劉彩錄

鐵路分散自律調(diào)度集中系統(tǒng) (CTC)，已被廣泛應(yīng)用于我國(guó)既有鐵路、高速鐵路及城際客專(zhuān)等鐵路運(yùn)輸上，提高了運(yùn)輸組織工作效率，也被國(guó)家相關(guān)部門(mén)評(píng)定為“等級(jí)保護(hù)”四級(jí)系統(tǒng)，對(duì)該系統(tǒng)信息網(wǎng)絡(luò)安全提出了更高的要求。鐵路CTC網(wǎng)絡(luò)均采用了帶訪問(wèn)控制功能的路由器，正確地設(shè)置ACL(訪問(wèn)控制列表)，將起到防火墻的作用，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。本文探討在CTC網(wǎng)絡(luò)路由器上進(jìn)行規(guī)則設(shè)定，阻擋不匹配安全規(guī)則的數(shù)據(jù)包，實(shí)現(xiàn)CTC網(wǎng)絡(luò)安全。

1 CTC網(wǎng)絡(luò)安全情況

1.1 CTC網(wǎng)絡(luò)安全風(fēng)險(xiǎn)因素

1.病毒。CTC系統(tǒng)在建立和運(yùn)營(yíng)過(guò)程中，需進(jìn)行大量的軟件上傳、修改、備份和檢查升級(jí)工作，遠(yuǎn)程連接登錄、使用U盤(pán)等都可能造成系統(tǒng)的“病毒”感染，導(dǎo)致中心或車(chē)站系統(tǒng)癱瘓。

2.非法登錄。掌握CTC系統(tǒng)各級(jí)口令的人可以隨時(shí)通過(guò)中心或車(chē)站某臺(tái)終端接入CTC系統(tǒng)，有可能對(duì)系統(tǒng)進(jìn)行破壞。

3.信息安全。CTC系統(tǒng)直接指揮和控制行車(chē)，是鐵路調(diào)度指揮進(jìn)行生產(chǎn)組織的核心系統(tǒng)，其內(nèi)部網(wǎng)絡(luò)中傳輸著涉密信息，尤其是軍運(yùn)或?qū)＿\(yùn)列車(chē)的行車(chē)組織信息。

1.2 現(xiàn)有解決方案

1.設(shè)置殺毒軟件服務(wù)器。CTC中心部署一套網(wǎng)絡(luò)版殺毒軟件服務(wù)器，通過(guò)控制中心管理全網(wǎng)的客戶端，實(shí)現(xiàn)統(tǒng)一升級(jí)、設(shè)置，對(duì)網(wǎng)絡(luò)中的病毒進(jìn)行實(shí)時(shí)監(jiān)控和查殺。

2.訪問(wèn)控制。大多數(shù)方案是安裝硬件防火墻，主要是過(guò)濾非法數(shù)據(jù)包或者不安全的流量，保證網(wǎng)絡(luò)安全。車(chē)站防火墻均布置在網(wǎng)絡(luò)出入口處 (網(wǎng)絡(luò)交換機(jī)和路由器之間)，防火墻一次故障或死機(jī)就可能危及整個(gè)車(chē)站網(wǎng)絡(luò)，導(dǎo)致信息傳輸中斷，影響行車(chē)組織;而且專(zhuān)門(mén)增設(shè)防火墻也增加了成本。

3.強(qiáng)化CTC用戶管理。杜絕一機(jī)雙網(wǎng)，確保與外部網(wǎng)絡(luò)物理隔離;拒絕未經(jīng)檢測(cè)的移動(dòng)存儲(chǔ)使用;驗(yàn)證CTC用戶的身份和使用權(quán)限，防止用戶越權(quán)操作等。

訪問(wèn)控制是實(shí)現(xiàn)網(wǎng)絡(luò)安全的主要途徑。目前實(shí)現(xiàn)訪問(wèn)控制的技術(shù)方案有MAC地址過(guò)濾、交換機(jī)VLAN隔離、基于IP地址的訪問(wèn)控制列表等。

2 配置訪問(wèn)控制列表

訪問(wèn)控制列表 (Access control list，縮寫(xiě)ACL)，是一種基于包過(guò)濾的數(shù)據(jù)控制技術(shù)，在路由器和三層交換機(jī)中被廣泛使用。它把源地址、目的地址以及端口號(hào)作為數(shù)據(jù)包檢查的基本要素，并規(guī)定符合檢查條件的數(shù)據(jù)包允許通過(guò)，不符合檢查條件的數(shù)據(jù)包禁止通過(guò)，從而保證網(wǎng)絡(luò)安全。

現(xiàn)有CTC網(wǎng)絡(luò)絕大多數(shù)部署了防火墻，但實(shí)際運(yùn)行防火墻死機(jī)或故障發(fā)生率偏高。由于防火墻部署在網(wǎng)絡(luò)出入口，即便是瞬間重啟也必然導(dǎo)致整個(gè)車(chē)站CTC網(wǎng)絡(luò)中斷。而在路由器適當(dāng)配置訪問(wèn)控制列表 (ACL)，對(duì)網(wǎng)絡(luò)流量進(jìn)行規(guī)則檢查，限制非法數(shù)據(jù)包通過(guò)，實(shí)踐證明，可以有效減少網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，實(shí)現(xiàn)一般防火墻具有的功能。

訪問(wèn)控制列表實(shí)現(xiàn)方法:首先進(jìn)入路由器全局配置模式，依次定義訪問(wèn)控制列表，最后將其配置到網(wǎng)絡(luò)接口中。這樣通過(guò)該接口的數(shù)據(jù)包都必須接受規(guī)則檢查，被禁止的數(shù)據(jù)流量將無(wú)法通過(guò)。

ACL根據(jù)情況配置檢查源IP地址、目的IP地址、網(wǎng)絡(luò)協(xié)議和端口號(hào)等，主要使用以下2種。

1.標(biāo)準(zhǔn)訪問(wèn)控制列表是最簡(jiǎn)單的ACL，格式:

access-list ACL號(hào)permit|deny主機(jī)IP地址

2.擴(kuò)展訪問(wèn)控制列表是一種高級(jí)ACL，格式:

access-list ACL號(hào)［permit|deny］［協(xié)議］［定義過(guò)濾源主機(jī)］［定義過(guò)濾源端口］［定義過(guò)濾目的主機(jī)］［定義過(guò)濾目的端口］

實(shí)際應(yīng)用中，還要分清ACL所應(yīng)用的接口及其方向。

3 CTC路由器訪問(wèn)控制列表常用配置實(shí)例

1.限制計(jì)算機(jī)病毒傳播。由于微軟操作系統(tǒng)的漏洞，一些病毒或木馬軟件使用UDP端口135、137等和 TCP端口135、137、9996等進(jìn)行傳播，可設(shè)置ACL規(guī)則關(guān)閉這些端口，阻礙其傳播，有利于病毒的查殺。比如關(guān)閉UDP和TCP135端口。

access-list 101 deny udp any any eq 135

access-list 101 deny tcp any any eq 135

access-list 101 permit ip any any

2.屏蔽非法主機(jī)通信。假設(shè)一臺(tái)主機(jī)ip 172.22.10.5非法進(jìn)入網(wǎng)絡(luò) (或者感染了病毒)，那么可以采用ACL策略，限制該主機(jī)的數(shù)據(jù)傳輸。

access-list 3 deny 172.22.10.5

access-list 3 permit ip any any

int f1/0

ip access-group 3 in

exit

3.保護(hù)CTC中心服務(wù)器安全。CTC中心服務(wù)器作為網(wǎng)絡(luò)中樞，對(duì)所有的網(wǎng)絡(luò)終端都是可訪問(wèn)的，這樣也很容易招來(lái)黑客和病毒的攻擊，通過(guò)設(shè)置車(chē)站路由器ACL可以將除了必用服務(wù)端口之外的其他端口都關(guān)掉。假設(shè)172.22.10.1為中心服務(wù)器，必用服務(wù)端口為99，協(xié)議為T(mén)CP。

access-list 101 permit tcp any 172.22.10.1 0.0.0.0 eq 99

access-list 101 deny any

4.保護(hù)CTC車(chē)站車(chē)務(wù)終端不被非法登錄。為了防止非法用戶遠(yuǎn)程登錄車(chē)站車(chē)務(wù)終端 (一般使用PC Anywhere軟件)，非法操作而危及行車(chē)安全，可以設(shè)置ACL只允許正常合法的維修終端訪問(wèn)，其他主機(jī)遠(yuǎn)程登錄均禁止。假設(shè)合法的維修終端為172.22.10.201，PC Anywhere使用的默認(rèn)端口號(hào)為tcp，5631，udp，5632。

access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq 5631

access-list 101 permit udp any 172.22.10.201 0.0.0.0 eq 5632

access-list 101 deny any

5.保護(hù)車(chē)站自律機(jī)安全。自律機(jī)是分散自律調(diào)度集中系統(tǒng)的車(chē)站核心設(shè)備，負(fù)責(zé)與聯(lián)鎖、列控及中心服務(wù)器交換信息，使用定制的LINUX操作系統(tǒng)。正常通過(guò)telnet和ftp訪問(wèn)。為了防止其被非法操作，同樣可以設(shè)置ACL只允許合法的維修終端訪問(wèn)。

假設(shè)合法的維修終端為172.22.10.201.

access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq telnet

access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq ftp

access-list 101 deny any

路由器ACL功能靈活、使用方便，這對(duì)網(wǎng)管人員也提出了更高的要求。在CTC路由器ACL配置上述實(shí)例，可以實(shí)現(xiàn)訪問(wèn)控制，使路由器發(fā)揮防火墻作用，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。隨著CTC網(wǎng)絡(luò)的不斷擴(kuò)展，網(wǎng)絡(luò)安全問(wèn)題也日益突出，網(wǎng)絡(luò)維護(hù)人員應(yīng)根據(jù)本單位具體網(wǎng)絡(luò)需求情況，認(rèn)真分析配置ACL，不允許有絲毫差錯(cuò)。

［1］ ［美］Brenton，C.Cisco.王軍譯.路由器從入門(mén)到精通［M］.電子工業(yè)出版社，2003.

［2］ 譚浩強(qiáng).Cisco路由器實(shí)用技術(shù)［M］.北京:中國(guó)鐵道出版社，2006.