防火墻技術在鐵路列車調度指揮系統中的應用研究

伴隨著我國鐵路信息化迅猛發展, 鐵路核心生產業務信息化水平不斷提高, 鐵路列車調度指揮系統 (以下簡稱TDCS) 迅速覆蓋全路。與此同時, 鐵路計算機網絡安全正逐漸成為一個潛在的巨大問題。因此發展鐵路信息系統網絡安全技術的應用研究, 建設鐵路生產信息化安全保障體系, 應成為實現鐵路跨越式發展的一個重要組成部分。

1 TDCS網絡系統安全防護現狀

鐵路列車調度指揮系統一般采用64kb/s、2Mb/s光通道及電纜回線構成的專用廣域網, 信息傳輸按TCP/IP協議進行, 終端計算機和中心服務器選用WindowsXP/2000和LI NUX/UNIX操作系統, 其應用程序均基于此平臺進行開發, 也就是說TDCS是構建在一個通用開放的操作平臺上。有些人認為T DCS系統只在專網環境下運行, 沒有接入互聯網, 應用業務比較單一, 只要操作人員日常管理規范, 系統就不存在大規模的網絡安全威脅。這一說法顯然是片面的, 專網環境下只能使受到攻擊的可能性與受攻擊面略為降低, 根本無法阻止內部被病毒感染, 不能夠保證存心破壞的不法分子的惡意攻擊和無意的人為破壞 (誤操作) 等。因此在TDC S系統中應用防火墻技術, 保證鐵路列車調度指揮系統網絡運用安全至關重要。

2 防火墻技術的作用與功能

防火墻能夠增強機構內部網絡的安全性, 用于加強網絡間的訪問控制, 防止外部用戶非法使用內部網資源, 保護內部網絡設備不被破壞, 防止內部網絡的敏感數據被竊取。防火墻系統決定了內部服務是否可以被外界訪問, 以及外部服務是否可以被內部人員訪問。防火墻只允許授權的數據通過, 并且防火墻本身也能夠免于滲透。作為網絡安全體系中最重要也是最基本的安全設施, 防火墻對于構建一個安全嚴密的網絡系統是必不可少的。

防火墻的主要功能包括數據包過濾、連接狀態檢查、會話檢查、入侵行為檢查等, 它能夠根據用戶定義允許或拒絕某些數據包通過防火墻, 保護內部網絡關鍵設備及系統不受非法攻擊及訪問的影響。同時為每個通過防火墻的連接建立連接狀態表, 當遇到連接異常, 如會話被脅持等攻擊行為時, 防火墻能及時準確的阻斷這種非法連接。

3 防火墻在TDCS系統中的應用

3.1 防火墻的結構

(1) 防火墻硬件架構。

防火墻采用百兆NP架構硬件防火墻, 處理器為Intel IXP422網絡處理器, 內存128M、Flash16M, 具有3個10/100M BaseT非交換式以太網接口:Wan口、E1口和E2口, 和4個10/100M Base-T交換式以太網接口 (共用一個Mac地址) 。

(2) 防火墻網絡聯接。

按照應用性質, 可將鐵路列車調度指揮系統中心局域網分為以下四個“區”:核心服務器區、通信服務器區、應用工作站區和維護工作站區。

核心服務器區包括數據庫服務器、應用服務器等;通信服務器區包括基層網通信服務器、分接口通信服務器、鐵道部通信服務器等;應用工作站區包括各個調度臺工作站, 為調度員提供操作終端;維護工作站區包括網管工作站、系統維護臺等, 為維護人員提供操作終端。

根據以上應用原則, 在某局共安裝了二組四臺防火墻 (如圖1所示) 。在正常運行情況下, 左邊的主防火墻系統負責過濾的工作。當主防火墻系統發生事故而不能運作, 右邊的熱備防火墻及入侵監測系統便會自動啟動, 來維持整體網絡的運作。

3.2 防火墻的配置

(1) 登陸防火墻管理賬號Admin。

(2) 檢查防火墻系統信息。系統信息包括防火墻的CPU情況、內存情況、版本信息、網口狀態、當前啟用的服務等。

(3) 配置防火墻Internet接入方式。填寫IP地址配置WAN的接入方式以及擴展接口EXT1、EXT2的使用方式。

(4) 配置防火墻的DNS、DHCP服務器。采用動態主機設置協議, 將網絡中每臺計算機的IP地址和網卡MAC物理地址進行捆綁, 實現防火墻的IP地址自動分配、域名過濾和時間同步功能。

(5) 配置靜態路由表。通過防火墻路由配置, 人為地制定訪問不同網絡需要經過的路徑, 即用戶如需對某一網絡進行聯接訪問時, 必須經過路由表中配置的網絡地址, 才能到達目的網絡。

(6) 設置防火墻策略。設置防火墻策略對檢測的數據包進行的最終操作包括禁止、允許和內容過濾 (即WEB過濾) , 選中內容過濾時, 對WEB過濾中配置的關鍵字進行檢測, 并按照WEB過濾中的處理方式進行處理。

3.3 防火墻的功能

配置完成的防火墻將實現包過濾、入侵檢測、自動封禁、地址轉換、WEB過濾 (內容關鍵字過濾) 、蠕蟲防護、D O S/DDoS防護等安全功能。防火墻具有實時入侵檢測報警功能, 能夠防止網絡掃描、DoS/D DoS攻擊以及眾多流行網絡攻擊, 支持蠕蟲抑制功能, 當內外網蠕蟲發作時阻斷蠕蟲發出的各種病毒或破壞性數據包, 保證網絡的正常通暢以及業務的正常運行。

4 結語

防火墻等網絡安全技術目前在鐵路列車調度指揮系統中的應用只是信息安全保障工作的一個的啟動階段, 而防火墻系統本身卻是一個龐大的系統工程, 必須經過后續不斷完善, 并結合鐵路網絡等級保護的具體要求, 不斷拓深TDCS系統的縱深防護體系使之能夠持久保障鐵路信息系統安全穩定提升鐵路信息系統安全管理水平。

摘要：當今鐵路信息化發展迅速, 鐵路列車調度指揮系統的可靠性、安全性至關重要, 利用防火墻技術的安全保護作用, 可以保障鐵路信息系統安全穩定, 提升鐵路信息系統安全管理水平。

關鍵詞：鐵路列車調度指揮系統,防火墻,網絡安全

參考文獻

[1] 喻宏傳.防火墻和入侵檢測系統在鐵路系統信息網絡中的應用[J].鐵路技術創新, 2003 (5) :32～33.

[2] 周春月.防火墻技術在鐵路INTERANET安全系統中的應用[J].北方交通大學學報, 2001, 8 (25) 4.