周萌，姚俊杰

（1.寧夏城際鐵路有限責(zé)任公司 工程管理部，寧夏銀川 750011；2.中國鐵路蘭州局集團(tuán)有限公司 供電部，甘肅蘭州 730030）

0 引言

依據(jù)《鐵道部、國家電網(wǎng)公司電氣化鐵路供電協(xié)調(diào)領(lǐng)導(dǎo)小組辦公室第三次會議紀(jì)要》規(guī)定，牽引站向電力公司提供：牽引站高壓側(cè)母線高壓、高壓斷路器位置信號、供電線路電壓等信息，并對故障分析起重要作用的事故信號和斷路器跳閘信息同時上傳。鐵路牽引變電所通信網(wǎng)在電力系統(tǒng)中稱為信息直采直送系統(tǒng)[1]，主要向國家電網(wǎng)有限公司（簡稱國家電網(wǎng)公司）當(dāng)?shù)厥≌{(diào)和當(dāng)?shù)氐卣{(diào)雙平面?zhèn)魉鸵陨闲畔ⅲ阌趪译娋W(wǎng)公司掌握用戶端受電情況，及時處理故障、事故。

未實(shí)施網(wǎng)絡(luò)安全法前，牽引變電所的信息直采直送系統(tǒng)僅涉及通信傳輸系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)接入系統(tǒng)，并未過多涉及網(wǎng)絡(luò)安全相關(guān)領(lǐng)域的要求。

我國鐵路作為國家公共交通資源的重要組成部分，隨著計(jì)算機(jī)技術(shù)在信息網(wǎng)絡(luò)建設(shè)中的不斷應(yīng)用，鐵路信息網(wǎng)絡(luò)系統(tǒng)安全性成為鐵路系統(tǒng)生產(chǎn)運(yùn)營的重要一環(huán)。隨著高鐵建設(shè)步伐的不斷推進(jìn)，鐵路業(yè)務(wù)對信息網(wǎng)絡(luò)系統(tǒng)依賴度越來越高，鐵路和接入的電力網(wǎng)絡(luò)任何一方發(fā)生故障或遭到入侵破壞，將會互相影響另一方的正常運(yùn)行，例如2015年“烏克蘭大停電”事件，由于電站內(nèi)遭到黑客攻擊，導(dǎo)致烏克蘭全國大面積停電。

2017年6月1日實(shí)施《中華人民共和國網(wǎng)絡(luò)安全法》后，對能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的公共通信及信息服務(wù)提出了建立健全網(wǎng)絡(luò)安全保障體系、提高網(wǎng)絡(luò)安全保護(hù)能力的要求。國家電網(wǎng)公司依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，對高鐵牽引變電所信息直采直送系統(tǒng)提出新增在線監(jiān)測裝置、防火墻、隔離網(wǎng)閘、安全評估、主機(jī)加固等新的網(wǎng)絡(luò)安全防護(hù)設(shè)備及措施。

1 傳統(tǒng)直采直送系統(tǒng)組成及配置

傳統(tǒng)信息直采直送系統(tǒng)由服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用軟件等部分組成[1]。鐵路牽引站上傳信息需通過國家電網(wǎng)公司電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)與各級調(diào)度機(jī)構(gòu)進(jìn)行業(yè)務(wù)通信，高速鐵路牽引變電所和國家電網(wǎng)公司系統(tǒng)間采用認(rèn)證、加密、訪問控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)[2]。傳統(tǒng)直采直送系統(tǒng)網(wǎng)絡(luò)拓?fù)湟妶D1。

傳統(tǒng)的信息直采直送系統(tǒng)僅實(shí)現(xiàn)了安全分區(qū)、網(wǎng)絡(luò)專用和縱向加密，結(jié)合牽引變電所應(yīng)用系統(tǒng)和功能模塊的特點(diǎn)（實(shí)時和非實(shí)時），將各功能模塊分別置于安全Ⅰ區(qū)控制區(qū)、安全Ⅱ區(qū)非控制區(qū)，實(shí)現(xiàn)安全分區(qū)[3]。調(diào)度數(shù)據(jù)網(wǎng)在SDH專用傳輸通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，采用基于SDH/PDH不同通道、不同光波長、不同纖芯等方式，在物理層面上實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離，實(shí)現(xiàn)網(wǎng)絡(luò)專用。業(yè)務(wù)應(yīng)用層面通過縱向加密裝置的SM2算法建立專用隧道，以策略配置業(yè)務(wù)IP點(diǎn)到點(diǎn)，端口最小化為原則進(jìn)行通訊限制。

這種工作模式下，高鐵牽引變電所直采直送系統(tǒng)存在缺失橫向隔離、綜合防護(hù)不全面等方面的安全隱患，未達(dá)到從邊界、物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)安全共6個方面的安全防護(hù)要求。應(yīng)進(jìn)一步采用縱深防御和適度安全策略，即安全防護(hù)主要針對基于網(wǎng)絡(luò)的生產(chǎn)控制系統(tǒng)，重點(diǎn)強(qiáng)化邊界防護(hù)，提高內(nèi)部安全防護(hù)能力，保證生產(chǎn)控制系統(tǒng)及重要數(shù)據(jù)的安全[4]?；诰W(wǎng)絡(luò)安全要求，在高鐵牽引變電所建設(shè)時，應(yīng)增加多項(xiàng)防護(hù)措施，以實(shí)現(xiàn)鐵路牽引變電所和國家電網(wǎng)公司網(wǎng)絡(luò)安全運(yùn)行。

2 優(yōu)化后的直采直送系統(tǒng)

以某高速鐵路新建牽引變電所直采直送系統(tǒng)建設(shè)為例，對信息直采直送系統(tǒng)進(jìn)行優(yōu)化，優(yōu)化后的網(wǎng)絡(luò)拓?fù)湟妶D2。

圖2 優(yōu)化直采直送系統(tǒng)網(wǎng)絡(luò)拓?fù)?/p>

一是在安全Ⅰ區(qū)加裝網(wǎng)絡(luò)安全在線監(jiān)測裝置，對整個電力監(jiān)控系統(tǒng)信息大區(qū)直采直送系統(tǒng)涉及的服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行實(shí)時監(jiān)測；二是在安全Ⅰ區(qū)和安全Ⅱ區(qū)之間加裝防火墻，杜絕Ⅰ、Ⅱ區(qū)業(yè)務(wù)混連、直連現(xiàn)象，嚴(yán)格執(zhí)行安全分區(qū)要求；三是在國家電網(wǎng)和鐵路調(diào)度網(wǎng)的連接處增加隔離網(wǎng)閘，杜絕鐵網(wǎng)和電網(wǎng)的直連現(xiàn)象，實(shí)現(xiàn)邊界安全的防護(hù)要求。

2.1 加裝網(wǎng)絡(luò)安全在線監(jiān)測裝置

主要對服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)備等監(jiān)測對象進(jìn)行數(shù)據(jù)采集和數(shù)據(jù)統(tǒng)計(jì)工作。其主要工作內(nèi)容如下：一是對于服務(wù)器、工作站等包含用戶在終端設(shè)備上登錄信息采集、整理，用于采集監(jiān)控操作行為信息與網(wǎng)絡(luò)連接的相關(guān)信息、系統(tǒng)運(yùn)行信息、外設(shè)接入信息、平臺核查的指令信息；二是對于網(wǎng)絡(luò)設(shè)備的運(yùn)行，可以采集到局域網(wǎng)內(nèi)部交換機(jī)設(shè)備的相關(guān)信息、連接交換機(jī)的活躍設(shè)備等網(wǎng)絡(luò)設(shè)備的拓?fù)湫畔?、在線時長、CPU使用率、內(nèi)存使用率、網(wǎng)口狀態(tài)、網(wǎng)絡(luò)連接情況等設(shè)備運(yùn)行信息；三是對于安防設(shè)備自身策略的安全事件、配置信息、運(yùn)行信息以及相關(guān)的操作信息進(jìn)行采集統(tǒng)計(jì)[5]。網(wǎng)絡(luò)安全監(jiān)測裝置的使用能立即直觀的反饋設(shè)備信息，以及非法外聯(lián)的相關(guān)告警，從而及時作出相應(yīng)的處理。設(shè)備連接正常后在裝置告警中可以看到從下聯(lián)設(shè)備中采集到的裝置信息，裝置進(jìn)行整理后上送主站。優(yōu)化后的直采直送系統(tǒng)工作界面見圖3。

圖3 優(yōu)化后的直采直送系統(tǒng)工作界面

2.2 加裝隔離網(wǎng)閘和防火墻

隔離網(wǎng)閘和防火墻是電力監(jiān)控系統(tǒng)的橫向防線，隔離網(wǎng)閘和防火墻的指導(dǎo)思想不盡相同：防火墻是在保障互聯(lián)互通的前提下，盡可能安全；而隔離網(wǎng)閘是在保證必須安全的前提下，盡可能互聯(lián)互通。加裝隔離網(wǎng)閘和防火墻，能夠?qū)崿F(xiàn)各安全區(qū)間隔離，是要解決目前網(wǎng)絡(luò)安全存在的如下問題：一是對操作系統(tǒng)的依賴，因?yàn)椴僮飨到y(tǒng)也有漏洞；二是對TCP/IP協(xié)議的依賴，而TCP/IP協(xié)議有漏洞；三是解決通信連接的問題，因?yàn)閮?nèi)網(wǎng)和外網(wǎng)直接連接，存在基于通信攻擊的風(fēng)險；四是應(yīng)用協(xié)議的漏洞，如非法的命令和指令等[6]。防火墻已在寧夏新建牽引變電所的應(yīng)用（見圖4）。

圖4 防火墻在牽引變電所的應(yīng)用界面

隔離網(wǎng)閘（安全隔離與信息交換）是在保證電網(wǎng)調(diào)度和鐵路調(diào)度2個網(wǎng)絡(luò)安全隔離的基礎(chǔ)上實(shí)現(xiàn)安全信息交換和資源共享。通過在Ⅰ區(qū)業(yè)務(wù)交換機(jī)和鐵路調(diào)度交換機(jī)中間增加隔離網(wǎng)閘，從而實(shí)現(xiàn)2套網(wǎng)絡(luò)共享牽引變電所內(nèi)遠(yuǎn)動、保護(hù)等業(yè)務(wù)信息，并順利實(shí)現(xiàn)信息在2套網(wǎng)絡(luò)間的安全交換（見圖5）。隔離網(wǎng)閘主要有3個模塊功能，分別是內(nèi)網(wǎng)處理單元（A端）、外網(wǎng)處理單元（B端）和專用隔離交換單元（隔離通道）。

圖5 內(nèi)、外網(wǎng)處理單元和專用隔離交換單元實(shí)物

安全隔離網(wǎng)閘系統(tǒng)中的內(nèi)網(wǎng)處理單元（A端）連接電網(wǎng)調(diào)度，外網(wǎng)處理單元（B端）連接鐵路調(diào)度，專用隔離通道在任一時刻點(diǎn)僅連接內(nèi)網(wǎng)處理單元（A1）或外網(wǎng)處理單元（B1），與兩者間的連接受內(nèi)部硬件電路控制高速切換，其工作原理見圖6。

圖6 內(nèi)、外網(wǎng)處理單元和專用隔離交換單元工作原理

加裝隔離網(wǎng)閘和防火墻后，保證專用隔離硬件交換單元在任一時刻僅連通內(nèi)部網(wǎng)或者外部網(wǎng)，既滿足電力調(diào)度數(shù)據(jù)網(wǎng)與鐵路調(diào)度數(shù)據(jù)網(wǎng)的物理隔離要求，又能實(shí)現(xiàn)數(shù)據(jù)的動態(tài)交換。

2.3 風(fēng)險評估及系統(tǒng)加固

新建牽引變電所的信息直采直送系統(tǒng)在安全防護(hù)上，不但增加了硬件防護(hù)，而且可進(jìn)行主機(jī)加固和安全評估等工作。牽引變電所送電之前對站內(nèi)所有主機(jī)進(jìn)行了更換安全操作系統(tǒng)以及主機(jī)加固工作。因原有Windows操作系統(tǒng)存在太多安全漏洞，容易被黑客利用攻擊（如“熊貓燒香”“永恒之藍(lán)”“勒索病毒”等事件），故將牽引變電所的主機(jī)操作系統(tǒng)更換為相對安全的Linux操作系統(tǒng)，并進(jìn)一步設(shè)置了強(qiáng)口令防止非操作員的登錄配置，關(guān)閉了無用用戶以防止遠(yuǎn)程登錄竄改文件，關(guān)閉了遠(yuǎn)程登錄相關(guān)協(xié)議及端口，設(shè)置防火墻策略，啟用了日志審計(jì)功能，對應(yīng)用主機(jī)進(jìn)行安全基線加固，漏洞消缺，強(qiáng)化了就地網(wǎng)絡(luò)安全的防范力度。

對安全制度、人員管理、物理環(huán)境、電力監(jiān)控系統(tǒng)開展了調(diào)研、評估、走查、訪談、漏掃、基線審查等工作，對牽引變電所評估服務(wù)整體架構(gòu)、制度管理、主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用程序進(jìn)行風(fēng)險分析，暴露其在物理安全、主機(jī)安全、應(yīng)用安全、管理層面上的脆弱點(diǎn)和風(fēng)險源，并提出建議處置措施，規(guī)避相應(yīng)安全事件發(fā)生的可能性，降低安全事件損失，使整體安全運(yùn)行更加可靠[7-8]。評估結(jié)果見圖7、圖8。

圖7 風(fēng)險匯總表

圖8 各模塊風(fēng)險值

由圖7、圖8可知，通過對新建牽引變電所電力監(jiān)控系統(tǒng)風(fēng)險評估，共發(fā)現(xiàn)12個風(fēng)險點(diǎn)，其中高等級風(fēng)險0項(xiàng)，中等級風(fēng)險0項(xiàng)，低等級風(fēng)險12項(xiàng)。

3 結(jié)論

通過對傳統(tǒng)直采直送系統(tǒng)的優(yōu)化，堅(jiān)持以安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證為基本原則，在綜合防護(hù)方面進(jìn)行主機(jī)加固和安全評估，提高了專用網(wǎng)絡(luò)間的二次安防水平，保障了鐵路牽引站和國家電網(wǎng)公司間網(wǎng)絡(luò)通信的加密性和安全性，進(jìn)一步加強(qiáng)了抵御橫向外來攻擊、消除內(nèi)部安全隱患、降低縱向關(guān)鍵信息泄露風(fēng)險等能力。

但是，還需在抵御黑客制造的病毒、惡意代碼等方面對牽引變電所網(wǎng)絡(luò)系統(tǒng)安全方面繼續(xù)開展工作。目前整個國家電網(wǎng)系統(tǒng)已經(jīng)制定最新安全防護(hù)要求：在電力監(jiān)控系統(tǒng)增加日志審計(jì)、入侵檢測、防惡意代碼、堡壘機(jī)等相關(guān)設(shè)備和措施[8]。相對于國家對網(wǎng)絡(luò)安全更高的要求，國鐵牽引變電所的信息安全防護(hù)系統(tǒng)建設(shè)還需進(jìn)一步研究。