中国学术杂志网

铁路视频网络信息安全控制及建议

 论文栏目:网络信息论文     更新时间:2018/12/31 9:32:17   

摘要:视频监控资料是保护铁路系统安定、稳定运行的重要因素。对视频监控来说网络的安全性非常关键,网络的安全性将直接决定视频资料的有效性。基于此,以当前国内铁路视频监控安全现状为切入点,分析了国内铁路视频网络信息安全控制问题,以实用性、可控性、综合性、均衡性、系统性和标准性为原则,提出应对措施。希望可以帮助我国铁路系统获得更为稳定的发展。

关键词:铁路;视频网络信息;安全控制

1引言

当前,国内信息技术和产品对外依赖度较高,缺少足够的安全能力抵抗外在风险。因此,铁路部门有必要结合现有力量,展开对铁路视频网络信息安全问题的研究,利用对应的方法和手段,保障铁路视频信息的安全性。

2铁路视频监控安全现状

2.1网络现状

网络在视频监控中发挥着重要作用。铁路视频监控应用为三级结构,包括总公司、铁路局以及一类节点[1]。当前铁路服务器处理能力有足够的冗余空间,可以满足高峰期应用要求,宽带质量也能满足高峰期使用需要。不同节点对管理和业务使用有着不同网段[2]。视频监控被部署于铁路专网各个业务系统,不同业务系统相互隔离。总公司节点服务器采用1+1备份模式,铁路局没有备份机制,通过热转换方式切换。系统模块和部件配备了冗余方式,包括主控模块、电源模块。但是,网络系统网络设备运行条件、状况、使用流量以及用户操作记录均没有安全审计功能。因为缺少入侵防护手段,所以无法应对网络攻击。

2.2系统现状

首先是身份鉴别,系统账号为单人单号。系统为不同角色分配了不同权限,权限分离是系统的主要工作方式。不过系统并没有生成安全策略用于控制用户访问系统内部资源。其次虽然系统有记录日志功能,但是安全审计却没开启。系统通信双方按照通信协议交流,但视频数据却并未加密。最后系统程序检验长度、格式不符合标准,拥有自保功能。因主机使用环境多样,所以在发生系统入侵事件后,无法追溯到事件源头。没有安装防恶意代码的工具与软件,是比较突出的隐患与问题。

2.3摄像头现状

在国内铁路规模不断壮大的今天,前端IP接入设备种类、数量获得了快速提升,这些摄像头常用于车站、铁路沿线监控。但是与之对应的事,一些黑客与不法分子开始利用数字化手段窃取摄像头信息。这一问题很容易引起敏感信息丢失、治安管理失效。首先是摄像头数据流缺少安全识别和安全监测,因此不法分子很有可能会伪造视频流,无法保障安全事故责任的有效追求。其次摄像机登录认证非常简单,存在易破解的风险[3]。

2.4数据现状

数据安全主要包括两方面。第一,完整性。铁路视频网络数据系统有检测功能,可以鉴别业务、数据完整性,有重传功能。由于部分地区铁路系统没有重视这一问题,因此易出现信息完整性被破坏的情况。第二,数据备份与恢复。系统数据应做到周期性备份。部分铁路部门并没有做好该项工作。

2.5物理安全现状

当前铁路视频网络系统整体情况良好,布线规范整齐、线缆被分开铺设,有防雷接地保护,有调温湿空调,并配备了UPS系统确保电力能够稳定供应。机房进入需验证身份,关键出入口有视频系统、防盗系统。工作人员定时巡视、检查机房。

3铁路视频监控安全需求

3.1网络需求

在视频技术得到快速发展的今天,图像质量成为新时期人们高度关注的话题。高分辨率的图像会增加数据传输量。为了保障数据的可靠性、及时性、稳定性,必须做好数据处理能力的整理,提供足够的冗余空间。做好重要部件和传输节点的备份。

3.2系统需求

当前系统有一定的安全管理能力,不过科技的发展会加剧危险级别和威胁程度。所以安全防护策略也必须不断更新。针对当前业务系统现状,登录系统必须做到复杂、唯一标识管理。细致划分管理权限,控制登陆、使用过程,做好安全问题梳理和研究,了解系统实际使用需求。

3.3摄像头需求

结合摄像头安全现状可知,因为点多面广的原因,所以铁路视频系统无法完全保障自身的安全。前端和后端属于直连状态,如果终端无人值守,那么后端业务会成为黑客攻击源。为应对这一情况,前端准入控制除了需要检验接入设备可信度,还要保障前端接入设备的行为可视、可控[1]。

3.4数据需求

建立完善的数据备份与管理制度,确保数据能够得到充分保护。对视频监控系统来说视频数据是非常关键的信息。铁路部门应当制定完整保护措施,保障数据的保密性和完整性。

3.5物理安全需求
从实际情况来看,铁路部门的监控系统物理防御很好,不需要投入更多的人力、物力与资源。

4视频监控安防建议

4.1总体设计

系统防御重点应放在应用层防护,做到内外兼防。因传统网络技术采用的是封堵查杀,这种方法面对0day、APT等问题时略显力不从心。为此需应用主动防御系统,主动拦截、控制度量木马和病毒运行。防止木马和病毒利用系统漏洞破坏与渗透系统,保护系统安全性。总体规划必须坚持一个中心、三重防护原则。将系统分为安全环境、安全便捷、安全通信三部分内容。

4.2安全域划分

安全域实际上是指有相同网络安全需求、安全访问需求、边界控制的网络。根据《信息安全等级保护安全设计技术要求》(GB/T25070-2010)规定安全域是由管理中心、通信网络、区域边界和计算环境组成。安全区域包括安全管理域、前端接入区、安全通信网络、安全计算环境与安全区域边界。明确分类、详细审计、及时报警违规行为,保证网络安全性和信息安全性[2]。

4.3环境计算

保护计算环境目的是避免内部人员进行内部恶意攻击。通过安全环境的创建,防止外部人员攻击系统最后防线。首先,要在服务器中加装可控中端模块,模块统一由安管平台管理,保障计算环境的安全性。其次,身份鉴别方面,应为服务终端、服务器颁发证书,以便在管理员登录和访问的过程中辨别其可信状态与身份,保障状态、身份的合法性。做好管理员权限控制与身份鉴别,由可信终端标记主客体,强制性访问与标记规则。建立免疫系统,保护铁路视频系统内核,控制程序可信度,避免非授权程序和不符合预期程序运行。主动防御已知恶意程序与破坏服务的程序。最后,建立可信程序保护机制,严防任何用户、任何程序篡改可信程序。加强恶意代码管理和防护,及时拦截恶意代码执行请求,拦截恶意软件、木马和未知病毒。

4.4通信安全

根据业务需要配置网络汇聚、核心层设备能力。使用防火墙与交换机端口绑定技术,确保物理机介入、服务器介入、采集终端接入真实性和可靠性。建立安全规则,确保设备接入网络时发出的数据包源地址是真实地址。利用端口绑定、MAC、IP技术限制他人接入网络[3]。

4.5摄像头安全

当前铁路监控系统应用大量的IPC摄像头,这些摄像头很容易被黑客利用。因此必须在所有视频摄像头布置准入控制装置和系统,通过串联形式链接交换机、摄像头,完成摄像头数据的控制和识别。

5结语

铁路系统作为国民经济重要系统,在社会中扮演着十分重要的角色。为了保护铁路系统安全、稳定的运行,人们必须高度重视数据库和网络信息。分别站在网络安全、应用安全、摄像头安全、数据安全以及物理安全等角度展开研究,结合实际需要设置相应的防护系统。

参考文献

[1]许兴蕾.铁路网络信息安全控制策略[J].科技创新与应用,2017(2):111.

[2]李红莲.落实网络安全法保障安防网络信息安全力促产业健康发展[J].中国安防,2017(8):2-10.

[3]浮欣,刘琳,张凡忠.基于等级保护测评的公共安全视频监控系统信息安全测评技术研究[J].警察技术,2016(5):75-78.

作者:沈波 单位:中国中铁二院工程集团责任有限公司

学术网收录7500余种,种类遍及
时政、文学、生活、娱乐、教育、学术等
诸多门类等进行了详细的介绍。

网络信息论文
@2008-2012 学术网
出版物经营许可证 音像制品经营许可证
主机备案:200812150017
值班电话
0825-6697555
0825-6698000

夜间值班
400-888-7501

投诉中心
13378216660
咨询电话
唐老师:13982502101
涂老师:18782589406
文老师:15882538696
孙老师:15982560046
何老师:15828985996
江老师:15228695391
易老师:15228695316
其它老师...
咨询QQ
89937509
89937310
89903980
89937302
89937305
89937307
89937308
业务
综合介绍
在线投稿
支付方式
常见问题
会员评价
官网授权
经营许可
关于我们
网站简介
版权声明
友情链接
人员招聘
联系我们