地鐵網絡安全管理有效性探究

前言：尋找寫作靈感？中文期刊網用心挑選的地鐵網絡安全管理有效性探究，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：地鐵網絡通常使用內部專網和防火墻結合的網絡防御方式，使用物理隔離和監視端口的方法阻斷和監視外網數據。但是網絡功能的擴展存在限制，內部接口的防御存在不足，網絡安全缺少明確的管理措施和智能化的技術手段。地鐵作為軌道交通的主要方式，需要不斷引入新技術，提升服務質量，新的服務技術數據需要可靠的網絡管理，對接入的網絡數據實現分級和智能防御提出要求。SCADA管理系統是保證地鐵中電力、廣播、閉路電視等系統的正常運行的核心系統，具有良好的穩定性和冗余功能，地鐵的網絡安全管理應充分發揮SCADA系統優勢，結合防火墻和入侵防御系統，識別和阻止破壞行為。文章分析地鐵網絡安全管理中存在的問題，針對問題提出合理的改善措施，為地鐵網絡安全建設提供參考。

關鍵詞：地鐵網絡安全；SCADA；入侵防御

國家軌道交通需求旺盛，地鐵智能化服務應用廣泛，地鐵網絡數據量呈大幅增長趨勢，軌道交通的發展對網絡的通信形式和質量提出要求，對網絡傳輸的實時性、可靠性和安全性提出更高的要求[1]。地鐵運營部門需要對地鐵網絡的安全意識、防御措施、管理模式等方面進行全面提升。本研究針對地鐵網絡安全管理的有效性提出有效論述，為地鐵網絡安全建設提供參考。

1地鐵網絡安全管理中存在的問題

1.1缺少網絡安全管理意識，危機意識不足

地鐵網絡安全管理指通過技術和管理手段，保證地鐵網絡的通信正常。地鐵網絡化運營越來越受關注，網絡的安全管理過程中，網絡平臺相對開放，互聯網的優勢來自其互聯性與開放性，以網絡服務為核心將現有的社會資源進行優化配置[2]。地鐵屬于公共交通系統，在以網絡為基礎的平臺上，網絡安全必須獲得足夠重視，如果網絡出現安全漏洞，將導致依靠地鐵網的運營工作無法高效開展，甚至出現網絡癱瘓問題，造成損失。因此，地鐵設施的設計者和地鐵運營的維護者必須提高網絡安全的管理意識，提供高效可靠的網絡品質。

1.2網絡防御手段單一，智能防御能力不足

目前，地鐵網絡防御的方式為使用防火墻進行隔離，防御方式單一，僅可以實現對已知入侵方式的防御，面對未知的入侵方式和內部接口的侵入破壞時，無法實現智能防御。隨著科技手段發展，入侵技術在不斷改變，入侵方式更加隱蔽。大數據時代到來，乘客對地鐵乘行的需求不斷提升，地鐵網絡的各種服務勢必借助互聯網提升服務質量，各種新的科技產物逐漸被應用至地鐵服務中，如智能指路牌、無人駕駛、人臉識別、體溫檢測等。新技術的普及主要依靠網絡，地鐵服務對網絡的依賴性不斷增加，網絡的安全性需求越發凸顯，必須提升網絡智能防御能力，保證地鐵網絡系統的安全運營。防火墻防御如圖1所示。

1.3網絡安全管理制度存在不足，智能化不足

城市軌道交通管理系統龐大而復雜，必須做好軟件方面的防御，系統的安全運行還需依靠工作人員的合理使用。工作人員對管理系統的使用需要接受專業人員科學指導，遵守安全管理制度。軌道交通具有復雜性，工作人員難以掌握所有網絡設備的使用方法，需要實行智能化管理，制定科學的管理方法、配套分級的管理制度，提高技術手段，降低地鐵網絡被破壞的風險，提升管理效率，如配備電子鑰匙、設置區域登錄等級、智能區分不同場合操作權限以及遇到突發情況時相應處理等措施。

2完善地鐵網絡安全管理的措施

2.1完善人員安全培訓，提高網絡安全意識

地鐵網絡安全管理過程中，網絡安全管理工作的有效開展依靠工作人員的實際操作，工作人員的安全意識增強可以大幅降低網絡的潛在威脅。運營單位在工作過程中應重視工作人員的安全意識問題，定期對工作人員進行安全培訓，培養工作人員的網絡安全責任意識，通過網絡安全管理培訓與實際工作監督提高工作人員網絡安全意識。需定期開展網絡安全管理培訓，網絡安全管理是不可見的安全準則，容易產生疏忽，工作人員在工作過程中如果不能夠充分重視網絡安全運營的重要性，可能產生網絡安全隱患，如不規范使用U盤導致木馬植入、遠程操控使外部數據直接進入管理系統等行為。網絡安全培訓過程中，應強化工作人員網絡安全管理意識，將容易忽視的風險以及風險可能造成的嚴重后果作為重點內容開展培訓，提高工作人員網絡安全責任感。制定網絡突發情況預案，組織工作人員進行突發網絡問題的實際演習，提升在網絡發生重大問題時的應急處理能力，保證地鐵安全運行，降低損失。

2.2提升預防技術，實現智能防御

技術防御手段是保證網絡安全的主要措施，網絡入侵手段會隨網絡技術的發展而改變，網絡防御技術需要進行智能化改造，才能夠全面識別非法網絡行為，保障網絡安全。傳統防御手段中，通常使用防火墻實現對內網和外網的隔離，阻止非法用戶進入內網。但是新的入侵行為不斷改變，可能使用監聽口令、植入木馬、偷取特權等方法進入內網。在將防火墻作為第一重防御措施的同時，應配合使用入侵防御系統，使用入侵檢測監視網絡行為，建立第二套防御措施，同時配合使用深度學習等算法，實現主動學習、智能升級的效果。深度學習是模擬人腦的神經網絡方法，可以在一定限度上再現人類對問題的思考和學習過程[3]，識別更隱蔽的入侵行為并阻止破壞，對潛在的入侵行為進行智能防御。深度學習網絡包括深度神經網絡、卷積神經網絡、循環神經網絡、深度信念網絡和自編碼器[4-6]，可以應用于不同需求。地鐵網絡以SCADA系統為核心，實現乘客咨詢、綜合安防、通信、售檢票等功能[7]。地鐵網絡環境復雜，對安全服務等級具有嚴格要求，中心、車站、車輛段對網絡的需求存在差異，中心和車輛段以內網服務為主，車站兼具內網服務和外網服務，入侵防御方法應根據地鐵網絡的實際情況進行智能化處理。（1）對SCADA系統運行的服務器配置入侵防御系統。地鐵入侵防御系統的防御包括預處理、檢測、防御和管理四大功能模塊。地鐵入侵防御系統對連接數據進行預處理，提取連接數據的特征行為；入侵防御系統對網絡數據的格式進行判斷，地鐵網絡的數據具有規定的格式，數據格式可以作為入侵防御的初步判斷，入侵防御系統直接將傳輸數據按照指定格式進行解析，針對無效數據和異常數據可以直接進行防御并記錄日志，阻斷非法入侵行為，符合格式的數據進入深度檢測模塊，通過深度學習對網絡行為進行判斷，發現行為存在異常時，立刻進行阻斷，將入侵行為記入日志；發現的網絡入侵行為及時提醒工作人員進行處理，通過技術和管理雙重手段，阻斷非法網絡訪問；由工作人員使用SCADA系統，完成對入侵防御系統的管理和升級。（2）入侵防御系統將SCADA系統作為數據存儲和升級的基礎。評估SCADA受網絡攻擊可靠性的影響有助于分析SCADA的薄弱環節，有針對性地對漏洞采取相應的防御措施[8]，對地鐵控制系統安全具有同樣影響。入侵防御系統將入侵防御特征數據存入SCADA系統，對入侵的行為進行防御的同時能夠動態地提升防御能力，實現智能防御。SCADA系統具有強大的計算能力和高效的冗余能力，能夠保證入侵防御系統及時地獲取和分享最新的防御數據，在出現服務器切換的情況時減少切換時間，保證入侵防御系統的持續防御，提高入侵防御系統的可靠性和穩定性。（3）中心和車站的SCADA系統共享數據，防御系統智能升級。車站的網絡分布較分散，如果由中心服務器防御全部網絡攻擊，耗時且會增加系統負擔。因此，將入侵防御系統同時部署在中心、車站、車輛段等多個服務器，各站SCADA系統定期分享入侵行為的特征數據，用于全線深度學習網絡對入侵行為的識別訓練，訓練結果通過SCADA系統分享到各個車站，實現全線車站的智能升級，可以降低中心服務器的防御壓力，提高SCADA全線的入侵行為識別能力，實現全線共同防御入侵、一站發現、全線升級的智能防御效果。地鐵入侵防御升級流程如圖3所示。

2.3制定網絡安全規章制度，提高智能管理能力

在地鐵網絡安全管理過程中，除了提高網絡安全意識，做好技術防護外，還需要建立網絡安全隱患預防工作制度和智能化的管理模式。網絡安全管理工作的目的是預防網絡威脅，處理網絡安全事故，保證地鐵網絡的各項服務能夠正常運行。根據網絡安全專業人員的指導，區分不同安全等級場所，制定相應的安全守則和工作制度；工作人員需要認真遵守工作制度，在確保網絡安全的前提下工作；地鐵公司應定期安排專業人員進行安全檢查，內部網絡安全必須作為整體安全管理的重要組成部分，計算機網絡應用和網絡安全應同時進行[9]，對外接存儲設備、外接服務器等行為以及安裝的應用程序進行安全判定，排除網絡風險。地鐵網絡管理如圖4所示。智能化管理模式需要提升網絡安全管理能力，提升管理效能。在SCADA系統管理的基礎上，根據不同用戶的操作需求和權限，分配電子鑰匙和電子識別卡，設置分級管理制度，包括內網和外網分級管理，重要場所進入權限，內網權限分級管理，增加登錄權限驗證，設置防火墻和入侵防御系統等，對不同的登錄場合分配相應權限，可以降低工作強度，提高管理效能。

3結語

地鐵建設對網絡安全的要求逐步提升，地鐵建設和運維單位需要在提高網絡安全意識、提高網絡安全技術防御手段、制定相應規章制度和管理模式方面進行改進，在意識上足夠重視、在技術上不斷提升、在管理上遵守規章制度，降低地鐵網絡的安全風險，更好地保證地鐵網絡系統的安全，為地鐵的SCADA系統提供穩定的通信環境，確保地鐵服務系統功能正常，保障地鐵安全運行，同時提供各種網絡服務，為地鐵網絡化、智能化是提供高效穩定的網絡資源，為乘客提供更好、更優質的乘行體驗。

作者:高蕾 王聲柱 李虹江 虞鴻基 趙黎明 單位:北方國際合作股份有限公司 南京國電南自軌道交通工程有限公司