武長海 聶影

(鐵道第三勘察設(shè)計院集團(tuán)有限公司，天津 300251)

我國列車調(diào)度指揮系統(tǒng)信息安全技術(shù)的發(fā)展與展望

武長海 聶影

(鐵道第三勘察設(shè)計院集團(tuán)有限公司，天津 300251)

介紹我國鐵路列車調(diào)度指揮系統(tǒng)（TDCS）/調(diào)度集中系統(tǒng)（CTC）系統(tǒng)信息安全技術(shù)裝備經(jīng)過近10余年的發(fā)展，經(jīng)歷從小規(guī)模到中等規(guī)模，從簡易防護(hù)、被動防護(hù)到系統(tǒng)防護(hù)、主動防護(hù)的過程，詳細(xì)闡述目前新一代信息安全設(shè)備在TDCS/CTC系統(tǒng)的技術(shù)和應(yīng)用情況，最后對于信息安全在信號系統(tǒng)的發(fā)展提出個人見解。

TDCS/CTC系統(tǒng)；信息安全；發(fā)展

1 概述

1.1 信息安全在國家、鐵路、信號發(fā)展中的意義

1）信息安全是國家戰(zhàn)略

當(dāng)前，發(fā)達(dá)國家美國、日本、德國等均對信息安全有很高的戰(zhàn)略要求，我國對信息安全問題也非常關(guān)注，并于2014年2月成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，將信息安全上升到國家戰(zhàn)略高度，從國家層面對信息安全通盤部署；信息安全產(chǎn)品被工信部作為軟件類別單獨列出，體現(xiàn)出信息安全在目前國家戰(zhàn)略中的重要性。

2）信息安全是鐵路信息化的重要部分

信息系統(tǒng)是鐵路運輸生產(chǎn)的重要組成部分，必須具備嚴(yán)格的安全防范機制，對系統(tǒng)的網(wǎng)絡(luò)安全、應(yīng)用安全、管理安全進(jìn)行了嚴(yán)格的分析，制定了科學(xué)、完整、詳細(xì)的鐵路信息系統(tǒng)安全策略。即應(yīng)綜合采用網(wǎng)絡(luò)隔離技術(shù)、多層交換技術(shù)、虛擬局域網(wǎng)技術(shù)、現(xiàn)代密碼技術(shù)、身份識別技術(shù)、網(wǎng)絡(luò)防火墻、入侵診斷和病毒防護(hù)等技術(shù)，確保鐵路信息系統(tǒng)的可靠性、可用性、保密性、完整性、真實性和可控性。因此，信息安全是鐵路信息化的重要部分。

3）列車調(diào)度指揮/調(diào)度集中系統(tǒng)的信息安全是鐵路信息安全的關(guān)鍵部分

原鐵道部提出工業(yè)控制系統(tǒng)必須依據(jù)等級保護(hù)要求進(jìn)行建設(shè)，依照要求達(dá)不到等級保護(hù)要求的系統(tǒng)一律不允許開通。2008年3月1日，信息系統(tǒng)安全等級保護(hù)備案證明（編號：800007211002-0002）中明確列車調(diào)度指揮/調(diào)度集中系統(tǒng)（以下簡稱TDCS/CTC系統(tǒng)）被國家確定為信息安全等級保護(hù)4級系統(tǒng)，原鐵道部/鐵路總公司通過等級保護(hù)4級的系統(tǒng)有客票系統(tǒng)、TDCS/CTC系統(tǒng)、電子支付平臺3個系統(tǒng)，3個系統(tǒng)應(yīng)在新建時同步進(jìn)行信息安全建設(shè)。為此，TDCS/CTC系統(tǒng)信息安全達(dá)不到等級保護(hù)4級要求不得開通。

1.2 TDCS/CTC系統(tǒng)信息安全技術(shù)發(fā)展

TDCS/CTC系統(tǒng)信息安全技術(shù)發(fā)展經(jīng)過10余年的發(fā)展，主要經(jīng)過了以下3個階段：

第一階段：2002—2007年信息安全技術(shù)起步裝備階段（初級系統(tǒng)）

從2002年TDCS/CTC系統(tǒng)推廣建設(shè)，信息安全設(shè)備已經(jīng)覆蓋全國18個鐵路局及原鐵道部調(diào)度指揮中心，大部分線路車站配備了信息安全設(shè)備；主要包括4項安全措施：防火墻、網(wǎng)絡(luò)防病毒、漏洞掃描、身份認(rèn)證，系統(tǒng)裝備水平僅能勉強適應(yīng)信息安全等級保護(hù)2級的水平。

第二階段：2008—2011年信息安全技術(shù)補強階段（第一代系統(tǒng)）

在原有4項裝備基礎(chǔ)上經(jīng)過不斷補強，又增加了入侵檢測、安全審計、接入安全、軟件補丁分發(fā)、安全集中管理、安全接入控制、管理終端安全等信息安全組件，但信息安全技術(shù)仍停留在防火墻、系統(tǒng)打補丁等被動防御的層面上，仍不能滿足等級保護(hù)4級的要求，本文稱之為第一代信息安全設(shè)備。

第三階段：2012年至今，第二代信息安全技術(shù)推廣應(yīng)用階段（第二代系統(tǒng)）

第二代系統(tǒng)從鐵路總公司調(diào)度中心到鐵路局調(diào)度中心、鐵路局調(diào)度中心到車站采用3級安全架構(gòu)設(shè)計，具有主動防護(hù)、整體防御能力。經(jīng)過幾年的建設(shè)，已經(jīng)在北京、武漢、上海、廣州、成都、哈爾濱等多個局調(diào)度中心及鐵路總公司調(diào)度指揮中心部署，在保障高鐵、普速列車調(diào)度指揮安全、可靠方面發(fā)揮了更大的作用，本文稱之為第二代信息安全設(shè)備。

2 TDCS/CTC系統(tǒng)信息安全技術(shù)發(fā)展情況

2.1 第一代與第二代信息安全技術(shù)對比

根據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》（GB/ T22239－2008）規(guī)定第4級信息系統(tǒng)應(yīng)具備的安全保護(hù)能力是：應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難、以及其他相當(dāng)危害程度的威脅所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。

上述標(biāo)準(zhǔn)從物理安全、網(wǎng)絡(luò)安全、終端安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等5個技術(shù)要求方面提出了4級安全系統(tǒng)要實現(xiàn)的具體目標(biāo)。表1對第一代信息安全設(shè)備和等級保護(hù)4級要求進(jìn)行了對比。

從表1可看出，第一代CTC/TDCS系統(tǒng)信息安全措施不到位，使整體防御能力距離等級保護(hù)4級有較大差距，不能夠有效的防御來自內(nèi)部人員或外部組織的惡意攻擊，將會給鐵路運輸調(diào)度任務(wù)造成嚴(yán)重的破壞性風(fēng)險；第二代信息安全設(shè)備重點對以上差距進(jìn)行安全設(shè)計和實施，提出有效的解決方案，達(dá)到“以防內(nèi)為主，內(nèi)外兼防”的效果，并已進(jìn)入了工程化推廣應(yīng)用階段。

表1 第一代信息安全設(shè)備與等級保護(hù)4級基本要求的差異對比匯總

2.2 第二代信息安全設(shè)備裝備與集成

1）系統(tǒng)架構(gòu)

第二代信息安全設(shè)備從總公司調(diào)度中心到路局調(diào)度中心、路局調(diào)度中心到車站采用3級安全架構(gòu)設(shè)計，3者之間均部署了安全區(qū)域邊界，對各區(qū)域?qū)嵤┌踩雷o(hù)，具有整體防御能力。系統(tǒng)由安全管理中心統(tǒng)一管理，以計算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全所組成的“一個中心、三重防護(hù)”體系結(jié)構(gòu)實現(xiàn)針對TDCS/CTC系統(tǒng)的縱深防御、整體防御。

總公司、鐵路局、車站3級安全防御系統(tǒng)示意如圖1所示。

圖1 3級安全防御系統(tǒng)示意圖

2）系統(tǒng)功能

針對等級保護(hù)4級所定義的系統(tǒng)功能需求，第二代信息安全設(shè)備的主要功能如表2所示。

3）系統(tǒng)集成實施方案

a.鐵路總公司TDCS系統(tǒng)中心

鐵路總公司調(diào)度中心TDCS/CTC信息安全設(shè)

示備主要包括查詢業(yè)務(wù)區(qū)域、調(diào)度業(yè)務(wù)區(qū)域、安全管理中心區(qū)域，各個區(qū)域之間布設(shè)了安全防護(hù)的業(yè)務(wù)邊界、以及鐵路總公司中心對鐵路局相互之間的區(qū)域邊界和安全通信網(wǎng)絡(luò)，如圖2所示。

b.鐵路局TDCS中心/高鐵CTC中心

鐵路局TDCS中心/高鐵CTC中心信息安全設(shè)備主要覆蓋兩個中心系統(tǒng)，分別是普速CTC/TDCS和客專CTC的中心（總機）系統(tǒng)，兩個系統(tǒng)共用一個安全管理中心，且各自有一個調(diào)度業(yè)務(wù)區(qū)域和查詢業(yè)務(wù)區(qū)域；各個業(yè)務(wù)區(qū)域之間布設(shè)了安全防護(hù)的業(yè)務(wù)邊界、鐵路局對車站之間的區(qū)域邊界防護(hù)和

表2 第二代信息安全設(shè)備功能表

圖2 鐵路總公司中心TDS/CTC信息安全拓?fù)鋱D

安全通信網(wǎng)絡(luò)，如圖3所示。

c.中心系統(tǒng)主要配置

系統(tǒng)硬件主要包括：安全管理中心、安全業(yè)務(wù)邊界、安全區(qū)域邊界3部分。

*安全管理中心對系統(tǒng)整體安全進(jìn)行統(tǒng)一的策

圖3 鐵路局中心TDCS/CTC信息安全拓?fù)鋱D

略管理、審計管理，由系統(tǒng)管理、安全管理、審計管理、集中監(jiān)測、電子證書5類服務(wù)器組成，采用雙機冗余部署。

*安全業(yè)務(wù)邊界包括查詢區(qū)域邊界、安全管理中心邊界，采用雙機冗余部署。

*局中心與總公司（鄰局）之間以及局中心與車站之間分別配置4臺安全區(qū)域邊界；區(qū)域邊界使用萬兆光口分別與核心交換機及核心路由器相連。

系統(tǒng)軟件包括：安全管理中心軟件以及應(yīng)用到各類服務(wù)器、調(diào)度終端、復(fù)示終端上的系統(tǒng)加固軟件等。

d.車站級結(jié)構(gòu)及配置

車站安全組件主要包括安全計算環(huán)境及安全區(qū)域邊界（含安全通信網(wǎng)絡(luò)組件）2部分。安全計算環(huán)境主要包括：車務(wù)終端、CTC自律機/TDCS車站分機、綜合維修終端的安全硬件環(huán)境；安全區(qū)域邊界采用雙機冗余方式部署在車站路由器與交換機之間。

4）系統(tǒng)集成發(fā)展情況

經(jīng)過2012年至2014年3年的建設(shè)，目前第二代信息安全設(shè)備已經(jīng)在北京、武漢、上海、廣州、成都、哈爾濱等多個鐵路局及總公司調(diào)度指揮中心的TDCS/CTC系統(tǒng)中部署完畢；以上海調(diào)度所為例，僅2015年規(guī)劃年度管轄的主要高速鐵路、客運專線、城際鐵路共計約20條線路，長6 000 km，2013年底前已建成10余條高速鐵路/客運專線，信息安全設(shè)備完成了安全管理中心、安全邊界接入和調(diào)試，以及業(yè)務(wù)服務(wù)器和調(diào)度臺終端系統(tǒng)的安全計算環(huán)境加固工作。

目前第二代系統(tǒng)主要功能和安全策略已啟用，并在各調(diào)度中心穩(wěn)定運行，第二代系統(tǒng)在安全管理中心的集中統(tǒng)一管理下，通過安全計算環(huán)境的白名單、完整性度量等功能，實現(xiàn)了程序安裝、運行的控制，從而以主動防御的方式防止了病毒、蠕蟲及其他非授權(quán)惡意程序的感染和破壞，保障了調(diào)度系統(tǒng)中未經(jīng)批準(zhǔn)的程序無法安裝、在運行的調(diào)度程序不被非法篡改；同時，從技術(shù)手段上實現(xiàn)了調(diào)度系統(tǒng)程序升級的版本管理控制，只有路局批準(zhǔn)的升級版本，才能夠通過管理中心進(jìn)行統(tǒng)一升級。

第二代信息安全設(shè)備實現(xiàn)了對U盤、光驅(qū)等各類計算機外設(shè)接口的控制，確保只有經(jīng)過批準(zhǔn)的U盤才能在CTC/TDCS專網(wǎng)中使用，避免了來自其他途徑的U盤濫用。有效防止了在調(diào)度系統(tǒng)升級維護(hù)的過程中非授權(quán)U盤將病毒、蠕蟲帶入網(wǎng)內(nèi)的風(fēng)險。

通過安全管理中心的集中管理，實現(xiàn)對業(yè)務(wù)服務(wù)器和調(diào)度終端CPU、內(nèi)存、硬盤占用空間等關(guān)鍵運行指標(biāo)的實時監(jiān)控。

安全邊界的部署和策略的實施，對流經(jīng)中心與車站、TSR、RBC等重要系統(tǒng)間接口的數(shù)據(jù)進(jìn)行有效過濾和控制。

3 信息安全技術(shù)發(fā)展建議和展望

3.1 信息安全技術(shù)有待深入研發(fā)

目前信息安全產(chǎn)品尚未在IBM小型機上安裝服務(wù)器安全環(huán)境，理論上存在被攻擊的風(fēng)險；系統(tǒng)個別功能未完全與等級保護(hù)4級功能吻合，雖不影響主要功能，仍有進(jìn)一步強化完善的空間；信息安全設(shè)備與TDCS/CTC業(yè)務(wù)系統(tǒng)開發(fā)平臺可能不盡相同，系統(tǒng)配置應(yīng)保障被保護(hù)業(yè)務(wù)系統(tǒng)不受到影響，需進(jìn)一步與業(yè)務(wù)系統(tǒng)實現(xiàn)匹配性開發(fā)；此外，第二代信息安全設(shè)備注重主動防御，但對于可能存在大量病毒風(fēng)險的既有普速TDCS/CTC系統(tǒng)，直接應(yīng)用第二代系統(tǒng)并不能完全清除風(fēng)險，因此在具體的工程實踐中仍需要結(jié)合具體的工程情況制訂合理的工程技術(shù)方案。

3.2 需完善相關(guān)測試驗證標(biāo)準(zhǔn)

信息安全設(shè)備作為保證TDCS/CTC系統(tǒng)信息安全的“盾牌”，安全功能需要通過相關(guān)符合條件的測評機構(gòu)測評，并對裝備信息安全的TDCS/CTC系統(tǒng)進(jìn)行信息安全第三方功能驗證。目前的測試驗證主要集中在信息安全產(chǎn)品供應(yīng)商的自檢自測和工程驗收檢測，在具體工程實踐中，如何驗證裝備之后的系統(tǒng)功能也需要專業(yè)機構(gòu)，制訂專業(yè)的、標(biāo)準(zhǔn)化的測試驗證流程來檢驗和驗收系統(tǒng)，則有助于系統(tǒng)發(fā)展的規(guī)范化。

3.3 配套管理手段促進(jìn)系統(tǒng)能力發(fā)揮

信息安全不僅是信息安裝裝備，同等重要的另一方面是信息安全管理。實現(xiàn)真正意義的4級保護(hù)系統(tǒng)，還需要配套的管理要求：主要通過控制各種參與信息系統(tǒng)角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。建議在設(shè)計、建設(shè)、維護(hù)信息安全設(shè)備等全過程中，制定相應(yīng)的管理辦法并嚴(yán)格按照《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》規(guī)定的安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等具體要求執(zhí)行。通過管理制度、人員與信息安全產(chǎn)品的協(xié)調(diào)發(fā)展，形成完整而高效的信息安全管理系統(tǒng)，更充分地發(fā)揮等級保護(hù)4級系統(tǒng)的安全保障作用。

The paper introduces the evolution of information security technologies and equipment of the train operation dispatching command system (TDСS) /centralized traffi c control system (СTС) from small to medium size and from simple & passive protection to systematical & active protection after the development more than 10 years, and elaborates the technologies and application status of the new generation of information security systems in TDСS/СTС systems, fi nally it puts forward personal opinions for the development of information security in the signaling system.

TDСS/СTС system; information security; development

10.3969/j.issn.1673-4440.2015.01.027

2014-09-10)