电气化铁路网络信息化(精选8篇)
编制目的
为迅速、有效地处置铁路网络和信息系统安全事故和突发事件,最大限度地保证铁路信息系统的正常运行,维护铁路运输安全、畅通,特制定本预案。
工作原则
按照统一领导、集中指挥、归口负责、分级管理、信息共享、分工协作、反应及时的原则,迅速处置网络与信息系统安全事故和突发事件。
适用范围
本预案适用于本公司各类网络信息系统发生大规模“病毒”感染、非法入侵、内部故障及不可预测的、突发性的影响网络与信息安全的事故和事件。
组织机构和职责
运销分公司应急救援抢险指挥部
总 指 挥:经 理 党总支书记
副总指挥:生产副经理、总工程师
成 员:公司所属各厂(段)负责人
应急领导小组办公室电话:8642882 应急领导小组的主要职责:
(1)统一领导指挥自营铁路网络与信息安全事故应急救援工作;(2)决定启动相关应急预案;
(3)需要上级有关部门支援时,负责与有关部门的沟通;(4)决定向上级应急领导机构请求支援和报告;(5)负责有关紧急事项的决策。预防预警机制
运销分公司负责全路网络与信息安全信息通报的管理、组织、协调工作;承担自营网络与信息安全信息通报中心职能,负责自营铁路各专业系统预警信息的通报工作;信息安全监察专职人员负责信息通报的汇总、分析和研判。
网络与信息安全事件、预警信息随时通报,通报时间为发生安全事件或预警信息2小时内;安全状况、形势分析、网络环境计算机感染病毒情况每月通报。
应急响应 信息报告
网络和信息系统安全事故信息实行逐级上报制度。顺序为基层站段铁路网络和信息系统发生故障时,系统值班人员要在30分钟内立即上报主管领导,并按照各信息系统制定的应急预案对故障进行分析、判断,迅速确定故障类型、影响范围,通知相关责任部门迅速处理,处理结果记录要在2小时内上报主管部门。造成重大影响的突发事件直接上报公司。
应急处置
1、处置要求
各信息系统是铁路运输生产、营销、经营管理的重要支撑手段,发生各种突发事件时要有相应的备用和应急手段,并能及时对系统和数据进行恢复。各系统、各单位要保留必要的、传统的运输生产指挥、管理方法,并经常进行演练,以应付各种突发事件的发生,将对铁路运输生产的影响减少到最低程度。
针对自然灾害地震、洪水等不可预测的灾难情况,各单位、各部门要在运销公司的统一部署下,做好系统和数据的灾难备份。同时,各系统要做好原始基础数据的日常备份工作,为系统数据恢复提供保证。
2、病毒入侵处置
各信息系统要密切注意系统漏洞,及时做好系统升级,实时进行监控。发生大规模病毒入侵引起系统瘫痪,要从物理上与外部隔断,内部及时对系统进行快速处置、恢复,防止数据丢失。
3、系统故障处置
各系统、各单位要负责管辖范围内的24小时网络和系统监控。完善各项管理办法,针对系统硬件故障、操作失误等各类情况引起的系统故障,制定具体的、便于操作的应急处置工作流程,迅速反应,尽快恢复,排除故障。
4、停电事故处置
系统主机房要配备两路以上电源供电,可以不间断地进行电源切换。配置相应的不间断电源设备,确保在断电情况下完成数据备份。重要系统主机房应考虑配备发电设备,遇重大断电事故,保证系统的正常运转,确保运输指挥工作的正常开展。
5、火灾事故处置
各系统、各单位机房要配备符合机房防火要求的防火设施,制定相应的管理办法,并对机房工作人员进行培训、演练,确保能够及时快速处置火险、火情。并按照火灾事故应急预案处理。
保障措施
1、组织保证
成立网络信息安全应急处理领导小组,明确机构、职能、人员及工作制度,落实责任。发生网络安全事故,各信息系统主管部门负责人要到事故或突发事件第一现场进行指挥、组织、协调。
2、资源储备保障 要将网络与信息安全摆在与运输安全同样重要的位置,从人员、技术、设备等方面做好储备,建立系统及数据的备份机制,以应对各类突发事件的发生。
3、技术保障
各系统、各单位要明确系统及硬件技术支持单位和支持方式,建立计算机硬件、网络系统维护、明确联系方式,定期充实更新。
4、应急培训
各单位、各系统要加强具体工作人员的应急预案的培训、学习,熟练掌握应急处置的应知应会内容,正确处理事故或突发事件。并做好应急预案的演练。
后期处置
但是随着信息化越来越强烈, 存在的风险越来越多, 这对铁路发展无疑是一种严重的威胁, 下面对控制网络与信息安全风险提出了几点参考建议。
一、信息安全管理体系结构
信息安全风险管理体系结构模型主要由技术、管理以及系统生命周期三大要素组成的三维模型。而信息安全是由信息安全技术与信息安全管理共同参与保护工作而实现的, 信息安全技术的保护作用在于对信息安全保护采取的有效技术措施, 而信息安全管理的作用主要在于对信息安全技术实施与运行过程中进行科学管理, 促使信息安全技术发挥最大作用。
随着信息安全风险越来越多, 需要不断提高信息安全技术实施与运行能力, 更重要的是加强信息安全管理, 从政策、法律、技术、人员等方面进行全面管理, 为保证信息安全采取有效的应对措施。
(一) 技术要素
在技术要素中主要含有环境、系统、网络、应用四个技术方面。铁路信息系统建设过程中, 环境安全是保护信息系统安全的基础与屏障, 对于机房环境安全要求非常严格, 从机房建设过程开始就需要对机房地址、周边环境等方面进行考虑, 特别是对防火、防雷击、防渗水、防鼠害等多种对机房安全有影响的因素全部考虑在内, 同时还要加强对机房维护与管理等方面工作的考虑。
值班人员管理、设备管理、电源管理、机房询问控制以及机房保密等方面中都会存在安全风险, 因此需要对其采取相应的管理措施, 来降低风险发生几率, 保障信息安全。
系统主要是由硬件、软件以及数据组成, 加强系统安全, 首先要确保硬件安全、软件安全以及数据安全, 一旦发生安全风险, 就会使数据遭到破坏、更改、泄露等风险出现, 因此, 需要加强对其安全保护, 保证数据安全、促使系统正常运行。
网络是数据传输、分析、处理等方面的重要渠道, 要对网络安全加以重视, 网络安全是可以保证信息安全的基础, 因此, 需要对其加强管理, 要从结构、访问、审计、设备、代码、病毒等方面进行全面加强防范措施。
应用系统是实现信息权限管理的重要技术, 具有赋予、变更、撤销等重要信息应用功能, 因此, 加强应用系统安全管理有一定的必要性。首先要完善专用用户登录识别功能;其次要提高访问控制功能;再次需要对重要信息进行加密保管;还要保证数据完整性, 加强密码技术功能应用;最后要对资源进行合理控制, 限制使用额度。
(二) 管理要素
信息安全风险管理效果与铁路内部组织结构、管理制度以及人员管理有着直接的关系, 没有完善的组织结构, 相应的管理制度, 会使内部管理混乱, 进而发生信息安全管理不得当, 同时技术人员的技术水平以及个人素质等因素都会造成信息泄露、丢失等风险存在。因此, 必须建立完善的组织结构, 铁路信息系统的安全要在组织结构方面得到安全保证。铁路信息安全管理应建立由上级领导层、中级管理层、下级执行层三个层面的管理组织机构, 并制定完善的管理制度, 落实到实际工作中, 加强技术人员的培训, 以提高技术人员专业水平以及综合素质为目的, 优化整个信息安全管理部门, 促使铁路信息安全风险管理得到保证。
(三) 系统生命周期要素分析
设计阶段的安全风险管理过程应对设计方案中所提供的安全功能符合性进行判断, 作为采购过程风险控制的依据。应详细评估设计方案中对系统可能面临威胁的描述, 将使用的具体设备、软件等资产及其安全功能需求列表。
基于设计阶段的资产列表、安全措施, 实施阶段应对规划阶段的安全威胁进行进一步细分, 同时评估安全措施的实现程度, 从而确定安全措施能否抵御现有威胁、脆弱性的影响。运行维护阶段的风险评估应采取定期和非定期两种方式;当组织的业务流程、系统状况发生重大变更时, 也应进行风险评估。
二、采取措施建议
在信息系统规划、设计阶段, 应对信息系统的安全需求进行分析, 同步规划、设计信息系统的安全等级和保护措施, 建立安全环境, 从源头上保障信息安全。对已定级的信息系统, 应严格按照等保要求进行区域划分、边界防护、访问控制、安全审计及安全管理。构建一个全路信息系统可视化管理平台, 对网络、计算机设备、应用系统部署、操作用户及角色、运维状态等关键信息进行全局监控, 提高对系统中安全问题及其隐患的发现、分析和防范能力。建立全路统一的身份认证与授权机制, 对各信息系统的用户进行统一管理, 确保信息在产生、存储、传输、处理过程中的保密性、完整性、抗抵赖性和可用性。
铁路网络与信息安全风险管理, 不仅仅是从加强技术或者管理任意一方面就可以实现的, 而是需要对信息技术与安全管理相结合, 共同完善信息安全风险管理。加强对信息技术内部结构的保护, 从硬件、软件、数据、加密手段、权限管理手段等多方面进行安全防护, 控制系统安全风险发生, 同时还需要加强信息外部管理, 从建设、人员、操作、管理等方面进行管理, 保证铁路网络与信息安全, 降低风险发生, 为铁路发展提供信息安全保障。
摘要:目前, 我国铁路信息安全风险主要因三个方面引起, 分别是:技术、管理以及系统生命周期三个因素, 其中, 技术因素主要是指环境、系统、网络以及应用等方面的安全问题, 管理因素主要是指技术人员、管理机构以及管理制度等方面问题, 而系统生命周期方面主要是指系统设计、实施、运行、控制等方面存在的问题, 本文针对铁路网络与信息安全风险管理进行分析, 为降低铁路信息安全风险提供参考。
关键词:铁路网络,信息,安全风险,管理措施
参考文献
今年春运期间,铁道部在6个铁路局的79个火车站试行火车票实名制。火车票实名制是否会向全国推广一直备受关注。 近日,备受期待的铁路网络订票终于有了时间表,铁道部新闻发言人王勇平接受媒体采访时表示,今年年内铁路将全面实施网络订票,近期将先在高铁全面实行火车票实名制。
《北京科技报》:建立火车票全国网上订票机制,使异地工作者可以方便、快捷地购票返乡或出差,其内容都包括哪些方面?
董焰:第一,建立“火车票网上订票系统”,将效仿飞机票网上订退票模式,该系统可查询全国火车列次、剩余座次、费用、出发到站情况。其次,该系统购买火车票应实名制操作,可附加送票费或免费自取。第三,该系统可效仿“飞机航意险”,购票者可自愿购买“火车延迟赔偿金”或意外险。
《北京科技报》:火车票网络订票已经提出一年多了,为什么今年才要全面实施网络订票计划?
董焰:其实,从技术角度讲,铁路实行网络购票并不困难。但是由于铁路一直处于垄断地位,政企不分,并且铁路运输供给不足,从而导致客票长期供应不足。加上铁路职工收入与其他大型国企相比又相对较低,于是火车票成为了一种紧俏商品,并且成为一些铁路职工的盈利手段。在这种情况下,实行网络购票一直处在一个缓慢的进程中。
而且,铁路系统存在着大量的腐败现象。北京社科院2006年发布的《火车站票贩子群体调查》显示:北京两个车站有票贩子上万人,其中最有能耐并“日进千金”的是“高级”票贩子。那些“高级”票贩的后台就在售票系统内部。一线的是设在各大宾馆、旅行社、企事业单位、政府机关的车票代订处;二线的则来自于火车站窗口和所谓的“站内保留票”。
就是由于这些腐败现象的存在,近几年来,铁路部门一直成为老百姓声讨的对象。为了加大防腐的力度,更加公开、公平地为全国人民服务,铁道部决定在今年年内全面实施铁路网络订票。
《北京科技报》:火车实行网络订票后会有哪些具体的好处呢?
董正伟:以往一到客运高峰期,火车站售票口前总是一眼望不到头的长龙。有时候可能要排上十几个小时才能买上票,甚至在买票时可能出现相互推搡发生受伤事件,而网络订票将会缓解这些问题的发生。
此外,现在的火车站除了要承担帮助旅客上下车的责任,还要负责售票。购票高峰期的时候,整个售票大厅挤满了人,甚至还要开辟临时售票口。从火车站的管理角度来说,这大大增加了火车站的运营成本及管理难度。实施网络购票,可以有效地缓解火车站内外的人流压力,在方便旅客的同时,也有利于火车站自身的管理。
《北京科技报》:那么,网络订票能否遏制票贩子倒票?
董正伟:我认为,网络订票能在一定程度上降低票贩子的人数,但难以扼杀住倒票的现象。票贩子完全可以多个人一起买票,或者换个身份再买票。在购票实名制还不成熟的情况下,网络订票还不能解决票贩子高价倒票、从中牟取暴利的问题。
《北京科技报》:网络订票能否解决买票难的问题?
董焰:网络购买火车票的实行只能缓解买票难, 但并不能立即解决购票难的问题。由于目前火车网络购票还只是初级阶段,此外中国购票难很大的原因在于铁路网不能满足目前中国的运营情况,即便是高速铁路网的增加也只是满足一部分高端人群的需求,但是大量的农民工仍然需要平价的火车票。
但是,网络购票可以使火车票的分配程序趋向透明、公正,让公众更易监督,不断增加高级票贩和“内鬼”的倒票成本。在网络时代,不怕不能透明,就怕不想透明。技术手段不仅能提高售票效率,也能改善售票公平。
《北京科技报》:火车网络购票是否要效仿飞机票进行实名制
董焰:我认为不需要,因为民航的安全会因为一个人而影响到一整架飞机的安全,而火车则不是。除此之外,一旦飞机发生事故幸存率极低,由此要通过身份证明来判定死者,并且實行实名制还会加大运输成本。
《北京科技报》:对于实施网络购票的铁道部门,应该注意哪些问题呢?
董焰:正式实施前,应对以下问题多方考量:如增加网上订票这一新措施后,如何分配火车票是一大难题,毕竟也要考虑到一部分不会上网的乘客的需求;其次,手续费如何收?应当全国统一定价,还是根据不同的城市各自定价?此外,必须建立一套稳定、强大的网络系统,避免由于后台的IT技术问题,可能导致的系统瘫痪或订票数据丢失等情况。
董正伟:一是增加信息透明度。把每个车次的票务总量、售票情况、剩余票量都清清楚楚地放在上面,让大家心中有数。如果自己想买的票没有了,还能及时选择其他车次,方便大家购票;第二,增强网站的服务性。网站不能只提供订票业务,还可以增加一些服务的功能。比如,天气预报、出行提示、出行路线合理化建议等等。
本期答疑者
董焰,国家发改委综合运输研究所研究员
董正伟,中银律师事务所律师
一、中国铁路客票发售和预订系统简介
中国铁路现有5155个客运站,日发送旅客300多万人,每天发售数百万张客票。为了提高我国铁路客运现代化水平,铁道部从95年开始在一些大站开始逐步实施计算机联网售票。按照总体规划,整个客票发售和预订系统采用集中与分布相结合的客户机/服务器结构,它由1个全路票务中心、29个地区票务中心及车站电子售票系统三级组成。数据通讯广域网采用已建成的覆盖全国的铁路X.25网(正在扩为帧中继网),局域网采用以太网,使用TCP/IP协议,中国铁路客票系统结构如图一所示。系统软件环境:票务中心为UNIX操作系统与SYSBASE数据库,售票窗口为WINDOWS。整个系统建成后将有几万台微机联网,成为世界最大的铁路售票系统。
中国铁路客票系统将是一个大型有价票证制作和管理系统,它不仅为用户提供本地及远程的购票服务,并且还与其他网络互联提供综合服务,因此必须保证整个系统在各个阶段特别是网络的安全性和可靠性。
二、保证铁路客票系统网络安全的具体措施
对于我国铁路客票系统网络的安全措施必须满足应用系统数据安全性的要求,因而在各级数据库服务器和通信服务器中都应有网络安全措施,应根据不同层次,不同应用设置相同的访问控制、密钥等,并应能留下操作轨迹以备查阅。
1、带包过滤功能的路由器使用
在铁路客票系统网络中,使用带有包过滤器功能的路由器多个,各子网相互隔离开来。各级票务中心的子网均通过这种安全功能的路由器后接入铁道部X.25网或其他外围,包过滤路由器(Package Filte rs Router)是一个可检查通过它的数据包的路由器,它限定外部用户进入局域网的数据包,通常运用IP地址和端口号来限定处理,也就是依照协议按照规则允许某些IP范围的某些端口号通过路由器,同时限定其它IP地址的某些端口号的通过。由于包过滤是在协议“下三层”实现的,包的类型可进行拦截和登录。它通常直接
转发报文,对于用户是透明的,而且速度较快。比起其它类型防火墙来说,它比较容易实现。
2、建立各级网络安全模块
全路各级票务中心所属子系统都应具有网络安全模块。主要由该网络操作系统(NOS),相应主/备机操作系统(OS),和相应数据库管理系统(DBMS)等的安全功能所组成。其中网络操作系统(NOS)的安全功能主要有:安全管理(即物理安全)、访问控制(资源权限)和传输安全(密码技术)、故障管理(即故障检测)、隔离措施、容错实现以及重新加载等技术。监督管理即监督用户程序和文件的使用,识别并阻止非法用户的非法访问,一般是通过系统的日志文件和安全审计功能加以实现。此外,它还配合主机的操作系统(OS)及数据库管理系统(DBMS)的有关安全管理功能共同实现网络安全管理的任务。
一般说来,网络硬件设备安装的同时,提供设备的厂家也将提供网络安全模块,对于应用系统安全功能的设计者主要是选择网络安全模块所提供的功能,匹配主机操作系统(OS)及数据库管理系统(DBMS),再依照应用系统不同层次级别的用户作出相应的规划与设置,综合并协调各安全功能的作用,达到统一的所要求的安全级别。网络安全模块应具备如下基本功能: 用户访问的许可控制、访问监听、病毒预防、安全性管理及出错管理、目录和文件的安全性操作、用户管理系统、备份窗口、事件观察窗口等等。
应用系统设计者应首先了解这些功能使用的条件、方法,然后规划本票务中心所属各用户信息交换的级别分类分组;另一方面,相应地对数据、文件资源赋予不同的使用权限,两者有机地结合,达到安全应用的目的。当然也可以把主体和客体放在一张表里,以矩阵形式构成访问控制。这些是系统安全模块的依据。
3、系统第一道防线棗用户身份识别
凡是用户终端(本地和远程),也包括网络应用系统的维护和管理用终端,要想进入并使用该系统都必须向系统提交其用户标识和口令。系统根据用户标识判断其是否为注册用户;如果是,再根据口令判断其合法性,如果是合法用户,则接受用户,反之拒绝用户。
口令识别是一种低成本、易实现的用户识别技术,在计算机系统内广泛使用。但它也是最容易受到攻击的部分。使用口令机制关键在于不定期更新口令,至于更新周期要看具体应用情况而定,不同的系统可制定不同的动态变化的更新时间,如一般可在3~6个月更新。另外,应将口令加密后再存放。用户注册时,先输入用户的标识和口令,系统将该口令加密,然后与口令表中的口令密文进行比较,若两者相等,表明用户为合法用户。口令的加密算法常采用单向加密算法MD5算法。在UNIX系统中将它加以改进成“口令扩展法”,即把用户注册时间与用户标识组成12位的数字称为保留信息R。保留信息R对每个用户是唯一的。把保留信息R附加到用户口令PW中,作为一个整体加密处理。这样的口令机制既有了动态随机性,又克服了两个相同口令有相同密文的缺陷,较大程度地提高了系统注册的安全性。无论是MD5算法,还是口令扩展方法都包括在主机操作系统之中,供用户选择调用。
4、防火墙的设置
将客票系统的应用服务分为公共信息服务和应用网关代理服务部分,诸如用户对客票系统的查询服务等,这一部分是“公开的”,应方便快捷地向用户提供公共服务信息。
对于客票系统内部的上下级管理,或者用户远程订票等项服务等,则可采用代理服务方式,也就是说,要经过必要的审查,看是允许还是限制,以至禁止某种访问。这样便可以更好地保护系统的安全和系统上数据的安全。铁路内部网络与铁路外部网络要隔离开来,通过 Gate NET这一安全模块即网间防御系统。实际是一组功能完善的防火墙。它的基本安全策略是把内外信息交换分成两大部分,公共信息服务部分和应用网关带领服务部分。将被频繁访问的公共信息服务如查询服务等放在Gate NET内,外部网络上的每个用户都可方便地访问它们,不必经过网关处理,这样有效地减轻了整个系统的负担,提高了网络的效率。
应用网关代理服务提供了铁路内部与外部网络之间的文件传输服务,远程登录服务、电子邮件代理服务等,访问这部分并希望得到相应工作服务要严格受到控制。这样组成的网间防御系统是灵活的,也是安全的。
基于包过滤(筛选路由器)的防火墙,不仅用于铁路客票售票系统网络
设置的多个路由器,还可以将包过滤的防火墙功能用于其它部分,如数据库。
三、网络安全产品的选择
1、保密终端
铁路售票终端可选择插入加密卡(扩展卡)的方式实现保密终端的功能。如FORTEZZA加密卡。基于硬件的加密卡,可以插入宿主平台上,其保密应用于电子邮件(Email),电子商业及数据交换(EDI)、文件传送、文件存储、远程数据访问、全球网远程识别、数字签名、加盖日戳能力、验证等等。它采用了新一代Copstone芯片,其上嵌有 SKIPJACK加密算法,使用公开密钥密码体制技术,专用密钥只有用户自己保存,该密钥放在PC卡上可防止用户周围的人窃取。它最大的特点在于它能够在FORTEZZA卡上同时进行数据的加密和数字签名。FORTE ZZA加密卡可以集成到保密网中起安全服务器的作用。
像铁路客车售票系统的销售终端可采用加密卡方式,对敏感信息进行保密处理,并由售票员进行数字签名,以防篡改和推卸责任。
2、保密平台的实现
日本NTT公司开发的保密平台(实用软件),可应用于在局域网的客户机棗服务器方式下的办公室自动化业务(OA)中。它具有加密(快速FEAL加密算法)、密钥分配、管理,实体鉴别服务、各种检测等功能,该平台能为各种类型的OA应用程序提供高等级的安全服务,从而增强了在局域网LAN上客户机棗服务器OA业务的安全性。
这种平台具有如下的功能:防止“窃取”数据;非法窥视其它用户终端;沿传输路径窃取数据;非法存取服务器上的数据棗使用加密和访问控制手段。防止“假冒”:未经许可使用其它用户的标识(ID);未经许可的业务棗使用该公司的实体鉴别技术(ESIGN)及容许校验手段。
在铁路客票售票系统中,各种类型的服务器,各售票站点,城市或地区票务中心的服务器都可以选用这样的保密平台(软件),一揽子解决各种安全要求,并且只需通过简单的应用接口装置即可实现。
3、Windows软件的加密技术
Windows软件已广泛使用,在此环境下的应用软件如何保密、提高安全性呢?其基本加密技术方法是变形法(经过予处理后,变成不可运行程序,但保密性不强);外壳法(在原软件的外面罩上一层“外壳”,在原软件运行前必须先识别它的键Key,方可运行。但对用户的技术要求较高,好处是不改变原软件,保密性也好);内嵌法(在原软件内部选择某一个嵌入点,嵌入检测键(Key)的模块,以判断用户的合法性。但实现起来较困难,保密性较好)。一般Windows可执行文件都可使用以上几种方法。
4、RSA通用程序
是电子部华北计算所开发的加密程序。所谓通用即使用了移植性好的C语言实现,它的速度介于汇编语言与其它高级语言之间。由于C语言缺少汇编语言所提供的进位标志位和一些存放结果寄存器的支持,这给构造大数运算带来很大的麻烦。为此,已开发补充了某些特殊机制功能。另外应用程序中全部使用与机型、OS无关的标准库函数,专门开发了符合CCITT建议的哈希(HASH)函数子程序,作为通用程序的可加载模块,以适合于“数字签名”的实现。数字签名作为报文验证的一种手段更强于一般的报文验证,它只有发方本人才能编制的,任何人都能验证的技术手段叫做数字签名。它可以防止报文的篡改和抵赖。
5、DataCryptor 64E数字包端---端保密机
这是英国RACAL公司生产的X.25网络的数字保密机。用于保护经公用和专用包交换网传输的敏感而有价值的信息。在传输之前将数据加密,加密后的数据经网络传输,在其终点予以解密。
主要特性:安全的密钥管理系统;DES或专利加密算法;广泛的故障诊断;告警报导;备有电池存贮器保护;可供选择的接口;支持多至256个虚拟电路;前面板可编程程序等。
四、防火墙产品的选择
1、用于公用电话网远程访问的防火墙产品:
Modem Security Enforcer,它可保护内部网络免遭来自调制解调器和公用电话网的非法入侵。
2、Dgital对UNIX的防火墙
Digital防火墙中所使用的技术已经对Digital公司800个节点的网络进行了5年的保护。铁路系统的计算机设备中有不少配置了UNIX系统。
3、IBM Internet安全网络网关
它是一个功能极强的安全网络网关。它支持高级包过滤、报警地址和RS/6000应用网关代理,还支持标准密码、SecurceNET卡。SecarI D卡的几种用户身份验证。安全网络网关自动执行安装的强化过程,禁止不可信任的UNIX和TCP/IP服务和协议。
4、NetGate
工作于SPARC(Solaris Or Sun os)平台上。它基于规则的包过滤监控TCP/IP网络上的活动。主要优点是高速度和低价格。
5、Private Internet Gxchange(pix)Firewall
铁路工程建设中的管理制度和规范尚处于制定阶段,这就造成了铁路工程建设管理水平落后的一个很主要原因是基础管理工作薄弱,对于管理制度、管理模式和管理规范,基本上还处于制订阶段。这就造成在铁路工程建设各个方面都缺乏统一的管理制度和具体的管理规范,从而导致高水平的管理手段和技术,特别是信息管理技术很难进行研究和推广应用。(3)人才资源的分配不合理。自主知识产权从传统观念上来讲,铁路工程建设的重点在于解决工程技术上的难题,对管理的重视程度不够。在管理人才的配置上,主要是配置各方面的工程专业人才,缺乏信息型的管理人才。在铁路建设的总指挥部和承建单位的指挥部内部都缺乏信息型的人才,管理人员的整体计算机应用水平比较低,这在很大程度上从源头限制和阻碍了一些新的信息管理技术的推广使用。
铁路工程建设管理信息化对中国铁路发展的重要意义
(1)实现铁路工程建设管理信息化,可以合理利用资源,从而提高铁路建设的效率。铁路工程建设项目在数量上相对较少,管理制度和管理规范又不完善,所以从商业市场上较难吸引有规模的高技术公司在工程建设信息管理方面进行专门的研究和开发。在目前情况下,铁路工程建设信息管理技术主要是以科研项目的形式由高校和科研机构承担。这些机构在研究过程中,要同时承担着管理制度、规范的研究和具体产品开发的任务,往往力不从心。同时,科研机构在产品化和市场化服务等方面的缺陷,也对技术的发展起着阻碍作用。所以,我国必须尽快实现铁路工程建设管理信息化,这样可以有效结合新开发的先进管理技术,使铁路工程建设管理有自身的管理系统技术,从而使铁路工程建设优化对资源的利用,加快建设工期的速度,提高工程建设的质量。(2)铁路工程建设管理信息化可以更好地完善铁路建设的管理制度和规范的制定。铁路工程建设管理信息化的实现是对中国铁路建设的跨越式发展。从我国当前的国情来看,铁路工程的建设大多数处于人制的模式,许多管理制度和规范都是现行制定,跟着工程建设的进度而改变。这就造成了铁路工程建设管理没有一个完整的管理框架,从而会导致在工程建设期间出现一些缺漏,使得工程建设受到一定的不良影响。使铁路工程建设管理信息化,可以实现我国铁路管理制度系统化,使得工程管理制度能够不断适应铁路建设中的各个过程,从而通过不断的经验积累,形成一套完整的铁路工程建设管理制度和规范,进而能全面地保障铁路工程的安全高效建设。(3)铁路工程建设管理信息化的实现,可以突破我国铁路建设在管理组织机构模式的局限。在我国目前的情况下,铁路建设管理的模式,基本上是对于每条新建铁路由铁道部组建铁路建设总指挥部,由总指挥部作为建设单位来统筹和组织对全线的管理工作。对于总指挥部的人员组织,一般情况下,是由建设单位、设计单位、施工单位等临时抽调人员组成,这种方式造成管理人员的临时性和缺乏延续性,不利于管理经验和技术手段的积累和持续发展,容易造成各个铁路建设项目管理水平和手段低水平重复。所以,实现铁路工程建设管理信息化对铁路建设管理组织机构模式具有十分重要的意义,并具有较大的研究价值和特别迫切的现实需要。
对中国铁路工程建设管理信息化的建议
近年来我国铁路信息化进入大规模、快速发展时期,信息技术正向铁路运输经营、管理及营销的各个领域全面渗透,信息化对改造铁路传统产业、提升运输效率与管理水平、保障运输安全等方面,起到重要的推进作用。同时,面对国际、国内现代物流业给铁路运输业带来的机遇和挑战,建立完善现代物流的网络节点,坚持规模、效益、服务的整体优化,是铁路物流发展的关键。
现代铁路物流是根据区域特点,利用现有铁路运输网络资源,组织相应货源,为客户提供门到门一体化的物流服务。物流信息系统作为接收、存储、处理、反馈物流信息的工具,是铁路物流信息传递和处理的中枢,保障物流信息传递的准确、及时和高效,是实现铁路现代物流服务的基础。
新时期铁路物流的应用需求在不断变化,信息技术在不断创新,这个不断创新的过程代表着中国铁路物流信息化进步与发展的过程。针对中国铁路物流特点,时力科技不断地将创新技术应用到铁路物流信息化建设中,其设计开发的铁路联合物流信息管理系统,融合了现代物流管理理念,对业务流程进行规划与再造,充分满足现代铁路物流信息化建设需求,积极推进了铁路物流企业的信息化进程。
l 技术创新,提升运营效率
铁路联合物流信息管理系统的创新技术主要应用在在全面订单管理、订单表示、工单流程控制、数据权限控制以及运营支撑体系架构设计等方面。系统运用全面订单管理技术,将企业运营中所有的订单通过一个订单管理系统来完成订单的接收、执行与控制。系统以合同和客户信息管理为基础,以订单为信息主线与整个物流过程紧密衔接。全面订单管理技术主要包括接收客户业务订单和信息中枢两类功能。另外,为了使全面订单管理系统能够适应不同格式和样式的订单,并能实现在不需改动程序的情况下实现增加、删除、修改订单格式和样式的功能,系统创造性地设计了订单表示技术,建立了订单格式库和样式库,利用XML等数据表示技术,成功实现了特定需求。
工单流程控制技术是所有模块信息交互的交通枢纽。系统采用具有自主知识产权的消息总线引擎,根据平台的实际需求,优化了反应时间和并发处理能力等技术指标,为物流系统的高效运行提供了技术支撑。系统完全采用功能模块化设计,业务功能模块在最大程度上进行复用,通过运用数据权限控制技术,对传统操作权限进行数据权限补充,既保证了数据的安全、保密性,又保证了不同部门的个性要求,
运营支撑系统是业务开展和运营的支撑平台,是物流企业一体化、信息资源共享的支持系统,主要包括物流业务管理、增值服务管理、计费、客户管理、 OA等,系统通过统一的信息总线将各个部分有机地融合在一起,而不是简单的集成,从而提高了系统可靠性和可扩展性。
2 设计先进, 增强管理能力
铁路联合物流信息管理系统针对中国铁路特点,借鉴现代物流管理理念,从设计、技术运用到功能实现等方面都居于国内领先水平。系统按照运输、仓储、配送、装卸、包装、加工等现代物流功能并结合多元物流企业实际运作体系特点进行设计和开发,是对上级配置专业应用软件的补充和延伸。系统采用模块化设计,在技术上对模块进行了封装,模块具有相同的输入、输出接口和数据传递协议,降低了因模块内部发生功能变化而对其他模块造成的影响。模块化设计使系统具有较强的功能拓展性,增强了系统对实际业务变化的适应性,提高了信息系统的复用性,适合于铁路物流的推广使用。
系统以服务订单为主线贯穿始终,由模块搭建起来的系统通过工单在业务模块间的流转实现协同,完成物流作业。物流作业工作量可以按照工单、订单、客户、合同进行统计,让企业每笔收入和费用都能与客户、合同相对应,同时也能与部门和工作人员相对应,为物流业务的精细化管理打下基础。
系统内强大的权限控制体系满足集团与联盟企业管理要求,将功能权限与数据权限相结合的控制体系,实现了集团或联盟下属实体企业数据的独立维护、严格保密,以及定向共享。
3 成效显著,展示应用前景
铁路联合物流信息管理系统的应用,规范了铁路物流企业的业务作业流程,通过流程再造和信息系统辅助,进一步明确了部门职责,提高部门间协作效率。订单系统的使用使物流服务提供方作为一个整体面对客户,通过部门间的共同配合、相互协作即可完成客户的需求,进一步提升了客户的服务水平。系统的应用,使运力、仓储、物资等主要业务数据能够及时有效地传递,提高管理精细化程度。作为辅助企业进行决策、管理的重要工具,系统通过对分支机构业务数据的管理和流程规范性的管理,加强了企业对跨区域分支机构管理。
铁路基层单位会在自身内部建立专属的园区网络,通过内部网络的保护可以为单位提供一个较为安全、高效、可靠的网络环境,而且该网络具有较高的扩展性能,通过网络可以将不同的办公地点连接在一起,达到全网接入Internet、资源共享等多种目的,该专属网络还可以将铁路单位的内部信息进行保密隔离处理,可以安全访问公网。为了保障系统的正常运行和安全发展,在构建系统时应该使其具备以下网络特征 :在建设企业网络过程中 , 系统通过采用先进的网络通信技术来连接两个办公距离较远的地点 ;为了保障单位应用系统的安全性能应该控制整个企业网络内的广播域范围 ;使整个企业单位集团内部实现资源的共享,而且应该保障骨干网络具备较高的安全性能和可靠性能 ;在企业单位集团内部网络中实现高效的路由选择 ;应该控制企业网络出口的数据流量 ;系统网络在接入Internet时应该使用较少的公网IP。
1 园区网络拓扑结构设计
针对以上问题的分析,我们决定采用下图1所示的网络拓扑结构。
将二层交换机应用于接入层,并且要通过采取一定方式来使广播域分隔开来。在接入层交换机上划分VLAN可以实现对广播域的分隔。对VLAN10办公室、VLAN20业务区、VLAN30综合部进行科学划分,并对其分配相应的接口。VLAN是虚拟局域网的简称,是指位于一个或多个局域网的设备经过配置能够像连接到同一个信道中那样进行通信,而实际上它们分布在不同的局域网中。VLAN的优点:限制广播包 ;安全性 ;虚拟工作组 ;减少移动和改变的代价。
将具有较高性能的三层交换机应用于核心交换机,而且核心交换机所采用的形势为双核心互为备份,接入层交换机的两条上行链路与两台核心交换机连接在一起,VLAN之间的路由是通过三层交换机实现完成的。交换机之间的链路配置为Trunk链路三层交换机上采用SVI方式(switch virtual interface)实现VLAN之间的路由。交换机之间的链路配置为Trunk链路三层交换机上采用SVI方式(switch virtual interface)实现VLAN之间的路由。交换机中接口配置模式可以选择配置成Trunk模式或access模式,如果采用access接口模式,可以将它加入或者移出一个VLAN。而交换机间的VLAN通信,采用Trunk模式。在交换机式网络中使用生成树协议STP可以将有环路的物理拓扑变成无环路的逻辑拓扑,为网络提供了安全机制,使冗余拓扑中不会产生交换环路问题。2台核心交换机之间也采用双链路连接,并提高核心交换机之间的链路带宽。端口聚合技术是指可以把多个物理端口捆绑在一起形成一个简单的逻辑端口,这个逻辑端口被称为聚合端口Aggregate Port,简称AP。通过端口聚合技术可以将两个以上的以太网链路进行组合,以此来实现高带宽网络连接的负载共享、平衡并为其提供更好的弹性。AP会根据报文的IP地址或MAC地址进行流量平衡,这种流量平衡指的是AP的成员链路会得到分配平均的流量。通过在应用网络系统中设计大量环路可以有效的提高网络的可靠性能,但是环路有可能造成广播风暴等安全隐患,在此要尽量避这些现象的产生,通过在整个交换网络内实现RSTP可以避免环路所带来的影响。RSTP在物理拓扑变化或配置参数发生变化时,显著的减少了网络拓扑的重新收敛时间。为根端口和指定端口设置了快速切换用的替换端口(Alternate Port)和备份端口(Backup Port)两种角色。在只连接了两个交换端口的点对点链路中,指定端口只需与下游网桥进行一次握手就可以无时延地进入转发状态。三层交换机配置路由接口,与RA、RB之间实现全网互通。两台三层交换机上配置路由接口,连接A办公地点的路由器RA。RA和RB分别配置接口IP地址。在三层交换机的路由接口和RA,以及RB的内网接口上启用RIP路由协议,实现全网互通。RIP最大的特点是,无论现实原理还是配置方法,都非常简单。它有时不能准确地选择最优路径,收敛的时间也略显长了一些,但对于小规模的,缺乏专业人员维护的网络来说,它是首选协议。RIPv1不支持VLSM,RIPv2是无类路由。
RIPv2发送更新报文的方式为组播。RIPv2还支持认证。RA和B办公地点的路由器RB之间通过广域网链路连接,并提供一定的安全性。RA和RB的广域网接口上配置PPP(点到点)协议,并用PAP认证提高安全性。点对点协议是为了在同等单元之间传输数据包而设计的简单链路层协议。这种链路提供全双工操作,并按照一定的顺序传递数据包。密码验证协议,即 (Password Authentication Protocol) 通过两次握手机制,为建立远程节点的验证提供了一个简单的方法。挑战握手后验证协议,即(Challenge Hand Authentication Protocol)使用三次握手机制来启动一条链路和周期性的验证远程节点。RB配置静态路由连接到Internet。两台三层交换上配置缺省路由,指向RA。RA上配置缺省路由指向RB。RB上配置缺省路由指向连接到互联网的下一跳地址。静态路由是指由网络管理员手工配置的路由信息。它是一种最简单的配置路由方法,一般用在小型网络或拓扑相对固定的网络中。但在大型网络中配置静态路由就有其局限性。静态路由 :无开销、配置简单、需要人工维护,适合简单拓扑结构的网络。动态路由 :开销大、配置复杂、无需人工维护,适合复杂拓扑结构的网络。在RB上用少量公网
IP地址实现企业内网到互联网的访问。用NAT(网络地址转换)方式,实现企业内网仅用少量公网IP地址到互联网的访问。NAT的典型应用是将使用私有IP地址(RFC 1918)的园区网络连接到Internet,这样公司就无需再给内部网络中的每个设备都分配共有IP地址,即避免了公有地址的浪费,又节省了申请公有IP地址的费用,同时也减缓了IPv4地址空间被耗尽的速度。NAT通过内部网的私有化来节约合法的注册寻址方案。NAT增加了连接到公网的灵活性。NAT支持大部分IP协议,但路由选择更新、DNS区域传输、BOOTP、talk、ntalk、SNMP、netshow除外。在RB上对内网到外网的访问进行一定控制,要求不允许财务部访问互联网,业务部只能访问WWW和FTP服务,而综合部只能访问WWW服务,其余访问不受控制。通过ACL(访问控制列表)实现。访问控制列表ACL,最直接的功能便是包过滤。通过访问控制列表(ACL)可以在路由器、三层交换机上进行网络安全属性配置,可以实现对进入到路由器、三层交换机的输入数据流进行过滤。
网络的安全隐患有很多种,有非人为的,也有人为的,也有来自网络外部和内部人员的恶意攻击和破坏。访问控制列表包括标准的访问列表和扩展的访问控制列表。
2 园区网络安全方案
网络安全中的防火墙,用于保护网络免受恶意行为的侵害,并阻止其非法行为的网络设备或系统。作为一个安全网络的边界点 [3]。在不同的网络区域之间进行流量的访问控制。防火墙的功能 :控制和管理网络访问 ;保护网络和系统资源 ;数据流量的深度检测 ;身份验证 ;扮演中间人角色 ;记录和报告事件。
3 项目实施
为S2126接入交换机和S3750核心交换机分别创建相应的VLAN。S2126接入交换机和S3750核心交换机两个设备之间建立相应的TRUNK链路。两台S3750核心交换机通过双链路连接在一起,实现端口聚合。系统所有的交换机上都要配置RSTP,并且指定两台三层交换机分别为根网桥和备份根网桥。置三层交换机的VLAN间路由功能。将接口IP地址分别配置在三层交换机的RA、路由端口、RB上。此外,将广域网链路配置在RA和RB上,配置PAP认证和启用PPP协议。企业内网的路由配置运用的是RIPV2路由协议,在企业内网访问互联网时采用的是静态路。内网想要访问外网可以通过在RB上做NAT来实现,还可以通过在RB路由器上作访问控制列表来控制内网对互联网的访问。
4 结语
总之,作为专属的铁路网络,对其网络的布局将影响到铁路网络运行的安全性、稳定性,因此,必须对网络进行精心设计和布局,从而通过各种措施降低其运行的风险,保障运行的安全性。
摘要:通过对铁路基层单位的网络需求进行分析,提出在整个单位网络内控制广播域的范围并保证一定的安全性,在全区域基层单位内实现资源共享,并保证骨干网络的高可靠性、内部网络实现高效的路由选择的解决方案。
关键词:高速铁路;移动通信;现网优化;虚拟专网
中图分类号:TN929 文献标识码:A 文章编号:1009-2374(2013)11-0111-03
1 概述
近年来,我国高速铁路建设飞速发展,已经开通了沪宁城际高铁、京津城际高铁、京宁高铁、武广高铁等多条高铁线路,高速铁路的运营时速普遍高于200km/h,部分高铁列车时速已经接近300km/h,未来建设的高速铁路时速有望超过350km/h。
高铁列车的开通和不断提速,方便了人民的出行,但是却对高速铁路移动通信的网络覆盖带来了挑战。由于高速铁路列车为全密封铝合金车体,穿透损耗大,降低了车厢内的覆盖效果,高铁列车运营时速快,接近或超过300km/h,多普勒频移和小区间频繁切换现象严重,影响了列车内的移动通信网络质量。
随着高铁不断建设和开通,国内三大运营商的移动通信网络都受到了严重挑战,都在积极规划和解决高速铁路网络覆盖问题,由于国内三大运营商各自运营的网络制式不同、频段不同,受到的影响程度也不相同,因此其各自制定的高铁移动通信覆盖解决方案也不相同。本文首先分析了高铁的开通对移动通信的影响,并在此基础上,结合各运营商的网络特点,提出了针对性的解决方案。
2 高速铁路对移动通信系统影响分析
高铁列车对于移动通信的影响,主要有两方面的
原因:
第一,车厢结构的变化:由于高铁列车车厢为铝合金结构,整体密封性能好,无线信号的穿透损耗增大,降低了车厢内无线信号的强度,从而使高铁列车的车厢内信号场强比普通列车低,网络覆盖质量变差。
第二,运行速度的提升:高铁列车的高速运行,带来的一个最直接的影响就是多普勒频移问题。多普勒频移是一个运动物体普遍存在的现象,由于普通列车一般运行时速为120km/h,速度相对较低,多普勒频移现象不严重。而在高铁环境下,列车运营时速接近300km/h,远高于普通列车,因此多普勒频移对高速铁路移动通信的影响更加严重。另外,移动通信单小区的覆盖范围相对固定,由于高铁列车运行速度的增加,必然会缩短列车在单小区内的停留时间,小区间切换次数增加。而切换时造成网络质量下降,尤其是掉话的重要原因。
2.1 多普勒频移
多普勒效应的产生主要是由于无线电波的波源或观察者相对于传播介质的运动而使观察者接收到波的频率发生变化的现象。由于移动台或者终端相对于基站的移动方向不同,多普勒频移的影响也不相同。
2.1.1 移动台(终端)向着基站的方向运动。假设移动台的移动速度为V,而基站的下行无线信号的发射频率为f1。由于多普勒效应的影响,移动台接收到的无线信号的频率为f2,移动台以f3向基站发射上行无线信号,基站收到的来自移动台的上行无线信号的频率为f4,则可以
得到:
2.1.2 移动台(终端)向远离基站的方向移动。参考上面的分析,同理可以得到如下公式:
国内规划、建设和运营中的高速铁路最高设计时速为350km,而现网运行的移动通信系统的系统芯片在设计的时候,一般都考虑了频偏的影响,采用了频率补偿算法,因此现有移动通信系统都具有一定频率偏移的容错能力。虽然在高速铁路环境下的多普勒频移现象对移动通信系统的影响较普通或者慢速移动环境下的影响严重,但整体影响并不严重,移动通信系统仍可以正常工作。
2.2 快衰落
国内运营开通的高速铁路列车,一般运营时速接近300km/h,最高的时速接近350km/h。对于主要工作在800M~2GHz之间的移动通信系统,其快衰落的衰落深度严重时可能达到20~40dB,这将严重影响网络覆盖。但是我们知道,在高速铁路覆盖的环境下,基站一般沿着铁路线覆盖,周边高大建筑物较少,因此移动台与基站间一般都存在着直射路径,故移动台收到的无线信号的电频主要受路径损耗影响较大,而受到由多径效应产生的快衰落影响较小。
2.3 车体穿透损耗
国内正在运营的高铁列车目前主要有四种类型,表2为不同型号的高铁列车的基本概况:
根据相关测试统计,CRH1型号的高铁列车穿透损耗为20~30dB,其他型号的高铁列车的车厢穿透损耗一般为10~15dB,由上述分析来看,CRH1型的高铁列车的车体穿透损耗最大,因此在制定覆盖方案需要充分考虑CRH1列车的覆盖要求,满足了CRH1列车的覆盖要求,也就满足了其他型号高铁列车的覆盖要求。
2.4 切换与重选
对于国内三大运营商现有的GSM、TD-SCDMA、WCDMA和CDMA2000四张移动通信网络,完成一次切换的时间(工程经验值)一次为3~5秒、1.5~3秒、0.8~3秒、0.3~5秒。故对于上述移动通信系统,移动台完成一次切换,要求两个基站间的覆盖重叠区域的长度不应该小于2×V×T/3600(km),其中V(km/h)为移动台的移动速度,T为系统完成一次切换所需时间。
根据上面的表格,不同的系统,由于切换所需的时间不同,因此切换带设置的距离也不相同,整体来说,GSM网络需要的切换时间最长,需要的切换带距离也最长,因此在实际高铁网络覆盖方案中GSM网络切换带的设置也是需要重点关注。
3 高速铁路覆盖解决方案
高铁列车高速运行对现有移动通信网络的无线覆盖在技术上提出了一定挑战,根据前面的分析,高速铁路列车的移动通信网络覆盖面临的各种问题主要是由于移动台高速移动,造成在多小区间的频繁切换;车体结构变化,车厢穿透损耗增大;列车快速移动,多普勒效应现象严重。针对上述问题,相关运营商主要采用了两种高铁覆盖解决方案:现网优化和虚拟专网。表4从覆盖指标、切换指标、容量指标、建设难度及优化难度等方面对以上两种建设方案进行了对比。
4 国内主要的高铁覆盖方案对比
4.1 虚拟专网方案
对于中国移动,经过多年的网络建设,其基站较密集,尤其在市区,存在同一覆盖区内多小区重复覆盖的现象,尤其在市区的铁路沿线附近,信号复杂,采用现网优化方案,网络优化难度大,同时对铁路沿线的基站进行大量优化调整,必将影响原有的大网覆盖,带来大网的网络质量下降。因此中国移动在高铁覆盖方案选择时,多选择建设专网方式。对于采用专网建设方式,主要考虑以下四项关键技术。
4.1.1 网络带状覆盖。由于高铁列车在行使过程中频繁跨越不同小区,切换频繁,有可能会造成掉话等网络问题,影响网络质量。一方面,为减少移动台在高铁列车行驶过程中的切换次数,需要在高速铁路沿线建设以专门覆盖铁路为目的的带状虚拟带状网络,通过对带状网络的各个小区的位置、天线方向角等参数的调整,可以使高速铁路上的移动台首选在这个虚拟专网内部小区之间切换,而不在附近的大网内小区间切换,这样可以降低切换的次数,降低了掉话率;另一方面,由于专网内的各个小区的位置和间距是通过链路预算获得,这样可以在保证覆盖和小区间的切换重叠区域要求的前提下,使切换次数达到最小,从而提高网络质量。
另外随着技术和移动通信设备的发展,基站的形态也发生了根本的变化,现在主流的基站形态为BBU+RRU方式。在这种基站形态下,可以采用多RRU共小区技术,从而使几个RRU的覆盖区变成一个小区,移动台在这几个RRU之间移动,不发生切换,这样可以使移动台在十几公里的范围内,不发生切换,从而大大降低了切换次数,带来了网络质量的提升。
4.1.2 多普勒频移的抑制方法。多普勒频移主要与移动速度有关,因此我们可以减小列车相对与基站的移动速度,来降低多普勒频移的影响。降低移动台的相对移动速度,可以通过拉大基站与铁路之间的间距来减小移动台相对于基站的移动速度,但是由于基站和移动台的发射功率有限,其网络覆盖半径也有限,基站与铁路之间的距离越远,网络覆盖效果越差,因此不能简单地通过拉大基站与铁路之间的距离以降低移动台的相对移动速度,以免影响基站对铁路的覆盖效果。基于上述分析,在站点资源允许的情况下,建议高铁覆盖基站与铁路之间的垂直距离在100~300m之间。
4.1.3 高增益天线的采用,增加基站的有效覆盖范围。一方面,在基站的发射功率一定的前提下,采用高增益天线,天线的水平波瓣角变小,使无线信号的能量在某一方向上集中,从而使这一方向的基站有效覆盖范围增加;另一方面,较小的水平波瓣角小,也可以很好地控制专网小区信号外泄,降低对周边大网的影响。
4.1.4 采用功分器,避免基站内部小区间切换。根据上述的分析,影响高铁环境下移动通信网络质量的主要原因是频繁切换问题。在现网,一般一个基站有多个小区,而在同一基站的多个小区间,重叠覆盖区小,无法保证高铁列车快速运行,对切换区域距离的要求。因此在工程建设中,可以引入功分器这一器件,把一个小区的信号利用功分器平均分成两部分,用两幅天线辐射出去,这样一个小区变成两个扇区,而这两个扇区的信号来自一个小区,在它们之间不存在切换问题,从而解决了同一基站不同小区间的切换距离不够可能造成掉话的问题。
4.2 现网优化方案
对于中国电信和中国联通,由于自身的网络特点和投资特点,其在高铁网络覆盖方案选择上,多采用现网优化方案。
现网优化建设方案,考虑重点考虑以下五个关键技术:天线调整、波束宽度调整、功率调整、主覆盖小区梳理、切换/重选参数优化。
4.2.1 天线调整。天线调整是覆盖优化最优先考虑的方法,同时也是最有效的方法。在高铁沿线基站进行天线调整时,主要进行天线的方向角和下倾角调整,调整方向角的目的是为了使高铁覆盖基站小区的主瓣方向沿着铁路覆盖,提高铁路覆盖效果。在高铁沿线的基站覆盖中,应尽量减小下倾角的设置度数,以提高单站的覆盖范围。
4.2.2 波束宽度调整。结合基站的位置,小区天线覆盖方向,针对个别路段信号覆盖仍较弱,但又无法通过天线调整来解决的,可以通过调整天线波束宽度来加强信号覆盖。天线的波束宽度一般有四种取值:30、65、90、120。从取值我们可以看出来,波束宽度取值越小,能量可以更集中在铁路覆盖沿线,可以有效提高铁路沿线的覆盖效果。
4.2.3 功率调整。覆盖的优化除了调整天线和波束宽度调整之外,还可以调整小区的发射功率。功率设置过高,虽然可以提高小区的覆盖范围,但是可能会造成邻近的小区的干扰;设置过小,虽然可以降低干扰,但是影响覆盖,会造成部分区域存在弱覆盖的问题,所以在进行功率调整时,需结合现场详细的测试,进行综合考虑。
4.2.4 主覆盖小区梳理。切换是造成网络质量下降的一个重要因素,所以在满足覆盖的前提下,可以通过手天线调整、降功率、切换参数设置,甚至是删除邻区关系等手段,尽量将高铁沿线的某些非必要的小区剔除出高铁覆盖区,从而达到高铁沿线有明确的主覆盖小区,减少乒乓效应的发生次数。
4.2.5 切换/重选参数优化。切换、重选慢导致小区边界信号强度偏弱问题,可进行小区合并、调整切换迟滞、切换时延、加大小区偏置、迟滞、重选延迟等参数来解决。
乒乓切换问题,在车速很快的情况下,信号强度变化也快,乒乓切换往往会造成切换不及时而导致弱信号掉话。优化的手段有FR优化和切换参数优化两种,FR优化是优先考虑的方法,但天线调整往往比较费时,所以有时也可考虑通过参数优化来达到抑制乒乓切换的效果。
5 结语
随着中国高速铁路的不断提速,为移动通信的高铁覆盖带来了新的挑战,造成了网络质量的下降,严重影响了用户的感知,因此为了应对高铁的开通运营对移动通信网络质量的影响,需要研究和制动高速环境下的通信网络建设方案,改善高速列车上的通信质量,满足人们通信的需求,树立移动运营商的良好形象。
参考文献
[1]华为技术有限公司.GSM无线网络规划与优化[M].北京:人民邮电出版社.
作者简介:殷鹏(1973—),中邮建技术有限公司高级工程师,硕士,研究方向:无线通信新技术和移动通信网络规划与优化。
【电气化铁路网络信息化】推荐阅读:
电气信息类专业简介07-25
电气信息工程求职简历01-01
电气与信息工程学院毕业典礼策划书06-07
电气信息学院团委组织部十一月工作总结10-13
电气工程电气自动化研究论文09-10
电气化工程论文12-17
电气之传奇05-24
电气年终总结06-23
电气施工教学07-04
