工程信息安全管理精選(五篇)
發布時間:2023-10-10 17:14:13
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術,我們為您準備了不同風格的5篇工程信息安全管理,期待它們能激發您的靈感。
篇1
1引言
近年來網絡工程技術發展迅速,對于海量信息的安全管理日趨重要。但由于網絡信息管理系統在硬件、軟件及管理策略方面尚存在諸多問題,導致系統中存在大量的脆弱性,因而對網絡工程信息系統帶來了極大的威脅[1]。在網絡工程信息安全管理過程中,對信息管理技術方案進行制定是不可或缺的一個環節,合理的方案設計對于信息系統安全風險可控化具有十分重大的意義[2]。傳統的安全技術方案設計僅僅從技術角度入手,忽略了考慮實施技術手段所需要的花費。完善的信息安全管理技術應當將脆弱性分析、安全技術選擇及實施技術費用進行綜合考慮,這樣才能使信息管理系統的安全風險降至最低[3]。因此本文首先對網絡工程信息管理技術方案的制定進行了優化,以此為基礎,提出基于遺傳算法的信息安全管理優化技術,并對實際算例采用上述優化技術,對該優化技術的有效性進行了驗證。
2信息安全管理技術方案
制定時的決策模型通過對信息管理技術方案的優化制定可以使信息管理系統中脆弱性的威脅降到最小。將信息管理系統中的各種脆弱性表示為v1,v2……,vm共m種,當脆弱性vi存在時以數值1表示,當這種脆弱性不存在時以0表示,每一種脆弱性對應于一個權值i,這一權值用來表示對應的脆弱性危害信息管理系統的程度,本文對信息安全管理系統中的脆弱性進行了描述,列出了表1信息安全管理系統中的脆弱性及表示20種不同的脆弱性(見表1)。對應于每一種脆弱性都存在相應的安全技術,這些安全技術以s1,s2……,sn來表示,當技術方案中采用了sj這種安全技術時,sj等于1,當沒有采用時取值為0;對應于sj安全技術的實施費用用cj來表示,本文給出了13中安全技術手段,見表2。脆弱性及其對應的安全技術之間存在復雜的關系,對某一脆弱性采取相應的安全技術后該脆弱性可能部分的或完全的消除,但也有可能導致其他種類的脆弱性產生,其中部分消除安全性是指相應的由該脆弱性導致的信息管理系統破壞程度被限制在一定的范圍內。在對脆弱性實施安全技術手段后,相應的脆弱性在系統中可能會有一定的殘留,對于殘留的脆弱性用r1,r2……rm來表示,ri對應于脆弱性vi,取值分別為0,0.5,1,分別對應于脆弱性存在,脆弱性部分去除以及不存在。用矩陣T={tij}表示對脆弱性采用安全技術處理后的情況,tij是指采用安全技術sj處理脆弱性vi的處理能力的大小。確定殘留脆弱性處理規則,當vi=0或1時,有j∈{j│sj=1},此時tij=1,那么ri=0;當vi=0時,存在j∈{j│sj=1},使tij=0,此時ri=0;當vi=1時,存在j∈{j│sj=1},使tij=0,此時ri=1;當vi=0時,存在j∈{j│sj=1},使tij≠1,同時存在j∈{j│sj=1},使tij=-1此時ri=1;當vi=0時,存在j∈{j│sj=1},使tij≠1,同時存在j∈{j│sj=1},使tij=-0.5此時ri=0.5;當vi=1時,存在j∈{j│sj=1},使tij≠1,同時存在j∈{j│sj=1},使tij=0.5此時ri=0.5。綜上所述,安全的信息管理技術方案設計需要以兩個目標為基礎,如式1和式2所示:式3中Cmax為實施安全技術手段所需要的費用的最大值,對E進行無量綱修正得到E’,和分別代表脆弱性權重和費用權重,和之和為1,表示二者在系統設計時的偏重程度,當>時,脆弱性在設計時比費用控制重要,反之亦然。
3遺傳算法在網絡工程信息安全管理技術優化中的應用
安全技術手段集合的子集即為所制定的網絡工程信息安全管理技術方案,其可行解共有2n個,具體方案的選取屬于多目標優化問題,n值增加,問題的解空間呈現幾何式增長,如果要在如此龐大的解空間內實現最優解的搜尋,則必須采用效率較高的搜索策略。為此引入遺傳算法,在遺傳過程中的各代個體以適應度值為依據進行交叉和變異概率選擇,即采用自適應規則,從而使個體自適應環境變化進行自身的調節。首先對于問題的編碼,用符號串表示各個染色體,這種符號串具有n位二進制編碼,用這種符號串表示的染色體即代表了對應的技術手段,技術手段的狀態用二進制編碼的每一位表示,即1表示該技術手段被方案采用,0表示該技術手段未被方案采用。如此即可轉化網絡工程安全信息管理技術優化問題為染色體最優編碼求解問題。
4采用優化后信息管理技術的實際算例
采用上述對脆弱性和安全技術的分類,設脆弱性的情況為(11010100110111000110),將各脆弱性權重列于表3,實施相應安全技術所需費用權重列于表4,脆弱性的重要性和實施相應安全技術花費的重要性同等重要(==0.5),采用本文提出的優化技術對相應的技術方案進行求解(N=100),各概率值為Pe=0.4,Pc0=0.52,Pc1=0.29,Pm0=0.37,Pm1=0.23,迭代次數最大為300,50為穩定代數的最大值。最終結果為,S=(1000010000010),即出現單一、集中、敏感、可分離、可測、順應、難以恢復、自我認知匱乏、不以管理、透明、電子訪問等脆弱性時,所采取的安全技術手段為,彈性及魯棒性技術、人員管理技術、分配動態資源技術。本文同時對不同數據進行了計算,結果均表明增加脆弱性和技術手段的種類,本文提出的以信息管理技術方案優化制定為基礎,采用遺傳算法的網絡工程信息安全管理技術其優化效果均較為顯著。
5結束語
篇2
關鍵詞:軟件工程;數據信息;安全管理;
文章編號:1674-3520(2015)-09-00-01
隨著社會經濟的快速發展,人們對于信息的公開化、透明化的要求越來越高,同時信息資源的管理也面臨巨大的困擾,信息安全問題已經成為影響人們數據存儲的重要因素。現代企業出于安全和利益需要,對于很多信息不能公開或者一定時期內不能向外界公布,這時就需要應用安全保密技術。
一、保密技術對數據信息安全的重要性
保密技術是企業為獲得自身利益和安全,將與自身發展密切相關的信息進行隱藏的一種手段,隨著互聯網的快速發展,企業信息的保密也越發重要。保守企業秘密是指嚴格按照有關經濟法律和企業內部的規章制度,將涉及信息和信息的載體控制在一定的范圍之內,限制知悉的人員,同時也包含了企業自身或內部員工保守秘密的職責,并以此采取相應的保密活動。通常情況下,屬于保密范疇的信息,都應當明確內容,并規定相應的期限,在此階段內,保密主體不能夠擅自改變,并且其知悉范圍是通過強制性手段和措施來實現控制的。
二、數據信息安全保密技術類型
(一)口令保護。對數據信息設置口令是數據信息安全的基礎保障。在對數據保密信息設置安全保障的過程中,可以先根據計算機技術設置登錄密碼,并確保密碼的復雜性,如字母與數字混合、大小寫字母與數字混合等,以免被黑客破解。如果有提示密碼可能被盜的消息,則應當及時辨別消息的真實性,并登錄到安全中心重新設置密碼,從而確保數據信息登錄的安全性和可靠性。
(二)數據加密。在信息的存儲及傳輸過程中有一個重要的手段,就是對數據進行加密,這樣才能夠保證數據信息的安全性,從而提升信息保密的抗攻擊度。所謂數據加密,主要是指根據較為規律的加密變化方法,對需要設置密碼的數據進行加密處理,由此得到需要密鑰才能識別的數據。加密變化不僅能夠保護數據,還能夠檢測數據的完整陛,是現代數據信息系統安全中最常用也是最重要的保密技術手段之一。數據加密和解密的算法和操作一般都由一組密碼進行控制,形成加密密鑰和相應的解密密鑰。在數據信息傳輸的過程中,可以根據相應的加密密鑰,加密數據信息,然后根據解密密鑰得出相應的數據信息。在此過程中,大大保障了數據信息的安全,避免被破解。
(三)存取控制。為保證用戶能夠存取相關權限內的數據,已經具備使用權的用戶必須事先將定義好的用戶操作權限進行存取控制。在一般情況下,只要將存取權限的定義通過科學的編譯處理,將處理后的數據信息存儲到相應的數據庫中。如果用戶對數據庫發出使用信息的命令請求,數據庫操作管理系統會通過對數據字典進行查找,來檢查每個用戶權限是否合法。如果存在不合法的行為,則可能是用于用戶的請求不符合數據庫存儲定義,并超出了相應的操作權限,這樣則會導致數據庫對于用戶的指令無法識別,并拒絕執行。因此,只有在采取存取控制保護措施下,數據庫才能夠對發出請求的用戶進行識別,并對用戶身份的合法性進行驗證。同時還需要注意不同用戶之問的標識符都具有一定差異,經過識別和驗證后,用戶才能夠獲取進入數據庫的指令,以此確保數據信息的安全性,為用戶提供一個良好的數據應用環境。
三、增強數據信息安全保密技術
(一)數字簽名技術。在計算機網絡通信中,經常會出現一些假冒、偽造、篡改的數據信息,對企業應用數據信息造成了嚴重影響,對此,采取相應的技術保護措施也就顯得非常重要。數字簽名技術主要是指對數據信息的接收方身份進行核實,在相應的報文上面簽名,以免事后影響到數據信息的真實性。在交換數據信息協議的過程中,接收方能夠對發送方的數據信息進行鑒別,并且不能夠出現否認這一發送信息的行為。通過在數據簽名技術中應用不對稱的加密技術,能夠明確文件發送的真實性,而通過解密與加密技術,能夠實現對數據信息傳輸過程的良好控制,以免出現信息泄露的情況。
(二)接入控制技術。接入控制技術主要是指針對用戶所應用的計算機信息系統進行有效控制,實現一般用戶對數據庫信息的資源共享,這是避免非法入侵者竊取信息的另一關卡。對于需要密切保密的數據信息庫,用戶在訪問之前應當明確是否能夠登陸,及登陸之后是否涉及保密信息,以加強數據信息控制。在對絕密級信息系統進行處理時,訪問應當控制到每個用戶。在系統內部用戶非授權的接入控制中,任意訪問控制是指用戶可以隨意在系統中規定的范圍內活動,這對于用戶來說較為方便,而且成本費用也比較低廉。但是此種做法的安全性較低,如果有用戶進行強制訪問,勢必會導致外來信息入侵系統。對此,采用強制訪問方法能夠有效避免非法入侵行為,雖然安全費用較大,但是安全系數較高。
(三)跟蹤審計技術。跟蹤審計技術主要是指對數據信息的應用過程進行事后的審計處理,也就是一種事后追查手段,對數據系統的安全操作情況進行詳細記錄。通過采用此種技術,如果數據庫系統出現泄密事件,能夠對泄密事件的發生時問、地點及過程進行記錄,同時對數據庫信息進行實時監控,并給出詳細的分析報告,以保證數據庫系統的可靠性。跟蹤審計技術可以分為好幾種類型,如數據庫跟蹤審計、操作系統跟蹤審計等。這些技術的應用及實施,能夠加強對數據庫信息的安全限制,以免再次出現病毒入侵的情況。
(三)防火墻技術。防火墻技術主要是指對計算機網絡的接入進行有效控制,如果有外部用戶采用非法手段接入訪問內部資源,防火墻能夠進行識別并進行相應的反擊處理,從而將不良信息隔在網絡之外。防火墻的基本功能是對網絡數據信息進行過濾處理,同時對外來用戶的訪問進行分析和管理,攔截不安全信息,將網絡攻擊擋在網絡之外。
四、結束語
對數據信息進行安全保密管理是信息安全的關鍵,也是安全管理的核心。隨著現代科學技術的不斷發展,信息化條件下的保密工作和傳統的保密工作已經有了截然不同的特點。因此,在未來的發展過程中,對于數據信息的安全保密顯得更加重要,需要進一步改進相關技術,需要企業不斷努力。
參考文獻:
[1]趙楠 IT系統數據信息安全解決方案解析[期刊論文]-科技資訊 2013(15)
篇3
一、信息系統安全工程概述
同信息系統安全工程相關的概念,包括信息系統、信息系統安全、信息系統安全工程三方面。所謂的“信息系統”,指的是通過通信設備、計算機等軟、硬件連接,能夠成功獲取、處理、傳送、交換、存儲數據的系統,該系統包括軟、硬件,人,數據庫,規程等內容的有機組合。
對于信息系統安全而言,其主要是利用各種檢測、記錄等方法,有效地保護信息系統,避免信息交換、處理、傳送、存儲中,對信息進行未授權的訪問與修改,保障系統信息的安全性。對于信息系統安全而言,其終極目標即確保信息數據在整個系統中始終維持其完整性、保密性與實用性,為了實現該目標,必須在系統結構下實現,而非孤立地保護信息內容。
就信息系統安全工程而言,指的是利用專業化的安全技術,諸如通訊、計算機、網絡安全等技術形式,充分應用和貫穿于系統的整個生命周期中,確保組織結合系統需求,構建滿足系統所需的安全策略,賦予系統足夠的抵御威脅的能力。安全工程在信息系統中的應用,旨在利用最優費效比,提供滿足系統安全所需的解決途徑。有效的安全需求定義與風險分析,成為實現該目標的關鍵。信息系統安全工程必須提供足夠的能夠支持系統安全需求定義、風險評估、方案策略制定、方案實施的方法。
二、基于安全工程的信息系統安全管理方案
結合當前系統安全防御現狀及存在的主要問題,本文提出了基于安全工程的信息系統安全管理方案。結合安全工程思想與方法,將其運用和貫穿在信息系統安全管理的全國中,明確系統安全管理不同階段的主要活動,針對系統各環節特點,利用相應的安全管理方法,以便更好地保障系統信息的安全性。本文所提出的安全管理方案,是由各種必要的安全活動所構成的,結合系統軟件分階段實施,以便給予各環節相應的安全優勢,但是,將此類安全活動視為軟件全過程加以執行,其安全收益較分散安全活動更大。
安全工程管理的核心理念,即從系統安全出發,對系統全生命周期各環節加以集成,將安全視為系統的有機組成部分。對系統工程各階段進行安全有效性評估。系統全生命周期,主要包括規劃階段、開發設計階段、實施階段、運維階段、廢棄階段等。再加上由于運維階段變更所產生的一系列反饋,共同構成了一個完整的系統安全工程管理閉環結構。對于信息系統而言,無論對于哪一時間節點上,都必須采用綜合技術與管理方法保障系統信息的安全性。
(一)規劃階段為了確保系統的安全性,在系統規劃階段開始,就必須全面考慮到系統可能存在的安全風險,規劃過程中結合系統安全需求,實現安全工程建設同系統建設的同步性。與此同時,結合組織機構的要求與業務需求,滿足法律、政策、策略、組織等安全需求,以預期運行安全環境為依據,組織系統環境,并對安全目標加以標識,與此同時,結合未來系統可能面向的客戶、業務及運行環境,展開安全、隱私風險評估,明確系統安全目標基線,確定最低安全基線,并加以論證,此階段安全過程域即明確系統安全要求。
(二)設計階段影響系統設計安全的階段通常處于項目初期,因此,在設計過程中必須全面結合系統安全問題展開。通過安全保障方案的制定,對系統進行安全功能設計與論證,將系統規劃中所確定的安全需求,全面運用于設計各功能模塊之中,結合安全性原則,采用威脅模型建立、減小攻擊面等技術手段,進行安全功能設計。系統安全功能設計包括身份驗證、防火墻設計等。設計中可結合有關標準的安全要求,科學選取滿足系統要求的功能模塊,綜合考慮到安全風險與成本等問題,明確最佳設計方案,并對與之相匹配的安全措施加以調整,如高層安全設計、詳細安全設計等。
(三)實施階段在信息系統實施階段,通常涉及到編碼、試運、測試、交付、培訓等環節。在此過程中,通過開發設計過程中的風險控制、安全測評、管理安全等各項安全活動,保障信息系統的安全性。系統安全工程師負責實現設計內容到實施運行過程的轉化,并對系統展開綜合分析,為認證活動提供必要的威脅識別、信息保障、材料維護等輸入過程。
(四)運維階段當系統交付之后意味著系統正式步入了運維階段。在此過程中,應對系統運行中存在安全風險加以有效監控,并定期對系統安全情況進行評估,制定有效的改進方案。與此同時,利用漏洞掃描等一系列技術,進一步保障信息系統主機、網絡、通訊過程的安全性。結合系統運行需求,對安全管理流程、應急方案加以完善,以便對可能存在的安全問題進行有效應對。在這一階段,重點是對系統安全態勢進行監視,結合既定目標,對系統內外安全事件加以跟蹤和監測,并對系統安全管理進行控制。
(五)廢棄階段在信息系統廢棄階段,重點是結合風險評估,對系統軟、硬件資產、殘留信息等廢棄資源加以有效處理,保障系統升級與更新過程中始終處于一個安全狀態。
三、結束語
篇4
關鍵詞:信息技術;系統工程;安全風險
中圖分類號:F49文獻標識碼:A文章編號:1672-3198(2009)16-0259-01
1 信息系統安全度量
安全度量分為技術性安全度量、組織性安全度量以及操作性安全度量。技術性安全度量用于描述、比較技術方面的對象,如算法、規格說明書、體系結構、設計、產品以及實施的系統等;組織性安全度量用于描述組織過程、規程的有效性:操作性安全度量用于描述操作環境方面的風險.目前人們在使用安全度量這個詞時存在很多模糊和不同的含義,有研究指出,《信息技術安全評估通用準則》雖然是指導安全度量的一個非常好的標準,但它也沒有全面解決安全度量的問題,尤其是針對網絡系統的安全度量,目前仍有待于進一步的研究。
對于什么是信息系統安全度量(Security Metrics),有人認為,它是以科學法則為基礎進行測量的結果,有人認為它還應包括在主觀判斷基礎上做出的度量結論。目前這方面還存在爭議,有人還使用了具有類似含義的其他詞,如:measure, score, rating, rank, essment result等,.n。在對這些詞做出區別前,它們統一作了如下定義:信息系統安全度量(Security Metrics)是通過度量過程從一個偏序集中選擇的一個值,它表示了信息系統的信息安全相關的質量,它提供或用于產生一種關于信任程度的描述、預言或比較。
2 信息系統安全管理度量方法
在度量過程中使用何種方法對度量的有效性有著舉足輕重的影響。度量方法的選擇直接影響到度量過程中的每個環節,甚至可以左右最終的度量結果,所以需要根據系統的具體情況,選擇合適的風險度量方法。風險度量的方法有很多種,概括起來可分為三大類:定量的風險度量方法、定性的風險度量方法、定性與定量相結合的度量方法。
(1)定量度量方法:定量的度量方法是指運用數量指標來對風險進行度量。典型的定量分析方法有因子分析法、聚類分析法、時序模型、回歸模型、風險圖法、決策樹法等。
定量的度量方法的優點是用直觀的數據來表述度量的結果,看起來一目了然,而且比較客觀。定量分析方法的采用,可以使研究結果更科學、更嚴密、更深刻。有時一個數據所能夠說明的問題可能是用一大段文字也不能夠闡述清楚的。但常常為了量化,使本來比較復雜的事物簡單化、模糊化了,有的風險因素被量化以后還可能被誤解和曲解。
(2)定性度量方法:定性的度量方法主要依據研究者的知識、經驗、歷史教訓、政策走向及特殊變例等非量化資料對系統風險狀況做出判斷的過程。它主要以與調查對象的深入訪談做出個案記錄為基本資料,然后通過一個理論推導演繹的分析框架,對資料進行編碼整理,在此基礎上做出調查結論。典型的定性分析方法有因素分析法、邏輯分析法、歷史比較法、德爾斐法。定性度量方法的優點是避免了定量方法的缺點,可以挖掘出一些蘊藏很深的思想,使度量的結論更全面、更深刻,但它的主觀性很強,對度量者本身的要求很高。
(3)定性與定量相結合的綜合度量方法:系統風險度量是一個復雜的過程,需要考慮的因素很多,有些度量要素是可以用量化的形式來表達,而對有些要素的量化又是很困難甚至是不可能的,所以我們不主張在風險度量過程中一味地追求量化,也不認為一切都是量化的風險度量過程是科學、準確的.我們認為定量分析是定性分析的基礎和前提,定性分析應建立在定量分析的基礎上才能揭示客觀事物的內在規律。定性分析則是靈魂;是形成概念、觀點,做出判斷,得出結論所必須依靠的。在復雜的信息系統風險度量過程中,不能將定性分析和定量分析兩種方法簡單的割裂開來.而是應該將這兩種方法融合起來,采用綜合的度量方法。
(4)信息安全管理度量過程:風險度量過程訓就是在度量標準的指導下,綜合利用相關度量技術、度量方法、度量工具,針對信息系統展開全方位的度量工作的完整歷程.對信息系統進行風險度量,首先應確保風險分析的內容與范圍應該覆蓋信息系統的整個體系,應包括:系統基本情況分析、信息系統基本安全狀況調查、信息系統安全組織、政策情況分析、信息系統弱點漏洞分析等。
(5)實體與環境安全:實體與環境指計算機設備及計算機網管人員工作的場所,這個場所內外的環境條件必須滿足計算機設備和網管人員的要求。對于各種災害、故障要采取充分的預防措施,萬一發生災害或故障,應能采取應急措施,將損失降到最低限度。可以從以下幾個方面來檢查:
①機房周圍環境機房是否建在電力、水源充足、自然環境清潔、通訊、交通運輸方便的地方。
②機房周圍l00m 內有無危險建筑危險建筑指易燃、易爆、有害氣體等存在的場所,如加油站、煤氣站、煤氣管道等。
③有無監控系統監控系統,指對系統運行的環境、操作環境實施監控(視)的設施,及時發現異常,可根據使用目的不同配備以下監視設備,如紅外線傳感器、監視攝像機等設備。
④有無防火、防水措施防火,指機房內安裝有火災自動報警系統,或有適用于計算機機房的滅火器材,如鹵代烷1211和1301自動消防系統或滅火器。防水,指機房內無滲水、漏水現象,如機房上層有用水設施需加防水層,有暖氣裝置的機房沿機房地面周圍應設排水溝,應注意對暖氣管道定期檢查和維修。是否裝有漏水傳感器。
⑤機房有無環境測控設施溫度控制:指機房有空調設備,機房溫度保持在1824攝氏度。濕度控制:指相對濕度保持在400/"0%。潔凈度控制:機房和設備應保持清潔、衛生,進出機房換鞋,機房門窗具有封閉性能。
⑥有無防雷措施計算機機房是否符合GB-157《建筑防雷設計規范》中的防雷措施.在雷電頻繁區域,是否設有浪涌電壓吸收裝置。
(6)是否使用UPS UPS(Uninterruptible Power System)即不間斷電源,是一種含有儲能裝置,以逆變器為主要組成部分的恒壓、恒頻的不間斷電源。主要用于給單臺計算機、計算機網絡系統或其它電力電子設備提供不間斷的電力供應。
參考文獻
[1]李河.推進信息化構建和諧社會[J].大連干部學刊,2005,(8):32-33.
篇5
關鍵詞:高速鐵路;高鐵信號系統;信息網絡安全;軟件定義網絡;新型鐵路信號系統
中圖分類號:TP393 文獻標識碼:A
SDN高速鐵路信號體系是一種新型的軟件定義網絡模式,這種模式與高速鐵路信號系統網絡的安全性密切相關,為了提升高速鐵路工程的工作效益,需要做好信號安全數據、分散自律調度集中網絡等的管控及隔離工作的要求,從而實現對網絡流量的統一性管理,這都離不開統一性控制器的應用,做好整體設備的注冊管理工作,確保安全通問控制工作的有效開展,從而實現該工程信號系統安全性的提升,降低網絡安全管理復雜性。
一、高速鐵路信號系統的網絡安全性概念
1.高速鐵路工程系統的網絡架構具備可在線編程、集中管控性、統一安全性的特點,這種網絡架構滿足高速鐵路工程的日常信號管理需要,有利于網絡安全管理工作的穩定開展,這種模式比分散性網絡管理具備更高的工作效率,通過對這種模式的應用及普及,可以解決高鐵信號系統的網絡安全性管控問題。
鐵路運輸體系是我國基礎交通體系的重要組成部分,為了確保該工作的穩定運行,必須進行其整體安全性的控制,這里的安全性主要包括兩個方面的工作。第一是工程系統網絡安全性的保證,這種系統網絡不能因為內部的一些故障而停止工作,最終的工作目的是降低工作過程中的故障率,避免因為設備及網絡故障,而信系統出現一系列的危險問題。
另一方面的安全性主要是指系統網絡具備良好的抵抗外部入侵的能力,具備良好的操作安全性。高鐵信號系統的開展離不開其整體網絡的安全性,該信號系統具備其獨特的網絡,這一定程度上確保了該系統的安全性,但是這并不代表這種系統不存在網絡病毒散播的問題。隨著社會網絡信息化體系的健全,計算機網絡化日益普及,各種新型的網絡病毒不斷產生,比較常見的病毒有震網病毒,這種病毒對于工業管理系統極具殺傷力。隨著時代的發展,社會經濟對于高鐵信號系統的要求越來越高,高鐵信號系統必須具備更強的數據共享性,需要具備豐富的通信數據,這就進一步提升了高速鐵路系統的開發性,不利于進行高速鐵路信號安全性的控制。
為了滿足信息化時代的交通工作要求,進行鐵路信號系統的現代化管理是必要的,為了確保交通工程系統的穩定運行,需要保證鐵路信號系統信息化及網絡化過程安全性,滿足現代交通企業信息化管理工作的要求。這就需要我國的鐵路信號系統轉變傳統的管理模式,進行智能化、自動化管理技術的升級,實現計算機模塊、控制模塊、通信模塊等的協調,在這個過程中,以太網技術不斷流行,這種技術具備良好的數據傳輸可靠性、實時性。
無論是信息通信環節、通信數據庫構建環節、內部資源優化配置環節,以太技術的應用都能取得良好的工作效益。極大地滿足了現代化工業控制系統的工作要求。隨著時代的發展,以太網技術體系日益健全,在控制系統網絡中,以太技術實現了大規模的普及,無論是控制系統網絡還是鐵路信號控制系統都能看到以太網應用的縮影。
2.時代的不斷發展,需要工業控制系統具備更強的信息共享性,震網病毒的出現,讓工業控制網絡系統的安全性問題更加引起世界各界的重視,面臨著日益嚴峻的網絡信息安全問題,進行大容量、實時性、可靠性數據信息傳遞及交互技術的應用是必要的,比如進行GSM無線通信技術的引進,在地面設備系統中,進行無線閉塞中心及無線通信網絡系統的應用。
無線公共信道是GSM通信系統信號的重要實現途徑,這種渠道的應用,讓鐵路信號系統網絡具備更強的開發性,但是這也一定程度上加大了鐵路信號系統信息的擴散威脅性。我國的鐵路信號體系實現了4個模塊的結合,分別是GSM通信網絡模塊、集中監測網絡模塊、信號安全數據網絡模塊、信號網絡基礎模塊。在實際工作中,鐵路信號系統網絡結構比較復雜,其內部存在各種網絡模式,這些網絡模式具備不同的安全等級,它的網絡設備內部設置比較復雜,存在較大的維修困難問題,現階段鐵路信號系統的整體安全性比較低,缺乏統一性的安全策略,難以滿足現代化鐵路工程智能化、集中管理化等的工作要求。
3.我國的鐵路信號信息安全系統并不具備較強的安全防護等級,缺乏比較先進的病毒防控、隔離等技術,防火墻技術比較落后,難以滿足我國鐵路通信應用協議的工作規范要求。為了進一步提升鐵路信號設備通信的安全性及可靠性,需要進行鐵路信號系統安全通信數據網絡的優化,做好一系列的信息安全防護措施。
為了解決現階段高速鐵路工程信息安全性問題,必須進行信號系統網絡整體架構的優化,提升信號系統的整體網絡安全性,做好詳細地分析工作,進行鐵路信號系統內部子系統接口安全性的分析,實現信號網絡系統系統網絡由高安全等級工程網絡的轉換,這就需要進行SDN鐵路信號系統網絡安全性方案的應用,做好該系統功能的特性分析工作,進行基于軟件定義鐵路信號鐵路系統網絡的應用。
二、信號系統網絡內部結構的優化
鐵路信號系統的內部配置具備較強的復雜性,它不是簡單的信號設備的結合,而是由不同層次的控制模塊構成的,這些控制模塊的功能不一,但是又能相互協作,共同實現鐵路信號系統的安全運行。鐵路信號系統的內部各個要素之間相互聯系,為了現階段的安全防護要求,工作人員需要進行該系統內部資源的優化配置,深入了解其復雜的系統性結構,確保高鐵信號系統的穩定運行。
高鐵信號系統的內部構造比較復雜,由信號集中監測系統、行車指揮系統等構成,列控系統主要由無線閉塞中心、列控中心、傳輸網絡、應答器等構成。行車指揮系統由服務器系統、信號網絡基礎中心、自律分機等構成。信號集中監測系統由列車控制中心、軌道鐵路系統、信號設備連接系統、信號網絡系統通信網絡系統等構成。區別于集中監測網絡的安全性,信號安全通信數據網具備獨立成網性,其實現了物理手段隔離模式的應用,理論上來說,信號網絡系統通信網絡系統、通信數據網系統、集中監測網絡相互隔離卻又相互滲透。
三、信號系統網絡接口方案的優化
1.為了提升高鐵工程信號系統的安全性,必須實現列車與RBC無線承載控制系統的連接,確保其良好的連接性,這需要做好RBC系統與列車的連接確認工作,保證列控中心指令的正確傳達,通過對以太網的應用,實現聯鎖模塊及列控模塊的有效協調,這兩個模塊之間不需要進行防火墻的隔離設置,因為一旦隔離,就可能影響到數據傳輸的實時性及安全性,這不利于鐵路數據信息數據的傳輸要求。為了滿足實際工作的要求,必須保證地面設備及列車車載設備的相互通信,確保其與列控系統之間的信息傳遞。在這個過程中,信息傳遞差異是客觀存在的,這是由于列控中心與地面設備的距離性導致的,這種差異性很可能導致行車精確性的降低。IP安全數據通信網是臨時限速服務器及RBC系統的連接網絡,這種連接網絡的應用,可以確保鐵路信號系統傳遞的安全性,這兩者之間沒有進行防火墻的安全防護設置。
在高鐵工程信號系統的應用過程中,局域網通信協議是常見的網絡配置模式,信號網絡系統系統與上位機,信號網絡系統分機與上位機的接口,都是聯鎖系統的常見內部配置模式,這些接口之間并非進行安全通信協議的應用,但應用了防火墻防護方案。客觀上來說,信號網絡系統系統具備非安全性,為了確保系統邊界防護效益的提升,必須進行安全通信協議的應用,確保上位機及信號網絡系統分機接口的安全通信協議的應用,通過對這兩者安全通信協議的應用可以避免這兩種網絡體系的相互滲透問題,避免以太網控制網系統內部要素的相互滲透狀況。
2.信號網絡系統及上位機并不能進行控制指令的傳遞,一旦采用安全協議,必然會導致信號網絡系統分機與上位機數據傳遞效率的降低,但是這并不影響控制系統的核心功能,通信系統部分軟件性能的提升,并不會增加該系統的維護成本。集中監測系統車站分機及維修機間的接口并未進行防火墻防護,采用的是IP協議及安全通信協議,客觀來說,集中監測系統并非安全性系統,為了提升工程信號系統的安全性,必須實現集中監測系統及維修機安全網絡等級的提升。
高鐵列車的安全運行離不開列車控制模塊的開展,列控中心系統、計算機聯鎖系統、臨時限速服務器系統等都將直接影響到高鐵列車的安全運行,信號安全數據網需要為最高等級的網絡子系統,信號網絡系統系統網絡負責現場設備及其相關網絡子系統的控制工作,集中監測系統主要負責故障信息的報警,現場設備狀態的監測等工作,并不負責列車及設備的控制工作,其整體安全性等級較低。列車的控制系統與集中監測網絡并無太大的關聯。
3.信號安全數據網絡進行了一系列服務器的設置,進行了不同種專用操作系統的應用,比如FreeBSD、Linux系統等,這些操作系統內部并沒有進行安全功能的設置,由于信號系統的自身復雜性,其軟件變更的周期比較長,為了保證信號信息的安全性,必須做好信號系統的徹底測試工作,確保信號系統的整體優化,從而保證系統可靠性及安全性的提升。這就需要做好信號系統軟件的及時更新工作,避免出現具備威脅性的漏洞,從而避免被網絡黑客攻擊。
以信號網絡系統車站局域網為基點,有兩種方法可以威脅到高鐵工程信號系統的安全性,第一條途徑是由信號網絡系統車站子系統到信號網絡系統中心系統,在這個步驟中,一旦取得BC接口服務器的控制器,就會由信號安全數據網的服務器入侵到信號安全數據的子系統中。第二條途徑與第一條途徑類似,第二條途徑的威脅在于臨時限速接口服務器控制權的獲得,如果不能實現與臨時限速接口連接的路由器的良好配置,就會威脅到信號安全數據網的信息傳遞。
為了提升高鐵工程信號系統的安全性,需要實現統一安全管控方案的優化,這種方案基于SDN模式的應用,這種系統具備新型的網絡內部架構,實現了路由器及交換機數據平面及控制平面的分離,由網絡操作系統為上層進行網絡資源的提供,實現了網絡虛擬化,進行網絡虛擬化層的形成,通過不同控制程序的應用,實現了不同網絡虛擬化模塊的數據傳遞。高鐵信號系統由集中監測網絡、信號網絡系統系統網絡、信號安全網絡系統構成,這三者之間互為獨立性的物理網絡,物理手段的使用可以讓這三者之間實現隔離,這就進一步加大系統間接口的復雜性,這些系統結構的安全等級不同,容易出現維修管理難問題,從而不利于鐵路工程信號系統整體安全性提升。
4.軟件定義高鐵信號系統網絡的應用,以SDN架構為基礎,通過對信號系統復雜性網絡安全管理問題的解決,實現了工程信號系統整體安全性的提升。該網絡的穩定運行離不開3個工作模塊的結合,需要實現集中監測網絡、信息安全網絡、信號網絡系統系統工作網絡的結合,在SDN應用結構的基礎上,實現網絡硬件平臺的利用,保證分布式控制技術的統一性應用。這種鐵路信號系統網絡基于網絡硬件平臺的應用,通過對網絡虛擬化技術的使用,實現了系統不同功能子網的協調,確保了軟件隔離網絡的高效化、可控化,有利于提升信號系統網絡安全性。
四、網絡統一安全管控系統的健全
1.為了提升高速鐵路工程信號系統的安全性,需要做好設備開啟的網絡服務認證工作,做好不同設備網絡服務的注冊及認證工作,這需要在鐵路設備資產安全管理服務器上進行操作,針對那些非認證服務及訪問關系,網絡控制器禁止其使用網絡,這有利于提升網絡服務模塊的管控強度,實現合理化網絡服務模塊與其他服務模塊訪問關系的確定,實現業務通信管理矩陣的制定。在網絡控制器的操作過程中,通過對通信管理矩陣的使用,實現各個設備及程序的網絡服務資源的強制控制工作,確保全局安全通信的管理及訪問控制工作效率的提升。
在該系統的運作過程中,網絡控制器可以實現不同數據包來源的標識及記錄工作,實現數據包及其來源信息的綁定準確性的提升。在這個過程中,如果網絡安全檢測設備發現異常,就會追溯故障的源頭,如果發現業務數據的異常問題,就可以根據綁定信息,做好異常設備的迅速定位工作,實習高速鐵路信號系統信息安全性及網絡安全性的提升,降低不同系統接口之間的安全威脅問題,確保GSM系統安全性的提升,實現低安全網絡系統向高安全等級網絡系統的滲透。
2.高速鐵路工程信號系統的日常工作,需要建立在安全性分析的基礎上,信號系統網絡的探索工作,進行鐵路信號系統新型網絡架構的提出,在此基礎上,落實好信息系統資產注冊及其相關問題,做好信息系統的服務管理工作,落實好網絡數據的信息追蹤工作,實現系統內部不同模塊的訪問控制工作,實現我國高速鐵路信號系統整體網絡安全性的提升,降低信號系統的日常管理難度,實現我國高鐵信號系統網絡的穩定發展。
結語
通過對高速鐵路工程信號系統的安全及管理模式的應用,可以滿足現代化高鐵工程信號系統的管理要求,保障了高速鐵路工程信號系統的整體安全性,實現了數據信息的安全性傳遞。
⒖嘉南
[1]禹志陽.高速鐵路信號系統集成、測試技術及“走出去”策略[J].鐵路通信信號工程技術,2015(1):12-14.
