood、?tcp?scan、udp?scan、ping?sweep、teardrop、land、ping?of?death、smurf、winnuke、圣誕樹、tcp?無標記、syn?fin、無確認fin、松散源路由、嚴格源路由、ip?安全選項、ip記錄路由、?ip?流攻擊、ip時間戳等攻擊。

3.3 路由器的配置

1）?配置訪問控制列表（Access? Control? List，ACL）

ACL是提供網絡安全訪問的基本手段，是路由器接口的指令列表，用來控制端口進出的數據包。安全數據網網管系統采用白名單過濾結束限制接入網管服務器的監測維護終端的IP地址，從而保證非允許用戶對網管服務器進行訪問。配置命令如下：

Router（config）#access-list? 1? permit?（網管終端ip地址）?0.0.0.0！允許來自指定ip地址（終端）的流量通過

Router（config）#interf0/1

Router（config-if）#ip? access-group? 1?in！在接口下訪問控制列表入棧流量調用

2）?配置網絡地址轉換（Network?Access?Translation，NAT）

采用NAT技術，使信號安全數據網設備和網管服務器之間相互隱藏真實IP地址，從而增強網管系統與安全數據網之間的安全指數。配置命令如下：

ipnat? inside? source? static?（服務器左網接口IP地址）（左網NAT地址）?route-map?NAT-L

ipnat? inside? source? static?（服務器右網接口IP地址）（右網NAT地址）?route-map?NAT-R

3）?嚴格控制CON端口的訪問。改變默認的連接屬性，例如修改波特率（默認是9600，可以改為其他的）,配合使用訪問控制列表控制對CON口的訪問,?給CON口設置高強度的密碼。

4）?為特權模式的進入設置強壯的密碼。不要采用enable?password設置密碼。而要采用enable?secret命令設置，并且要啟用Service?passwordencryption功能使密碼不可見。

5）?禁止AUX端口和VTY遠程訪問。

6）?禁止其他的 HTTP、telnet、TCP、UDP?Small、CDP（Cisco? Discovery? Protocol）、IP?Source?Routing、ARP-Proxy、IP?Directed?Broadcast、WINS和DNS、SNMP協議服務、ICMP協議的IP?Unreachables,Redirects,Mask?Replies。

7）?啟用passive-interface命令，禁用一些不需要接收和轉發路由信息的端口

8）?完備的路由器安全訪問和維護記錄日志。

4 結束語

信號安全數據網網管系統的網絡結構比較簡單，接入設備較少并采用2?M專用通道，但是不能因此忽視網絡安全方面的方法，要從技術角度出發，利用各種軟件和硬件，各種技巧和方法來安全管理，配合殺毒軟件與防火墻雙管齊下，保證客專信號安全數據網的安全。

[1] [2010]821號 客運專線信號系統安全數據網技術規范V2.0[S].

[2]趙敬忠.網絡安全技術[M].北京：清華大學出版社，1999.

[3]侯廷剛.服務器搭建與管理-Windows Server 2003 [M].北京：清華大學出版社，2011.

[4]辛念，李國盛.客運專線數據網網絡安全實施方案研究[C]//2007年鐵路通信、信號、信息專業工程設計年會：129-132.