孫 凱 朱子恒

(1．中國鐵路沈陽局集團有限公司大連電務段，大連 118000；2．中交隧道工程局有限公司鐵路運營分公司，北京 100102)

高速鐵路已成為推動“一帶一路”戰(zhàn)略相關(guān)國家和地區(qū)貿(mào)易與人員往來便利化、實現(xiàn)經(jīng)濟融合的重要工具，更是中國“一帶一路”戰(zhàn)略的重要組成部分。而作為高速鐵路 “控制神經(jīng)中樞”的信號安全數(shù)據(jù)網(wǎng)，早已不是各種信號設(shè)備的簡單集合組合，而是相互聯(lián)系、交換信息的復雜網(wǎng)絡，保證鐵路系統(tǒng)安全、穩(wěn)定、高效的運行。所以，信號安全數(shù)據(jù)網(wǎng)的安全性將關(guān)乎著鐵路的調(diào)度和運行。為此，大連電務段（簡稱電務段）提高網(wǎng)絡安全意識，針對客專信號數(shù)據(jù)網(wǎng)“網(wǎng)絡風暴”網(wǎng)絡安全事件進行專題研究，總結(jié)經(jīng)驗，防范網(wǎng)絡安全事故，保障列車運行安全。

1 信號安全數(shù)據(jù)網(wǎng)基本情況

信號安全數(shù)據(jù)網(wǎng)是一個為各信號系統(tǒng)設(shè)備提供高速的數(shù)據(jù)交換平臺，采用每個車站或中繼站設(shè)置的工業(yè)以太網(wǎng)設(shè)備構(gòu)成冗余的雙環(huán)網(wǎng)，雙環(huán)之間物理隔離。

1.1 網(wǎng)絡結(jié)構(gòu)

某客運專線信號安全數(shù)據(jù)網(wǎng)左網(wǎng)（A網(wǎng)）：在各個車站、中繼站設(shè)置二層交換機，在XX中繼站、XX站設(shè)置三層交換機，將各車站的交換機通過通信2×6芯專用光芯構(gòu)成專用光纖通道，構(gòu)成環(huán)網(wǎng)的主通道。迂回通道上，在網(wǎng)內(nèi)部署中繼交換機若干，完成A網(wǎng)迂回通道的通信中繼。

某客運專專線信號安全數(shù)據(jù)網(wǎng)右網(wǎng)（B網(wǎng)）：在各個車站、中繼站設(shè)置二層交換機，在XX線路所、XX站設(shè)置三層交換機，將各車站的交換機通過通信2×6芯專用光芯構(gòu)成專用光纖通道，構(gòu)成環(huán)網(wǎng)的主通道。迂回通道上，在中繼站或車站部署中繼交換機若干，完成B網(wǎng)迂回通道的通信中繼。

安全數(shù)據(jù)網(wǎng)結(jié)構(gòu)如圖1所示。

1.2 信息傳輸

圖1 安全數(shù)據(jù)網(wǎng)絡結(jié)構(gòu)圖Fig.1 Security data network structure diagram

信號安全數(shù)據(jù)網(wǎng)承載著地面列控系統(tǒng)設(shè)備和計算機聯(lián)鎖設(shè)備之間的安全數(shù)據(jù)通信。在車站和中繼站的串聯(lián)交換機，其數(shù)據(jù)接入設(shè)備為列控中心和聯(lián)鎖設(shè)備，在中心車站數(shù)據(jù)接入無線閉塞中心（RBC）和臨時限速服務器（TSRS）設(shè)備，對于中繼器交換機設(shè)備而言，沒有數(shù)據(jù)業(yè)務接入，只起到數(shù)據(jù)中繼作用（應用設(shè)備接口如圖2所示），其信息傳輸包括如下。

1）列控中心和車站聯(lián)鎖之間

圖2 信號數(shù)據(jù)網(wǎng)承載的數(shù)據(jù)業(yè)務Fig.2 Data service carried by the signal data network

列控中心向車站聯(lián)鎖傳輸區(qū)間方向信息、區(qū)間閉塞分區(qū)狀態(tài)信息、信號降級命令信息。車站聯(lián)鎖向列控中心傳輸列車進路狀態(tài)信息、調(diào)車信號狀態(tài)信息、區(qū)間改方命令信息、車站信號機點燈狀態(tài)信息。

2）列控中心和TSRS之間

TSRS向列控中心傳輸臨時限速命令信息和校時時鐘信息。列控中心向臨時限速服務器TSRS傳輸臨時限速命令狀態(tài)信息、區(qū)間閉塞分區(qū)狀態(tài)和站內(nèi)正線軌道區(qū)段信息。

3）RBC和TSRS之間

TSRS服務器向RBC傳輸臨時限速命令。RBC向TSRS服務器傳輸臨時限速命令狀態(tài)。

4）RBC和車站聯(lián)鎖之間

車站聯(lián)鎖向RBC傳輸聯(lián)鎖進路信息，包括進路類型、進路狀態(tài)、降級狀態(tài)、進路識別號、危險點、溜入危險以及緊急區(qū)域信息。RBC向車站聯(lián)鎖傳輸列車狀態(tài)信息，包括列車狀態(tài)、行車許可、列車位置、列車長度和列車速度。

2 網(wǎng)絡風暴事件脈絡

2.1 基本情況

2018年XX月XX日12時04分，XX客專全線1、2、3、4、5、6中繼站CTC界面顯示分別灰屏，相鄰客專線車站邊界軌道區(qū)段顯示三點檢查故障，但無法通過列控邏輯檢查功能關(guān)閉，經(jīng)查找判斷為網(wǎng)絡風暴。電務段管控中心立即安排就近現(xiàn)場人員斷開XX站安全數(shù)據(jù)網(wǎng)中繼器交換機，安全數(shù)據(jù)網(wǎng)A網(wǎng)12時30分恢復，安全數(shù)據(jù)網(wǎng)B網(wǎng)12時34分恢復。12時45分恢復正常。影響G字動車等16趟列車晚點。

2.2 事件處置

故障發(fā)生后，電務段技術(shù)人員第一時間查看網(wǎng)管日志，發(fā)現(xiàn)A網(wǎng)先上報“DT-Ring環(huán)開”報警，隨后由XX1站三層交換機開始，A網(wǎng)交換機陸續(xù)上報“設(shè)備通訊異?！备婢?。約30 min后，B網(wǎng)上報“DT-Ring環(huán)開”報警，由XX2站三層交換機開始，B網(wǎng)交換機陸續(xù)上報“設(shè)備通訊異?！备婢?。根據(jù)故障現(xiàn)象判斷產(chǎn)生廣播風暴，現(xiàn)場人員分別斷開A、B網(wǎng)環(huán)網(wǎng)，故障恢復。隨后上報情況，請廠家技術(shù)人員進一步分析。

3 事件分析

經(jīng)廠家技術(shù)人員現(xiàn)場排查分析，確認該故障由三層交換機Tick計數(shù)器反轉(zhuǎn)導致。交換機內(nèi)部有一個Tick計數(shù)器，Tick計數(shù)器是一個32 bit的無符號計數(shù)值，最大計數(shù)值為：4 294 967 295。1 s是60個Tick，設(shè)備運行時間超過828.5天，Tick計數(shù)值就會反轉(zhuǎn)為0。Tick值反轉(zhuǎn)會影響一些協(xié)議定時器的超時判斷，反轉(zhuǎn)期間（約十幾秒）CPU異常，該交換機不再轉(zhuǎn)發(fā)Dt-ring報文，主站收不到環(huán)檢測報文，認為環(huán)網(wǎng)存在斷點，隨即打開阻塞端口，但三層交換機的數(shù)據(jù)轉(zhuǎn)發(fā)功能正常，此時網(wǎng)絡邏輯成環(huán)，因此產(chǎn)生網(wǎng)絡風暴。檢查交換機運行日志，A網(wǎng)XX1站交換機比B網(wǎng)XX2站交換機早運行30多min，因此造成A、B環(huán)網(wǎng)相繼出現(xiàn)網(wǎng)絡風暴。

4 事件啟示

通過對該事件的分析，在思想、管理和人員能力上給予很多啟示。首先在思想上，應樹立網(wǎng)絡安全意識，實現(xiàn)網(wǎng)絡安全目標。其次在管理上，加應強網(wǎng)絡安全管理，建立應急響應機制。最后在人員上，應加強網(wǎng)絡人員培養(yǎng)，提升網(wǎng)絡運維團隊。

4.1 樹立網(wǎng)絡安全意識，實現(xiàn)網(wǎng)絡安全目標

此次事件暴露出了對網(wǎng)絡安全的重視僅僅停留在口頭上，沒有具體落到實處和具體的環(huán)節(jié)上，甚至部分人員連基本的網(wǎng)絡概念都沒有建立。鐵路內(nèi)部網(wǎng)絡與其他網(wǎng)絡物理隔離雖然提高了安全性，但卻放松了人員的安全意識。

鐵路控制網(wǎng)絡正是國家基礎(chǔ)設(shè)施網(wǎng)絡的重要組成部分，是國家戰(zhàn)略安全網(wǎng)絡。應樹立起網(wǎng)絡安全意識，不能做“溫水青蛙”，逐漸喪失安全陣地。所以借此次事件，敲打自己：一是應進行全面的設(shè)備檢查，杜絕此類事件再次發(fā)生；二是制定年度安全目標，把各單位的網(wǎng)絡安全也計入量化考評體系；三是加強網(wǎng)絡安全教育，讓每個人從思想上提高安全意識。同時建立健全的信息安全管理制度，實現(xiàn)信息安全責任制，切實負起確保網(wǎng)絡與信息安全的責任。嚴格按照“誰主管、誰負責”的原則，落實網(wǎng)絡管理責任制，明確責任人和職責，細化工作措施和流程，建立完善管理制度和實施辦法，確保信號安全數(shù)據(jù)網(wǎng)絡的安全使用，保證客運專線的行車安全。

4.2 加強網(wǎng)絡安全管理，建立應急響應機制

此次事件暴露出一些機制上問題：一是信號安全數(shù)據(jù)網(wǎng)內(nèi)、環(huán)內(nèi)不同單位部門、車間、工區(qū)沒有做到互聯(lián)互通，缺少統(tǒng)一的調(diào)度管理，優(yōu)良的資源在閑置浪費；二是對突發(fā)事件無機制、預案，當事件發(fā)生未能及時解決問題。

應學習國家CNCERT等網(wǎng)絡安全部門的機制和經(jīng)驗，建立應急響應機制。1）制定網(wǎng)絡安全突發(fā)事件的處理流程和典型網(wǎng)絡安全事件預案，統(tǒng)一指揮，上傳下達，高效處置。把工作做在前，把影響降至最低。2）健全路局列控網(wǎng)管中心、電務段管控中心、車間管控組3層管理模式，從上到下的由領(lǐng)導層、管理層和執(zhí)行層構(gòu)成的組織管理體系，這3個層次的組織與職責構(gòu)成整個信息網(wǎng)絡管理的組織體系，可高效處置網(wǎng)絡安全突發(fā)事件。3）在機制建立的基礎(chǔ)上，加強突發(fā)事件演練，暢通指揮鏈，夯實制度機制，提高人員網(wǎng)絡安全技術(shù)。

4.3 加強網(wǎng)絡人員培養(yǎng)，提升網(wǎng)絡運維團隊

此次事件曝露出段組建的專家團隊主要以自己會、自己干為主體，沒有在傳、幫、帶上發(fā)揮作用，沒有在培養(yǎng)新人上下功夫。同時也反映出職能科室的管理問題，沒能搭建有效的平臺，提供選手供專家團隊進行培養(yǎng)選拔，來拓展專家團隊的作用。

缺少網(wǎng)絡安全人才，就沒有網(wǎng)絡安全而言，人才是網(wǎng)絡安全的基石。組織生產(chǎn)廠商和維護人員坐到一起面對面研究核心技術(shù)的合力控制措施，修訂鐵路安全網(wǎng)絡的應急預案。建立高素質(zhì)的網(wǎng)絡安全和信息化人才隊伍。要做到以下幾點。1）制定網(wǎng)絡安全培養(yǎng)計劃，首先讓維護中心、RBC中心等各部門互聯(lián)互通、觀摩學習交流，其次再把專家請進來，知識引進來，通過集中學習授課提高能力水平。2）加強知識、經(jīng)驗的分享，創(chuàng)建網(wǎng)絡安全知識庫分享經(jīng)驗，讓網(wǎng)絡運維人員人人學，人人參與。還可請現(xiàn)有單位的安全專家進行公開課錄制，當作學習資料共享。3）通過崗位以工代訓，網(wǎng)管分析人員需要掌握安全數(shù)據(jù)網(wǎng)的構(gòu)造，設(shè)備組成，承載業(yè)務等知識，可通過日常工作處置，提升人員的業(yè)務素質(zhì)，學習相關(guān)知識。只有高素質(zhì)的技術(shù)人員是才是安全事件發(fā)生的核心要素。