工程信息安全管理精选(五篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的5篇工程信息安全管理，期待它们能激发您的灵感。

篇1

关键词：网络工程；信息安全管理；技术方案；遗传算法

1引言

近年来网络工程技术发展迅速，对于海量信息的安全管理日趋重要。但由于网络信息管理系统在硬件、软件及管理策略方面尚存在诸多问题，导致系统中存在大量的脆弱性，因而对网络工程信息系统带来了极大的威胁[1]。在网络工程信息安全管理过程中，对信息管理技术方案进行制定是不可或缺的一个环节，合理的方案设计对于信息系统安全风险可控化具有十分重大的意义[2]。传统的安全技术方案设计仅仅从技术角度入手，忽略了考虑实施技术手段所需要的花费。完善的信息安全管理技术应当将脆弱性分析、安全技术选择及实施技术费用进行综合考虑，这样才能使信息管理系统的安全风险降至最低[3]。因此本文首先对网络工程信息管理技术方案的制定进行了优化，以此为基础，提出基于遗传算法的信息安全管理优化技术，并对实际算例采用上述优化技术，对该优化技术的有效性进行了验证。

2信息安全管理技术方案

制定时的决策模型通过对信息管理技术方案的优化制定可以使信息管理系统中脆弱性的威胁降到最小。将信息管理系统中的各种脆弱性表示为v1，v2……，vm共m种，当脆弱性vi存在时以数值1表示，当这种脆弱性不存在时以0表示，每一种脆弱性对应于一个权值i，这一权值用来表示对应的脆弱性危害信息管理系统的程度，本文对信息安全管理系统中的脆弱性进行了描述，列出了表1信息安全管理系统中的脆弱性及表示20种不同的脆弱性(见表1)。对应于每一种脆弱性都存在相应的安全技术，这些安全技术以s1，s2……，sn来表示，当技术方案中采用了sj这种安全技术时，sj等于1，当没有采用时取值为0；对应于sj安全技术的实施费用用cj来表示，本文给出了13中安全技术手段，见表2。脆弱性及其对应的安全技术之间存在复杂的关系，对某一脆弱性采取相应的安全技术后该脆弱性可能部分的或完全的消除，但也有可能导致其他种类的脆弱性产生，其中部分消除安全性是指相应的由该脆弱性导致的信息管理系统破坏程度被限制在一定的范围内。在对脆弱性实施安全技术手段后，相应的脆弱性在系统中可能会有一定的残留，对于残留的脆弱性用r1，r2……rm来表示，ri对应于脆弱性vi，取值分别为0，0.5，1，分别对应于脆弱性存在，脆弱性部分去除以及不存在。用矩阵T={tij}表示对脆弱性采用安全技术处理后的情况，tij是指采用安全技术sj处理脆弱性vi的处理能力的大小。确定残留脆弱性处理规则，当vi=0或1时，有j∈{j│sj=1}，此时tij=1，那么ri=0；当vi=0时，存在j∈{j│sj=1}，使tij=0，此时ri=0；当vi=1时，存在j∈{j│sj=1}，使tij=0，此时ri=1；当vi=0时，存在j∈{j│sj=1}，使tij≠1，同时存在j∈{j│sj=1}，使tij=-1此时ri=1；当vi=0时，存在j∈{j│sj=1}，使tij≠1，同时存在j∈{j│sj=1}，使tij=-0.5此时ri=0.5；当vi=1时，存在j∈{j│sj=1}，使tij≠1，同时存在j∈{j│sj=1}，使tij=0.5此时ri=0.5。综上所述，安全的信息管理技术方案设计需要以两个目标为基础，如式1和式2所示：式3中Cmax为实施安全技术手段所需要的费用的最大值，对E进行无量纲修正得到E’，和分别代表脆弱性权重和费用权重，和之和为1，表示二者在系统设计时的偏重程度，当＞时，脆弱性在设计时比费用控制重要，反之亦然。

3遗传算法在网络工程信息安全管理技术优化中的应用

安全技术手段集合的子集即为所制定的网络工程信息安全管理技术方案，其可行解共有2n个，具体方案的选取属于多目标优化问题，n值增加，问题的解空间呈现几何式增长，如果要在如此庞大的解空间内实现最优解的搜寻，则必须采用效率较高的搜索策略。为此引入遗传算法，在遗传过程中的各代个体以适应度值为依据进行交叉和变异概率选择，即采用自适应规则，从而使个体自适应环境变化进行自身的调节。首先对于问题的编码，用符号串表示各个染色体，这种符号串具有n位二进制编码，用这种符号串表示的染色体即代表了对应的技术手段，技术手段的状态用二进制编码的每一位表示，即1表示该技术手段被方案采用，0表示该技术手段未被方案采用。如此即可转化网络工程安全信息管理技术优化问题为染色体最优编码求解问题。

4采用优化后信息管理技术的实际算例

采用上述对脆弱性和安全技术的分类，设脆弱性的情况为(11010100110111000110)，将各脆弱性权重列于表3，实施相应安全技术所需费用权重列于表4，脆弱性的重要性和实施相应安全技术花费的重要性同等重要(==0.5)，采用本文提出的优化技术对相应的技术方案进行求解(N=100)，各概率值为Pe=0.4,Pc0=0.52,Pc1=0.29,Pm0=0.37,Pm1=0.23，迭代次数最大为300，50为稳定代数的最大值。最终结果为，S=(1000010000010)，即出现单一、集中、敏感、可分离、可测、顺应、难以恢复、自我认知匮乏、不以管理、透明、电子访问等脆弱性时，所采取的安全技术手段为，弹性及鲁棒性技术、人员管理技术、分配动态资源技术。本文同时对不同数据进行了计算，结果均表明增加脆弱性和技术手段的种类，本文提出的以信息管理技术方案优化制定为基础，采用遗传算法的网络工程信息安全管理技术其优化效果均较为显著。

5结束语

篇2

关键词：软件工程；数据信息；安全管理；

文章编号：1674-3520（2015）-09-00-01

随着社会经济的快速发展，人们对于信息的公开化、透明化的要求越来越高，同时信息资源的管理也面临巨大的困扰，信息安全问题已经成为影响人们数据存储的重要因素。现代企业出于安全和利益需要，对于很多信息不能公开或者一定时期内不能向外界公布，这时就需要应用安全保密技术。

一、保密技术对数据信息安全的重要性

保密技术是企业为获得自身利益和安全，将与自身发展密切相关的信息进行隐藏的一种手段，随着互联网的快速发展，企业信息的保密也越发重要。保守企业秘密是指严格按照有关经济法律和企业内部的规章制度，将涉及信息和信息的载体控制在一定的范围之内，限制知悉的人员，同时也包含了企业自身或内部员工保守秘密的职责，并以此采取相应的保密活动。通常情况下，属于保密范畴的信息，都应当明确内容，并规定相应的期限，在此阶段内，保密主体不能够擅自改变，并且其知悉范围是通过强制性手段和措施来实现控制的。

二、数据信息安全保密技术类型

（一）口令保护。对数据信息设置口令是数据信息安全的基础保障。在对数据保密信息设置安全保障的过程中，可以先根据计算机技术设置登录密码，并确保密码的复杂性，如字母与数字混合、大小写字母与数字混合等，以免被黑客破解。如果有提示密码可能被盗的消息，则应当及时辨别消息的真实性，并登录到安全中心重新设置密码，从而确保数据信息登录的安全性和可靠性。

（二）数据加密。在信息的存储及传输过程中有一个重要的手段，就是对数据进行加密，这样才能够保证数据信息的安全性，从而提升信息保密的抗攻击度。所谓数据加密，主要是指根据较为规律的加密变化方法，对需要设置密码的数据进行加密处理，由此得到需要密钥才能识别的数据。加密变化不仅能够保护数据，还能够检测数据的完整陛，是现代数据信息系统安全中最常用也是最重要的保密技术手段之一。数据加密和解密的算法和操作一般都由一组密码进行控制，形成加密密钥和相应的解密密钥。在数据信息传输的过程中，可以根据相应的加密密钥，加密数据信息，然后根据解密密钥得出相应的数据信息。在此过程中，大大保障了数据信息的安全，避免被破解。

（三）存取控制。为保证用户能够存取相关权限内的数据，已经具备使用权的用户必须事先将定义好的用户操作权限进行存取控制。在一般情况下，只要将存取权限的定义通过科学的编译处理，将处理后的数据信息存储到相应的数据库中。如果用户对数据库发出使用信息的命令请求，数据库操作管理系统会通过对数据字典进行查找，来检查每个用户权限是否合法。如果存在不合法的行为，则可能是用于用户的请求不符合数据库存储定义，并超出了相应的操作权限，这样则会导致数据库对于用户的指令无法识别，并拒绝执行。因此，只有在采取存取控制保护措施下，数据库才能够对发出请求的用户进行识别，并对用户身份的合法性进行验证。同时还需要注意不同用户之问的标识符都具有一定差异，经过识别和验证后，用户才能够获取进入数据库的指令，以此确保数据信息的安全性，为用户提供一个良好的数据应用环境。

三、增强数据信息安全保密技术

（一）数字签名技术。在计算机网络通信中，经常会出现一些假冒、伪造、篡改的数据信息，对企业应用数据信息造成了严重影响，对此，采取相应的技术保护措施也就显得非常重要。数字签名技术主要是指对数据信息的接收方身份进行核实，在相应的报文上面签名，以免事后影响到数据信息的真实性。在交换数据信息协议的过程中，接收方能够对发送方的数据信息进行鉴别，并且不能够出现否认这一发送信息的行为。通过在数据签名技术中应用不对称的加密技术，能够明确文件发送的真实性，而通过解密与加密技术，能够实现对数据信息传输过程的良好控制，以免出现信息泄露的情况。

（二）接入控制技术。接入控制技术主要是指针对用户所应用的计算机信息系统进行有效控制，实现一般用户对数据库信息的资源共享，这是避免非法入侵者窃取信息的另一关卡。对于需要密切保密的数据信息库，用户在访问之前应当明确是否能够登陆，及登陆之后是否涉及保密信息，以加强数据信息控制。在对绝密级信息系统进行处理时，访问应当控制到每个用户。在系统内部用户非授权的接入控制中，任意访问控制是指用户可以随意在系统中规定的范围内活动，这对于用户来说较为方便，而且成本费用也比较低廉。但是此种做法的安全性较低，如果有用户进行强制访问，势必会导致外来信息入侵系统。对此，采用强制访问方法能够有效避免非法入侵行为，虽然安全费用较大，但是安全系数较高。

（三）跟踪审计技术。跟踪审计技术主要是指对数据信息的应用过程进行事后的审计处理，也就是一种事后追查手段，对数据系统的安全操作情况进行详细记录。通过采用此种技术，如果数据库系统出现泄密事件，能够对泄密事件的发生时问、地点及过程进行记录，同时对数据库信息进行实时监控，并给出详细的分析报告，以保证数据库系统的可靠性。跟踪审计技术可以分为好几种类型，如数据库跟踪审计、操作系统跟踪审计等。这些技术的应用及实施，能够加强对数据库信息的安全限制，以免再次出现病毒入侵的情况。

（三）防火墙技术。防火墙技术主要是指对计算机网络的接入进行有效控制，如果有外部用户采用非法手段接入访问内部资源，防火墙能够进行识别并进行相应的反击处理，从而将不良信息隔在网络之外。防火墙的基本功能是对网络数据信息进行过滤处理，同时对外来用户的访问进行分析和管理，拦截不安全信息，将网络攻击挡在网络之外。

四、结束语

对数据信息进行安全保密管理是信息安全的关键，也是安全管理的核心。随着现代科学技术的不断发展，信息化条件下的保密工作和传统的保密工作已经有了截然不同的特点。因此，在未来的发展过程中，对于数据信息的安全保密显得更加重要，需要进一步改进相关技术，需要企业不断努力。

参考文献：

[1]赵楠 IT系统数据信息安全解决方案解析[期刊论文]-科技资讯 2013（15）

篇3

一、信息系统安全工程概述

同信息系统安全工程相关的概念，包括信息系统、信息系统安全、信息系统安全工程三方面。所谓的“信息系统”，指的是通过通信设备、计算机等软、硬件连接，能够成功获取、处理、传送、交换、存储数据的系统，该系统包括软、硬件，人，数据库，规程等内容的有机组合。

对于信息系统安全而言，其主要是利用各种检测、记录等方法，有效地保护信息系统，避免信息交换、处理、传送、存储中，对信息进行未授权的访问与修改，保障系统信息的安全性。对于信息系统安全而言，其终极目标即确保信息数据在整个系统中始终维持其完整性、保密性与实用性，为了实现该目标，必须在系统结构下实现，而非孤立地保护信息内容。

就信息系统安全工程而言，指的是利用专业化的安全技术，诸如通讯、计算机、网络安全等技术形式，充分应用和贯穿于系统的整个生命周期中，确保组织结合系统需求，构建满足系统所需的安全策略，赋予系统足够的抵御威胁的能力。安全工程在信息系统中的应用，旨在利用最优费效比，提供满足系统安全所需的解决途径。有效的安全需求定义与风险分析，成为实现该目标的关键。信息系统安全工程必须提供足够的能够支持系统安全需求定义、风险评估、方案策略制定、方案实施的方法。

二、基于安全工程的信息系统安全管理方案

结合当前系统安全防御现状及存在的主要问题，本文提出了基于安全工程的信息系统安全管理方案。结合安全工程思想与方法，将其运用和贯穿在信息系统安全管理的全国中，明确系统安全管理不同阶段的主要活动，针对系统各环节特点，利用相应的安全管理方法，以便更好地保障系统信息的安全性。本文所提出的安全管理方案，是由各种必要的安全活动所构成的，结合系统软件分阶段实施，以便给予各环节相应的安全优势，但是，将此类安全活动视为软件全过程加以执行，其安全收益较分散安全活动更大。

安全工程管理的核心理念，即从系统安全出发，对系统全生命周期各环节加以集成，将安全视为系统的有机组成部分。对系统工程各阶段进行安全有效性评估。系统全生命周期，主要包括规划阶段、开发设计阶段、实施阶段、运维阶段、废弃阶段等。再加上由于运维阶段变更所产生的一系列反馈，共同构成了一个完整的系统安全工程管理闭环结构。对于信息系统而言，无论对于哪一时间节点上，都必须采用综合技术与管理方法保障系统信息的安全性。

（一）规划阶段为了确保系统的安全性，在系统规划阶段开始，就必须全面考虑到系统可能存在的安全风险，规划过程中结合系统安全需求，实现安全工程建设同系统建设的同步性。与此同时，结合组织机构的要求与业务需求，满足法律、政策、策略、组织等安全需求，以预期运行安全环境为依据，组织系统环境，并对安全目标加以标识，与此同时，结合未来系统可能面向的客户、业务及运行环境，展开安全、隐私风险评估，明确系统安全目标基线，确定最低安全基线，并加以论证，此阶段安全过程域即明确系统安全要求。

（二）设计阶段影响系统设计安全的阶段通常处于项目初期，因此，在设计过程中必须全面结合系统安全问题展开。通过安全保障方案的制定，对系统进行安全功能设计与论证，将系统规划中所确定的安全需求，全面运用于设计各功能模块之中，结合安全性原则，采用威胁模型建立、减小攻击面等技术手段，进行安全功能设计。系统安全功能设计包括身份验证、防火墙设计等。设计中可结合有关标准的安全要求，科学选取满足系统要求的功能模块，综合考虑到安全风险与成本等问题，明确最佳设计方案，并对与之相匹配的安全措施加以调整，如高层安全设计、详细安全设计等。

（三）实施阶段在信息系统实施阶段，通常涉及到编码、试运、测试、交付、培训等环节。在此过程中，通过开发设计过程中的风险控制、安全测评、管理安全等各项安全活动，保障信息系统的安全性。系统安全工程师负责实现设计内容到实施运行过程的转化，并对系统展开综合分析，为认证活动提供必要的威胁识别、信息保障、材料维护等输入过程。

（四）运维阶段当系统交付之后意味着系统正式步入了运维阶段。在此过程中，应对系统运行中存在安全风险加以有效监控，并定期对系统安全情况进行评估，制定有效的改进方案。与此同时，利用漏洞扫描等一系列技术，进一步保障信息系统主机、网络、通讯过程的安全性。结合系统运行需求，对安全管理流程、应急方案加以完善，以便对可能存在的安全问题进行有效应对。在这一阶段，重点是对系统安全态势进行监视，结合既定目标，对系统内外安全事件加以跟踪和监测，并对系统安全管理进行控制。

（五）废弃阶段在信息系统废弃阶段，重点是结合风险评估，对系统软、硬件资产、残留信息等废弃资源加以有效处理，保障系统升级与更新过程中始终处于一个安全状态。

三、结束语

篇4

关键词:信息技术;系统工程;安全风险

中图分类号:F49文献标识码:A文章编号:1672-3198(2009)16-0259-01

1 信息系统安全度量

安全度量分为技术性安全度量、组织性安全度量以及操作性安全度量。技术性安全度量用于描述、比较技术方面的对象,如算法、规格说明书、体系结构、设计、产品以及实施的系统等;组织性安全度量用于描述组织过程、规程的有效性:操作性安全度量用于描述操作环境方面的风险.目前人们在使用安全度量这个词时存在很多模糊和不同的含义,有研究指出,《信息技术安全评估通用准则》虽然是指导安全度量的一个非常好的标准,但它也没有全面解决安全度量的问题,尤其是针对网络系统的安全度量,目前仍有待于进一步的研究。

对于什么是信息系统安全度量(Security Metrics),有人认为,它是以科学法则为基础进行测量的结果,有人认为它还应包括在主观判断基础上做出的度量结论。目前这方面还存在争议,有人还使用了具有类似含义的其他词,如:measure, score, rating, rank, essment result等,.n。在对这些词做出区别前,它们统一作了如下定义:信息系统安全度量(Security Metrics)是通过度量过程从一个偏序集中选择的一个值,它表示了信息系统的信息安全相关的质量,它提供或用于产生一种关于信任程度的描述、预言或比较。

2 信息系统安全管理度量方法

在度量过程中使用何种方法对度量的有效性有着举足轻重的影响。度量方法的选择直接影响到度量过程中的每个环节,甚至可以左右最终的度量结果,所以需要根据系统的具体情况,选择合适的风险度量方法。风险度量的方法有很多种,概括起来可分为三大类:定量的风险度量方法、定性的风险度量方法、定性与定量相结合的度量方法。

(1)定量度量方法:定量的度量方法是指运用数量指标来对风险进行度量。典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、风险图法、决策树法等。

定量的度量方法的优点是用直观的数据来表述度量的结果,看起来一目了然,而且比较客观。定量分析方法的采用,可以使研究结果更科学、更严密、更深刻。有时一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚的。但常常为了量化,使本来比较复杂的事物简单化、模糊化了,有的风险因素被量化以后还可能被误解和曲解。

(2)定性度量方法:定性的度量方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程。它主要以与调查对象的深入访谈做出个案记录为基本资料,然后通过一个理论推导演绎的分析框架,对资料进行编码整理,在此基础上做出调查结论。典型的定性分析方法有因素分析法、逻辑分析法、历史比较法、德尔斐法。定性度量方法的优点是避免了定量方法的缺点,可以挖掘出一些蕴藏很深的思想,使度量的结论更全面、更深刻,但它的主观性很强,对度量者本身的要求很高。

(3)定性与定量相结合的综合度量方法:系统风险度量是一个复杂的过程,需要考虑的因素很多,有些度量要素是可以用量化的形式来表达,而对有些要素的量化又是很困难甚至是不可能的,所以我们不主张在风险度量过程中一味地追求量化,也不认为一切都是量化的风险度量过程是科学、准确的.我们认为定量分析是定性分析的基础和前提,定性分析应建立在定量分析的基础上才能揭示客观事物的内在规律。定性分析则是灵魂;是形成概念、观点,做出判断,得出结论所必须依靠的。在复杂的信息系统风险度量过程中,不能将定性分析和定量分析两种方法简单的割裂开来.而是应该将这两种方法融合起来,采用综合的度量方法。

(4)信息安全管理度量过程:风险度量过程训就是在度量标准的指导下,综合利用相关度量技术、度量方法、度量工具,针对信息系统展开全方位的度量工作的完整历程.对信息系统进行风险度量,首先应确保风险分析的内容与范围应该覆盖信息系统的整个体系,应包括:系统基本情况分析、信息系统基本安全状况调查、信息系统安全组织、政策情况分析、信息系统弱点漏洞分析等。

(5)实体与环境安全:实体与环境指计算机设备及计算机网管人员工作的场所,这个场所内外的环境条件必须满足计算机设备和网管人员的要求。对于各种灾害、故障要采取充分的预防措施,万一发生灾害或故障,应能采取应急措施,将损失降到最低限度。可以从以下几个方面来检查:

①机房周围环境机房是否建在电力、水源充足、自然环境清洁、通讯、交通运输方便的地方。

②机房周围l00m 内有无危险建筑危险建筑指易燃、易爆、有害气体等存在的场所,如加油站、煤气站、煤气管道等。

③有无监控系统监控系统,指对系统运行的环境、操作环境实施监控(视)的设施,及时发现异常,可根据使用目的不同配备以下监视设备,如红外线传感器、监视摄像机等设备。

④有无防火、防水措施防火,指机房内安装有火灾自动报警系统,或有适用于计算机机房的灭火器材,如卤代烷1211和1301自动消防系统或灭火器。防水,指机房内无渗水、漏水现象,如机房上层有用水设施需加防水层,有暖气装置的机房沿机房地面周围应设排水沟,应注意对暖气管道定期检查和维修。是否装有漏水传感器。

⑤机房有无环境测控设施温度控制:指机房有空调设备,机房温度保持在1824摄氏度。湿度控制:指相对湿度保持在400/"0%。洁净度控制:机房和设备应保持清洁、卫生,进出机房换鞋,机房门窗具有封闭性能。

⑥有无防雷措施计算机机房是否符合GB-157《建筑防雷设计规范》中的防雷措施.在雷电频繁区域,是否设有浪涌电压吸收装置。

(6)是否使用UPS UPS(Uninterruptible Power System)即不间断电源,是一种含有储能装置,以逆变器为主要组成部分的恒压、恒频的不间断电源。主要用于给单台计算机、计算机网络系统或其它电力电子设备提供不间断的电力供应。

参考文献

[1]李河.推进信息化构建和谐社会[J].大连干部学刊,2005,(8):32-33.

篇5

关键词：高速铁路；高铁信号系统；信息网络安全；软件定义网络；新型铁路信号系统

中图分类号：TP393 文献标识码：A

SDN高速铁路信号体系是一种新型的软件定义网络模式，这种模式与高速铁路信号系统网络的安全性密切相关，为了提升高速铁路工程的工作效益，需要做好信号安全数据、分散自律调度集中网络等的管控及隔离工作的要求，从而实现对网络流量的统一性管理，这都离不开统一性控制器的应用，做好整体设备的注册管理工作，确保安全通问控制工作的有效开展，从而实现该工程信号系统安全性的提升，降低网络安全管理复杂性。

一、高速铁路信号系统的网络安全性概念

1.高速铁路工程系统的网络架构具备可在线编程、集中管控性、统一安全性的特点，这种网络架构满足高速铁路工程的日常信号管理需要，有利于网络安全管理工作的稳定开展，这种模式比分散性网络管理具备更高的工作效率，通过对这种模式的应用及普及，可以解决高铁信号系统的网络安全性管控问题。

铁路运输体系是我国基础交通体系的重要组成部分，为了确保该工作的稳定运行，必须进行其整体安全性的控制，这里的安全性主要包括两个方面的工作。第一是工程系统网络安全性的保证，这种系统网络不能因为内部的一些故障而停止工作，最终的工作目的是降低工作过程中的故障率，避免因为设备及网络故障，而信系统出现一系列的危险问题。

另一方面的安全性主要是指系统网络具备良好的抵抗外部入侵的能力，具备良好的操作安全性。高铁信号系统的开展离不开其整体网络的安全性，该信号系统具备其独特的网络，这一定程度上确保了该系统的安全性，但是这并不代表这种系统不存在网络病毒散播的问题。随着社会网络信息化体系的健全，计算机网络化日益普及，各种新型的网络病毒不断产生，比较常见的病毒有震网病毒，这种病毒对于工业管理系统极具杀伤力。随着时代的发展，社会经济对于高铁信号系统的要求越来越高，高铁信号系统必须具备更强的数据共享性，需要具备丰富的通信数据，这就进一步提升了高速铁路系统的开发性，不利于进行高速铁路信号安全性的控制。

为了满足信息化时代的交通工作要求，进行铁路信号系统的现代化管理是必要的，为了确保交通工程系统的稳定运行，需要保证铁路信号系统信息化及网络化过程安全性，满足现代交通企业信息化管理工作的要求。这就需要我国的铁路信号系统转变传统的管理模式，进行智能化、自动化管理技术的升级，实现计算机模块、控制模块、通信模块等的协调，在这个过程中，以太网技术不断流行，这种技术具备良好的数据传输可靠性、实时性。

无论是信息通信环节、通信数据库构建环节、内部资源优化配置环节，以太技术的应用都能取得良好的工作效益。极大地满足了现代化工业控制系统的工作要求。随着时代的发展，以太网技术体系日益健全，在控制系统网络中，以太技术实现了大规模的普及，无论是控制系统网络还是铁路信号控制系统都能看到以太网应用的缩影。

2.时代的不断发展，需要工业控制系统具备更强的信息共享性，震网病毒的出现，让工业控制网络系统的安全性问题更加引起世界各界的重视，面临着日益严峻的网络信息安全问题，进行大容量、实时性、可靠性数据信息传递及交互技术的应用是必要的，比如进行GSM无线通信技术的引进，在地面设备系统中，进行无线闭塞中心及无线通信网络系统的应用。

无线公共信道是GSM通信系统信号的重要实现途径，这种渠道的应用，让铁路信号系统网络具备更强的开发性，但是这也一定程度上加大了铁路信号系统信息的扩散威胁性。我国的铁路信号体系实现了4个模块的结合，分别是GSM通信网络模块、集中监测网络模块、信号安全数据网络模块、信号网络基础模块。在实际工作中，铁路信号系统网络结构比较复杂，其内部存在各种网络模式，这些网络模式具备不同的安全等级，它的网络设备内部设置比较复杂，存在较大的维修困难问题，现阶段铁路信号系统的整体安全性比较低，缺乏统一性的安全策略，难以满足现代化铁路工程智能化、集中管理化等的工作要求。

3.我国的铁路信号信息安全系统并不具备较强的安全防护等级，缺乏比较先进的病毒防控、隔离等技术，防火墙技术比较落后，难以满足我国铁路通信应用协议的工作规范要求。为了进一步提升铁路信号设备通信的安全性及可靠性，需要进行铁路信号系统安全通信数据网络的优化，做好一系列的信息安全防护措施。

为了解决现阶段高速铁路工程信息安全性问题，必须进行信号系统网络整体架构的优化，提升信号系统的整体网络安全性，做好详细地分析工作，进行铁路信号系统内部子系统接口安全性的分析，实现信号网络系统系统网络由高安全等级工程网络的转换，这就需要进行SDN铁路信号系统网络安全性方案的应用，做好该系统功能的特性分析工作，进行基于软件定义铁路信号铁路系统网络的应用。

二、信号系统网络内部结构的优化

铁路信号系统的内部配置具备较强的复杂性，它不是简单的信号设备的结合，而是由不同层次的控制模块构成的，这些控制模块的功能不一，但是又能相互协作，共同实现铁路信号系统的安全运行。铁路信号系统的内部各个要素之间相互联系，为了现阶段的安全防护要求，工作人员需要进行该系统内部资源的优化配置，深入了解其复杂的系统性结构，确保高铁信号系统的稳定运行。

高铁信号系统的内部构造比较复杂，由信号集中监测系统、行车指挥系统等构成，列控系统主要由无线闭塞中心、列控中心、传输网络、应答器等构成。行车指挥系统由服务器系统、信号网络基础中心、自律分机等构成。信号集中监测系统由列车控制中心、轨道铁路系统、信号设备连接系统、信号网络系统通信网络系统等构成。区别于集中监测网络的安全性，信号安全通信数据网具备独立成网性，其实现了物理手段隔离模式的应用，理论上来说，信号网络系统通信网络系统、通信数据网系统、集中监测网络相互隔离却又相互渗透。

三、信号系统网络接口方案的优化

1.为了提升高铁工程信号系统的安全性，必须实现列车与RBC无线承载控制系统的连接，确保其良好的连接性，这需要做好RBC系统与列车的连接确认工作，保证列控中心指令的正确传达，通过对以太网的应用，实现联锁模块及列控模块的有效协调，这两个模块之间不需要进行防火墙的隔离设置，因为一旦隔离，就可能影响到数据传输的实时性及安全性，这不利于铁路数据信息数据的传输要求。为了满足实际工作的要求，必须保证地面设备及列车车载设备的相互通信，确保其与列控系统之间的信息传递。在这个过程中，信息传递差异是客观存在的，这是由于列控中心与地面设备的距离性导致的，这种差异性很可能导致行车精确性的降低。IP安全数据通信网是临时限速服务器及RBC系统的连接网络，这种连接网络的应用，可以确保铁路信号系统传递的安全性，这两者之间没有进行防火墙的安全防护设置。

在高铁工程信号系统的应用过程中，局域网通信协议是常见的网络配置模式，信号网络系统系统与上位机，信号网络系统分机与上位机的接口，都是联锁系统的常见内部配置模式，这些接口之间并非进行安全通信协议的应用，但应用了防火墙防护方案。客观上来说，信号网络系统系统具备非安全性，为了确保系统边界防护效益的提升，必须进行安全通信协议的应用，确保上位机及信号网络系统分机接口的安全通信协议的应用，通过对这两者安全通信协议的应用可以避免这两种网络体系的相互渗透问题，避免以太网控制网系统内部要素的相互渗透状况。

2.信号网络系统及上位机并不能进行控制指令的传递，一旦采用安全协议，必然会导致信号网络系统分机与上位机数据传递效率的降低，但是这并不影响控制系统的核心功能，通信系统部分软件性能的提升，并不会增加该系统的维护成本。集中监测系统车站分机及维修机间的接口并未进行防火墙防护，采用的是IP协议及安全通信协议，客观来说，集中监测系统并非安全性系统，为了提升工程信号系统的安全性，必须实现集中监测系统及维修机安全网络等级的提升。

高铁列车的安全运行离不开列车控制模块的开展，列控中心系统、计算机联锁系统、临时限速服务器系统等都将直接影响到高铁列车的安全运行，信号安全数据网需要为最高等级的网络子系统，信号网络系统系统网络负责现场设备及其相关网络子系统的控制工作，集中监测系统主要负责故障信息的报警，现场设备状态的监测等工作，并不负责列车及设备的控制工作，其整体安全性等级较低。列车的控制系统与集中监测网络并无太大的关联。

3.信号安全数据网络进行了一系列服务器的设置，进行了不同种专用操作系统的应用，比如FreeBSD、Linux系统等，这些操作系统内部并没有进行安全功能的设置，由于信号系统的自身复杂性，其软件变更的周期比较长，为了保证信号信息的安全性，必须做好信号系统的彻底测试工作，确保信号系统的整体优化，从而保证系统可靠性及安全性的提升。这就需要做好信号系统软件的及时更新工作，避免出现具备威胁性的漏洞，从而避免被网络黑客攻击。

以信号网络系统车站局域网为基点，有两种方法可以威胁到高铁工程信号系统的安全性，第一条途径是由信号网络系统车站子系统到信号网络系统中心系统，在这个步骤中，一旦取得BC接口服务器的控制器，就会由信号安全数据网的服务器入侵到信号安全数据的子系统中。第二条途径与第一条途径类似，第二条途径的威胁在于临时限速接口服务器控制权的获得，如果不能实现与临时限速接口连接的路由器的良好配置，就会威胁到信号安全数据网的信息传递。

为了提升高铁工程信号系统的安全性，需要实现统一安全管控方案的优化，这种方案基于SDN模式的应用，这种系统具备新型的网络内部架构，实现了路由器及交换机数据平面及控制平面的分离，由网络操作系统为上层进行网络资源的提供，实现了网络虚拟化，进行网络虚拟化层的形成，通过不同控制程序的应用，实现了不同网络虚拟化模块的数据传递。高铁信号系统由集中监测网络、信号网络系统系统网络、信号安全网络系统构成，这三者之间互为独立性的物理网络，物理手段的使用可以让这三者之间实现隔离，这就进一步加大系统间接口的复杂性，这些系统结构的安全等级不同，容易出现维修管理难问题，从而不利于铁路工程信号系统整体安全性提升。

4.软件定义高铁信号系统网络的应用，以SDN架构为基础，通过对信号系统复杂性网络安全管理问题的解决，实现了工程信号系统整体安全性的提升。该网络的稳定运行离不开3个工作模块的结合，需要实现集中监测网络、信息安全网络、信号网络系统系统工作网络的结合，在SDN应用结构的基础上，实现网络硬件平台的利用，保证分布式控制技术的统一性应用。这种铁路信号系统网络基于网络硬件平台的应用，通过对网络虚拟化技术的使用，实现了系统不同功能子网的协调，确保了软件隔离网络的高效化、可控化，有利于提升信号系统网络安全性。

四、网络统一安全管控系统的健全

1.为了提升高速铁路工程信号系统的安全性，需要做好设备开启的网络服务认证工作，做好不同设备网络服务的注册及认证工作，这需要在铁路设备资产安全管理服务器上进行操作，针对那些非认证服务及访问关系，网络控制器禁止其使用网络，这有利于提升网络服务模块的管控强度，实现合理化网络服务模块与其他服务模块访问关系的确定，实现业务通信管理矩阵的制定。在网络控制器的操作过程中，通过对通信管理矩阵的使用，实现各个设备及程序的网络服务资源的强制控制工作，确保全局安全通信的管理及访问控制工作效率的提升。

在该系统的运作过程中，网络控制器可以实现不同数据包来源的标识及记录工作，实现数据包及其来源信息的绑定准确性的提升。在这个过程中，如果网络安全检测设备发现异常，就会追溯故障的源头，如果发现业务数据的异常问题，就可以根据绑定信息，做好异常设备的迅速定位工作，实习高速铁路信号系统信息安全性及网络安全性的提升，降低不同系统接口之间的安全威胁问题，确保GSM系统安全性的提升，实现低安全网络系统向高安全等级网络系统的渗透。

2.高速铁路工程信号系统的日常工作，需要建立在安全性分析的基础上，信号系统网络的探索工作，进行铁路信号系统新型网络架构的提出，在此基础上，落实好信息系统资产注册及其相关问题，做好信息系统的服务管理工作，落实好网络数据的信息追踪工作，实现系统内部不同模块的访问控制工作，实现我国高速铁路信号系统整体网络安全性的提升，降低信号系统的日常管理难度，实现我国高铁信号系统网络的稳定发展。

结语

通过对高速铁路工程信号系统的安全及管理模式的应用，可以满足现代化高铁工程信号系统的管理要求，保障了高速铁路工程信号系统的整体安全性，实现了数据信息的安全性传递。

⒖嘉南

[1]禹志阳.高速铁路信号系统集成、测试技术及“走出去”策略[J].铁路通信信号工程技术，2015（1）：12-14.