網絡安全等級保護在地鐵AFC系統中的實踐分析

劉欣

摘要：本文主要介紹了網絡安全等級保護的背景以及當前地鐵當中AFC系統的情況，對其中的主機防護系統以及入侵檢測系統還有防火墻系統的整體情況進行分析，對網絡安全維護進行了分析。當前是信息時代和網絡時代，伴隨著科技進步的同時也不可避免出現一些問題，網絡安全需要有功能全面的產品系統來為軌道交通的安全運營提供科學調度和決策的依據。對AFC系統進行信息安全防護系統的全面建設，構建地鐵票務系統信息安全體系。

關鍵詞：網絡安全等級保護;地鐵AFC系統;實踐分析

1.當前存在的安全風險

1.1物理風險

目前所說的物理風險主要就是機房物理環境的安全穩定問題，例如機房管理工作、機房的安全防控以及監控工作還有機房的配電和選址工作等，機房設計施工以及運轉和維護都會對機房網絡運行過程的安全性以及機房承載的信息系統的安全性產生影響。

1.2網絡風險

需要將必要的安全防護設備、措施和策略，運用地鐵AFC系統重要資產的安全區域，不合理的基礎網絡安全設置，以及安全區域劃分的不合理都影響到信息數據以及數據傳輸的安全穩定。其中主機系統還會因網絡安全缺陷受到病毒和安全漏洞等威脅，導致業務運行時出現重大故障，還有一些開放性的權限會通過網絡擴大影響范圍，在不同的程度上威脅著主機系統。

1.3數據風險

地鐵的AFC系統當中儲存著大量的數據，這些核心數據是相當關鍵的，如果一旦被竊取或者是破壞，那么地鐵AFC系統就會整個出現問題，整個地鐵的運轉也會受到阻礙。一般地鐵內部的數據庫被入侵的原因都是地鐵的數據系統存在安全漏洞和對其中一些重要信息的安全設置不夠完善導致了數據的非法訪問以及篡改和刪減等重要安全事件。

1.4管理風險

地鐵當中AFC系統自身出現問題的概率是很小的，AFC系統出現問題的更多原因是人工操作的不規范或者是沒有安全防范意識導致的，其中甚至存在安全運行操作和維護人員受到了利益誘導來進行數據的竊取和販賣，這樣給地鐵的信息系統帶來了很大損失。因此地鐵AFC系統在建設的過程當中不但需要對工作人員的個人素質重視，也需要關注運維人員的個人道德修養和工作態度，在具體的工作當中建立科學合理的運轉模式，規范操作和管理，這樣才可以在新時代下構建良好的信息防護體系。

2.地鐵AFC系統架構

AFC系統由主要由中心系統、線路系統、站點系統和車站AFC終端設備構成。中心系統為各線路系統數據匯聚節點，使用交換機單獨連接各線路系統網絡。線路系統分別與其線路內各站點系統相連接，且各線路系統之間不連接。站點系統與其車站內各AFC終端設備相連接，AFC終端設備一般包括閘機、自動售票機、售票處機器和手持查詢驗卡機等設備，另外站點服務器、工作站和配電設備也是車站系統重要組成部分。維修中心搭建在中心系統內，主要包括檢測維修服務器，中心系統、線路系統和車站系統模擬器，AFC終端設備以及維修系統工作站等軟硬件，具有維修效果檢測、模擬測試、業務技能培訓等功能。

3.網絡安全等級保護在地鐵AFC系統中的應用

3.1入侵檢測系統

地鐵AFC系統當中設置入侵防御系統主要目的一是主動防御，二是幫助維護人員，使其充分了解網絡內部安全狀況，監控網絡內的入侵指令，同時將相關的網絡安全決策向維護人員提供，如果在網絡的內部有異常的情況出現，入侵防御系統會及時發現異常情況，將出現情況的具體原因和位置以及解決辦法告知維護人員，讓維護人員可以快速有效及時進行處理。國家也將信息系統安全等級保護基本要求發布了出來，在基本要求之內，明確了主機安全和應用安全以及網絡安全等要求，入侵防御系統需要在中心系統和線路系統部署，而且還需要將不同等級的入侵防御系統向站點系統內劃分，這樣才可以將整體的監測效果保證。該項系統需要對病毒木馬的供給以及AFC系統內部設備的端口漏洞進行掃描以及網絡蠕蟲和IP碎片的供給等攻擊行為進行實時的監視，檢測到這些攻擊行為后，對這些具有攻擊行為的IP地址和進行攻擊的可能目的進行深度分析，方便維護人員開展后續工作。

3.2防火墻系統

一些重要的區域在開展安全隔離工作的時候，一項關鍵性的系統就是防火墻系統，在部署防火墻的時候，需要結合各種不同的安全策略，這樣才可以應對繁多的攻擊事件，精準的對安全區域開展防護工作。與國家相關要求標準，以及主機安全和應用安全以及網絡安全要求相結合，在設計方案的時候，需要將防火墻系統在網絡邊界處部署。防火墻的部署主要實現的目的有在網絡的邊界處實現訪問控制，可以將不使用的網段及端口進行單向或雙向隔離。防火墻系統一般部署在中心系統、線路系統網絡邊界處，以滿足網絡安全等級保護要求。

3.3主機防護系統

主機防護系統需要采用對細粒度強力控制的應用方式，阻止病毒對系統的攻擊。與相關標準規范相結合，將最細粒度的控制向終端開展，以保證各項業務及操作安全穩定。主機應當符合網絡安全等級保護各項要求，以確保準入控制無盲點，安全防護無盲區。

計算機系統和終端設備之間的聯系如圖1所示。

4.總結

網絡安全等級保護在地鐵AFC實踐當中需要從安全防護方案的設計、實施再到主機設備技術管理方面來開展，對非法攻擊和竊取信息以及非常創建操作指令等情況進行控制，阻斷各種非法訪問的情況，保證城市地鐵軌道交通的正常運營。

參考文獻：

[1]周紅濤，何治達.網絡安全等級保護在鄭州地鐵AFC系統中的應用[J].交通世界（下旬刊），2019，（7）：12-13.

[2]李兆君，張建，宋宸等.地鐵票務系統信息安全等級保護建設方案探討[J].設備管理與維修，2019，（15）：105-107.