张志鹏

摘 要：随着目前轨道交通的不断发展，轨道交通信息的价值也越来越重要，需要对轨道交通信息进行安全防护。在当前轨道交通信息安全防护方面，为能够保证轨道交通信息的安全性，需要以网络隔离技术为基础，实行的有效的安全防护设计，对轨道交通信息进行更有效保护，避免出现信息安全问题，为轨道交通的更好运行及持续良好的发展提供更好支持及依据。

关键词：网络隔离技术;轨道交通信息;安全防护;设计

轨道交通是现代城市交通中的一种重要方式，保证城市轨道交通的安全稳定运行十分必要，这就需要确保各个方面的安全性，而轨道交通信息安全就是其中比较重要的一个方面，这就需要有效进行轨道交通信息安全防护。基于此，本文主要针对基于网络隔离技术的轨道交通信息安全防护设计进行分析，确保安全防护设计可以得到满意的效果，更好保证轨道交通信息安全性，满足轨道交通的实际需求及要求。

1 城市轨道交通信息安全现状

就目前的互联网发展实际情况来看，网络设备的维护及管理、资产调配及安全监测等相关内容，均选择单线模式，不同系统之间都是独立建设的，并且彼此之间孤立存在，在异域上也表现出异构性，在系统管理方面与各个分公司具备的配置相互对应，与基于网络化统筹的管理体制之间存在不匹配的情况。同时，在信息采集及获取方面也是局限在单点、线及面等层面，基础信息整合相对比较缺乏，无法实现统一的分析处理，有关部门之间的信息共享缺乏畅通，在运营指挥及网络综合管理、维修及调配方面，缺乏有力的信息支持以及保障，影响运行及管理，具体分析如下。

在当前的有些生产网络中，每条线路通常都是以控制中心作为中心，不同业务应用系统之间独立形成网络。线路中心的设备都是单点存在的，不存在隔离汇聚情况，不同的线路中心之间存在隔离情况，异常流量会对全部线路产生影响。生产系统使用的是管理网络。各个业务机构依据业务开展的实际需求，与计算机资源网络之间进行无序联通，且随意连接数据、应用及服务接口。另外，在当前的计算机资源网络中，在每条线路中都具备边界独立的网络，这些网络将控制中心作为中心。此外，在各个项目公司、运营公司及运营中心与维保中心内，还有集中办公场所中，都存在独立性的计算机网络，公众网络基本上都是无序连接[1]。

2 基于网络隔离技术的轨道交通信息安全防护设计策略

2.1 安全防护设计目标

为能够使安全防护设计的技术方案更加具有适用性及合理性，不但需要对安全管理的具体要求理解，在确保最小投入获得最大效益的基础上，还需要保证在安全管理方面提供比较容易操作的相关平台。在实际设计过程中，应当以安全域划分作为依据，将生产网与管理网之间的区域间隔作为重点隔离内容，使两个大区之间可以实现单向隔离。对于信息网络安全框架层面，保证生产网区及管理网区中可以实现分区管理及稳定过渡。在生产网络内构建全局网管，并且针对安全事件构建分析、发现以及预告警与审计、处理等有关的软件系统。生产网络网管及安管系统要能够保证合理进行安全域管控，保证网络状态的可视性，使信息流及数据流可以实现可控性，相关安全事件可以实现发现、追溯及审计。生产网络在对外服务方面要能够实现基本不存在漏洞，各项业务可以实现稳定过渡。

2.2 数据物理链路的设计

对于数据物理链路的设计，其设计结构图如下图所示。

其中，1号链路。这一链路为单向推送链路，具体来说就是生产网区FEP在经过单向隔离区，由运管平台的出入口VSS所经过的链路。这一项目的决定因素就是单向隔离装置类型，若选择单向隔离方式，则在单向隔离装置两侧，需要配置应用服务开关，且需要利用服务网关实现协议桥接、授权及数据加密与接口的统一管理，可以使系统内部的数据及文档实现无缝连接。

2号链路。这一项主要就是指由VSS到运管FEP，再到运管平台内部的相关计算资源池，共包含两条链路，并且这两条链路是同时存在的，其中一条为直接到运管数据仓库，另一条为操作数据集的应用，在操作完成之后，一次数据及二次数据同时到运管数据仓库内。

3号链路。这一链路就是由VSS到外部网络，其作用就是FEP直接数据及文档，在通过防火墙及B2B服务网管与公众网络进行连接时。同时，利用这一链路，外部的有关非结构化数据及信息流与文档等可以与数据仓库中的相关大数据应用平台连接，然后再连接到EDS。

4号链路。这一链路为VSS到管理网络的相关核心内容，可以提供给终端用户进行运管平台的访问。

5号链路。这一链路就是将运管平台当做数据中心内部子节点，实现内部高速连接，使防火墙、存储资源池及计算资源池与网络资源池等实现一体化整合[2-3]。

2.3 单向隔离的内容透传设计

在这一方案设计中，选择内外网络两套ESB总线，在中间部分选择单向UDP传输协议实现级联，从而使通用通道架构得以形成，具体方案拓扑如下。该方案主要包括五个部分的内容，分别为生产网络前置区、交换区以及单向推送隔离区，还有交换区及网络管理前置区。其中，对于生产网络前置区，在这一区域共布置两台ESB服务器，通过数据总线形式实现COCC/ACC中相关结构数据化、实时数据流及应用接口与文件等内容的采集及聚集，依据缓存要求、传送频度要求及业务数据落地要求等，使各个方面落地在数据服务器中。在生产网络侧交换区内，其中主要包含两台交换机，相关背板级联可以使双机虚拟交换机形成，利用路由方式连接COCC/ACC核心交换机，使通讯链路得以形成。在单向推送隔离区之内，对中间单向推送装置而言，其只能支持以UDP协议为基础的单点对口传输。选择双机冗余方式，由于在两侧选择ESB消息总线方式实现级联，因而两台单向推送隔离装置，将其当做两条单向推送的透明通道进行应用。最后，对管理网络侧交换區及数据前置区，这两个区域基本上与生产网络数据前置区之间是对等关系，其区别就是在通过接口服务器实现接口服务时，在ESB总线构建完成之后，将服务总线注册进入，实现统一化管理[3]。

3 结语

在当前的轨道交通信息的安全防护中，为能够使安全防护得到满意的效果，需要以结合网络隔离技术进行安全防护设计。作为设计人员，应当对轨道交通信息安全现状加强认识，在此基础上通过与网络合理技术相结合，从各个方面入手进行信息安全防护的合理设计，使信息安全防护得到满意的效果，使信息安全得到更好保证。

参考文献：

[1]林晓伟.城市轨道交通综合监控系统信息安全建设方案[J].工业控制计算机，2020，33（12）：121-122+132.

[2]党晓勇.城市轨道交通综合监控系统信息安全防护方案研究[J].电气化铁道，2020，31（S1）：133-136.

[3]李跃.基于网络隔离技术的轨交信息安全防护设计[J].网络安全技术与应用，2017（8）：27-28.