钢骨混凝土T形截面柱节点抗震性能研究.pdf

资源描述

1、2 0 1 0年 6月第4 6卷第6期铁道通信信号 RAI L WAY S I GN AL U N G C0 MMUN I C AT I ON J u me 2 0 l O Vo L 46 No 6 铁路列车调度指挥系统网络安全技术研究孙啸轩应志鹏摘要：研究依据铁道部运输局基础部编写的 ( T D C S C T C信息安全防御体系技术方案，按照铁路列车调度指挥系统信息安全保障体系实际需要，根据自身的实际经验，并借鉴国内外先进网络安全技术与经验，对全路 T D C S C T C网络安全体系进行统一设计与开发的部分实施细节进行研究，并提出了修改建

2、议。关键词：网络安全；云安全；虚拟化 Abs t r a c t ： Ba s e d o n t h e t e c h n i c a l s o l u t i o n o f“ TDCS CTC i n f o r ma t i o n s e c u rit y d e f e n s e s y s t e m ” b y t h e i n f r a s t r u c t u r e d e pa r t me n t o f t he Mi n i s t r y o f Ra i l wa y s，o ur r e s e a r c h wa s ma de a

3、 c c o r d i n g t o t h e a c t u a l n e e d s o f t r a i n d i s p a t c hi ng s y s t e m o f i nfo r ma t i o n s e c u rit y p r o t e c t i o n s y s t e m a n d t h e e x p e rie n c e i n a c t u al wo r kW e p r o po s e s o l n e v a l u a b l e a d v i c e f o r mo d i f y i n g p a r t

4、 s o f i mp l e me n t a t i o n d e t a i l s i n d e s i g n i ng a n d d e v e l o p i n g TDCS CTC Ne t wo r k Se c u rit y S y s t e m i n a n u n i fi e d ma n n e r ，wh i c h a s s i mi l a t e d a d v a n c e d n e t wo r k s e c u rit y t e c h n o l o g y a t h o me a n d a b r o a d Ke y

5、wo r ds： Ne t wo r k s e c urit y；Cl o u d s e c u rit y；Vi rtu a l i z a t i o n 铁路列车调度指挥系统 ( T D C S C T C)是一个覆盖全路的现代化铁路运输调度指挥和控制系统，按铁道部中心、铁路局中心和车站基层网三层架构建设组成。经过多年的建设，系统网络已经覆盖了全路 1 8个铁路局和 5 0 0 0多个车站，成为铁路各级北京邮电大学网络工程学院学生，1 0 0 8 7 6 北京料中国铁道科学研究院通信信号研究所副研究员，1 0 0 0 8 1 北京收稿日期： 2 0 1

6、0 - 0 3 - 0 9 运输调度对列车运行实现透明指挥、实时调整、集中控制的重要工具。在系统的建设过程中，为了保障专用网络的实时性、稳定性与安全性，已部署了防火墙、防病毒等基本网络安全装备。但从整体上看，目前的网络安全建设仍处于起步阶段，与公安部等国家相关单位要求的信息安全等级有较大差距，存在缺乏网络安全集中管理机制，身份鉴别机制不统一，检测攻击事件手段匮乏，缺乏审计手段等诸多问题。 6 现场运用情况 Y D系列综合防雷配电盘从 2 0 0 6年起，先后在成都局管内川、黔、渝干线铁路以及山西、宁夏等地方铁路等 5 0 0余个车站信号机械室安装运

7、用，不仅安全可靠、使用状态良好，而且对结合部的管理也做到分工明确、管理到位，达到设计要求，受到现场使用部门的广泛好评。特别是能满足目前高速铁路的大量建设投入，信号设备更可靠、安全运用的需要。需要提醒的是在大修改造中，把电源防雷箱当配电箱 ( 盘 )来使用是不妥当的。这首先是因为电源防雷箱没有经过国家权威机构的强制检验认 - - - 4 4 - 证，只是通过铁道部有关部门对防雷模块的检验认证；其次是在防雷箱内只增加了 1对空气开关就充当配电箱，而且采用统一容量规格，而不是根据配电设施要求，以信号设备负载大小来配置开关容量；最后是空气

8、开关的问题。空气开关在电源通断时易造成误动，不能对由于感性负载引起的反电势脉峰进行有效地抑制，此外，将接线直接接在空气开关上的方法也不可取，会造成接触可靠性差，由于空气开关的口径有限，还不能满足电力改造后普遍线径在 2 5 m m 的线径要求，因此除非特殊要求，电源防雷箱切不可当做配电箱 ( 盘)来使用。 ( 责任编辑：温志红) RAI LWAY SI GNALLI NG COMMUNI CATI ON Vo 1 46 No 6 2 01 0 为了应对这些网络安全问题，2 0 0 9年 l O月，在铁道部运输局的统一指导下，联合各主要 T D C

9、 S C T C生产厂家和网络安全公司的技术人员，按照列车调度指挥系统 ( T D C S C T C)信息安全保障体系实际需要，以 G B T 2 2 2 3 9 - 2 0 0 8 信息系统安全等级保护基本要求为主要依据，按照构建纵深的防御体系，采取互补的安全措施，保证一致的安全强度，以及进行统一的安全管理等总体原则，对全路 T D C S C T C网络安全体系进行统一设计与开发，并在借鉴国内外先进网络安全技术与经验的前提下，编写了 T D C S C T C信息安全防御体系技术方案。现对该方案进行总体介绍，并根据国内外已成

10、功实施的实际案例，结合先进网络安全技术，对部分实施细节提出修改建议。 1 总体方案 1 1 T D CS C T C网络安全总体设计与规划根据 T D C S C T C使用现状分析，系统可能面临的安全威胁和风险包括：各类移动外设的随意接入；网络病毒的传播；利用端口扫描、拒绝服务攻击和地址欺骗等恶意攻击手段，造成系统重要端口信息泄露、恶意消耗网络带宽资源、核心服务器数据泄露等。为了应对以上各类网络安全威胁，需要从技术层面 ( 物理安全、网络安全、系统安全、应用安全)和管理层面 ( 组织、制度、运维 )对系统进行分析和设计，建立 T

11、 D C S C T C整体的安全保障和具体的安全措施框架。 1 整体安全保障框架。建立统一的 T D C S C T C信息安全防御体系，首先要从整体保障框架设计人手，确认 T D C S C T C保护范围、确立安全措施之间的关系，建立合理的整体安全保障框架结构。这一框架也是制定具体 T D C S C T C等级保护方案的重要指导。 T D C S C T C信息安全保障涉及技术和管理 2个相互紧密关联的要素，系统安全保障不能够从单个环节、单一层面上来解决，必须是全方位地、多层次地进行。T D C S C T C网络安全纵深

12、防御体系覆盖计算环境、网络边界、网络系统等各个层面，需采用鉴别、控制、检测、审计等多种安全措施和手段，对 T D C S C T C进行动态的、综合的保护，在非法人员破坏了某个保护措施，或某一安全系统发生故障的情况下，其他保护措施仍然有效达到保证系统安全、稳定运行的目的。 2 安全措施体系框架。该框架是依据整体安全保障框架进行设计，包括安全技术措施和安全管理措施 2大部分。安全技术措施包括安全防护系统 ( 局域计算环境保护、边界防护、网络系统保护) 、安全管理中心 ( S O C )和安全运维系统，通过三者相互补充，不断完善与

13、改进各项具体安全措施，应对最新的安全威胁，保证 T D C S C T C长期、稳定运行。根据系统实际需求及国家等级保护四级标准，安全管理措施分别为：建立防火墙系统，安全隔离与信息交换系统 ( 网闸) ，网络防病毒系统，接人安全控制系统，身份认证及访问控制系统，入侵检测系统，漏洞扫描系统、终端安全管理系统等。 3 统一安全策略。T D C S C T C总体安全策略包括建设全路统一的 T D C S C T C信息安全防御体系；遵循国家等级保护相关法规和标准；管理与技术并重，互为支撑，互为补充，相互协同，形成有效的整体安全体系。为

14、实现总体安全策略的建设目标，T D C S C T C 统一安全防御体系不仅要对各个安全机制的策略进行分析，还应该通过统一的安全管理中心来实现安全产品策略的实际配置，避免发生人为配置错误，导致安全系统保护能力下降，甚至影响业务正常应用，应通过安全管理中心 ( S O C )实现网络安全各系统以下层面的统一安全策略。 1 2 T DC S CT C网络安全实施方案该方案主要依靠技术层面的网络安全和主机安全的风险防范及控制，并且配合相应的运维手段，从而最终实现四级安全系统的要求。 1 建立各类安全保护系统。包括防火墙系统、安全隔离与信息交换系统

15、( 网闸) 、接入安全控制系统等。此外，局域计算环境保护系统，包括身份认证及访问控制系统、网络防病毒系统、漏洞扫描系统、入侵检测系统、终端安全管理系统。网络安全保护系统的建立，是要达到重点防御目的。 2 建立安全集中管理中心。传统的安全管理方式是将分散在各 T D C S C T C中心、不同种类的安全防护系统，分别进行管理，容易产生安全事件管理分散、设备监测手段落后、安全策略难以统一、安全响应不及时等问题，仅依靠安全管理制度更无法满足 T D C S C T C信息安全防御体系整体先一 4 一铁道通信信号2 0 1 0 年第4

16、 6卷第6期进性的要求。同时依据国家等级保护技术标准，对四级信息系统要建设统一的安全管理中心 ( S O C ) 。 T D C S C T C安全管理中心将安全技术与安全管理有机结合，有效衔接运维人员与各类安全设备。在统一的安全管理中心界面下，对各类安全事件进行集中的收集、分析与报警，将不同位置、不同的安全产品进行集中的监测管理，得到 T D C S C T C 整体的安全状况，并形成相应的安全决策，使运维人员可以及时响应与处理安全事件，实现统一、实时的安全事件监测，统一报警、统一配置与响应，以及统一审计，从技术和管理 2个层面最大限度地保

17、障网络安全，实现对网络安全保障能力的可持续性管理。 3 建立安全运维系统。信息安全防御体系的构建应该是安全保护技术、安全管理中心和安全运维系统的有机结合，三者缺一不可。为了实现对 T D C S C T C的多层保护，达到防御保障的目标，必须建立规范化的安全运维体系，防止 T D C S C T C 因安全设备故障而遭受攻击，防范安全事件的发生，提高 T D C S C T C安全事件的响应能力，并在安全事件发生时，尽量减少其产生的影响。 T D C S C T C安全运维体系应包括：安全升级，包括防病毒系统升级、漏洞评估

18、系统升级、安全系统版本升级；安全监控，包括安全事件监控、安全设备监控、安全设备履历管理；安全完善，保证系统的平稳过渡；安全响应，包括实时安全响应、特殊安全响应；安全培训，保证维护人员管理水平的提高。 2 修改建议 2 1 建议考虑利用云安全技术云安全 ( C l o u d S e c u r i t y )是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到 S e r v e r 端进行自动分析和处理，再把

19、病毒和木马的解决方案分发到每一个客户端，是 P 2 P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。原有方案未改变 T D C S C T C的部、局、车站的三层架构模式，三重机构系统配置强弱差距较 4 6 大，在安全维护上各自为战，存在系统短板。建议使用云安全技术，不考虑系统实际层次，利用 T D C S C T C现已存在的海量客户端群体，按照开放系统的模式，通过扁平化的服务体系实现系统的网络安全维护。 2 2 建议考虑运用虚拟化技术虚拟化是一个广义的术语，是指计算元件在虚拟的基础上而不是真

20、实的基础上运行。这种把有限的固定资源根据不同需求进行重新规划的技术就叫做虚拟化技术，它为数据、计算能力、存储资源以及其他资源提供了一个逻辑视图，而不是物理视图。不同于多任务以及超线程技术，虚拟化技术可以同时运行多个操作系统，而且每一个操作系统中都有多个程序运行，每一个操作系统都运行在一个虚拟的 C P U或者是虚拟主机上。现有系统的网络安全威胁绝对无法完全避免。必须考虑大量易于部署的后备生产系统。考虑到 T D C S C T C现有空间、人员、经费等方面的限制，建议系统在部分核心模块 ( 数据库服务器、通信服务器、应用服务器

21、 )使用虚拟化配置，封装传统应用程序环境，针对应用和访问量灵活部署，实现业务的连续不问断运行，提高系统工作效率，通过一体化管理的基础架构简化管理的复杂性，提高系统的总体可用性。 3 结束语上述研究的效果已在模拟环境中得到了验证，考虑了铁路列车调度指挥系统信息安全保障体系实际需求，以人为本，注重新技术、策略和管理的双向结合，可以保障信息化进程的顺利进行，减少了用于信息安全处理的资源，切实提高了铁路运输信息安全保障能力。参考文献 1 T D C S C T C信息安全防御体系技术方案 ( 建议稿 ) s 铁道部运输局， 2 0 0 9 2 G B T 2 2 2 3 9 - 2 0 0 8 信息系统安全等级保护基本要求 S 2 0 0 8 3 铁道部运输局铁路列车调度指挥系统 M 北京：中国铁道出版社， 2 0 0 6 ， 4 4 王鹏走近云计算 M 北京：人民邮电出版社， 2 0 0 9 ， 6 ( 责任编辑：温志红)

展开阅读全文