铁路信号微机监测系统网络的安全防护浅析

铁路信号微机监测系统网络的安全防护浅析

摘要 本文对铁路信号微机检测系统的网络安全防护进行较为全面的分析，通过本文的分析，我们可以进一步了解铁路信号微机监测系统网络安全的相关要求。

关键词 铁路信号；微机监测系统；网络安全

随着网络技术的发展，很多行业领域都已经采用了微机技术，不但弥补了传统的技术的落后现状，同样也促进了相关行业的迅速发展。我国的铁路信号系统同样采用了微机系统进行管理。但是随之而来的病毒入侵等网络不安全因素，对铁路信号的微机管理系统所造成的潜在威胁同样非常的大。本文就此问题进一步论述，以此对我国现阶段铁路信号微机系统的安全等问题进一步明确，促进我国铁路信号微机系统的发展。

1 微机监测系统网络安全防护现状

目前的微机监测系统一般都是三层次的网络结构，既由车站、领工区（车间）、电务段三级构成的计算机网络，电务段和领工区的管理人员可以通过微机监测网直接看到所辖各站信号设备和战场运作状况。目前网络遭受病毒侵袭的主要途径有：生产已经网络化，网络上任何一点感染病毒后，如不及时处理，容易全网蔓延；随着移动存储设备越来越广泛的使用，病毒通过移动设备感染的机率大大增加。一机多用，如某台终端机既用于调看生产监控，又兼作办公机；其他遭受恶意攻击等非正常感染病毒。

现阶段微机监测系统采取的网络安全防护措施包括以下几个方面。

1）要求把站机、终端机上的I/0接口，如光驱、欤驱、USB插口等用标签加封，并在主板BIOS里修改相应项屏蔽设备端口，杜绝在站机、终端机上进行与业务无关的作业。

2）微机检测安全服务器，站机、终端机，安装有MCAFEE网络版防毒软件或瑞星单机版杀毒软件，但没有建立专用的防病毒服务器，病毒库的更新不及时，单机版的软件只有维护人员到站上才能更新。

3）清理非法接入局域网的计算机，查清有无一机多用甚至多网的可能，并对非法接人的计算机进行屏蔽。

2 现有系统存在的安全问题及改进的主要参考原则

设计新的网络安全防护系统，应确保运行数据的完整性、可用性、可控性、可审查性。安全系统的改进可参考以下几个原则。

1）体系化设计原则。通过分析网络系统的层次关系．提出科学的安全体系和安全构架，从中分析出存在的各种安全风险，充分利用现有投资，并合理运用当今主流的安全防护技术和手段，最大限度地解决网络中可能存在的安全问题。

2）全局性、均衡性、综合性设计原则。从网络整体建设角度出发，提供一个具有相当高度，可扩展性强的安全防护解决方案，应均衡考虑各种安全措施的效果，提供具有最优性价比的网络安全防护解决方案。

3）可行性、可靠性、可审查性原则。可行性是设计网络安全防护方案的根本，它将直接影响到网络通信平台的畅通，可靠性是安全系统和网络通信平台正常运行的保证，可审查性是对出现的安全问题提供依据与手段。

4）分步实施原则。分级管理，分步实施。

3 系统改进可采取的的主要措施

维护管理方面我们可以做好以下几点改进。

1）微机监测增设防病毒服务器，定期升级服务器病毒库，将病毒入侵机率降至最低。安装防火墙，对连接网络中的计算机进行统一管理，确保网络安全。

2）科学处理补丁和病毒之间的矛盾。安装补丁时，应经过慎重的论证测试，可行在开发系统上进行测试，确保安全的前提下，再进行补丁安装，因为有些补丁可能与现行的操作系统发生冲突，进而影响整个系统的稳定性。

3）在生产网上组建VPN，创建一个安全的私有链接。

同时，为保证系统的安全管理 ，避免人为的安全威胁，应根据运行工作的重要程度划分系统的安全等级，根据确定的安全等级确定该系统的管理范围和安全措施。对机房实行安全分区控制，根据工作人员权限限定其工作区域。机房的出入管理可以采取先进的证件识别或安装自动识别登记系统，采用磁卡，身份证等手段对工作人员进行识别、登记、管理。根据职责分离和多人负责的原则，确定工作系统人员的操作范围和管理，制定严格的操作规程。针对工作调动或离职人员要及时调整相应授权。

4 可采用的网络安全新技术

建立完善的微机监测系统网络安全防护系统，需要现有网络安全防护系统的基础上，充分考虑防火墙、入侵检测／防护、漏洞扫描、防病毒系统等安全机制。由于网络技术的不断飞速发展，传统的防护技术已经不能适应复杂多变的新型网络环境，必须采用安全有效的网络安全新技术才能防患于未然，提高整个微机监测网络的安全性。可采用的新型网络安全技术包括以下几种。

1）链路负载均衡技术。链路负载均衡技术是建立在多链路网络结构上的一

种网络流量管理技术。它针对不同链路的网络流量，通信质量以及访问路径的长短等诸多因素，对访问产生的径路流量所使用的链路进行调度和选择。可最大限度的扩展和利用链路的带宽，当某一链路发生故障中断时，可以自动将其访问流量分配给其它尚在工作的链路，避免IPS链路上的单点故障。

2）IPS入侵防御系统。网络入侵防御系统作为一种在线部署的产品，提供主动的，实时的防护，其设计目的旨在准确检测网络异常流量，自动应对各类攻击性的流量，不将攻击流量放进内部网络。

3）上网行为管理系统。上网行为管理系统能够提供全面的互联网控制管理，并能实现基于用户和各种网络协议的带宽控制管理。实时监控整个网络使用情况。

4）网络带宽管理系统。对整个网络状况进行细致管理，提高网络使用效率，实现对关键人员使用网络的保障，对关键应用性能的保护，对非关键应用性能的控制。可根据业务需求和应用自身需求进行带宽分配。

5）防毒墙。传统的计算机病毒防范是在需要保护的计算机内部建立反病毒系统，随着网络病毒的日益严重和各种网络威胁的侵害，需要将病毒在通过服务器后企业内部网关之前予以过滤，防毒墙就满足了这一需求。防毒墙是集成了强大的网络杀毒机制，网络层状态包过滤，敏感信息的加密传输，和详尽灵活的日志审计等多种安全技术于一身的硬件平台。在毁灭性病毒和蠕虫病毒进入网络前进行全面扫描，适用于各种复杂的网络拓扑环境。

5 总结

通过本文的分析，可以看出，我国铁路信号微机监测系统的应用得到了初步的效果，但是随着我国铁路系统的继续发展，网络安全是我们不得不考虑的问题，而且随着网络安全问题的越来越多，对我国铁路信号微机监测系统的安全性要求就越高，因此，在未来的发展过程中，我们需要进一步提升铁路信号微机监测系统的安全等级，只有这样才能促进我国铁路信号系统的安全，提升我国铁路信号系统的继续发展。

参考文献

[1]刘琦.铁路信号安全维护及监控系统设计思路及应用[J].安防科技,2007,03.

[2]崔百玲.铁路通信信号一体化技术探索[J].黑龙江科技信息,2011,27.

[3]王亚东.关于微机监测系统网络防护的探讨[J].科技咨询,2007,26.