前言：尋找寫作靈感？中文期刊網(wǎng)用心挑選的地鐵網(wǎng)絡(luò)安全管理有效性探究，希望能為您的閱讀和創(chuàng)作帶來靈感，歡迎大家閱讀并分享。

摘要：地鐵網(wǎng)絡(luò)通常使用內(nèi)部專網(wǎng)和防火墻結(jié)合的網(wǎng)絡(luò)防御方式，使用物理隔離和監(jiān)視端口的方法阻斷和監(jiān)視外網(wǎng)數(shù)據(jù)。但是網(wǎng)絡(luò)功能的擴展存在限制，內(nèi)部接口的防御存在不足，網(wǎng)絡(luò)安全缺少明確的管理措施和智能化的技術(shù)手段。地鐵作為軌道交通的主要方式，需要不斷引入新技術(shù)，提升服務(wù)質(zhì)量，新的服務(wù)技術(shù)數(shù)據(jù)需要可靠的網(wǎng)絡(luò)管理，對接入的網(wǎng)絡(luò)數(shù)據(jù)實現(xiàn)分級和智能防御提出要求。SCADA管理系統(tǒng)是保證地鐵中電力、廣播、閉路電視等系統(tǒng)的正常運行的核心系統(tǒng)，具有良好的穩(wěn)定性和冗余功能，地鐵的網(wǎng)絡(luò)安全管理應(yīng)充分發(fā)揮SCADA系統(tǒng)優(yōu)勢，結(jié)合防火墻和入侵防御系統(tǒng)，識別和阻止破壞行為。文章分析地鐵網(wǎng)絡(luò)安全管理中存在的問題，針對問題提出合理的改善措施，為地鐵網(wǎng)絡(luò)安全建設(shè)提供參考。

關(guān)鍵詞：地鐵網(wǎng)絡(luò)安全；SCADA；入侵防御

國家軌道交通需求旺盛，地鐵智能化服務(wù)應(yīng)用廣泛，地鐵網(wǎng)絡(luò)數(shù)據(jù)量呈大幅增長趨勢，軌道交通的發(fā)展對網(wǎng)絡(luò)的通信形式和質(zhì)量提出要求，對網(wǎng)絡(luò)傳輸?shù)膶崟r性、可靠性和安全性提出更高的要求[1]。地鐵運營部門需要對地鐵網(wǎng)絡(luò)的安全意識、防御措施、管理模式等方面進行全面提升。本研究針對地鐵網(wǎng)絡(luò)安全管理的有效性提出有效論述，為地鐵網(wǎng)絡(luò)安全建設(shè)提供參考。

1地鐵網(wǎng)絡(luò)安全管理中存在的問題

1.1缺少網(wǎng)絡(luò)安全管理意識，危機意識不足

地鐵網(wǎng)絡(luò)安全管理指通過技術(shù)和管理手段，保證地鐵網(wǎng)絡(luò)的通信正常。地鐵網(wǎng)絡(luò)化運營越來越受關(guān)注，網(wǎng)絡(luò)的安全管理過程中，網(wǎng)絡(luò)平臺相對開放，互聯(lián)網(wǎng)的優(yōu)勢來自其互聯(lián)性與開放性，以網(wǎng)絡(luò)服務(wù)為核心將現(xiàn)有的社會資源進行優(yōu)化配置[2]。地鐵屬于公共交通系統(tǒng)，在以網(wǎng)絡(luò)為基礎(chǔ)的平臺上，網(wǎng)絡(luò)安全必須獲得足夠重視，如果網(wǎng)絡(luò)出現(xiàn)安全漏洞，將導(dǎo)致依靠地鐵網(wǎng)的運營工作無法高效開展，甚至出現(xiàn)網(wǎng)絡(luò)癱瘓問題，造成損失。因此，地鐵設(shè)施的設(shè)計者和地鐵運營的維護者必須提高網(wǎng)絡(luò)安全的管理意識，提供高效可靠的網(wǎng)絡(luò)品質(zhì)。

1.2網(wǎng)絡(luò)防御手段單一，智能防御能力不足

目前，地鐵網(wǎng)絡(luò)防御的方式為使用防火墻進行隔離，防御方式單一，僅可以實現(xiàn)對已知入侵方式的防御，面對未知的入侵方式和內(nèi)部接口的侵入破壞時，無法實現(xiàn)智能防御。隨著科技手段發(fā)展，入侵技術(shù)在不斷改變，入侵方式更加隱蔽。大數(shù)據(jù)時代到來，乘客對地鐵乘行的需求不斷提升，地鐵網(wǎng)絡(luò)的各種服務(wù)勢必借助互聯(lián)網(wǎng)提升服務(wù)質(zhì)量，各種新的科技產(chǎn)物逐漸被應(yīng)用至地鐵服務(wù)中，如智能指路牌、無人駕駛、人臉識別、體溫檢測等。新技術(shù)的普及主要依靠網(wǎng)絡(luò)，地鐵服務(wù)對網(wǎng)絡(luò)的依賴性不斷增加，網(wǎng)絡(luò)的安全性需求越發(fā)凸顯，必須提升網(wǎng)絡(luò)智能防御能力，保證地鐵網(wǎng)絡(luò)系統(tǒng)的安全運營。防火墻防御如圖1所示。

1.3網(wǎng)絡(luò)安全管理制度存在不足，智能化不足

城市軌道交通管理系統(tǒng)龐大而復(fù)雜，必須做好軟件方面的防御，系統(tǒng)的安全運行還需依靠工作人員的合理使用。工作人員對管理系統(tǒng)的使用需要接受專業(yè)人員科學指導(dǎo)，遵守安全管理制度。軌道交通具有復(fù)雜性，工作人員難以掌握所有網(wǎng)絡(luò)設(shè)備的使用方法，需要實行智能化管理，制定科學的管理方法、配套分級的管理制度，提高技術(shù)手段，降低地鐵網(wǎng)絡(luò)被破壞的風險，提升管理效率，如配備電子鑰匙、設(shè)置區(qū)域登錄等級、智能區(qū)分不同場合操作權(quán)限以及遇到突發(fā)情況時相應(yīng)處理等措施。

2完善地鐵網(wǎng)絡(luò)安全管理的措施

2.1完善人員安全培訓(xùn)，提高網(wǎng)絡(luò)安全意識

地鐵網(wǎng)絡(luò)安全管理過程中，網(wǎng)絡(luò)安全管理工作的有效開展依靠工作人員的實際操作，工作人員的安全意識增強可以大幅降低網(wǎng)絡(luò)的潛在威脅。運營單位在工作過程中應(yīng)重視工作人員的安全意識問題，定期對工作人員進行安全培訓(xùn)，培養(yǎng)工作人員的網(wǎng)絡(luò)安全責任意識，通過網(wǎng)絡(luò)安全管理培訓(xùn)與實際工作監(jiān)督提高工作人員網(wǎng)絡(luò)安全意識。需定期開展網(wǎng)絡(luò)安全管理培訓(xùn)，網(wǎng)絡(luò)安全管理是不可見的安全準則，容易產(chǎn)生疏忽，工作人員在工作過程中如果不能夠充分重視網(wǎng)絡(luò)安全運營的重要性，可能產(chǎn)生網(wǎng)絡(luò)安全隱患，如不規(guī)范使用U盤導(dǎo)致木馬植入、遠程操控使外部數(shù)據(jù)直接進入管理系統(tǒng)等行為。網(wǎng)絡(luò)安全培訓(xùn)過程中，應(yīng)強化工作人員網(wǎng)絡(luò)安全管理意識，將容易忽視的風險以及風險可能造成的嚴重后果作為重點內(nèi)容開展培訓(xùn)，提高工作人員網(wǎng)絡(luò)安全責任感。制定網(wǎng)絡(luò)突發(fā)情況預(yù)案，組織工作人員進行突發(fā)網(wǎng)絡(luò)問題的實際演習，提升在網(wǎng)絡(luò)發(fā)生重大問題時的應(yīng)急處理能力，保證地鐵安全運行，降低損失。

2.2提升預(yù)防技術(shù)，實現(xiàn)智能防御

技術(shù)防御手段是保證網(wǎng)絡(luò)安全的主要措施，網(wǎng)絡(luò)入侵手段會隨網(wǎng)絡(luò)技術(shù)的發(fā)展而改變，網(wǎng)絡(luò)防御技術(shù)需要進行智能化改造，才能夠全面識別非法網(wǎng)絡(luò)行為，保障網(wǎng)絡(luò)安全。傳統(tǒng)防御手段中，通常使用防火墻實現(xiàn)對內(nèi)網(wǎng)和外網(wǎng)的隔離，阻止非法用戶進入內(nèi)網(wǎng)。但是新的入侵行為不斷改變，可能使用監(jiān)聽口令、植入木馬、偷取特權(quán)等方法進入內(nèi)網(wǎng)。在將防火墻作為第一重防御措施的同時，應(yīng)配合使用入侵防御系統(tǒng)，使用入侵檢測監(jiān)視網(wǎng)絡(luò)行為，建立第二套防御措施，同時配合使用深度學習等算法，實現(xiàn)主動學習、智能升級的效果。深度學習是模擬人腦的神經(jīng)網(wǎng)絡(luò)方法，可以在一定限度上再現(xiàn)人類對問題的思考和學習過程[3]，識別更隱蔽的入侵行為并阻止破壞，對潛在的入侵行為進行智能防御。深度學習網(wǎng)絡(luò)包括深度神經(jīng)網(wǎng)絡(luò)、卷積神經(jīng)網(wǎng)絡(luò)、循環(huán)神經(jīng)網(wǎng)絡(luò)、深度信念網(wǎng)絡(luò)和自編碼器[4-6]，可以應(yīng)用于不同需求。地鐵網(wǎng)絡(luò)以SCADA系統(tǒng)為核心，實現(xiàn)乘客咨詢、綜合安防、通信、售檢票等功能[7]。地鐵網(wǎng)絡(luò)環(huán)境復(fù)雜，對安全服務(wù)等級具有嚴格要求，中心、車站、車輛段對網(wǎng)絡(luò)的需求存在差異，中心和車輛段以內(nèi)網(wǎng)服務(wù)為主，車站兼具內(nèi)網(wǎng)服務(wù)和外網(wǎng)服務(wù)，入侵防御方法應(yīng)根據(jù)地鐵網(wǎng)絡(luò)的實際情況進行智能化處理。（1）對SCADA系統(tǒng)運行的服務(wù)器配置入侵防御系統(tǒng)。地鐵入侵防御系統(tǒng)的防御包括預(yù)處理、檢測、防御和管理四大功能模塊。地鐵入侵防御系統(tǒng)對連接數(shù)據(jù)進行預(yù)處理，提取連接數(shù)據(jù)的特征行為；入侵防御系統(tǒng)對網(wǎng)絡(luò)數(shù)據(jù)的格式進行判斷，地鐵網(wǎng)絡(luò)的數(shù)據(jù)具有規(guī)定的格式，數(shù)據(jù)格式可以作為入侵防御的初步判斷，入侵防御系統(tǒng)直接將傳輸數(shù)據(jù)按照指定格式進行解析，針對無效數(shù)據(jù)和異常數(shù)據(jù)可以直接進行防御并記錄日志，阻斷非法入侵行為，符合格式的數(shù)據(jù)進入深度檢測模塊，通過深度學習對網(wǎng)絡(luò)行為進行判斷，發(fā)現(xiàn)行為存在異常時，立刻進行阻斷，將入侵行為記入日志；發(fā)現(xiàn)的網(wǎng)絡(luò)入侵行為及時提醒工作人員進行處理，通過技術(shù)和管理雙重手段，阻斷非法網(wǎng)絡(luò)訪問；由工作人員使用SCADA系統(tǒng)，完成對入侵防御系統(tǒng)的管理和升級。（2）入侵防御系統(tǒng)將SCADA系統(tǒng)作為數(shù)據(jù)存儲和升級的基礎(chǔ)。評估SCADA受網(wǎng)絡(luò)攻擊可靠性的影響有助于分析SCADA的薄弱環(huán)節(jié)，有針對性地對漏洞采取相應(yīng)的防御措施[8]，對地鐵控制系統(tǒng)安全具有同樣影響。入侵防御系統(tǒng)將入侵防御特征數(shù)據(jù)存入SCADA系統(tǒng)，對入侵的行為進行防御的同時能夠動態(tài)地提升防御能力，實現(xiàn)智能防御。SCADA系統(tǒng)具有強大的計算能力和高效的冗余能力，能夠保證入侵防御系統(tǒng)及時地獲取和分享最新的防御數(shù)據(jù)，在出現(xiàn)服務(wù)器切換的情況時減少切換時間，保證入侵防御系統(tǒng)的持續(xù)防御，提高入侵防御系統(tǒng)的可靠性和穩(wěn)定性。（3）中心和車站的SCADA系統(tǒng)共享數(shù)據(jù)，防御系統(tǒng)智能升級。車站的網(wǎng)絡(luò)分布較分散，如果由中心服務(wù)器防御全部網(wǎng)絡(luò)攻擊，耗時且會增加系統(tǒng)負擔。因此，將入侵防御系統(tǒng)同時部署在中心、車站、車輛段等多個服務(wù)器，各站SCADA系統(tǒng)定期分享入侵行為的特征數(shù)據(jù)，用于全線深度學習網(wǎng)絡(luò)對入侵行為的識別訓(xùn)練，訓(xùn)練結(jié)果通過SCADA系統(tǒng)分享到各個車站，實現(xiàn)全線車站的智能升級，可以降低中心服務(wù)器的防御壓力，提高SCADA全線的入侵行為識別能力，實現(xiàn)全線共同防御入侵、一站發(fā)現(xiàn)、全線升級的智能防御效果。地鐵入侵防御升級流程如圖3所示。

2.3制定網(wǎng)絡(luò)安全規(guī)章制度，提高智能管理能力

在地鐵網(wǎng)絡(luò)安全管理過程中，除了提高網(wǎng)絡(luò)安全意識，做好技術(shù)防護外，還需要建立網(wǎng)絡(luò)安全隱患預(yù)防工作制度和智能化的管理模式。網(wǎng)絡(luò)安全管理工作的目的是預(yù)防網(wǎng)絡(luò)威脅，處理網(wǎng)絡(luò)安全事故，保證地鐵網(wǎng)絡(luò)的各項服務(wù)能夠正常運行。根據(jù)網(wǎng)絡(luò)安全專業(yè)人員的指導(dǎo)，區(qū)分不同安全等級場所，制定相應(yīng)的安全守則和工作制度；工作人員需要認真遵守工作制度，在確保網(wǎng)絡(luò)安全的前提下工作；地鐵公司應(yīng)定期安排專業(yè)人員進行安全檢查，內(nèi)部網(wǎng)絡(luò)安全必須作為整體安全管理的重要組成部分，計算機網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)安全應(yīng)同時進行[9]，對外接存儲設(shè)備、外接服務(wù)器等行為以及安裝的應(yīng)用程序進行安全判定，排除網(wǎng)絡(luò)風險。地鐵網(wǎng)絡(luò)管理如圖4所示。智能化管理模式需要提升網(wǎng)絡(luò)安全管理能力，提升管理效能。在SCADA系統(tǒng)管理的基礎(chǔ)上，根據(jù)不同用戶的操作需求和權(quán)限，分配電子鑰匙和電子識別卡，設(shè)置分級管理制度，包括內(nèi)網(wǎng)和外網(wǎng)分級管理，重要場所進入權(quán)限，內(nèi)網(wǎng)權(quán)限分級管理，增加登錄權(quán)限驗證，設(shè)置防火墻和入侵防御系統(tǒng)等，對不同的登錄場合分配相應(yīng)權(quán)限，可以降低工作強度，提高管理效能。

3結(jié)語

地鐵建設(shè)對網(wǎng)絡(luò)安全的要求逐步提升，地鐵建設(shè)和運維單位需要在提高網(wǎng)絡(luò)安全意識、提高網(wǎng)絡(luò)安全技術(shù)防御手段、制定相應(yīng)規(guī)章制度和管理模式方面進行改進，在意識上足夠重視、在技術(shù)上不斷提升、在管理上遵守規(guī)章制度，降低地鐵網(wǎng)絡(luò)的安全風險，更好地保證地鐵網(wǎng)絡(luò)系統(tǒng)的安全，為地鐵的SCADA系統(tǒng)提供穩(wěn)定的通信環(huán)境，確保地鐵服務(wù)系統(tǒng)功能正常，保障地鐵安全運行，同時提供各種網(wǎng)絡(luò)服務(wù)，為地鐵網(wǎng)絡(luò)化、智能化是提供高效穩(wěn)定的網(wǎng)絡(luò)資源，為乘客提供更好、更優(yōu)質(zhì)的乘行體驗。

作者:高蕾 王聲柱 李虹江 虞鴻基 趙黎明 單位:北方國際合作股份有限公司 南京國電南自軌道交通工程有限公司