客运专线信号安全数据网网管系统安全防范及优化措施

时间：2024-07-28

王大群

（北京全路通信信号研究设计院有限公司，北京 100073）

1 概述

客运专线信号系统安全数据网是一个保障客运专线安全、稳定、高效运行的信息承载网络，信号系统安全数据网需确保车站设备（计算机联锁（CBI）和列控中心（TCC）、中继站／无岔站（列控中心）间及其与中心信号设备（如无线闭塞中心（RBC）、临时限速服务器（TSRS））间的安全信息可靠传输。客运专线信号安全数据网通过独立设置的网络管理系统，实现网络连接状态和设备工作状态监测、记录、故障报警和设备维护功能。

成熟的以太网技术为各专业用户设备带来了极大的便利，强大的网络管理功能为网络维护提供了方便，但是由于网络系统本身的开放性、信息资源的共享性、连接方式的多样性，使网络存在很多脆弱点。因此，有必要对客运专线数据网网管系统存在的主要安全问题进行细致分析，选择合适的网络技术，确定客运专线安全数据网网络安全的工程实施方案。

2 网管系统的威胁因素

客运专线信号安全数据网的安全边界在网管系统接入的安全网交换机和网管系统的路由器两处。极端情况下，信号安全数据网可能面临配置被修改的威胁，常见的有DoS/DDoS， syn flood、icmp flood、udp flood、tcp scan、udp scan、ping sweep、 teardrop、land、ping of death、smurf、winnuke、圣诞树、tcp无标记、syn fin、无确认fin、松散源路由、严格源路由、ip安全选项、ip记录路由、 ip流攻击、ip时间戳、arp欺骗、广播和组播泛洪等攻击，病毒侵害等安全威胁。针对网络的特点，其攻击方式主要有两种。

1）利用网络系统漏洞进行攻击

利用网络系统中操作系统、网络设备和网络协议的漏洞，完成密码探测、权限提升、数据篡改、系统入侵等攻击。

2）解密攻击

使用密码是最常见并且最重要的安全保护方法，攻击者通过网络监听或暴力破解等方式获得密码通过身份校验，对网络实施攻击。

3 网管系统结构及相关设备安全配置

3.1 网管服务器的主机和软件的安全配置

1）在超级用户下，新建某受限用户，在受限用户下安装网管软件；增加网管软件编辑权限的密码复杂性，关闭远程修改交换机配置的功能。

2）配置服务器日志：除了开启安装在网管服务器上的网管软件本身具备的日志文件记录功能外，服务器操作系统日志文件记录着服务器对每一请求的响应行为信息，分析这些日志可以得到有用的安全信息。目前有许多日志文件分析工具，大部分可对两种标准日志文件格式进行分析，这两种格式是“Common Log Format”和“Extended Common Log Format”。服务器应该配置成能生成两种格式中任意一种格式的日志文件。

3）配置服务器的辅助网络服务：一般WEB服务器可同时提供其他的网络服务，如文件传输协议（FTP），gopher协议，电子邮件或接受从网管终端来的文件上载等，为增加WEB服务器的安全性，在确定不需要这些服务的条件下，关闭所有的辅助服务。

4）配置服务器可执行的外部程序。

5）配置服务器的本地或远程管理。

6）确定操作系统提供什么样的访问控制。有些操作系统可以对WEB服务的远程访问文件加以限制，这些进程可以限制为对某些文件的只读访问，而对另一些文件不允许访问。

7）配置服务器使之不能提供指定文件目录数以外文件的服务。具体的实现可以通过服务器软件，本身的配置选择也可以通过操作系统选择。必须避免在文件目录树中使用链接或别名，因为它指出了服务器主机或网络中的其他文件。

8）使用功能较为强大的杀毒软件，如symantec，并及时更新病毒库。

3.2 防火墙的配置

防火墙可以无间断地实现对网络安全主要端点的监视和预警，客运专线信号安全数据网网管系统的2台防火墙分别设置在路由器和网管终端、路由器和网管服务器之间。防火墙是识别和抵御网络攻击的第一道保护屏障，其安全策略设置如下。

1）关闭 ping echo 和 ICMP。

2）本地console登录密码设置足够复杂，且需要授权的数字证书才能登录。

3）限制从网管终端或网管服务器流入网络的流量。

4）禁止telnet、SSH等远程配置功能。

5）通过IP地址和端口地址过滤应用主机和应用程序，封掉不用的端口。

6）启用各种抗常见攻击的策略，如DoS/DDoS攻击，syn flood、icmp flood、udp flood、 tcp scan、udp scan、ping sweep、teardrop、land、ping of death、smurf、winnuke、圣诞树、tcp 无标记、syn fin、无确认fin、松散源路由、严格源路由、ip 安全选项、ip记录路由、 ip 流攻击、ip时间戳等攻击。

3.3 路由器的配置

1）配置访问控制列表（Access Control List，ACL）

ACL是提供网络安全访问的基本手段，是路由器接口的指令列表，用来控制端口进出的数据包。安全数据网网管系统采用白名单过滤结束限制接入网管服务器的监测维护终端的IP地址，从而保证非允许用户对网管服务器进行访问。配置命令如下：

Router（config）#access-list 1 permit （网管终端ip地址） 0.0.0.0！允许来自指定ip地址（终端）的流量通过

Router（config）#interf0/1

Router（config-if）#ip access-group 1 in！在接口下访问控制列表入栈流量调用

2）配置网络地址转换（Network Access Translation，NAT）

采用NAT技术，使信号安全数据网设备和网管服务器之间相互隐藏真实IP地址，从而增强网管系统与安全数据网之间的安全指数。配置命令如下：

ipnat inside source static （服务器左网接口IP地址）（左网NAT地址） route-map NAT-L

ipnat inside source static （服务器右网接口IP地址）（右网NAT地址） route-map NAT-R

3）严格控制CON端口的访问。改变默认的连接属性，例如修改波特率（默认是9600，可以改为其他的）,配合使用访问控制列表控制对CON口的访问, 给CON口设置高强度的密码。

4）为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置，并且要启用Service passwordencryption功能使密码不可见。

5）禁止AUX端口和VTY远程访问。

6）禁止其他的 HTTP、telnet、TCP、UDP Small、CDP（Cisco Discovery Protocol）、IP Source Routing、ARP-Proxy、IP Directed Broadcast、WINS和DNS、SNMP协议服务、ICMP协议的IP Unreachables,Redirects,Mask Replies。

7）启用passive-interface命令，禁用一些不需要接收和转发路由信息的端口

8）完备的路由器安全访问和维护记录日志。