序言：作為思想的載體和知識(shí)的探索者，寫作是一種獨(dú)特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇工程信息安全管理，期待它們能激發(fā)您的靈感。

篇1

關(guān)鍵詞：網(wǎng)絡(luò)工程；信息安全管理；技術(shù)方案；遺傳算法

1引言

近年來網(wǎng)絡(luò)工程技術(shù)發(fā)展迅速，對(duì)于海量信息的安全管理日趨重要。但由于網(wǎng)絡(luò)信息管理系統(tǒng)在硬件、軟件及管理策略方面尚存在諸多問題，導(dǎo)致系統(tǒng)中存在大量的脆弱性，因而對(duì)網(wǎng)絡(luò)工程信息系統(tǒng)帶來了極大的威脅[1]。在網(wǎng)絡(luò)工程信息安全管理過程中，對(duì)信息管理技術(shù)方案進(jìn)行制定是不可或缺的一個(gè)環(huán)節(jié)，合理的方案設(shè)計(jì)對(duì)于信息系統(tǒng)安全風(fēng)險(xiǎn)可控化具有十分重大的意義[2]。傳統(tǒng)的安全技術(shù)方案設(shè)計(jì)僅僅從技術(shù)角度入手，忽略了考慮實(shí)施技術(shù)手段所需要的花費(fèi)。完善的信息安全管理技術(shù)應(yīng)當(dāng)將脆弱性分析、安全技術(shù)選擇及實(shí)施技術(shù)費(fèi)用進(jìn)行綜合考慮，這樣才能使信息管理系統(tǒng)的安全風(fēng)險(xiǎn)降至最低[3]。因此本文首先對(duì)網(wǎng)絡(luò)工程信息管理技術(shù)方案的制定進(jìn)行了優(yōu)化，以此為基礎(chǔ)，提出基于遺傳算法的信息安全管理優(yōu)化技術(shù)，并對(duì)實(shí)際算例采用上述優(yōu)化技術(shù)，對(duì)該優(yōu)化技術(shù)的有效性進(jìn)行了驗(yàn)證。

2信息安全管理技術(shù)方案

制定時(shí)的決策模型通過對(duì)信息管理技術(shù)方案的優(yōu)化制定可以使信息管理系統(tǒng)中脆弱性的威脅降到最小。將信息管理系統(tǒng)中的各種脆弱性表示為v1，v2……，vm共m種，當(dāng)脆弱性vi存在時(shí)以數(shù)值1表示，當(dāng)這種脆弱性不存在時(shí)以0表示，每一種脆弱性對(duì)應(yīng)于一個(gè)權(quán)值i，這一權(quán)值用來表示對(duì)應(yīng)的脆弱性危害信息管理系統(tǒng)的程度，本文對(duì)信息安全管理系統(tǒng)中的脆弱性進(jìn)行了描述，列出了表1信息安全管理系統(tǒng)中的脆弱性及表示20種不同的脆弱性(見表1)。對(duì)應(yīng)于每一種脆弱性都存在相應(yīng)的安全技術(shù)，這些安全技術(shù)以s1，s2……，sn來表示，當(dāng)技術(shù)方案中采用了sj這種安全技術(shù)時(shí)，sj等于1，當(dāng)沒有采用時(shí)取值為0；對(duì)應(yīng)于sj安全技術(shù)的實(shí)施費(fèi)用用cj來表示，本文給出了13中安全技術(shù)手段，見表2。脆弱性及其對(duì)應(yīng)的安全技術(shù)之間存在復(fù)雜的關(guān)系，對(duì)某一脆弱性采取相應(yīng)的安全技術(shù)后該脆弱性可能部分的或完全的消除，但也有可能導(dǎo)致其他種類的脆弱性產(chǎn)生，其中部分消除安全性是指相應(yīng)的由該脆弱性導(dǎo)致的信息管理系統(tǒng)破壞程度被限制在一定的范圍內(nèi)。在對(duì)脆弱性實(shí)施安全技術(shù)手段后，相應(yīng)的脆弱性在系統(tǒng)中可能會(huì)有一定的殘留，對(duì)于殘留的脆弱性用r1，r2……rm來表示，ri對(duì)應(yīng)于脆弱性vi，取值分別為0，0.5，1，分別對(duì)應(yīng)于脆弱性存在，脆弱性部分去除以及不存在。用矩陣T={tij}表示對(duì)脆弱性采用安全技術(shù)處理后的情況，tij是指采用安全技術(shù)sj處理脆弱性vi的處理能力的大小。確定殘留脆弱性處理規(guī)則，當(dāng)vi=0或1時(shí)，有j∈{j│sj=1}，此時(shí)tij=1，那么ri=0；當(dāng)vi=0時(shí)，存在j∈{j│sj=1}，使tij=0，此時(shí)ri=0；當(dāng)vi=1時(shí)，存在j∈{j│sj=1}，使tij=0，此時(shí)ri=1；當(dāng)vi=0時(shí)，存在j∈{j│sj=1}，使tij≠1，同時(shí)存在j∈{j│sj=1}，使tij=-1此時(shí)ri=1；當(dāng)vi=0時(shí)，存在j∈{j│sj=1}，使tij≠1，同時(shí)存在j∈{j│sj=1}，使tij=-0.5此時(shí)ri=0.5；當(dāng)vi=1時(shí)，存在j∈{j│sj=1}，使tij≠1，同時(shí)存在j∈{j│sj=1}，使tij=0.5此時(shí)ri=0.5。綜上所述，安全的信息管理技術(shù)方案設(shè)計(jì)需要以兩個(gè)目標(biāo)為基礎(chǔ)，如式1和式2所示：式3中Cmax為實(shí)施安全技術(shù)手段所需要的費(fèi)用的最大值，對(duì)E進(jìn)行無量綱修正得到E’，和分別代表脆弱性權(quán)重和費(fèi)用權(quán)重，和之和為1，表示二者在系統(tǒng)設(shè)計(jì)時(shí)的偏重程度，當(dāng)＞時(shí)，脆弱性在設(shè)計(jì)時(shí)比費(fèi)用控制重要，反之亦然。

3遺傳算法在網(wǎng)絡(luò)工程信息安全管理技術(shù)優(yōu)化中的應(yīng)用

安全技術(shù)手段集合的子集即為所制定的網(wǎng)絡(luò)工程信息安全管理技術(shù)方案，其可行解共有2n個(gè)，具體方案的選取屬于多目標(biāo)優(yōu)化問題，n值增加，問題的解空間呈現(xiàn)幾何式增長(zhǎng)，如果要在如此龐大的解空間內(nèi)實(shí)現(xiàn)最優(yōu)解的搜尋，則必須采用效率較高的搜索策略。為此引入遺傳算法，在遺傳過程中的各代個(gè)體以適應(yīng)度值為依據(jù)進(jìn)行交叉和變異概率選擇，即采用自適應(yīng)規(guī)則，從而使個(gè)體自適應(yīng)環(huán)境變化進(jìn)行自身的調(diào)節(jié)。首先對(duì)于問題的編碼，用符號(hào)串表示各個(gè)染色體，這種符號(hào)串具有n位二進(jìn)制編碼，用這種符號(hào)串表示的染色體即代表了對(duì)應(yīng)的技術(shù)手段，技術(shù)手段的狀態(tài)用二進(jìn)制編碼的每一位表示，即1表示該技術(shù)手段被方案采用，0表示該技術(shù)手段未被方案采用。如此即可轉(zhuǎn)化網(wǎng)絡(luò)工程安全信息管理技術(shù)優(yōu)化問題為染色體最優(yōu)編碼求解問題。

4采用優(yōu)化后信息管理技術(shù)的實(shí)際算例

采用上述對(duì)脆弱性和安全技術(shù)的分類，設(shè)脆弱性的情況為(11010100110111000110)，將各脆弱性權(quán)重列于表3，實(shí)施相應(yīng)安全技術(shù)所需費(fèi)用權(quán)重列于表4，脆弱性的重要性和實(shí)施相應(yīng)安全技術(shù)花費(fèi)的重要性同等重要(==0.5)，采用本文提出的優(yōu)化技術(shù)對(duì)相應(yīng)的技術(shù)方案進(jìn)行求解(N=100)，各概率值為Pe=0.4,Pc0=0.52,Pc1=0.29,Pm0=0.37,Pm1=0.23，迭代次數(shù)最大為300，50為穩(wěn)定代數(shù)的最大值。最終結(jié)果為，S=(1000010000010)，即出現(xiàn)單一、集中、敏感、可分離、可測(cè)、順應(yīng)、難以恢復(fù)、自我認(rèn)知匱乏、不以管理、透明、電子訪問等脆弱性時(shí)，所采取的安全技術(shù)手段為，彈性及魯棒性技術(shù)、人員管理技術(shù)、分配動(dòng)態(tài)資源技術(shù)。本文同時(shí)對(duì)不同數(shù)據(jù)進(jìn)行了計(jì)算，結(jié)果均表明增加脆弱性和技術(shù)手段的種類，本文提出的以信息管理技術(shù)方案優(yōu)化制定為基礎(chǔ)，采用遺傳算法的網(wǎng)絡(luò)工程信息安全管理技術(shù)其優(yōu)化效果均較為顯著。

5結(jié)束語(yǔ)

篇2

關(guān)鍵詞：軟件工程；數(shù)據(jù)信息；安全管理；

文章編號(hào)：1674-3520（2015）-09-00-01

隨著社會(huì)經(jīng)濟(jì)的快速發(fā)展，人們對(duì)于信息的公開化、透明化的要求越來越高，同時(shí)信息資源的管理也面臨巨大的困擾，信息安全問題已經(jīng)成為影響人們數(shù)據(jù)存儲(chǔ)的重要因素?，F(xiàn)代企業(yè)出于安全和利益需要，對(duì)于很多信息不能公開或者一定時(shí)期內(nèi)不能向外界公布，這時(shí)就需要應(yīng)用安全保密技術(shù)。

一、保密技術(shù)對(duì)數(shù)據(jù)信息安全的重要性

保密技術(shù)是企業(yè)為獲得自身利益和安全，將與自身發(fā)展密切相關(guān)的信息進(jìn)行隱藏的一種手段，隨著互聯(lián)網(wǎng)的快速發(fā)展，企業(yè)信息的保密也越發(fā)重要。保守企業(yè)秘密是指嚴(yán)格按照有關(guān)經(jīng)濟(jì)法律和企業(yè)內(nèi)部的規(guī)章制度，將涉及信息和信息的載體控制在一定的范圍之內(nèi)，限制知悉的人員，同時(shí)也包含了企業(yè)自身或內(nèi)部員工保守秘密的職責(zé)，并以此采取相應(yīng)的保密活動(dòng)。通常情況下，屬于保密范疇的信息，都應(yīng)當(dāng)明確內(nèi)容，并規(guī)定相應(yīng)的期限，在此階段內(nèi)，保密主體不能夠擅自改變，并且其知悉范圍是通過強(qiáng)制性手段和措施來實(shí)現(xiàn)控制的。

二、數(shù)據(jù)信息安全保密技術(shù)類型

（一）口令保護(hù)。對(duì)數(shù)據(jù)信息設(shè)置口令是數(shù)據(jù)信息安全的基礎(chǔ)保障。在對(duì)數(shù)據(jù)保密信息設(shè)置安全保障的過程中，可以先根據(jù)計(jì)算機(jī)技術(shù)設(shè)置登錄密碼，并確保密碼的復(fù)雜性，如字母與數(shù)字混合、大小寫字母與數(shù)字混合等，以免被黑客破解。如果有提示密碼可能被盜的消息，則應(yīng)當(dāng)及時(shí)辨別消息的真實(shí)性，并登錄到安全中心重新設(shè)置密碼，從而確保數(shù)據(jù)信息登錄的安全性和可靠性。

（二）數(shù)據(jù)加密。在信息的存儲(chǔ)及傳輸過程中有一個(gè)重要的手段，就是對(duì)數(shù)據(jù)進(jìn)行加密，這樣才能夠保證數(shù)據(jù)信息的安全性，從而提升信息保密的抗攻擊度。所謂數(shù)據(jù)加密，主要是指根據(jù)較為規(guī)律的加密變化方法，對(duì)需要設(shè)置密碼的數(shù)據(jù)進(jìn)行加密處理，由此得到需要密鑰才能識(shí)別的數(shù)據(jù)。加密變化不僅能夠保護(hù)數(shù)據(jù)，還能夠檢測(cè)數(shù)據(jù)的完整陛，是現(xiàn)代數(shù)據(jù)信息系統(tǒng)安全中最常用也是最重要的保密技術(shù)手段之一。數(shù)據(jù)加密和解密的算法和操作一般都由一組密碼進(jìn)行控制，形成加密密鑰和相應(yīng)的解密密鑰。在數(shù)據(jù)信息傳輸?shù)倪^程中，可以根據(jù)相應(yīng)的加密密鑰，加密數(shù)據(jù)信息，然后根據(jù)解密密鑰得出相應(yīng)的數(shù)據(jù)信息。在此過程中，大大保障了數(shù)據(jù)信息的安全，避免被破解。

（三）存取控制。為保證用戶能夠存取相關(guān)權(quán)限內(nèi)的數(shù)據(jù)，已經(jīng)具備使用權(quán)的用戶必須事先將定義好的用戶操作權(quán)限進(jìn)行存取控制。在一般情況下，只要將存取權(quán)限的定義通過科學(xué)的編譯處理，將處理后的數(shù)據(jù)信息存儲(chǔ)到相應(yīng)的數(shù)據(jù)庫(kù)中。如果用戶對(duì)數(shù)據(jù)庫(kù)發(fā)出使用信息的命令請(qǐng)求，數(shù)據(jù)庫(kù)操作管理系統(tǒng)會(huì)通過對(duì)數(shù)據(jù)字典進(jìn)行查找，來檢查每個(gè)用戶權(quán)限是否合法。如果存在不合法的行為，則可能是用于用戶的請(qǐng)求不符合數(shù)據(jù)庫(kù)存儲(chǔ)定義，并超出了相應(yīng)的操作權(quán)限，這樣則會(huì)導(dǎo)致數(shù)據(jù)庫(kù)對(duì)于用戶的指令無法識(shí)別，并拒絕執(zhí)行。因此，只有在采取存取控制保護(hù)措施下，數(shù)據(jù)庫(kù)才能夠?qū)Πl(fā)出請(qǐng)求的用戶進(jìn)行識(shí)別，并對(duì)用戶身份的合法性進(jìn)行驗(yàn)證。同時(shí)還需要注意不同用戶之問的標(biāo)識(shí)符都具有一定差異，經(jīng)過識(shí)別和驗(yàn)證后，用戶才能夠獲取進(jìn)入數(shù)據(jù)庫(kù)的指令，以此確保數(shù)據(jù)信息的安全性，為用戶提供一個(gè)良好的數(shù)據(jù)應(yīng)用環(huán)境。

三、增強(qiáng)數(shù)據(jù)信息安全保密技術(shù)

（一）數(shù)字簽名技術(shù)。在計(jì)算機(jī)網(wǎng)絡(luò)通信中，經(jīng)常會(huì)出現(xiàn)一些假冒、偽造、篡改的數(shù)據(jù)信息，對(duì)企業(yè)應(yīng)用數(shù)據(jù)信息造成了嚴(yán)重影響，對(duì)此，采取相應(yīng)的技術(shù)保護(hù)措施也就顯得非常重要。數(shù)字簽名技術(shù)主要是指對(duì)數(shù)據(jù)信息的接收方身份進(jìn)行核實(shí)，在相應(yīng)的報(bào)文上面簽名，以免事后影響到數(shù)據(jù)信息的真實(shí)性。在交換數(shù)據(jù)信息協(xié)議的過程中，接收方能夠?qū)Πl(fā)送方的數(shù)據(jù)信息進(jìn)行鑒別，并且不能夠出現(xiàn)否認(rèn)這一發(fā)送信息的行為。通過在數(shù)據(jù)簽名技術(shù)中應(yīng)用不對(duì)稱的加密技術(shù)，能夠明確文件發(fā)送的真實(shí)性，而通過解密與加密技術(shù)，能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)信息傳輸過程的良好控制，以免出現(xiàn)信息泄露的情況。

（二）接入控制技術(shù)。接入控制技術(shù)主要是指針對(duì)用戶所應(yīng)用的計(jì)算機(jī)信息系統(tǒng)進(jìn)行有效控制，實(shí)現(xiàn)一般用戶對(duì)數(shù)據(jù)庫(kù)信息的資源共享，這是避免非法入侵者竊取信息的另一關(guān)卡。對(duì)于需要密切保密的數(shù)據(jù)信息庫(kù)，用戶在訪問之前應(yīng)當(dāng)明確是否能夠登陸，及登陸之后是否涉及保密信息，以加強(qiáng)數(shù)據(jù)信息控制。在對(duì)絕密級(jí)信息系統(tǒng)進(jìn)行處理時(shí)，訪問應(yīng)當(dāng)控制到每個(gè)用戶。在系統(tǒng)內(nèi)部用戶非授權(quán)的接入控制中，任意訪問控制是指用戶可以隨意在系統(tǒng)中規(guī)定的范圍內(nèi)活動(dòng)，這對(duì)于用戶來說較為方便，而且成本費(fèi)用也比較低廉。但是此種做法的安全性較低，如果有用戶進(jìn)行強(qiáng)制訪問，勢(shì)必會(huì)導(dǎo)致外來信息入侵系統(tǒng)。對(duì)此，采用強(qiáng)制訪問方法能夠有效避免非法入侵行為，雖然安全費(fèi)用較大，但是安全系數(shù)較高。

（三）跟蹤審計(jì)技術(shù)。跟蹤審計(jì)技術(shù)主要是指對(duì)數(shù)據(jù)信息的應(yīng)用過程進(jìn)行事后的審計(jì)處理，也就是一種事后追查手段，對(duì)數(shù)據(jù)系統(tǒng)的安全操作情況進(jìn)行詳細(xì)記錄。通過采用此種技術(shù)，如果數(shù)據(jù)庫(kù)系統(tǒng)出現(xiàn)泄密事件，能夠?qū)π姑苁录陌l(fā)生時(shí)問、地點(diǎn)及過程進(jìn)行記錄，同時(shí)對(duì)數(shù)據(jù)庫(kù)信息進(jìn)行實(shí)時(shí)監(jiān)控，并給出詳細(xì)的分析報(bào)告，以保證數(shù)據(jù)庫(kù)系統(tǒng)的可靠性。跟蹤審計(jì)技術(shù)可以分為好幾種類型，如數(shù)據(jù)庫(kù)跟蹤審計(jì)、操作系統(tǒng)跟蹤審計(jì)等。這些技術(shù)的應(yīng)用及實(shí)施，能夠加強(qiáng)對(duì)數(shù)據(jù)庫(kù)信息的安全限制，以免再次出現(xiàn)病毒入侵的情況。

（三）防火墻技術(shù)。防火墻技術(shù)主要是指對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的接入進(jìn)行有效控制，如果有外部用戶采用非法手段接入訪問內(nèi)部資源，防火墻能夠進(jìn)行識(shí)別并進(jìn)行相應(yīng)的反擊處理，從而將不良信息隔在網(wǎng)絡(luò)之外。防火墻的基本功能是對(duì)網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行過濾處理，同時(shí)對(duì)外來用戶的訪問進(jìn)行分析和管理，攔截不安全信息，將網(wǎng)絡(luò)攻擊擋在網(wǎng)絡(luò)之外。

四、結(jié)束語(yǔ)

對(duì)數(shù)據(jù)信息進(jìn)行安全保密管理是信息安全的關(guān)鍵，也是安全管理的核心。隨著現(xiàn)代科學(xué)技術(shù)的不斷發(fā)展，信息化條件下的保密工作和傳統(tǒng)的保密工作已經(jīng)有了截然不同的特點(diǎn)。因此，在未來的發(fā)展過程中，對(duì)于數(shù)據(jù)信息的安全保密顯得更加重要，需要進(jìn)一步改進(jìn)相關(guān)技術(shù)，需要企業(yè)不斷努力。

參考文獻(xiàn)：

[1]趙楠 IT系統(tǒng)數(shù)據(jù)信息安全解決方案解析[期刊論文]-科技資訊 2013（15）

篇3

一、信息系統(tǒng)安全工程概述

同信息系統(tǒng)安全工程相關(guān)的概念，包括信息系統(tǒng)、信息系統(tǒng)安全、信息系統(tǒng)安全工程三方面。所謂的“信息系統(tǒng)”，指的是通過通信設(shè)備、計(jì)算機(jī)等軟、硬件連接，能夠成功獲取、處理、傳送、交換、存儲(chǔ)數(shù)據(jù)的系統(tǒng)，該系統(tǒng)包括軟、硬件，人，數(shù)據(jù)庫(kù)，規(guī)程等內(nèi)容的有機(jī)組合。

對(duì)于信息系統(tǒng)安全而言，其主要是利用各種檢測(cè)、記錄等方法，有效地保護(hù)信息系統(tǒng)，避免信息交換、處理、傳送、存儲(chǔ)中，對(duì)信息進(jìn)行未授權(quán)的訪問與修改，保障系統(tǒng)信息的安全性。對(duì)于信息系統(tǒng)安全而言，其終極目標(biāo)即確保信息數(shù)據(jù)在整個(gè)系統(tǒng)中始終維持其完整性、保密性與實(shí)用性，為了實(shí)現(xiàn)該目標(biāo)，必須在系統(tǒng)結(jié)構(gòu)下實(shí)現(xiàn)，而非孤立地保護(hù)信息內(nèi)容。

就信息系統(tǒng)安全工程而言，指的是利用專業(yè)化的安全技術(shù)，諸如通訊、計(jì)算機(jī)、網(wǎng)絡(luò)安全等技術(shù)形式，充分應(yīng)用和貫穿于系統(tǒng)的整個(gè)生命周期中，確保組織結(jié)合系統(tǒng)需求，構(gòu)建滿足系統(tǒng)所需的安全策略，賦予系統(tǒng)足夠的抵御威脅的能力。安全工程在信息系統(tǒng)中的應(yīng)用，旨在利用最優(yōu)費(fèi)效比，提供滿足系統(tǒng)安全所需的解決途徑。有效的安全需求定義與風(fēng)險(xiǎn)分析，成為實(shí)現(xiàn)該目標(biāo)的關(guān)鍵。信息系統(tǒng)安全工程必須提供足夠的能夠支持系統(tǒng)安全需求定義、風(fēng)險(xiǎn)評(píng)估、方案策略制定、方案實(shí)施的方法。

二、基于安全工程的信息系統(tǒng)安全管理方案

結(jié)合當(dāng)前系統(tǒng)安全防御現(xiàn)狀及存在的主要問題，本文提出了基于安全工程的信息系統(tǒng)安全管理方案。結(jié)合安全工程思想與方法，將其運(yùn)用和貫穿在信息系統(tǒng)安全管理的全國(guó)中，明確系統(tǒng)安全管理不同階段的主要活動(dòng)，針對(duì)系統(tǒng)各環(huán)節(jié)特點(diǎn)，利用相應(yīng)的安全管理方法，以便更好地保障系統(tǒng)信息的安全性。本文所提出的安全管理方案，是由各種必要的安全活動(dòng)所構(gòu)成的，結(jié)合系統(tǒng)軟件分階段實(shí)施，以便給予各環(huán)節(jié)相應(yīng)的安全優(yōu)勢(shì)，但是，將此類安全活動(dòng)視為軟件全過程加以執(zhí)行，其安全收益較分散安全活動(dòng)更大。

安全工程管理的核心理念，即從系統(tǒng)安全出發(fā)，對(duì)系統(tǒng)全生命周期各環(huán)節(jié)加以集成，將安全視為系統(tǒng)的有機(jī)組成部分。對(duì)系統(tǒng)工程各階段進(jìn)行安全有效性評(píng)估。系統(tǒng)全生命周期，主要包括規(guī)劃階段、開發(fā)設(shè)計(jì)階段、實(shí)施階段、運(yùn)維階段、廢棄階段等。再加上由于運(yùn)維階段變更所產(chǎn)生的一系列反饋，共同構(gòu)成了一個(gè)完整的系統(tǒng)安全工程管理閉環(huán)結(jié)構(gòu)。對(duì)于信息系統(tǒng)而言，無論對(duì)于哪一時(shí)間節(jié)點(diǎn)上，都必須采用綜合技術(shù)與管理方法保障系統(tǒng)信息的安全性。

（一）規(guī)劃階段為了確保系統(tǒng)的安全性，在系統(tǒng)規(guī)劃階段開始，就必須全面考慮到系統(tǒng)可能存在的安全風(fēng)險(xiǎn)，規(guī)劃過程中結(jié)合系統(tǒng)安全需求，實(shí)現(xiàn)安全工程建設(shè)同系統(tǒng)建設(shè)的同步性。與此同時(shí)，結(jié)合組織機(jī)構(gòu)的要求與業(yè)務(wù)需求，滿足法律、政策、策略、組織等安全需求，以預(yù)期運(yùn)行安全環(huán)境為依據(jù)，組織系統(tǒng)環(huán)境，并對(duì)安全目標(biāo)加以標(biāo)識(shí)，與此同時(shí)，結(jié)合未來系統(tǒng)可能面向的客戶、業(yè)務(wù)及運(yùn)行環(huán)境，展開安全、隱私風(fēng)險(xiǎn)評(píng)估，明確系統(tǒng)安全目標(biāo)基線，確定最低安全基線，并加以論證，此階段安全過程域即明確系統(tǒng)安全要求。

（二）設(shè)計(jì)階段影響系統(tǒng)設(shè)計(jì)安全的階段通常處于項(xiàng)目初期，因此，在設(shè)計(jì)過程中必須全面結(jié)合系統(tǒng)安全問題展開。通過安全保障方案的制定，對(duì)系統(tǒng)進(jìn)行安全功能設(shè)計(jì)與論證，將系統(tǒng)規(guī)劃中所確定的安全需求，全面運(yùn)用于設(shè)計(jì)各功能模塊之中，結(jié)合安全性原則，采用威脅模型建立、減小攻擊面等技術(shù)手段，進(jìn)行安全功能設(shè)計(jì)。系統(tǒng)安全功能設(shè)計(jì)包括身份驗(yàn)證、防火墻設(shè)計(jì)等。設(shè)計(jì)中可結(jié)合有關(guān)標(biāo)準(zhǔn)的安全要求，科學(xué)選取滿足系統(tǒng)要求的功能模塊，綜合考慮到安全風(fēng)險(xiǎn)與成本等問題，明確最佳設(shè)計(jì)方案，并對(duì)與之相匹配的安全措施加以調(diào)整，如高層安全設(shè)計(jì)、詳細(xì)安全設(shè)計(jì)等。

（三）實(shí)施階段在信息系統(tǒng)實(shí)施階段，通常涉及到編碼、試運(yùn)、測(cè)試、交付、培訓(xùn)等環(huán)節(jié)。在此過程中，通過開發(fā)設(shè)計(jì)過程中的風(fēng)險(xiǎn)控制、安全測(cè)評(píng)、管理安全等各項(xiàng)安全活動(dòng)，保障信息系統(tǒng)的安全性。系統(tǒng)安全工程師負(fù)責(zé)實(shí)現(xiàn)設(shè)計(jì)內(nèi)容到實(shí)施運(yùn)行過程的轉(zhuǎn)化，并對(duì)系統(tǒng)展開綜合分析，為認(rèn)證活動(dòng)提供必要的威脅識(shí)別、信息保障、材料維護(hù)等輸入過程。

（四）運(yùn)維階段當(dāng)系統(tǒng)交付之后意味著系統(tǒng)正式步入了運(yùn)維階段。在此過程中，應(yīng)對(duì)系統(tǒng)運(yùn)行中存在安全風(fēng)險(xiǎn)加以有效監(jiān)控，并定期對(duì)系統(tǒng)安全情況進(jìn)行評(píng)估，制定有效的改進(jìn)方案。與此同時(shí)，利用漏洞掃描等一系列技術(shù)，進(jìn)一步保障信息系統(tǒng)主機(jī)、網(wǎng)絡(luò)、通訊過程的安全性。結(jié)合系統(tǒng)運(yùn)行需求，對(duì)安全管理流程、應(yīng)急方案加以完善，以便對(duì)可能存在的安全問題進(jìn)行有效應(yīng)對(duì)。在這一階段，重點(diǎn)是對(duì)系統(tǒng)安全態(tài)勢(shì)進(jìn)行監(jiān)視，結(jié)合既定目標(biāo)，對(duì)系統(tǒng)內(nèi)外安全事件加以跟蹤和監(jiān)測(cè)，并對(duì)系統(tǒng)安全管理進(jìn)行控制。

（五）廢棄階段在信息系統(tǒng)廢棄階段，重點(diǎn)是結(jié)合風(fēng)險(xiǎn)評(píng)估，對(duì)系統(tǒng)軟、硬件資產(chǎn)、殘留信息等廢棄資源加以有效處理，保障系統(tǒng)升級(jí)與更新過程中始終處于一個(gè)安全狀態(tài)。

三、結(jié)束語(yǔ)

篇4

關(guān)鍵詞:信息技術(shù);系統(tǒng)工程;安全風(fēng)險(xiǎn)

中圖分類號(hào):F49文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1672-3198(2009)16-0259-01

1 信息系統(tǒng)安全度量

安全度量分為技術(shù)性安全度量、組織性安全度量以及操作性安全度量。技術(shù)性安全度量用于描述、比較技術(shù)方面的對(duì)象,如算法、規(guī)格說明書、體系結(jié)構(gòu)、設(shè)計(jì)、產(chǎn)品以及實(shí)施的系統(tǒng)等;組織性安全度量用于描述組織過程、規(guī)程的有效性:操作性安全度量用于描述操作環(huán)境方面的風(fēng)險(xiǎn).目前人們?cè)谑褂冒踩攘窟@個(gè)詞時(shí)存在很多模糊和不同的含義,有研究指出,《信息技術(shù)安全評(píng)估通用準(zhǔn)則》雖然是指導(dǎo)安全度量的一個(gè)非常好的標(biāo)準(zhǔn),但它也沒有全面解決安全度量的問題,尤其是針對(duì)網(wǎng)絡(luò)系統(tǒng)的安全度量,目前仍有待于進(jìn)一步的研究。

對(duì)于什么是信息系統(tǒng)安全度量(Security Metrics),有人認(rèn)為,它是以科學(xué)法則為基礎(chǔ)進(jìn)行測(cè)量的結(jié)果,有人認(rèn)為它還應(yīng)包括在主觀判斷基礎(chǔ)上做出的度量結(jié)論。目前這方面還存在爭(zhēng)議,有人還使用了具有類似含義的其他詞,如:measure, score, rating, rank, essment result等,.n。在對(duì)這些詞做出區(qū)別前,它們統(tǒng)一作了如下定義:信息系統(tǒng)安全度量(Security Metrics)是通過度量過程從一個(gè)偏序集中選擇的一個(gè)值,它表示了信息系統(tǒng)的信息安全相關(guān)的質(zhì)量,它提供或用于產(chǎn)生一種關(guān)于信任程度的描述、預(yù)言或比較。

2 信息系統(tǒng)安全管理度量方法

在度量過程中使用何種方法對(duì)度量的有效性有著舉足輕重的影響。度量方法的選擇直接影響到度量過程中的每個(gè)環(huán)節(jié),甚至可以左右最終的度量結(jié)果,所以需要根據(jù)系統(tǒng)的具體情況,選擇合適的風(fēng)險(xiǎn)度量方法。風(fēng)險(xiǎn)度量的方法有很多種,概括起來可分為三大類:定量的風(fēng)險(xiǎn)度量方法、定性的風(fēng)險(xiǎn)度量方法、定性與定量相結(jié)合的度量方法。

(1)定量度量方法:定量的度量方法是指運(yùn)用數(shù)量指標(biāo)來對(duì)風(fēng)險(xiǎn)進(jìn)行度量。典型的定量分析方法有因子分析法、聚類分析法、時(shí)序模型、回歸模型、風(fēng)險(xiǎn)圖法、決策樹法等。

定量的度量方法的優(yōu)點(diǎn)是用直觀的數(shù)據(jù)來表述度量的結(jié)果,看起來一目了然,而且比較客觀。定量分析方法的采用,可以使研究結(jié)果更科學(xué)、更嚴(yán)密、更深刻。有時(shí)一個(gè)數(shù)據(jù)所能夠說明的問題可能是用一大段文字也不能夠闡述清楚的。但常常為了量化,使本來比較復(fù)雜的事物簡(jiǎn)單化、模糊化了,有的風(fēng)險(xiǎn)因素被量化以后還可能被誤解和曲解。

(2)定性度量方法:定性的度量方法主要依據(jù)研究者的知識(shí)、經(jīng)驗(yàn)、歷史教訓(xùn)、政策走向及特殊變例等非量化資料對(duì)系統(tǒng)風(fēng)險(xiǎn)狀況做出判斷的過程。它主要以與調(diào)查對(duì)象的深入訪談做出個(gè)案記錄為基本資料,然后通過一個(gè)理論推導(dǎo)演繹的分析框架,對(duì)資料進(jìn)行編碼整理,在此基礎(chǔ)上做出調(diào)查結(jié)論。典型的定性分析方法有因素分析法、邏輯分析法、歷史比較法、德爾斐法。定性度量方法的優(yōu)點(diǎn)是避免了定量方法的缺點(diǎn),可以挖掘出一些蘊(yùn)藏很深的思想,使度量的結(jié)論更全面、更深刻,但它的主觀性很強(qiáng),對(duì)度量者本身的要求很高。

(3)定性與定量相結(jié)合的綜合度量方法:系統(tǒng)風(fēng)險(xiǎn)度量是一個(gè)復(fù)雜的過程,需要考慮的因素很多,有些度量要素是可以用量化的形式來表達(dá),而對(duì)有些要素的量化又是很困難甚至是不可能的,所以我們不主張?jiān)陲L(fēng)險(xiǎn)度量過程中一味地追求量化,也不認(rèn)為一切都是量化的風(fēng)險(xiǎn)度量過程是科學(xué)、準(zhǔn)確的.我們認(rèn)為定量分析是定性分析的基礎(chǔ)和前提,定性分析應(yīng)建立在定量分析的基礎(chǔ)上才能揭示客觀事物的內(nèi)在規(guī)律。定性分析則是靈魂;是形成概念、觀點(diǎn),做出判斷,得出結(jié)論所必須依靠的。在復(fù)雜的信息系統(tǒng)風(fēng)險(xiǎn)度量過程中,不能將定性分析和定量分析兩種方法簡(jiǎn)單的割裂開來.而是應(yīng)該將這兩種方法融合起來,采用綜合的度量方法。

(4)信息安全管理度量過程:風(fēng)險(xiǎn)度量過程訓(xùn)就是在度量標(biāo)準(zhǔn)的指導(dǎo)下,綜合利用相關(guān)度量技術(shù)、度量方法、度量工具,針對(duì)信息系統(tǒng)展開全方位的度量工作的完整歷程.對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)度量,首先應(yīng)確保風(fēng)險(xiǎn)分析的內(nèi)容與范圍應(yīng)該覆蓋信息系統(tǒng)的整個(gè)體系,應(yīng)包括:系統(tǒng)基本情況分析、信息系統(tǒng)基本安全狀況調(diào)查、信息系統(tǒng)安全組織、政策情況分析、信息系統(tǒng)弱點(diǎn)漏洞分析等。

(5)實(shí)體與環(huán)境安全:實(shí)體與環(huán)境指計(jì)算機(jī)設(shè)備及計(jì)算機(jī)網(wǎng)管人員工作的場(chǎng)所,這個(gè)場(chǎng)所內(nèi)外的環(huán)境條件必須滿足計(jì)算機(jī)設(shè)備和網(wǎng)管人員的要求。對(duì)于各種災(zāi)害、故障要采取充分的預(yù)防措施,萬(wàn)一發(fā)生災(zāi)害或故障,應(yīng)能采取應(yīng)急措施,將損失降到最低限度?？梢詮囊韵聨讉€(gè)方面來檢查:

①機(jī)房周圍環(huán)境機(jī)房是否建在電力、水源充足、自然環(huán)境清潔、通訊、交通運(yùn)輸方便的地方。

②機(jī)房周圍l00m 內(nèi)有無危險(xiǎn)建筑危險(xiǎn)建筑指易燃、易爆、有害氣體等存在的場(chǎng)所,如加油站、煤氣站、煤氣管道等。

③有無監(jiān)控系統(tǒng)監(jiān)控系統(tǒng),指對(duì)系統(tǒng)運(yùn)行的環(huán)境、操作環(huán)境實(shí)施監(jiān)控(視)的設(shè)施,及時(shí)發(fā)現(xiàn)異常,可根據(jù)使用目的不同配備以下監(jiān)視設(shè)備,如紅外線傳感器、監(jiān)視攝像機(jī)等設(shè)備。

④有無防火、防水措施防火,指機(jī)房?jī)?nèi)安裝有火災(zāi)自動(dòng)報(bào)警系統(tǒng),或有適用于計(jì)算機(jī)機(jī)房的滅火器材,如鹵代烷1211和1301自動(dòng)消防系統(tǒng)或滅火器。防水,指機(jī)房?jī)?nèi)無滲水、漏水現(xiàn)象,如機(jī)房上層有用水設(shè)施需加防水層,有暖氣裝置的機(jī)房沿機(jī)房地面周圍應(yīng)設(shè)排水溝,應(yīng)注意對(duì)暖氣管道定期檢查和維修。是否裝有漏水傳感器。

⑤機(jī)房有無環(huán)境測(cè)控設(shè)施溫度控制:指機(jī)房有空調(diào)設(shè)備,機(jī)房溫度保持在1824攝氏度。濕度控制:指相對(duì)濕度保持在400/"0%。潔凈度控制:機(jī)房和設(shè)備應(yīng)保持清潔、衛(wèi)生,進(jìn)出機(jī)房換鞋,機(jī)房門窗具有封閉性能。

⑥有無防雷措施計(jì)算機(jī)機(jī)房是否符合GB-157《建筑防雷設(shè)計(jì)規(guī)范》中的防雷措施.在雷電頻繁區(qū)域,是否設(shè)有浪涌電壓吸收裝置。

(6)是否使用UPS UPS(Uninterruptible Power System)即不間斷電源,是一種含有儲(chǔ)能裝置,以逆變器為主要組成部分的恒壓、恒頻的不間斷電源。主要用于給單臺(tái)計(jì)算機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或其它電力電子設(shè)備提供不間斷的電力供應(yīng)。

參考文獻(xiàn)

[1]李河.推進(jìn)信息化構(gòu)建和諧社會(huì)[J].大連干部學(xué)刊,2005,(8):32-33.

篇5

關(guān)鍵詞：高速鐵路；高鐵信號(hào)系統(tǒng)；信息網(wǎng)絡(luò)安全；軟件定義網(wǎng)絡(luò)；新型鐵路信號(hào)系統(tǒng)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

SDN高速鐵路信號(hào)體系是一種新型的軟件定義網(wǎng)絡(luò)模式，這種模式與高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)的安全性密切相關(guān)，為了提升高速鐵路工程的工作效益，需要做好信號(hào)安全數(shù)據(jù)、分散自律調(diào)度集中網(wǎng)絡(luò)等的管控及隔離工作的要求，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的統(tǒng)一性管理，這都離不開統(tǒng)一性控制器的應(yīng)用，做好整體設(shè)備的注冊(cè)管理工作，確保安全通問控制工作的有效開展，從而實(shí)現(xiàn)該工程信號(hào)系統(tǒng)安全性的提升，降低網(wǎng)絡(luò)安全管理復(fù)雜性。

一、高速鐵路信號(hào)系統(tǒng)的網(wǎng)絡(luò)安全性概念

1.高速鐵路工程系統(tǒng)的網(wǎng)絡(luò)架構(gòu)具備可在線編程、集中管控性、統(tǒng)一安全性的特點(diǎn)，這種網(wǎng)絡(luò)架構(gòu)滿足高速鐵路工程的日常信號(hào)管理需要，有利于網(wǎng)絡(luò)安全管理工作的穩(wěn)定開展，這種模式比分散性網(wǎng)絡(luò)管理具備更高的工作效率，通過對(duì)這種模式的應(yīng)用及普及，可以解決高鐵信號(hào)系統(tǒng)的網(wǎng)絡(luò)安全性管控問題。

鐵路運(yùn)輸體系是我國(guó)基礎(chǔ)交通體系的重要組成部分，為了確保該工作的穩(wěn)定運(yùn)行，必須進(jìn)行其整體安全性的控制，這里的安全性主要包括兩個(gè)方面的工作。第一是工程系統(tǒng)網(wǎng)絡(luò)安全性的保證，這種系統(tǒng)網(wǎng)絡(luò)不能因?yàn)閮?nèi)部的一些故障而停止工作，最終的工作目的是降低工作過程中的故障率，避免因?yàn)樵O(shè)備及網(wǎng)絡(luò)故障，而信系統(tǒng)出現(xiàn)一系列的危險(xiǎn)問題。

另一方面的安全性主要是指系統(tǒng)網(wǎng)絡(luò)具備良好的抵抗外部入侵的能力，具備良好的操作安全性。高鐵信號(hào)系統(tǒng)的開展離不開其整體網(wǎng)絡(luò)的安全性，該信號(hào)系統(tǒng)具備其獨(dú)特的網(wǎng)絡(luò)，這一定程度上確保了該系統(tǒng)的安全性，但是這并不代表這種系統(tǒng)不存在網(wǎng)絡(luò)病毒散播的問題。隨著社會(huì)網(wǎng)絡(luò)信息化體系的健全，計(jì)算機(jī)網(wǎng)絡(luò)化日益普及，各種新型的網(wǎng)絡(luò)病毒不斷產(chǎn)生，比較常見的病毒有震網(wǎng)病毒，這種病毒對(duì)于工業(yè)管理系統(tǒng)極具殺傷力。隨著時(shí)代的發(fā)展，社會(huì)經(jīng)濟(jì)對(duì)于高鐵信號(hào)系統(tǒng)的要求越來越高，高鐵信號(hào)系統(tǒng)必須具備更強(qiáng)的數(shù)據(jù)共享性，需要具備豐富的通信數(shù)據(jù)，這就進(jìn)一步提升了高速鐵路系統(tǒng)的開發(fā)性，不利于進(jìn)行高速鐵路信號(hào)安全性的控制。

為了滿足信息化時(shí)代的交通工作要求，進(jìn)行鐵路信號(hào)系統(tǒng)的現(xiàn)代化管理是必要的，為了確保交通工程系統(tǒng)的穩(wěn)定運(yùn)行，需要保證鐵路信號(hào)系統(tǒng)信息化及網(wǎng)絡(luò)化過程安全性，滿足現(xiàn)代交通企業(yè)信息化管理工作的要求。這就需要我國(guó)的鐵路信號(hào)系統(tǒng)轉(zhuǎn)變傳統(tǒng)的管理模式，進(jìn)行智能化、自動(dòng)化管理技術(shù)的升級(jí)，實(shí)現(xiàn)計(jì)算機(jī)模塊、控制模塊、通信模塊等的協(xié)調(diào)，在這個(gè)過程中，以太網(wǎng)技術(shù)不斷流行，這種技術(shù)具備良好的數(shù)據(jù)傳輸可靠性、實(shí)時(shí)性。

無論是信息通信環(huán)節(jié)、通信數(shù)據(jù)庫(kù)構(gòu)建環(huán)節(jié)、內(nèi)部資源優(yōu)化配置環(huán)節(jié)，以太技術(shù)的應(yīng)用都能取得良好的工作效益。極大地滿足了現(xiàn)代化工業(yè)控制系統(tǒng)的工作要求。隨著時(shí)代的發(fā)展，以太網(wǎng)技術(shù)體系日益健全，在控制系統(tǒng)網(wǎng)絡(luò)中，以太技術(shù)實(shí)現(xiàn)了大規(guī)模的普及，無論是控制系統(tǒng)網(wǎng)絡(luò)還是鐵路信號(hào)控制系統(tǒng)都能看到以太網(wǎng)應(yīng)用的縮影。

2.時(shí)代的不斷發(fā)展，需要工業(yè)控制系統(tǒng)具備更強(qiáng)的信息共享性，震網(wǎng)病毒的出現(xiàn)，讓工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的安全性問題更加引起世界各界的重視，面臨著日益嚴(yán)峻的網(wǎng)絡(luò)信息安全問題，進(jìn)行大容量、實(shí)時(shí)性、可靠性數(shù)據(jù)信息傳遞及交互技術(shù)的應(yīng)用是必要的，比如進(jìn)行GSM無線通信技術(shù)的引進(jìn)，在地面設(shè)備系統(tǒng)中，進(jìn)行無線閉塞中心及無線通信網(wǎng)絡(luò)系統(tǒng)的應(yīng)用。

無線公共信道是GSM通信系統(tǒng)信號(hào)的重要實(shí)現(xiàn)途徑，這種渠道的應(yīng)用，讓鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)具備更強(qiáng)的開發(fā)性，但是這也一定程度上加大了鐵路信號(hào)系統(tǒng)信息的擴(kuò)散威脅性。我國(guó)的鐵路信號(hào)體系實(shí)現(xiàn)了4個(gè)模塊的結(jié)合，分別是GSM通信網(wǎng)絡(luò)模塊、集中監(jiān)測(cè)網(wǎng)絡(luò)模塊、信號(hào)安全數(shù)據(jù)網(wǎng)絡(luò)模塊、信號(hào)網(wǎng)絡(luò)基礎(chǔ)模塊。在實(shí)際工作中，鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，其內(nèi)部存在各種網(wǎng)絡(luò)模式，這些網(wǎng)絡(luò)模式具備不同的安全等級(jí)，它的網(wǎng)絡(luò)設(shè)備內(nèi)部設(shè)置比較復(fù)雜，存在較大的維修困難問題，現(xiàn)階段鐵路信號(hào)系統(tǒng)的整體安全性比較低，缺乏統(tǒng)一性的安全策略，難以滿足現(xiàn)代化鐵路工程智能化、集中管理化等的工作要求。

3.我國(guó)的鐵路信號(hào)信息安全系統(tǒng)并不具備較強(qiáng)的安全防護(hù)等級(jí)，缺乏比較先進(jìn)的病毒防控、隔離等技術(shù)，防火墻技術(shù)比較落后，難以滿足我國(guó)鐵路通信應(yīng)用協(xié)議的工作規(guī)范要求。為了進(jìn)一步提升鐵路信號(hào)設(shè)備通信的安全性及可靠性，需要進(jìn)行鐵路信號(hào)系統(tǒng)安全通信數(shù)據(jù)網(wǎng)絡(luò)的優(yōu)化，做好一系列的信息安全防護(hù)措施。

為了解決現(xiàn)階段高速鐵路工程信息安全性問題，必須進(jìn)行信號(hào)系統(tǒng)網(wǎng)絡(luò)整體架構(gòu)的優(yōu)化，提升信號(hào)系統(tǒng)的整體網(wǎng)絡(luò)安全性，做好詳細(xì)地分析工作，進(jìn)行鐵路信號(hào)系統(tǒng)內(nèi)部子系統(tǒng)接口安全性的分析，實(shí)現(xiàn)信號(hào)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)網(wǎng)絡(luò)由高安全等級(jí)工程網(wǎng)絡(luò)的轉(zhuǎn)換，這就需要進(jìn)行SDN鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)安全性方案的應(yīng)用，做好該系統(tǒng)功能的特性分析工作，進(jìn)行基于軟件定義鐵路信號(hào)鐵路系統(tǒng)網(wǎng)絡(luò)的應(yīng)用。

二、信號(hào)系統(tǒng)網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)的優(yōu)化

鐵路信號(hào)系統(tǒng)的內(nèi)部配置具備較強(qiáng)的復(fù)雜性，它不是簡(jiǎn)單的信號(hào)設(shè)備的結(jié)合，而是由不同層次的控制模塊構(gòu)成的，這些控制模塊的功能不一，但是又能相互協(xié)作，共同實(shí)現(xiàn)鐵路信號(hào)系統(tǒng)的安全運(yùn)行。鐵路信號(hào)系統(tǒng)的內(nèi)部各個(gè)要素之間相互聯(lián)系，為了現(xiàn)階段的安全防護(hù)要求，工作人員需要進(jìn)行該系統(tǒng)內(nèi)部資源的優(yōu)化配置，深入了解其復(fù)雜的系統(tǒng)性結(jié)構(gòu)，確保高鐵信號(hào)系統(tǒng)的穩(wěn)定運(yùn)行。

高鐵信號(hào)系統(tǒng)的內(nèi)部構(gòu)造比較復(fù)雜，由信號(hào)集中監(jiān)測(cè)系統(tǒng)、行車指揮系統(tǒng)等構(gòu)成，列控系統(tǒng)主要由無線閉塞中心、列控中心、傳輸網(wǎng)絡(luò)、應(yīng)答器等構(gòu)成。行車指揮系統(tǒng)由服務(wù)器系統(tǒng)、信號(hào)網(wǎng)絡(luò)基礎(chǔ)中心、自律分機(jī)等構(gòu)成。信號(hào)集中監(jiān)測(cè)系統(tǒng)由列車控制中心、軌道鐵路系統(tǒng)、信號(hào)設(shè)備連接系統(tǒng)、信號(hào)網(wǎng)絡(luò)系統(tǒng)通信網(wǎng)絡(luò)系統(tǒng)等構(gòu)成。區(qū)別于集中監(jiān)測(cè)網(wǎng)絡(luò)的安全性，信號(hào)安全通信數(shù)據(jù)網(wǎng)具備獨(dú)立成網(wǎng)性，其實(shí)現(xiàn)了物理手段隔離模式的應(yīng)用，理論上來說，信號(hào)網(wǎng)絡(luò)系統(tǒng)通信網(wǎng)絡(luò)系統(tǒng)、通信數(shù)據(jù)網(wǎng)系統(tǒng)、集中監(jiān)測(cè)網(wǎng)絡(luò)相互隔離卻又相互滲透。

三、信號(hào)系統(tǒng)網(wǎng)絡(luò)接口方案的優(yōu)化

1.為了提升高鐵工程信號(hào)系統(tǒng)的安全性，必須實(shí)現(xiàn)列車與RBC無線承載控制系統(tǒng)的連接，確保其良好的連接性，這需要做好RBC系統(tǒng)與列車的連接確認(rèn)工作，保證列控中心指令的正確傳達(dá)，通過對(duì)以太網(wǎng)的應(yīng)用，實(shí)現(xiàn)聯(lián)鎖模塊及列控模塊的有效協(xié)調(diào)，這兩個(gè)模塊之間不需要進(jìn)行防火墻的隔離設(shè)置，因?yàn)橐坏└綦x，就可能影響到數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性及安全性，這不利于鐵路數(shù)據(jù)信息數(shù)據(jù)的傳輸要求。為了滿足實(shí)際工作的要求，必須保證地面設(shè)備及列車車載設(shè)備的相互通信，確保其與列控系統(tǒng)之間的信息傳遞。在這個(gè)過程中，信息傳遞差異是客觀存在的，這是由于列控中心與地面設(shè)備的距離性導(dǎo)致的，這種差異性很可能導(dǎo)致行車精確性的降低。IP安全數(shù)據(jù)通信網(wǎng)是臨時(shí)限速服務(wù)器及RBC系統(tǒng)的連接網(wǎng)絡(luò)，這種連接網(wǎng)絡(luò)的應(yīng)用，可以確保鐵路信號(hào)系統(tǒng)傳遞的安全性，這兩者之間沒有進(jìn)行防火墻的安全防護(hù)設(shè)置。

在高鐵工程信號(hào)系統(tǒng)的應(yīng)用過程中，局域網(wǎng)通信協(xié)議是常見的網(wǎng)絡(luò)配置模式，信號(hào)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)與上位機(jī)，信號(hào)網(wǎng)絡(luò)系統(tǒng)分機(jī)與上位機(jī)的接口，都是聯(lián)鎖系統(tǒng)的常見內(nèi)部配置模式，這些接口之間并非進(jìn)行安全通信協(xié)議的應(yīng)用，但應(yīng)用了防火墻防護(hù)方案。客觀上來說，信號(hào)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)具備非安全性，為了確保系統(tǒng)邊界防護(hù)效益的提升，必須進(jìn)行安全通信協(xié)議的應(yīng)用，確保上位機(jī)及信號(hào)網(wǎng)絡(luò)系統(tǒng)分機(jī)接口的安全通信協(xié)議的應(yīng)用，通過對(duì)這兩者安全通信協(xié)議的應(yīng)用可以避免這兩種網(wǎng)絡(luò)體系的相互滲透問題，避免以太網(wǎng)控制網(wǎng)系統(tǒng)內(nèi)部要素的相互滲透狀況。

2.信號(hào)網(wǎng)絡(luò)系統(tǒng)及上位機(jī)并不能進(jìn)行控制指令的傳遞，一旦采用安全協(xié)議，必然會(huì)導(dǎo)致信號(hào)網(wǎng)絡(luò)系統(tǒng)分機(jī)與上位機(jī)數(shù)據(jù)傳遞效率的降低，但是這并不影響控制系統(tǒng)的核心功能，通信系統(tǒng)部分軟件性能的提升，并不會(huì)增加該系統(tǒng)的維護(hù)成本。集中監(jiān)測(cè)系統(tǒng)車站分機(jī)及維修機(jī)間的接口并未進(jìn)行防火墻防護(hù)，采用的是IP協(xié)議及安全通信協(xié)議，客觀來說，集中監(jiān)測(cè)系統(tǒng)并非安全性系統(tǒng)，為了提升工程信號(hào)系統(tǒng)的安全性，必須實(shí)現(xiàn)集中監(jiān)測(cè)系統(tǒng)及維修機(jī)安全網(wǎng)絡(luò)等級(jí)的提升。

高鐵列車的安全運(yùn)行離不開列車控制模塊的開展，列控中心系統(tǒng)、計(jì)算機(jī)聯(lián)鎖系統(tǒng)、臨時(shí)限速服務(wù)器系統(tǒng)等都將直接影響到高鐵列車的安全運(yùn)行，信號(hào)安全數(shù)據(jù)網(wǎng)需要為最高等級(jí)的網(wǎng)絡(luò)子系統(tǒng)，信號(hào)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)網(wǎng)絡(luò)負(fù)責(zé)現(xiàn)場(chǎng)設(shè)備及其相關(guān)網(wǎng)絡(luò)子系統(tǒng)的控制工作，集中監(jiān)測(cè)系統(tǒng)主要負(fù)責(zé)故障信息的報(bào)警，現(xiàn)場(chǎng)設(shè)備狀態(tài)的監(jiān)測(cè)等工作，并不負(fù)責(zé)列車及設(shè)備的控制工作，其整體安全性等級(jí)較低。列車的控制系統(tǒng)與集中監(jiān)測(cè)網(wǎng)絡(luò)并無太大的關(guān)聯(lián)。

3.信號(hào)安全數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行了一系列服務(wù)器的設(shè)置，進(jìn)行了不同種專用操作系統(tǒng)的應(yīng)用，比如FreeBSD、Linux系統(tǒng)等，這些操作系統(tǒng)內(nèi)部并沒有進(jìn)行安全功能的設(shè)置，由于信號(hào)系統(tǒng)的自身復(fù)雜性，其軟件變更的周期比較長(zhǎng)，為了保證信號(hào)信息的安全性，必須做好信號(hào)系統(tǒng)的徹底測(cè)試工作，確保信號(hào)系統(tǒng)的整體優(yōu)化，從而保證系統(tǒng)可靠性及安全性的提升。這就需要做好信號(hào)系統(tǒng)軟件的及時(shí)更新工作，避免出現(xiàn)具備威脅性的漏洞，從而避免被網(wǎng)絡(luò)黑客攻擊。

以信號(hào)網(wǎng)絡(luò)系統(tǒng)車站局域網(wǎng)為基點(diǎn)，有兩種方法可以威脅到高鐵工程信號(hào)系統(tǒng)的安全性，第一條途徑是由信號(hào)網(wǎng)絡(luò)系統(tǒng)車站子系統(tǒng)到信號(hào)網(wǎng)絡(luò)系統(tǒng)中心系統(tǒng)，在這個(gè)步驟中，一旦取得BC接口服務(wù)器的控制器，就會(huì)由信號(hào)安全數(shù)據(jù)網(wǎng)的服務(wù)器入侵到信號(hào)安全數(shù)據(jù)的子系統(tǒng)中。第二條途徑與第一條途徑類似，第二條途徑的威脅在于臨時(shí)限速接口服務(wù)器控制權(quán)的獲得，如果不能實(shí)現(xiàn)與臨時(shí)限速接口連接的路由器的良好配置，就會(huì)威脅到信號(hào)安全數(shù)據(jù)網(wǎng)的信息傳遞。

為了提升高鐵工程信號(hào)系統(tǒng)的安全性，需要實(shí)現(xiàn)統(tǒng)一安全管控方案的優(yōu)化，這種方案基于SDN模式的應(yīng)用，這種系統(tǒng)具備新型的網(wǎng)絡(luò)內(nèi)部架構(gòu)，實(shí)現(xiàn)了路由器及交換機(jī)數(shù)據(jù)平面及控制平面的分離，由網(wǎng)絡(luò)操作系統(tǒng)為上層進(jìn)行網(wǎng)絡(luò)資源的提供，實(shí)現(xiàn)了網(wǎng)絡(luò)虛擬化，進(jìn)行網(wǎng)絡(luò)虛擬化層的形成，通過不同控制程序的應(yīng)用，實(shí)現(xiàn)了不同網(wǎng)絡(luò)虛擬化模塊的數(shù)據(jù)傳遞。高鐵信號(hào)系統(tǒng)由集中監(jiān)測(cè)網(wǎng)絡(luò)、信號(hào)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)網(wǎng)絡(luò)、信號(hào)安全網(wǎng)絡(luò)系統(tǒng)構(gòu)成，這三者之間互為獨(dú)立性的物理網(wǎng)絡(luò)，物理手段的使用可以讓這三者之間實(shí)現(xiàn)隔離，這就進(jìn)一步加大系統(tǒng)間接口的復(fù)雜性，這些系統(tǒng)結(jié)構(gòu)的安全等級(jí)不同，容易出現(xiàn)維修管理難問題，從而不利于鐵路工程信號(hào)系統(tǒng)整體安全性提升。

4.軟件定義高鐵信號(hào)系統(tǒng)網(wǎng)絡(luò)的應(yīng)用，以SDN架構(gòu)為基礎(chǔ)，通過對(duì)信號(hào)系統(tǒng)復(fù)雜性網(wǎng)絡(luò)安全管理問題的解決，實(shí)現(xiàn)了工程信號(hào)系統(tǒng)整體安全性的提升。該網(wǎng)絡(luò)的穩(wěn)定運(yùn)行離不開3個(gè)工作模塊的結(jié)合，需要實(shí)現(xiàn)集中監(jiān)測(cè)網(wǎng)絡(luò)、信息安全網(wǎng)絡(luò)、信號(hào)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)工作網(wǎng)絡(luò)的結(jié)合，在SDN應(yīng)用結(jié)構(gòu)的基礎(chǔ)上，實(shí)現(xiàn)網(wǎng)絡(luò)硬件平臺(tái)的利用，保證分布式控制技術(shù)的統(tǒng)一性應(yīng)用。這種鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)基于網(wǎng)絡(luò)硬件平臺(tái)的應(yīng)用，通過對(duì)網(wǎng)絡(luò)虛擬化技術(shù)的使用，實(shí)現(xiàn)了系統(tǒng)不同功能子網(wǎng)的協(xié)調(diào)，確保了軟件隔離網(wǎng)絡(luò)的高效化、可控化，有利于提升信號(hào)系統(tǒng)網(wǎng)絡(luò)安全性。

四、網(wǎng)絡(luò)統(tǒng)一安全管控系統(tǒng)的健全

1.為了提升高速鐵路工程信號(hào)系統(tǒng)的安全性，需要做好設(shè)備開啟的網(wǎng)絡(luò)服務(wù)認(rèn)證工作，做好不同設(shè)備網(wǎng)絡(luò)服務(wù)的注冊(cè)及認(rèn)證工作，這需要在鐵路設(shè)備資產(chǎn)安全管理服務(wù)器上進(jìn)行操作，針對(duì)那些非認(rèn)證服務(wù)及訪問關(guān)系，網(wǎng)絡(luò)控制器禁止其使用網(wǎng)絡(luò)，這有利于提升網(wǎng)絡(luò)服務(wù)模塊的管控強(qiáng)度，實(shí)現(xiàn)合理化網(wǎng)絡(luò)服務(wù)模塊與其他服務(wù)模塊訪問關(guān)系的確定，實(shí)現(xiàn)業(yè)務(wù)通信管理矩陣的制定。在網(wǎng)絡(luò)控制器的操作過程中，通過對(duì)通信管理矩陣的使用，實(shí)現(xiàn)各個(gè)設(shè)備及程序的網(wǎng)絡(luò)服務(wù)資源的強(qiáng)制控制工作，確保全局安全通信的管理及訪問控制工作效率的提升。

在該系統(tǒng)的運(yùn)作過程中，網(wǎng)絡(luò)控制器可以實(shí)現(xiàn)不同數(shù)據(jù)包來源的標(biāo)識(shí)及記錄工作，實(shí)現(xiàn)數(shù)據(jù)包及其來源信息的綁定準(zhǔn)確性的提升。在這個(gè)過程中，如果網(wǎng)絡(luò)安全檢測(cè)設(shè)備發(fā)現(xiàn)異常，就會(huì)追溯故障的源頭，如果發(fā)現(xiàn)業(yè)務(wù)數(shù)據(jù)的異常問題，就可以根據(jù)綁定信息，做好異常設(shè)備的迅速定位工作，實(shí)習(xí)高速鐵路信號(hào)系統(tǒng)信息安全性及網(wǎng)絡(luò)安全性的提升，降低不同系統(tǒng)接口之間的安全威脅問題，確保GSM系統(tǒng)安全性的提升，實(shí)現(xiàn)低安全網(wǎng)絡(luò)系統(tǒng)向高安全等級(jí)網(wǎng)絡(luò)系統(tǒng)的滲透。

2.高速鐵路工程信號(hào)系統(tǒng)的日常工作，需要建立在安全性分析的基礎(chǔ)上，信號(hào)系統(tǒng)網(wǎng)絡(luò)的探索工作，進(jìn)行鐵路信號(hào)系統(tǒng)新型網(wǎng)絡(luò)架構(gòu)的提出，在此基礎(chǔ)上，落實(shí)好信息系統(tǒng)資產(chǎn)注冊(cè)及其相關(guān)問題，做好信息系統(tǒng)的服務(wù)管理工作，落實(shí)好網(wǎng)絡(luò)數(shù)據(jù)的信息追蹤工作，實(shí)現(xiàn)系統(tǒng)內(nèi)部不同模塊的訪問控制工作，實(shí)現(xiàn)我國(guó)高速鐵路信號(hào)系統(tǒng)整體網(wǎng)絡(luò)安全性的提升，降低信號(hào)系統(tǒng)的日常管理難度，實(shí)現(xiàn)我國(guó)高鐵信號(hào)系統(tǒng)網(wǎng)絡(luò)的穩(wěn)定發(fā)展。

結(jié)語(yǔ)

通過對(duì)高速鐵路工程信號(hào)系統(tǒng)的安全及管理模式的應(yīng)用，可以滿足現(xiàn)代化高鐵工程信號(hào)系統(tǒng)的管理要求，保障了高速鐵路工程信號(hào)系統(tǒng)的整體安全性，實(shí)現(xiàn)了數(shù)據(jù)信息的安全性傳遞。

⒖嘉南

[1]禹志陽(yáng).高速鐵路信號(hào)系統(tǒng)集成、測(cè)試技術(shù)及“走出去”策略[J].鐵路通信信號(hào)工程技術(shù)，2015（1）：12-14.