中国学术杂志网

铁路数据通信网网管系统安全防护要求

 论文栏目:通信网论文     更新时间:2017/9/8 15:58:40   

摘要:介绍了数据通信网信息安全等级及防护要求。针对铁路数据通信网安全等级防护的要求,研究了铁路数据通信网网管系统安全防护硬件设施部署及设备配置。

关键词:安全等级;防护;设备配置

随着铁路全路范围内通信基础网设施改造的逐步完成,各路局都已搭建起铁路数据通信网,随之而来的问题是如何完善铁路数据通信网的网络安全。《中国铁路总公司关于做好铁路数据网网络安全专项整治工作的通知》(运电通信函[2016]123号)(以下简称“123”号文)中对铁路数据通信网网管系统安全防护提出要求。

1信息系统等级保护介绍

信息安全等级保护是指对国家安全、社会秩序、公共利益、公民/法人/其他组织的合法权益以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

1.1定级要素

信息系统等级保护标准定级有两大要素:1)等级保护时受到侵害的客体国家安全;社会秩序公共利益;公民/法人/其他组织的合法权益。2)对客体造成侵害的程度一般侵害;严重侵害;特别严重侵害。

1.2五个等级

信息系统安全保护等级按照定级要素分为5个等级,如表1所示。从表1中可看出,随着级别的递增,信息系统受到破坏后对客体的级别及造成侵害的程度递增。

2铁路数据通信网安全防护配置要求

“123”号文主要参考的标准有:《IP承载网安全防护要求》(YD/T1746-2014);《IP网络安全技术要求-安全框架》(YD/T1163-2001);《IP网络技术要求-网络总体》(YD/T1170-2001);等级保护基本要求(三级)。按照以上标准规范的要求,参照铁路数据通信网安全测评情况,“123”号文提出:“各单位以《铁路数据通信网网络安全检查关键项点》(附件1)为基础,结合本单位实际情况确定检查内容,定期开展数据网的网络安全检查,并将检查发现的各类问题纳入问题库督办销号,形成闭环管理。”,并给出了数据网网管系统安全防护的基本配置要求。按照“123”号文要求,铁路数据通信网网管系统安全防护硬件设施部署主要包括网管冗余设备、防火墙、堡垒机、入侵检测设备(IDS)、终端管控设备等。

2.1网管冗余设备

网管冗余设备主要为网管服务器及存储设备。配置网管冗余设备主要满足要求:“数据网相关的网管重要设备(服务器、存储等)应采用冗余的方式保证网络及业务的抗灾以及灾难恢复能力。”

2.2防火墙

防火墙主要实现网管局域网与网络设备间的逻辑隔离。防火墙的配置需满足:1)技术隔离功能:网管系统与网络间采取可靠的技术隔离手段且禁止直接连接其他系统;2)过滤功能:对进出网管系统的信息进行筛选过滤,实现对HTTP、FTP、TELNET、SMTP、POP3等应用层协议命令级的控制;3)逻辑隔离功能:实现数据网业务网络与运维、管理、监测等辅助系统(或平台)间逻辑隔离,并启用安全域访问控制策略,严格限制对有关设备的访问。

2.3堡垒机

堡垒机主要实现网管操作人员的集中登录与行为审计。堡垒机部署在网管局域网内。堡垒机的配置需满足:1)访问控制功能:依据设定的安全策略,对用户访问资源进行有效控制;2)权限控制功能:为不同管理用户设置不同权限,分离不同管理用户的权限,合理授予管理用户所需的权限。

2.4入侵检测设备

在网管局域网内部部署IDS,对网络的恶意代码及恶意入侵行为进行分析。IDS设备的配置需满足:1)追踪功能:对安全事件进行追踪,对非法访问或入侵源进行追溯;2)告警监测功能:对数据网的网络设备、主机设备及安全设备等产生的安全告警事件进行监测,并每月对安全告警日志进行分析;3)入侵检测及报警功能:能够实时检测到对重要服务器进行的入侵行为,并记录入侵源的IP、攻击类型、目的、时间,在发生严重入侵事件时发出报警;4)完整性检测功能:可检测重要程序的完整性,当检测到重要程序的完整性受到破坏后,可采用有效措施进行恢复;5)恶意代码防御功能:可在网管系统边界处对恶意代码进行检测和清除。
2.5终端管控设备

在网管系统局域网内设置,管内所有数据网网管服务器和终端安装用户准入客户端软件。终端管控设备的配置需满足:1)接入阻断功能:网管系统可监测到非授权设备接入网管局域网的行为,并能够准确定位接入的设备,对其进行阻断;2)接出阻断功能:网管系统可监测到内部网络用户私自连接外部网络的行为,并能够准确定位接出的设备,对其进行阻断。

2.6其他配置

除“123号文”中要求的基本配置外,根据要求的铁路数据通信网网络安全检查关键点,还可增加以下设备。1)入侵防御设备入侵防御设备的配置需满足:数据网应具有监测常见网络攻击、差错防范和处理的设计,在网络边界部署入侵防范技术手段,防范针对网络设备的常见攻击和入侵。2)日志审计设备日志审计设备可以统一采集网络设备、主机设备和安全设备的告警日志,并集中存储,定期分析。日志审计设备的配置需满足以下功能:监测功能,实时监测主机、网络设备、通信线路及应用软件的运行状况、网络流量、网管操作等,并将监测和报警数据生成日志记录;记录分析功能,可对监测和报警记录进行分析,形成分析报告,如发现可疑行为,组织相关人员采取必要的应对措施;集中管理功能,可集中管理设备状态、恶意代码、补丁升级、安全审计等相关安全事项。3)漏洞扫描机配置核查设备漏洞扫描机配置核查设备的配置需满足:a.能扫描网络系统的漏洞,并提供漏洞官方修补补丁,指导管理人员进行漏洞修补;b.可对网络设备、主机设备的安全设置进行自动化检查。

3总结

铁路数据网部署着大量的网络、安全及业务系统,铁路数据运营维护人员如何更加高效的进行网络运营维护成为亟待解决的问题。铁路数据网计划与计算机网融合、引入互联网等,逐步承载各种铁路信息、办公、管理业务,用户接口逐步开放,网络安全设备必须补强。“123号文”的颁布很好的解决了上述问题,完善铁路数据网网络安全防护的意义重大,为下一步的铁路“两网融合”奠定了基础。

作者:乔桢 单位:北京中铁建电气化设计研究院有限公司

学术网收录7500余种,种类遍及
时政、文学、生活、娱乐、教育、学术等
诸多门类等进行了详细的介绍。

通信网论文
@2008-2012 学术网
出版物经营许可证 音像制品经营许可证
主机备案:200812150017
值班电话
0825-6697555
0825-6698000

夜间值班
400-888-7501

投诉中心
13378216660
咨询电话
唐老师:13982502101
涂老师:18782589406
文老师:15882538696
孙老师:15982560046
何老师:15828985996
江老师:15228695391
易老师:15228695316
其它老师...
咨询QQ
89937509
89937310
89903980
89937302
89937305
89937307
89937308
业务
综合介绍
在线投稿
支付方式
常见问题
会员评价
官网授权
经营许可
关于我们
网站简介
版权声明
友情链接
人员招聘
联系我们