基于網絡隔離技術的軌道交通信息安全防護設計

張志鵬

摘 要：隨著目前軌道交通的不斷發展，軌道交通信息的價值也越來越重要，需要對軌道交通信息進行安全防護。在當前軌道交通信息安全防護方面，為能夠保證軌道交通信息的安全性，需要以網絡隔離技術為基礎，實行的有效的安全防護設計，對軌道交通信息進行更有效保護，避免出現信息安全問題，為軌道交通的更好運行及持續良好的發展提供更好支持及依據。

關鍵詞：網絡隔離技術;軌道交通信息;安全防護;設計

軌道交通是現代城市交通中的一種重要方式，保證城市軌道交通的安全穩定運行十分必要，這就需要確保各個方面的安全性，而軌道交通信息安全就是其中比較重要的一個方面，這就需要有效進行軌道交通信息安全防護。基于此，本文主要針對基于網絡隔離技術的軌道交通信息安全防護設計進行分析，確保安全防護設計可以得到滿意的效果，更好保證軌道交通信息安全性，滿足軌道交通的實際需求及要求。

1 城市軌道交通信息安全現狀

就目前的互聯網發展實際情況來看，網絡設備的維護及管理、資產調配及安全監測等相關內容，均選擇單線模式，不同系統之間都是獨立建設的，并且彼此之間孤立存在，在異域上也表現出異構性，在系統管理方面與各個分公司具備的配置相互對應，與基于網絡化統籌的管理體制之間存在不匹配的情況。同時，在信息采集及獲取方面也是局限在單點、線及面等層面，基礎信息整合相對比較缺乏，無法實現統一的分析處理，有關部門之間的信息共享缺乏暢通，在運營指揮及網絡綜合管理、維修及調配方面，缺乏有力的信息支持以及保障，影響運行及管理，具體分析如下。

在當前的有些生產網絡中，每條線路通常都是以控制中心作為中心，不同業務應用系統之間獨立形成網絡。線路中心的設備都是單點存在的，不存在隔離匯聚情況，不同的線路中心之間存在隔離情況，異常流量會對全部線路產生影響。生產系統使用的是管理網絡。各個業務機構依據業務開展的實際需求，與計算機資源網絡之間進行無序聯通，且隨意連接數據、應用及服務接口。另外，在當前的計算機資源網絡中，在每條線路中都具備邊界獨立的網絡，這些網絡將控制中心作為中心。此外，在各個項目公司、運營公司及運營中心與維保中心內，還有集中辦公場所中，都存在獨立性的計算機網絡，公眾網絡基本上都是無序連接[1]。

2 基于網絡隔離技術的軌道交通信息安全防護設計策略

2.1 安全防護設計目標

為能夠使安全防護設計的技術方案更加具有適用性及合理性，不但需要對安全管理的具體要求理解，在確保最小投入獲得最大效益的基礎上，還需要保證在安全管理方面提供比較容易操作的相關平臺。在實際設計過程中，應當以安全域劃分作為依據，將生產網與管理網之間的區域間隔作為重點隔離內容，使兩個大區之間可以實現單向隔離。對于信息網絡安全框架層面，保證生產網區及管理網區中可以實現分區管理及穩定過渡。在生產網絡內構建全局網管，并且針對安全事件構建分析、發現以及預告警與審計、處理等有關的軟件系統。生產網絡網管及安管系統要能夠保證合理進行安全域管控，保證網絡狀態的可視性，使信息流及數據流可以實現可控性，相關安全事件可以實現發現、追溯及審計。生產網絡在對外服務方面要能夠實現基本不存在漏洞，各項業務可以實現穩定過渡。

2.2 數據物理鏈路的設計

對于數據物理鏈路的設計，其設計結構圖如下圖所示。

其中，1號鏈路。這一鏈路為單向推送鏈路，具體來說就是生產網區FEP在經過單向隔離區，由運管平臺的出入口VSS所經過的鏈路。這一項目的決定因素就是單向隔離裝置類型，若選擇單向隔離方式，則在單向隔離裝置兩側，需要配置應用服務開關，且需要利用服務網關實現協議橋接、授權及數據加密與接口的統一管理，可以使系統內部的數據及文檔實現無縫連接。

2號鏈路。這一項主要就是指由VSS到運管FEP，再到運管平臺內部的相關計算資源池，共包含兩條鏈路，并且這兩條鏈路是同時存在的，其中一條為直接到運管數據倉庫，另一條為操作數據集的應用，在操作完成之后，一次數據及二次數據同時到運管數據倉庫內。

3號鏈路。這一鏈路就是由VSS到外部網絡，其作用就是FEP直接數據及文檔，在通過防火墻及B2B服務網管與公眾網絡進行連接時。同時，利用這一鏈路，外部的有關非結構化數據及信息流與文檔等可以與數據倉庫中的相關大數據應用平臺連接，然后再連接到EDS。

4號鏈路。這一鏈路為VSS到管理網絡的相關核心內容，可以提供給終端用戶進行運管平臺的訪問。

5號鏈路。這一鏈路就是將運管平臺當做數據中心內部子節點，實現內部高速連接，使防火墻、存儲資源池及計算資源池與網絡資源池等實現一體化整合[2-3]。

2.3 單向隔離的內容透傳設計

在這一方案設計中，選擇內外網絡兩套ESB總線，在中間部分選擇單向UDP傳輸協議實現級聯，從而使通用通道架構得以形成，具體方案拓撲如下。該方案主要包括五個部分的內容，分別為生產網絡前置區、交換區以及單向推送隔離區，還有交換區及網絡管理前置區。其中，對于生產網絡前置區，在這一區域共布置兩臺ESB服務器，通過數據總線形式實現COCC/ACC中相關結構數據化、實時數據流及應用接口與文件等內容的采集及聚集，依據緩存要求、傳送頻度要求及業務數據落地要求等，使各個方面落地在數據服務器中。在生產網絡側交換區內，其中主要包含兩臺交換機，相關背板級聯可以使雙機虛擬交換機形成，利用路由方式連接COCC/ACC核心交換機，使通訊鏈路得以形成。在單向推送隔離區之內，對中間單向推送裝置而言，其只能支持以UDP協議為基礎的單點對口傳輸。選擇雙機冗余方式，由于在兩側選擇ESB消息總線方式實現級聯，因而兩臺單向推送隔離裝置，將其當做兩條單向推送的透明通道進行應用。最后，對管理網絡側交換區及數據前置區，這兩個區域基本上與生產網絡數據前置區之間是對等關系，其區別就是在通過接口服務器實現接口服務時，在ESB總線構建完成之后，將服務總線注冊進入，實現統一化管理[3]。

3 結語

在當前的軌道交通信息的安全防護中，為能夠使安全防護得到滿意的效果，需要以結合網絡隔離技術進行安全防護設計。作為設計人員，應當對軌道交通信息安全現狀加強認識，在此基礎上通過與網絡合理技術相結合，從各個方面入手進行信息安全防護的合理設計，使信息安全防護得到滿意的效果，使信息安全得到更好保證。

參考文獻：

[1]林曉偉.城市軌道交通綜合監控系統信息安全建設方案[J].工業控制計算機，2020，33（12）：121-122+132.

[2]黨曉勇.城市軌道交通綜合監控系統信息安全防護方案研究[J].電氣化鐵道，2020，31（S1）：133-136.

[3]李躍.基于網絡隔離技術的軌交信息安全防護設計[J].網絡安全技術與應用，2017（8）：27-28.