马雨

中铁建电气化局集团南方工程有限公司 湖北 武汉 430070

随着通信技术的不断发展，在铁路运输运营方面对于铁路通信网的建设有了更加严格的要求。为达到高速列车的通信需求，需要建立更加安全稳定的铁路通信网络提供服务支持。而在传统的铁路通信网体系中，为确保通信网络的整体质量，提高铁路通信网络的运行安全性，往往会选择控制移频信号输出的方式，收集移频信号在传输通道各个节点中的电平以及频率信息，在其余通信轨道区域中，通常会存在移频干扰信号，针对这些干扰信号的电平需要进行准确检测，从而保证铁路通信网的稳定运行，避免网络安全隐患的出现。

1 铁路通信网的特点及面临的网络安全问题

1.1 铁路通信网的特点

铁路通信网同时包含了业务网、承载网、支撑网三大体系，其中承载网是铁路通信网的运行基础，具体可以划分为传输网络以及数据通信网络，能够为铁路各部门提供网络接入和承载通道服务；业务网主要包含了调度通信系统以及专用移动通信系统、视频监控系统、电视电话会议系统、应急通信系统等部分，是铁路部门运输与管理工作的重要支持网络；支撑网主要包含时钟和时间同步网络等。随着越来越多新兴技术的广泛运用，铁路通信网中的通信电源以及环境监控检测系统也开始引进先进的信息技术，为铁路通信网的稳定运行提供支持，也能提高承载网以及业务网的安全运作，对监控网络的运作以及提高服务质量来说具有关键意义[1]。

1.2 铁路通信网面临的安全问题

在铁路通信网快速发展的背景下，传统的电信网络安全技术手段已经无法满足铁路通信网的安全保障需求，铁路通信网面临的安全风险基本可以概括为以下几点：其一，网络规模在进一步拓展，但网络配置和管理却逐渐复杂化，铁路通信网难以做到可视化、可控化、可测化等目标；其二，越来越多业务的逐渐拓展，对于铁路通信网的通信承载能力具有更高的要求，但同时安全防护边界也在不断拓展；其三，铁路通信网运行管理的安全措施不够深入，网络安全标准体系以及安全配置有待进一步完善。

对于铁路通信网络系统来说，用户量和信息量越来越大，共享信息越来越密集，这导致网络系统的运行压力也越来越大。种种因素导致铁路通信网经常受到压力和冲击，铁路通信网络系统的运行也存在着很多安全隐患，甚至可能会对铁路运输带来严重的经济损失。铁路通信网所面临的安全问题具体如下：其一，铁路通信网建设过程中，网络结构建设有所缺失，或系统架构设计上没能考虑安全性和结构的健全性，导致铁路通信网系统存在安全隐患；其二，在铁路通信网的硬件建设方面，服务器以及网卡等硬件设施选择不合理，导致网络功能性不完善，网络可靠性难以保障；其三，没能合理安装铁路通信网操作系统以及应用软件，或在铁路通信网软件的选择、应用、维护等方面存在一定缺失，导致铁路通信网系统在长时间运行过程中很容易暴露出一些安全问题；其四，供电系统以及地线、网络附属设施的建设存在一定不足，铁路通信网的运行外部条件不够完善，可能会危及铁路通信网系统的安全性。结合这些安全隐患及其原因来看，铁路通信网系统的安全技术标准亟需进一步优化，提高通信系统的安全性[2]。

2 网络安全技术在铁路通信网中的具体应用

2.1 接入网技术

接入网技术是一种广泛应用的网络安全技术手段，在铁路通信网中的应用一般表现在有线接入网、无线接入网、闭塞电话、共线电话调度系统等方面。例如在无线接入网中，网络安全技术可以通过SDH光同步数字传输设备建立完善的铁路通信网络，这也是无线接入网技术的典型应用模式。网络IP通信和ATM交换等技术的结合应用建立了完善的通信主干网络，双纤单向环的介入设计能够在提高铁路通信网安全性的同时节约成本，提高传输稳定性和传输效率等，大大提高了铁路通信网的可靠性以及运行稳定性，在接入网技术的支持下能够促进铁路通信网的长远发展。据了解，400MHz的无线列调系统在铁路通信网中的运用非常普遍，这种系统模式可以负责驶入区段列车和车站人员的通话，在一般情况下没有通信工作，只有在列车进站出站过程中进行通信，相同频率的干扰因素能够得到很好的规避，也能通过这种方式节约频率资源。系统还可以利用小区制的手段实现“大三角”功能，也就是列车驾驶人员与车站工作人员通信、调度中心与列车驾驶人员通信、车站工作人员与调度中心通信，能够做到动态性的双向无线数据通信，满足了铁路通信网的功能要求，也能保障网络安全性与可靠性[3]。

2.2 双重冗余的网络拓扑结构

为有效提高铁路通信网的网络层安全性，双重冗余的网络拓扑结构的应用能够发挥显著作用，这种结构也是现代网络安全技术的经典手段之一。通过渐变性光纤作为传输媒介，以双重冗余结构和环形网络结构作为网络拓扑结构的应用中心，相比于传统的双环结构来说，这种结构设计模式可以在故障情况下依然保持信息收发的通畅性。但双重冗余的网络拓扑结构的建设成本相对较高，目前只在高速铁路通信网络建设中应用，对于高铁通信网来说，以往的双环结构通信网难以在轨道电路以及车载列控设备出现故障时实现信号的稳定收发，而双重冗余网络拓扑结构则可以在环路故障但另一个环路正常运行的情况下实现信号的稳定收发，提高了通信网的运行效率和安全性，同时也是铁路通信网安全技术发展的趋势之一。

2.3 访问控制

在铁路通信网安全控制方面，访问控制技术能够避免网络资源的非法应用与访问，一般通过网络权限控制和属性控制、入网控制、目录级控制等方式实现。网络权限控制指的是采用分权管理的方式进行访问权限的分配与登录设置，当用户账号不具备所有资源的访问权限，只有部分权限时，就可以在访问过程中进行权限锁定，对部分资源或目录进行隐藏或锁定，实现访问控制的有效保护；属性控制是一种级别更高的安全防护手段，管理人员可以对网络资源进行预先性的安全属性差异设计，不同的用户可以定向匹配对应的网络控制访问表，从而控制用户访问网络资源的权限与能力，针对不同类型的用户制定不同层级的访问权限；入网控制指的是利用控制用户的方式达到访问控制的1层保护，只有操作满足规定要求的用户才能进行登录访问操作。目录级控制指的是为用户分配一定权限，可以访问目录及文件资源，并利用其他指令的方式允许访问下级别文件资源，但更高级别的文件资源可以进行约束和管控[4]。

2.4 防火墙技术

防火墙是最简单最直观，也是应用最广泛的一种网络安全技术，本身属于计算机软件的一种，其功能开发可以有效抵御各种黑客以及病毒的入侵，确保铁路通信网系统的安全性，避免外部入侵带来的经济损失。防火墙技术能够将铁路通信网的互联网与外界进行连接，设立安全防护网关，提高铁路通信网专用资源的安全性，避免其被互联网盗窃或入侵的风险。同时在不限制内部互联网对外部互联网使用的情况下，防火墙技术还可以对内部互联网与外部互联网起到一个阻断的作用，避免黑客与病毒的入侵。如今的防火墙技术经过不断的发展已经较为完善，包含了数据包过滤技术和代理技术、网络监测技术等，在铁路通信网中可以利用防火墙技术来抵御外部入侵，提高网络系统的安全性。

2.5 入侵行为检测技术

入侵行为检测技术是针对网络行为的一种监控和分析手段，可以掌握并限制网络内部或外部出现的网络攻击行为，准确记录到这些攻击行为的信息，例如攻击源IP地址以及攻击类型、目标、时间等。入侵行为检测技术能够准确拦截各种网络非法入侵行为。而随着网络入侵技术的不断发展，从原本单一识别的入侵攻击技术开始有了更多的升级，攻击方式和攻击时间、破坏力、威胁性等都有了一定提升。网络入侵技术若从攻击的周期来看，可以划分为探测、入侵、潜伏、退出四个周期，攻击方一般会利用相对复杂的方式发起网络攻击，根据各种监测技术从多个方向检测出网络入侵技术的特征则是入侵行为检测技术的重点，入侵行为检测技术可以利用威胁情报和出口规则、日志记录与分析、流量分析、大数据分析等方式对网络入侵行为进行检测与分析，建立安全控制中心以及安全运维体系，能够帮助铁路通信网系统更好地应对网络入侵行为[5]。

2.6 虚拟专网及切片隔离

虚拟专网也叫做VPN技术，能在一个IP承载网中为各项业务提供广域网专网组网，同时将这些虚拟专网进行隔离处理。对于铁路通信网系统来说，可以利用多协议标签交换以及边界网关协议VPN的手段来区分承载对应业务系统，部分可以选择虚拟专用局域网也就是VPLS技术来建立双层的虚拟专网功能。网络切片指的是将网络资源根据实际情况划分出多个虚拟网络，这种技术方法比较适用于业务需求差异化或统筹网络承载等情况，尤其是硬切片技术，其优势在于隔离度与可靠性更强，能够做到业务网络之间的隔离，从根本上提高了各项业务网络之间的安全水平。对于铁路通信网系统来说，切片隔离技术可以覆盖承载网、无线网、核心网，承载网中的切片隔离可以将灵活以太网技术为中心，在介质访问控制层以及实体层、实体编码子层中建立全新的中介层，利用每66个字节的调度方式进行各个切片的数据处理。无线网切片一般利用帧结构设计的方式实现，确保每一个切片都拥有专用资源块进行分配以及映射，实现切片与切片间资源的隔离，通过帧格式和调度优先级的合理配置，能够满足切片空口侧的性能要求。核心网的切片技术重点在于网络功能的虚拟化，从传统网络系统中分离出硬件和软件部分，前者通过服务器进行全方位部署，而后者则利用对应的网络功能负责，达到灵活组装业务的效果。网络切片是根据逻辑概念对资源进行重构，依照服务等级协议来为对应的服务选择所需的虚拟机以及资源。

2.7 大数据技术

大数据技术是现代信息技术飞速发展下的产物，在铁路通信网安全防护中，大数据技术也是一种典型的网络安全技术形式，该技术一般体现在入侵攻击检测和网络异常检测两个方向，利用大数据技术的入侵攻击检测能够有效解决铁路通信网入侵攻击威胁。入侵攻击通常具有隐蔽性、渗透性等特点，而大数据技术的应用可以有效降低这些威胁因素。网络入侵攻击的方法和路径具有一定的不确定性，而当前国内铁路通信网系统在抵御网络攻击方面的表现仍然有待提高。基于大数据技术的支持，Beehive系统和Map Reduce、攻击金字塔并行处理能够有效检测恶意网络攻击，这也需要建立完整的网络攻击综合防御体系，在遭遇网络攻击时可以通过安全监测和安全防护，以及主动防御等手段将网络攻击对网络系统带来的威胁程度降到最低。通过安全检测来收集铁路通信网的安全事件信息，安全防护则可以强化铁路通信网的防御薄弱点，主动防御则可以利用关联分析、数据溯源等方式对网络攻击进行防御和追踪，为铁路通信网的安全防护提供有效支持。大数据技术的应用在网络异常检测方面也能发挥显著优势，根据铁路通信网的越权访问和异常流量、可疑主机等方面进行检测，利用深度学习的流量识别、网络异常检测方案等，利用大数据支持下的可视化分析、交互式分析、关联性分析实现动态性的铁路通信网流量监控，同时还可以借助变换与降维处理等方法提高图形绘制算法的收敛速度，为铁路通信网的网络安全提供更加可靠的技术支持[6]。

2.8 网络态势感知

网络态势感知指的是在规定的时间和空间范围内进行环境要素的察觉、分析短期预测等功能，从而了解空间环境信息，准确判断当下及未来短期的网络态势并做出反应。网络态势感知更适合在大规模的网络环境中运用，可以对导致网络态势变化的各项网络安全要素进行察觉与获取，并展示网络态势的变化趋势与规律等信息，在辅助决策和安全行动方面可以提供一定参考。网络安全态势的感知属于一种根据环境变化因素，从整体角度分析安全风险的一种技术，同时可以借助数据融合、数据挖掘、特征提取、智能分析、智能预测、可视化展现等技术手段，以更加直观可视的方式展现出网络环境中的安全态势，为铁路通信网的安全防护提供一定支持。

3 结束语

在互联网技术飞速发展的背景下，铁路通信网系统的安全运行至关重要。而由于网络环境的开放性与复杂性等特征，信息安全始终是人们关注的重点，网络系统的安全性难以做到绝对的安全和永久的安全，对于铁路通信网来说，一方面需要根据铁路运输运营的实际需求进行网络业务与服务的拓展，另一方面也要在网络拓展的同时考虑其中可能存在的安全隐患，利用网络安全技术来提高系统安全性。诸如接入网技术、网络结构、网络维护、网络态势感知、访问控制、防火墙技术等都能为铁路通信网的安全运行提供支持，结合互联网技术的发展提高铁路通信网的安全性，更好地维护经济效益，促进我国铁路运输行业的长远发展。