焦景忠

摘 要：本文對于當前鐵路部TDCS/CTC中心網(wǎng)安全設施常見的問題，根據(jù)現(xiàn)有技術標準需求，提出補強計劃，并介紹方案思路、框架、獲得的成效與技術特征。

關鍵詞：TDCS/CTC；中心網(wǎng)絡；安全防護；補強計劃

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-2064（2019）15-0015-02

0 引言

TDCS是覆蓋整路段調(diào)度指揮管理平臺，可以及時、精準的為全路段各個調(diào)度指揮管理者帶來現(xiàn)代化調(diào)度指揮控制方式及平臺。TDCS屬于一個三級四成框架。結構圖見圖1所示.鐵路局調(diào)度指揮系統(tǒng)處在整個梯結構的第二層，通過中心機室設施、調(diào)度所設施與遠程終端設施構成?；谥鳌渎酚善?，通過主、備2Mb/s通道和所管屬的車站基層系統(tǒng)、臨近鐵路局TDCS與鐵路總單位踢TDCS銜接，實現(xiàn)數(shù)據(jù)交換，鐵路局每個功能臺經(jīng)過交換機和路由器連接，組成主、備星形銜接的LAN。

1 TDCS/CTC中心網(wǎng)的安全情況

TDCS與CTC屬于鐵路運送調(diào)度運營的關鍵信息平臺，是鐵路運營調(diào)度指揮的重要裝備，屬于鐵路各級車輛調(diào)度對列車進行透明指揮、及時調(diào)節(jié)、統(tǒng)一把控的重要手段。如果系統(tǒng)受到損壞和攻擊，將極易導致業(yè)務服務斷開，甚至造成系統(tǒng)癱瘓，擾亂列車調(diào)度指揮運營正常進行，甚至將導致鐵路運送系統(tǒng)的大范圍癱瘓，需要對其進行多角度的安全防護。

就某鐵路局來說，當前網(wǎng)絡安全保護設施是根據(jù)《分散自律調(diào)度統(tǒng)一組網(wǎng)方案與硬件置規(guī)范》、《鐵路運送調(diào)度指揮平臺技術規(guī)范（暫行）》以及《關于調(diào)節(jié)TDCS平臺結構與主網(wǎng)計劃的通知》的標準來配備的。分別安裝了網(wǎng)絡抗病毒、中心防火墻以及動態(tài)口令身份認證、漏洞掃描四類網(wǎng)絡安全防護裝置。這類裝置有效預防各種網(wǎng)絡安全侵襲和非法登錄，預防了病毒傳遞和發(fā)作，針對保證TDCS/CTC中心穩(wěn)定、可靠運轉(zhuǎn)到較大的作用。現(xiàn)有設施的拓樸結構件如圖1所示。

2 常見的問題

國家相關部門確定TDCS/CTC平臺是數(shù)據(jù)全等級防護四級平臺。因為現(xiàn)有的網(wǎng)絡安全裝備部署很早，受當時科技條件與認知水平的限制，現(xiàn)有TDCS/CTC網(wǎng)絡安全平臺安全措施及對策方面設置很單調(diào)，主要是缺少集中的安全控制、安全審計方式缺失、對U盤、外部終端等裝備缺少監(jiān)督技術方法等問題，不能滿足TDCS/CTC中心網(wǎng)絡穩(wěn)定總體防護需求，很難應對逐漸嚴重的安全威脅及風險，更與國家數(shù)據(jù)安全等級防護需求有明顯差別。

（1）廣播域管理不夠。因為交換機僅能縮小沖突域，并無法縮小廣播域，因此整個交換系統(tǒng)便是一個大的兩層廣播域，將形成諸多的二層廣播幀，這些信息幀將充斥全部交換系統(tǒng)，但針對TDCS/CTC來說，這類信息幀就是無效的信息幀。（2）環(huán)路風險。按照以太網(wǎng)交換協(xié)議規(guī)范，交換機間不能有環(huán)路，如果有環(huán)路會出現(xiàn)廣播風暴，最后將所有網(wǎng)絡資源耗盡，進而造成網(wǎng)絡不能用。（3）帶寬無法充分使用。為避免環(huán)路，整個網(wǎng)絡中交換機要開啟生成樹協(xié)議，阻塞出現(xiàn)環(huán)路的端口。為防止單點硬件異常與增加帶寬，某鐵路局TDCS/CTC調(diào)度中心的A網(wǎng)絡交換機和中心交換機A之間使用兩個光纖來銜接，但是在交換機當中出現(xiàn)了環(huán)路，需要經(jīng)過生成樹協(xié)議斷開形成環(huán)路的交換機端部，該端口就是阻塞端口。唯有當穩(wěn)定端口斷開，阻塞端口方可重新開啟得到通訊。即兩個光纖鏈路上僅有一個光纖鏈路處在穩(wěn)定通訊狀態(tài)，另一個光纖鏈路處在斷開狀態(tài)下，不能同步采用兩個鏈路，導致帶寬無法充分使用。

3 補強目標與采取計劃

結合鐵路局運送局有關發(fā)表《TDCS、CTC組網(wǎng)計劃與硬件配置規(guī)范（暫行）》的通知，對現(xiàn)有平臺的補強要達到增強內(nèi)部終端風險預防、提升平臺縱身防御水平、提升安全設備技術含量等目標，采用的技術方案有：

3.1 強化內(nèi)部終端問題防護

經(jīng)過中心部署安全銜接控制平臺對非授權設施隨意聯(lián)接至TDCS/CTC中心網(wǎng)的現(xiàn)象進行嚴格檢測，避免未授權的U盤，移動計算機等裝備連接調(diào)度指揮運營網(wǎng)絡，進而防止由內(nèi)部終端違法操作而造成的病毒感染和傳遞。此外，還能夠?qū)?nèi)部員工經(jīng)MODEM撥號、雙網(wǎng)卡等形式連接網(wǎng)絡和其他信息平臺展開檢查和禁止，并基于網(wǎng)絡安全統(tǒng)一管理系統(tǒng)實現(xiàn)統(tǒng)一監(jiān)控、報警和違規(guī)U盤銜接等安全問題的集中報警和響應。于TDCS/CTC中心系統(tǒng)分部布丁分發(fā)平臺，對TDCS/CTC中心內(nèi)每種終端操作平臺的漏洞展開評價和研究，經(jīng)過建立針對性很強的布丁升級對策，定時分發(fā)與設置終端操作平臺補丁，安全、立即的修補將會被病毒使用與攻擊的平臺漏洞，提高各種終端對病毒的預防性能以及“免疫力”。

3.2 提升系統(tǒng)縱深防范性能

創(chuàng)建SOC，重點包含網(wǎng)絡完全統(tǒng)一管理與安全升級兩大平臺。網(wǎng)絡安全統(tǒng)一管理重點實時監(jiān)控鐵路部TDCS/CTC中心穩(wěn)定體系中各種安全裝配與有關網(wǎng)絡設施的運轉(zhuǎn)狀態(tài)以及網(wǎng)絡運轉(zhuǎn)拓撲狀態(tài)展開及時監(jiān)控，為安全控制者提供集中的運轉(zhuǎn)狀態(tài)監(jiān)測數(shù)據(jù)，并結合預計的報警閥值標準，展開集中的監(jiān)控告警，確保安全系統(tǒng)本身的安全、穩(wěn)定運轉(zhuǎn)[1]。主要監(jiān)測主體涉及防火墻、抗病毒、身份認證、侵襲檢查等安全部件，將各種安全平臺的管理實現(xiàn)有效整合，集中監(jiān)督安全運轉(zhuǎn)狀態(tài)，有助于值班者及時監(jiān)測和維護系統(tǒng)安全程度，有助于預警性找到設施的故障隱患，有助于及時定位和排除安全隱患。

安全審計平臺重點監(jiān)測TDCS/CTC中心的關鍵網(wǎng)絡設施、操作平臺等日志數(shù)據(jù)，與各種安全部件的安全問題報警數(shù)據(jù)等，及時找到各種安全事件，比如網(wǎng)絡蠕蟲入侵情況、U盤非授權銜接情況、DOS攻擊情況等，方便及時找到問題，安排安全技術工作者，采用科學措施，確保系統(tǒng)穩(wěn)定運轉(zhuǎn)，且在網(wǎng)絡安全問題出現(xiàn)以后，對造成安全事件出現(xiàn)的各種行為和操作展開整體的取證和審計定責[2]。而且根據(jù)網(wǎng)絡安全統(tǒng)一管理中心各種功能，不斷提升TDCS/CTC中心網(wǎng)總體縱深防御性能。

3.3 提升安全設備技術含量

在TDCS/CTC中心平臺中分布侵襲監(jiān)測平臺，立即檢查、定位平臺中的黑客攻擊現(xiàn)象和網(wǎng)絡蠕蟲問題的感染事件，全網(wǎng)檢查和報警系統(tǒng)中各種常見的網(wǎng)絡攻擊現(xiàn)象，比如端口掃描、抵制服務攻擊與地址欺騙等不良攻擊方式都會導致中心網(wǎng)絡核心端口數(shù)據(jù)泄露，隨意耗損網(wǎng)絡帶寬信息，而且冒充正常項目業(yè)務終端和合法主機實現(xiàn)數(shù)據(jù)交換，導致關鍵服務設備信息泄露與關鍵主機配備文件被修改等情況。補強之后TDCS/CTC核心網(wǎng)絡安全裝配拓撲框架如圖2所示。

4 TDCS/CTC中心子平臺網(wǎng)絡結構完善

對于以往HSRP（或是仿真路由冗余協(xié)議VRRP）+MSTP部署形式的問題，而且為促進鐵路設施的國產(chǎn)化，某鐵路普速TDCS/CTC中心子平臺的網(wǎng)絡結構完善采取H3C交換機。把中心交換機、核心機室列頭交換器、調(diào)度大廳連接交換機集中部署IRF網(wǎng)絡模擬化、跨設施鏈路捆綁與端口聯(lián)動[3]。IRF邏輯方面把兩臺中心交換機模擬化成1臺中心交換機，中心交換機和連接交換機之中經(jīng)跨設施鏈路捆綁形式，把網(wǎng)絡結構完善成一個樹形框架，消除、中心、連接層之中的環(huán)路，不再分布VRRP+MSTP協(xié)議。信息中心中邏輯結構明確、簡單，設施質(zhì)量、帶寬得以充分使用。

4.1 IRF與鏈路捆綁

IRF屬于H3C自主開發(fā)的軟件模擬化技術。其關鍵思想是把多臺設施經(jīng)過IRF物理端口銜接起來，做出相應的配置后，模擬化成1臺“分布式設施”。采用該種模擬化技術能夠得到多臺機器的協(xié)同運行、集中管理與持續(xù)維護[4]。鏈路捆綁指把若干個封裝一樣鏈路層協(xié)議的接口與鏈路捆綁起來，產(chǎn)生一條邏輯方面的信息鏈路?？缭O施鏈路捆綁是基于IRF得到的對不同機械之間的同類接口相捆綁。采用IRF與鏈路捆綁，其顯著優(yōu)點是：

（1）全面提高網(wǎng)絡性能。全部終端交換機都采取雙鏈路分別連接到接入交換機，其也采取雙鏈路分別接入中心交換機[5]。采用IRF與鏈路捆綁以前，為防止環(huán)路，關鍵設置、接入設施與鏈路僅能是“一主一備”形式運轉(zhuǎn)，設施與鏈路的使用率僅有50%；采用IRF與鏈路捆綁后，關鍵設施、接入設施以及鏈路都是負載負擔形式，設備與鏈路得到全部使用。（2）簡潔網(wǎng)絡拓撲與業(yè)務。采用IRF與鏈路捆綁前，整體交換網(wǎng)絡于二層需要開啟形成書，三層應當開啟VRRP，不管是VLAN規(guī)劃或者路由規(guī)劃均非常繁瑣，網(wǎng)絡異常后的收斂時間均是秒級。采用IRF與鏈路捆綁之后，全網(wǎng)絡變成一個樹形框架，沒有環(huán)路，二層不會再形成樹，三層不再用VRRP，不僅簡潔了網(wǎng)絡拓撲與業(yè)務，收斂時間也從秒級提高至毫秒級。（3）提升網(wǎng)絡穩(wěn)定性。采用IRF與鏈路捆綁之前，當某一成員接口（或是鏈路）產(chǎn)生異常時，整個網(wǎng)絡應當重新展開收斂，必定會導致網(wǎng)絡閃斷；采用IRF與鏈路捆綁之后，當某一成員接口（或是鏈路）產(chǎn)生異常時，流量將在毫秒間智能切換至其他能用的成員接口（或是鏈路）上，進而提升了整體網(wǎng)絡的穩(wěn)定性。

4.2 端口聯(lián)動

該過程經(jīng)過監(jiān)控交換機設施的上行端口，結合其up/down狀態(tài)的改變來觸及下行端口up/down狀態(tài)的改變，進而觸及下游設施實現(xiàn)業(yè)務（網(wǎng)絡）的轉(zhuǎn)換。分布端口聯(lián)動之前：當鐵路設施交換機A上行兩個萬兆鏈路同步產(chǎn)生異常時，服務器A與服務器B中的網(wǎng)卡A（實線位置）依舊正常運行，服務器無法感知列頭柜交換器A網(wǎng)絡出現(xiàn)異常，信號業(yè)務無法及時切換至B網(wǎng)運轉(zhuǎn)，有較大的安全問題。分布端口聯(lián)動后：如果列頭柜交換器A上行鏈路捆綁的兩個萬兆鏈路都down掉時，相關的下連服務器的兩個交換機端口也將down掉，進而感知網(wǎng)絡A異常，從而智能采取網(wǎng)絡B（虛線位置）轉(zhuǎn)發(fā)信息，實施網(wǎng)絡異常的智能轉(zhuǎn)換。

5 補強計劃的成效與特征

5.1 補強計劃的成效

通過創(chuàng)建TDCS/CTC核心SOC，全面控制全局TDCS/CTC核心網(wǎng)絡穩(wěn)定。保證安全事件集中的報警和響應，及時監(jiān)測每個安全部件運轉(zhuǎn)狀態(tài)，集中配置和升級每個部件安全對策。從網(wǎng)絡邊緣至內(nèi)部計算條件，采用多種安全對策，尤其是著重監(jiān)測U盤違規(guī)應用，外部終端非法銜接等巨大內(nèi)部安全問題，立即找出多種安全漏洞與安全事件，防護TDCS/CTC核心不會受到較大范圍的病毒損壞和惡意攻擊，全面提高TDCS/CTC中心穩(wěn)定防護效果，制定了多角度的安全體系。對各種惡意攻擊、違規(guī)處理與核心平臺調(diào)試行為展開全程的記錄和審計，提升安全事件出現(xiàn)后的追溯和定責水平，制定健全的TDCS/CTC平臺事后審計制度。

通過制定全局集中的安全運維制度，實現(xiàn)安全對策的動態(tài)完善、安全部件的立即升級，以減少TDCS/CTC中心遭到攻擊的幾率，預防安全事件的出現(xiàn)，提升TDCS/CTC中心穩(wěn)定情況的響應水平，盡可能降低安全事件危害程度。

5.2 補強計劃的基本特征

這一計劃充分借助了現(xiàn)行的網(wǎng)絡安全防御設施，實施過程，僅需對現(xiàn)有裝置展開極少數(shù)的適應性連接工作，得到對現(xiàn)有設施的兼容，進一步節(jié)省了投資，同時實施簡單，TDCS/CTC平臺的運轉(zhuǎn)影響低[6]。而且，保留鐵路部TDCS/CTC中心補強之后的網(wǎng)絡安全平臺朝更高級網(wǎng)絡穩(wěn)定防御水平過度的要求，完全符合國家數(shù)據(jù)安全等級防護四級的需求。

參考文獻

[1] 周曄.TDCS網(wǎng)絡車站至中心的專用通道故障淺析[J].鐵道通信信號，2018（4）：94-95.

[2] 張海峰，應志鵬，孫軻靖，李宗峰.TDCS中心子系統(tǒng)網(wǎng)絡結構的優(yōu)化[J].鐵道通信信號，2015（4）：74-76+79.

[3] 康新平.TDCS/CTC中心網(wǎng)絡安全防護系統(tǒng)的補強方案[J].鐵路通信信號工程技術，2013（4）：34-36.

[4] 陳峰，苗義烽，徐大卯，宋毅.淺析TDCS中心架構方案的網(wǎng)絡冗余性驗證方法[J].鐵道通信信號，2013（S1）：47-51.

[5] 陳娟，沙穎會，石德臣.淺析京滬高鐵北京CTC中心網(wǎng)絡安全[J].鐵道通信信號，2012（4）：74-76.

[6] 周佩琦.TDCS/CTC系統(tǒng)路局中心網(wǎng)絡防火墻橋接模式[J].鐵道通信信號，2012（3）：61-63.