李京生，張 湜，趙 林

（1.中國鐵道科學研究院 研究生部，北京 100081；2.中國鐵路沈陽局集團有限公司 沈陽車務段，遼寧沈陽 110000；3.中國鐵道科學研究院集團有限公司 鐵道科學技術研究發(fā)展中心，北京 100081）

1 概述

地震是一種危害很大的自然災害，尤其是對高速鐵路而言，即使是較小震級的地震，也可能會導致列車運行發(fā)生重大安全事故。我國高速鐵路地震預警系統(tǒng)由高速鐵路地震預警監(jiān)測系統(tǒng)和車載地震緊急處置裝置 2 部分組成，可以有效地防止或減輕地震災害給鐵路運輸安全帶來的影響，避免重大的人員傷亡和經濟損失[1-2]。目前我國高速鐵路地震預警監(jiān)測系統(tǒng)、地震監(jiān)測臺站主要布設在鐵路沿線，其監(jiān)測的范圍有限。相對于地震臺網監(jiān)測到的數(shù)據(jù)而言，鐵路沿線地震臺站很難精確地測定地震數(shù)據(jù)[3]。

為充分整合利用多種地震資源信息，獲取更全面和精確的地震數(shù)據(jù)，中國高速鐵路地震預警系統(tǒng)需要與地震臺網互聯(lián)，實現(xiàn)數(shù)據(jù)共享[4]。由于高速鐵路地震預警監(jiān)測系統(tǒng)采用鐵路傳輸系統(tǒng)組網，需要通過互聯(lián)網才能與地震臺網交換數(shù)據(jù)[5]，因而如何保證數(shù)據(jù)在鐵路內網和鐵路外網之間交換的安全性和完整性，以及如何保證鐵路內網的安全是需要解決的重要問題之一。為此，對高速鐵路地震預警監(jiān)測系統(tǒng)進行架構安全性分析，同時對其進行功能安全性分析、安全需求分析和數(shù)據(jù)交換安全性分析，并分析網閘的組成及其原理，將其應用于高速鐵路地震預警監(jiān)測系統(tǒng)與地震臺網的互聯(lián)中，從而確保高速鐵路地震預警監(jiān)測系統(tǒng)與地震臺網之間數(shù)據(jù)交換的安全性，同時保證鐵路內網的安全。

2 高速鐵路地震預警監(jiān)測系統(tǒng)安全性分析

高速鐵路地震預警監(jiān)測系統(tǒng)采用鐵路傳輸系統(tǒng)組網，需要經過互聯(lián)網與地震臺網交換數(shù)據(jù)，這種跨不同安全等級網絡之間的數(shù)據(jù)交換安全性及鐵路內網的安全即需要得到保證。

2.1 架構安全性分析

高速鐵路地震預警監(jiān)測系統(tǒng)采用二級架構，第 1 級為鐵路局集團公司中心系統(tǒng)，第 2 級為現(xiàn)場監(jiān)測設備。鐵路局集團公司中心系統(tǒng)硬件設備中的臺網接口服務器是用于與地震臺網進行數(shù)據(jù)交互[5]。臺網接口服務器作為鐵路局集團公司中心系統(tǒng)內的接口之一，與鐵路內網相連，一旦遭到攻擊，將會造成很大損失。在臺網接口服務器的另一側則是公眾電信運營商專線，此為鐵路外網。

網閘又稱安全隔離與信息交換系統(tǒng)，它可以在斷開 2 個不同安全等級網絡的物理連接和網絡協(xié)議的同時，以信息“擺渡”的方式，實現(xiàn) 2 個網絡間的數(shù)據(jù)交換。網閘由外網處理單元、內網處理單元和安全隔離硬件 3 部分組成，其中安全隔離硬件包括固態(tài)存儲介質和調度控制電路[6]。由于互聯(lián)網是基于 TCP/IP 來實現(xiàn)的，因而斷開 TCP/IP 連接，就可以防止產生漏洞，進而防止網絡遭受攻擊，而網閘技術正是使內外網不能同時連通，并且切斷了兩側網絡間的 TCP/IP 連接，使之不能直接進行網絡協(xié)議通訊而實現(xiàn)的。

網閘應部署在臺網接口服務器之外，以抵御來自鐵路外網的攻擊，保證鐵路內網及數(shù)據(jù)交換的安全。網閘的內網處理單元與高速鐵路地震預警監(jiān)測系統(tǒng)相連，外網處理單元與互聯(lián)網相連。通過部署網閘，可以保證在同一時刻只有高速鐵路地震預警監(jiān)測系統(tǒng)與網閘之間有非 TCP/IP 協(xié)議的數(shù)據(jù)連接，或互聯(lián)網與網閘之間有非 TCP/IP 協(xié)議的數(shù)據(jù)連接，而高速鐵路地震預警監(jiān)測系統(tǒng)與互聯(lián)網不會直接相連，從而保證了高速鐵路地震預警監(jiān)測系統(tǒng)與地震臺網交換數(shù)據(jù)的安全性及鐵路內網的安全。網閘在高速鐵路地震預警監(jiān)測系統(tǒng)中的部署如圖1所示。

2.2 功能安全性分析

中國高速鐵路地震預警系統(tǒng)有P波預警和閾值報警功能，可以在地震發(fā)生后，破壞性地震波尚未來襲的數(shù)秒至數(shù)十秒之前發(fā)出報警信號，使高速列車盡快減速或停車。通過高速鐵路沿線地震臺站與國家地震臺網互聯(lián)，可以實現(xiàn)本地報警和異地預警。高速鐵路地震預警監(jiān)測系統(tǒng)作為中國高速鐵路地震預警系統(tǒng)組成部分之一，可以由實時測定的地震參數(shù)及快速估算的地震基本參數(shù)確定地震影響范圍和警報等級，在破壞性地震波到達之前，向地震影響范圍內的鐵路發(fā)布地震緊急處置信息，并觸發(fā)鐵路相關系統(tǒng)聯(lián)動，使運行的列車采取限速或停車措施；如果是誤報，則在對預警信息的真實性進行判別后自動發(fā)布誤報解除信息，或者通過人工操作進行地震警報解除。

圖1 網閘在高速鐵路地震預警監(jiān)測系統(tǒng)中的部署Fig.1 Gap and it’s deployment in high-speed railway earthquake early-warning and monitoring system

一套有效的高速鐵路地震預警監(jiān)測系統(tǒng)，可以減少由地震造成的列車脫軌、傾覆等列車運行安全重大事故，使列車在地震災害發(fā)生時的損失程度大大降低。在高速鐵路地震預警監(jiān)測系統(tǒng)運行過程中，一旦遭到網絡攻擊或其他原因，導致數(shù)據(jù)交換出現(xiàn)問題而影響其發(fā)揮功能，將會降低高速鐵路地震預警監(jiān)測系統(tǒng)的可靠性。因此，只有在保證高速鐵路地震預警監(jiān)測系統(tǒng)的網絡安全和數(shù)據(jù)交換安全性的前提下，才能進一步保證其功能的發(fā)揮。

2.3 安全需求分析

網絡之間的數(shù)據(jù)交換都是基于 TCP/IP 來實現(xiàn)的。所有的攻擊，都可以歸納為對 TCP/IP 數(shù)據(jù)通信模型的某一層或多層的攻擊，因而斷開 TCP/IP數(shù)據(jù)通信模型的所有連接，就可以消除 TCP/IP 網絡存在的攻擊。在高速鐵路地震預警監(jiān)測系統(tǒng)經過互聯(lián)網與地震臺網交換數(shù)據(jù)時，為保證鐵路內網不遭受來自互聯(lián)網的攻擊，以及鐵路內網的敏感信息不遭到泄露，需要斷開鐵路內網與互聯(lián)網的連接。但是斷開網絡連接之后，高速鐵路地震預警監(jiān)測系統(tǒng)與地震臺網之間的數(shù)據(jù)交換又無法得到保證。因此，在斷開鐵路內網和互聯(lián)網連接的同時，保證高速鐵路地震預警監(jiān)測系統(tǒng)與地震臺網進行數(shù)據(jù)交換成為迫切需要解決的問題。

傳統(tǒng)的網絡安全防護手段和方法，如防火墻、入侵檢測等雖然在一定程度上緩解了網絡安全問題，但由于它們還是和網絡相連，因而無法對內部網絡做更深入的安全防護，無法從根本上保證內網的安全。網閘技術是一種能夠保證內外網隔離的同時，又能夠實現(xiàn)數(shù)據(jù)交換的安全設備，彌補了傳統(tǒng)安全防護方式的不足[7]。網閘可以在徹底中斷網絡連接和剝離網絡協(xié)議的基礎上，將剝離協(xié)議后的原始數(shù)據(jù)以“擺渡”的方式完成數(shù)據(jù)交換，之后再重新封裝成需要的數(shù)據(jù)，這樣可以實現(xiàn)在網絡斷開的情況下完成數(shù)據(jù)的交換。

2.4 數(shù)據(jù)交換安全性

高速鐵路地震預警監(jiān)測系統(tǒng)與地震臺網之間的數(shù)據(jù)交換分為沒有數(shù)據(jù)交換和存在數(shù)據(jù)交換 2 種情形。高速鐵路地震預警監(jiān)測系統(tǒng)與地震臺網之間的數(shù)據(jù)交換過程如下。

（1）當高速鐵路地震預警監(jiān)測系統(tǒng)與地震臺網之間沒有數(shù)據(jù)交換時，如果沒有網閘，鐵路內網和鐵路外網之間還是連通的，有被入侵或被攻擊的風險；而部署網閘之后，地震臺網和高速鐵路地震預警監(jiān)測系統(tǒng)是完全斷開的[8]，此時兩側網絡之間沒有連通，并且也沒有 TCP/IP 連接，進而不能直接進行網絡協(xié)議通訊，從而保證了沒有數(shù)據(jù)交換時的安全性。

（2）當高速鐵路地震預警監(jiān)測系統(tǒng)與地震臺網需要進行數(shù)據(jù)交換時，如果沒有網閘，鐵路內網和鐵路外網是連通的，無法保證高速鐵路地震預警監(jiān)測系統(tǒng)和地震臺網之間的物理隔離，以及鐵路內網的安全，也無法保證數(shù)據(jù)在交換過程中的安全性；而部署網閘之后，安全隔離硬件中的調度控制電路，會控制固態(tài)存儲介質在同一時刻只與外網處理單元或內網處理單元中的一端相連，而另一端是斷開的，這種設計能保證固態(tài)存儲介質在任一時刻僅連通一側網絡，使得高速鐵路地震預警監(jiān)測系統(tǒng)與地震臺網永不相連，從而保證了高速鐵路地震預警監(jiān)測系統(tǒng)和地震臺網之間的物理隔離及數(shù)據(jù)交換的安全性。

當數(shù)據(jù)需要從高速鐵路地震預警監(jiān)測系統(tǒng)向地震臺網傳輸時，內網處理單元發(fā)起對安全隔離硬件的非 TCP/IP 協(xié)議數(shù)據(jù)連接，待所有的協(xié)議剝離之后，將原始數(shù)據(jù)寫入固態(tài)存儲介質。當數(shù)據(jù)寫入固態(tài)存儲介質后，安全隔離硬件會立即中斷與內網處理單元的連接，轉而發(fā)起對外網處理單元的非 TCP/IP 協(xié)議數(shù)據(jù)連接，并將固態(tài)存儲介質中的數(shù)據(jù)推向外網處理單元。當外網處理單元收到數(shù)據(jù)后，立即進行 TCP/IP 和應用協(xié)議的封裝，并將封裝好的數(shù)據(jù)傳給外網，待數(shù)據(jù)傳輸完成后，網閘會立即切斷與外網的連接[9]。當數(shù)據(jù)需要從地震臺網向高速鐵路地震預警監(jiān)測系統(tǒng)傳輸時，數(shù)據(jù)交換過程與前者相似。

由網閘工作原理，以及高速鐵路地震預警監(jiān)測系統(tǒng)與地震臺網之間的數(shù)據(jù)交換過程可以看出，不論是哪種數(shù)據(jù)交換情形，數(shù)據(jù)交換的安全性都可以得到保證。

3 結束語

目前人類還不能準確地預報地震，雖然地震預警提供的時間很短，但足以讓列車減速或停車，避免或減輕損失。將網閘技術應用于高速鐵路地震預警監(jiān)測系統(tǒng)，能夠在保證鐵路內網和鐵路外網隔離的同時實現(xiàn)數(shù)據(jù)的安全交換，既滿足跨不同安全等級網絡之間數(shù)據(jù)安全交換的需求，同時也保證鐵路內網的安全。