摘要:地铁网络通常使用内部专网和防火墙结合的网络防御方式,使用物理隔离和监视端口的方法阻断和监视外网数据。但是网络功能的扩展存在限制,内部接口的防御存在不足,网络安全缺少明确的管理措施和智能化的技术手段。地铁作为轨道交通的主要方式,需要不断引入新技术,提升服务质量,新的服务技术数据需要可靠的网络管理,对接入的网络数据实现分级和智能防御提出要求。SCADA管理系统是保证地铁中电力、广播、闭路电视等系统的正常运行的核心系统,具有良好的稳定性和冗余功能,地铁的网络安全管理应充分发挥SCADA系统优势,结合防火墙和入侵防御系统,识别和阻止破坏行为。文章分析地铁网络安全管理中存在的问题,针对问题提出合理的改善措施,为地铁网络安全建设提供参考。
关键词:地铁网络安全;SCADA;入侵防御
国家轨道交通需求旺盛,地铁智能化服务应用广泛,地铁网络数据量呈大幅增长趋势,轨道交通的发展对网络的通信形式和质量提出要求,对网络传输的实时性、可靠性和安全性提出更高的要求[1]。地铁运营部门需要对地铁网络的安全意识、防御措施、管理模式等方面进行全面提升。本研究针对地铁网络安全管理的有效性提出有效论述,为地铁网络安全建设提供参考。
1地铁网络安全管理中存在的问题
1.1缺少网络安全管理意识,危机意识不足
地铁网络安全管理指通过技术和管理手段,保证地铁网络的通信正常。地铁网络化运营越来越受关注,网络的安全管理过程中,网络平台相对开放,互联网的优势来自其互联性与开放性,以网络服务为核心将现有的社会资源进行优化配置[2]。地铁属于公共交通系统,在以网络为基础的平台上,网络安全必须获得足够重视,如果网络出现安全漏洞,将导致依靠地铁网的运营工作无法高效开展,甚至出现网络瘫痪问题,造成损失。因此,地铁设施的设计者和地铁运营的维护者必须提高网络安全的管理意识,提供高效可靠的网络品质。
1.2网络防御手段单一,智能防御能力不足
目前,地铁网络防御的方式为使用防火墙进行隔离,防御方式单一,仅可以实现对已知入侵方式的防御,面对未知的入侵方式和内部接口的侵入破坏时,无法实现智能防御。随着科技手段发展,入侵技术在不断改变,入侵方式更加隐蔽。大数据时代到来,乘客对地铁乘行的需求不断提升,地铁网络的各种服务势必借助互联网提升服务质量,各种新的科技产物逐渐被应用至地铁服务中,如智能指路牌、无人驾驶、人脸识别、体温检测等。新技术的普及主要依靠网络,地铁服务对网络的依赖性不断增加,网络的安全性需求越发凸显,必须提升网络智能防御能力,保证地铁网络系统的安全运营。防火墙防御如图1所示。
1.3网络安全管理制度存在不足,智能化不足
城市轨道交通管理系统庞大而复杂,必须做好软件方面的防御,系统的安全运行还需依靠工作人员的合理使用。工作人员对管理系统的使用需要接受专业人员科学指导,遵守安全管理制度。轨道交通具有复杂性,工作人员难以掌握所有网络设备的使用方法,需要实行智能化管理,制定科学的管理方法、配套分级的管理制度,提高技术手段,降低地铁网络被破坏的风险,提升管理效率,如配备电子钥匙、设置区域登录等级、智能区分不同场合操作权限以及遇到突发情况时相应处理等措施。
2完善地铁网络安全管理的措施
2.1完善人员安全培训,提高网络安全意识
地铁网络安全管理过程中,网络安全管理工作的有效开展依靠工作人员的实际操作,工作人员的安全意识增强可以大幅降低网络的潜在威胁。运营单位在工作过程中应重视工作人员的安全意识问题,定期对工作人员进行安全培训,培养工作人员的网络安全责任意识,通过网络安全管理培训与实际工作监督提高工作人员网络安全意识。需定期开展网络安全管理培训,网络安全管理是不可见的安全准则,容易产生疏忽,工作人员在工作过程中如果不能够充分重视网络安全运营的重要性,可能产生网络安全隐患,如不规范使用U盘导致木马植入、远程操控使外部数据直接进入管理系统等行为。网络安全培训过程中,应强化工作人员网络安全管理意识,将容易忽视的风险以及风险可能造成的严重后果作为重点内容开展培训,提高工作人员网络安全责任感。制定网络突发情况预案,组织工作人员进行突发网络问题的实际演习,提升在网络发生重大问题时的应急处理能力,保证地铁安全运行,降低损失。
2.2提升预防技术,实现智能防御
技术防御手段是保证网络安全的主要措施,网络入侵手段会随网络技术的发展而改变,网络防御技术需要进行智能化改造,才能够全面识别非法网络行为,保障网络安全。传统防御手段中,通常使用防火墙实现对内网和外网的隔离,阻止非法用户进入内网。但是新的入侵行为不断改变,可能使用监听口令、植入木马、偷取特权等方法进入内网。在将防火墙作为第一重防御措施的同时,应配合使用入侵防御系统,使用入侵检测监视网络行为,建立第二套防御措施,同时配合使用深度学习等算法,实现主动学习、智能升级的效果。深度学习是模拟人脑的神经网络方法,可以在一定限度上再现人类对问题的思考和学习过程[3],识别更隐蔽的入侵行为并阻止破坏,对潜在的入侵行为进行智能防御。深度学习网络包括深度神经网络、卷积神经网络、循环神经网络、深度信念网络和自编码器[4-6],可以应用于不同需求。地铁网络以SCADA系统为核心,实现乘客咨询、综合安防、通信、售检票等功能[7]。地铁网络环境复杂,对安全服务等级具有严格要求,中心、车站、车辆段对网络的需求存在差异,中心和车辆段以内网服务为主,车站兼具内网服务和外网服务,入侵防御方法应根据地铁网络的实际情况进行智能化处理。(1)对SCADA系统运行的服务器配置入侵防御系统。地铁入侵防御系统的防御包括预处理、检测、防御和管理四大功能模块。地铁入侵防御系统对连接数据进行预处理,提取连接数据的特征行为;入侵防御系统对网络数据的格式进行判断,地铁网络的数据具有规定的格式,数据格式可以作为入侵防御的初步判断,入侵防御系统直接将传输数据按照指定格式进行解析,针对无效数据和异常数据可以直接进行防御并记录日志,阻断非法入侵行为,符合格式的数据进入深度检测模块,通过深度学习对网络行为进行判断,发现行为存在异常时,立刻进行阻断,将入侵行为记入日志;发现的网络入侵行为及时提醒工作人员进行处理,通过技术和管理双重手段,阻断非法网络访问;由工作人员使用SCADA系统,完成对入侵防御系统的管理和升级。(2)入侵防御系统将SCADA系统作为数据存储和升级的基础。评估SCADA受网络攻击可靠性的影响有助于分析SCADA的薄弱环节,有针对性地对漏洞采取相应的防御措施[8],对地铁控制系统安全具有同样影响。入侵防御系统将入侵防御特征数据存入SCADA系统,对入侵的行为进行防御的同时能够动态地提升防御能力,实现智能防御。SCADA系统具有强大的计算能力和高效的冗余能力,能够保证入侵防御系统及时地获取和分享最新的防御数据,在出现服务器切换的情况时减少切换时间,保证入侵防御系统的持续防御,提高入侵防御系统的可靠性和稳定性。(3)中心和车站的SCADA系统共享数据,防御系统智能升级。车站的网络分布较分散,如果由中心服务器防御全部网络攻击,耗时且会增加系统负担。因此,将入侵防御系统同时部署在中心、车站、车辆段等多个服务器,各站SCADA系统定期分享入侵行为的特征数据,用于全线深度学习网络对入侵行为的识别训练,训练结果通过SCADA系统分享到各个车站,实现全线车站的智能升级,可以降低中心服务器的防御压力,提高SCADA全线的入侵行为识别能力,实现全线共同防御入侵、一站发现、全线升级的智能防御效果。地铁入侵防御升级流程如图3所示。
2.3制定网络安全规章制度,提高智能管理能力
在地铁网络安全管理过程中,除了提高网络安全意识,做好技术防护外,还需要建立网络安全隐患预防工作制度和智能化的管理模式。网络安全管理工作的目的是预防网络威胁,处理网络安全事故,保证地铁网络的各项服务能够正常运行。根据网络安全专业人员的指导,区分不同安全等级场所,制定相应的安全守则和工作制度;工作人员需要认真遵守工作制度,在确保网络安全的前提下工作;地铁公司应定期安排专业人员进行安全检查,内部网络安全必须作为整体安全管理的重要组成部分,计算机网络应用和网络安全应同时进行[9],对外接存储设备、外接服务器等行为以及安装的应用程序进行安全判定,排除网络风险。地铁网络管理如图4所示。智能化管理模式需要提升网络安全管理能力,提升管理效能。在SCADA系统管理的基础上,根据不同用户的操作需求和权限,分配电子钥匙和电子识别卡,设置分级管理制度,包括内网和外网分级管理,重要场所进入权限,内网权限分级管理,增加登录权限验证,设置防火墙和入侵防御系统等,对不同的登录场合分配相应权限,可以降低工作强度,提高管理效能。
3结语
地铁建设对网络安全的要求逐步提升,地铁建设和运维单位需要在提高网络安全意识、提高网络安全技术防御手段、制定相应规章制度和管理模式方面进行改进,在意识上足够重视、在技术上不断提升、在管理上遵守规章制度,降低地铁网络的安全风险,更好地保证地铁网络系统的安全,为地铁的SCADA系统提供稳定的通信环境,确保地铁服务系统功能正常,保障地铁安全运行,同时提供各种网络服务,为地铁网络化、智能化是提供高效稳定的网络资源,为乘客提供更好、更优质的乘行体验。
作者:高蕾 王声柱 李虹江 虞鸿基 赵黎明 单位:北方国际合作股份有限公司 南京国电南自轨道交通工程有限公司