王志宏

（中國鐵建電氣化局集團(tuán)北方工程有限公司，山西太原 030053）

0 引言

隨著信息科學(xué)技術(shù)以及鐵路運(yùn)輸行業(yè)的快速發(fā)展，鐵路信號的功能和內(nèi)涵不斷豐富，已成為保障列車行車安全，提高鐵路運(yùn)輸效率的基礎(chǔ)設(shè)備之一，并朝著統(tǒng)一化、標(biāo)準(zhǔn)化、綜合化方向持續(xù)發(fā)展。當(dāng)前我國鐵路信號系統(tǒng)在安全管控層面主要采用一般的防火墻設(shè)備，依賴外部訪問控制、隔離以及病毒掃描技術(shù)，無法根據(jù)鐵路運(yùn)行的實(shí)際情況而實(shí)現(xiàn)全面防御。尤其是在網(wǎng)絡(luò)安全問題頻發(fā)的互聯(lián)網(wǎng)背景下，極易因惡意的網(wǎng)絡(luò)安全攻擊行為而導(dǎo)致列控數(shù)據(jù)延時、丟失或被篡改，進(jìn)而出現(xiàn)設(shè)備故障失效、影響列車行車安全等重大威脅[1]。通過分析我國鐵路信號系統(tǒng)，提出鐵路信號系統(tǒng)網(wǎng)絡(luò)的統(tǒng)一安全管控策略，構(gòu)建集調(diào)度、控制、運(yùn)行和反饋于一體的控制閉環(huán)，實(shí)現(xiàn)不同信息系統(tǒng)關(guān)聯(lián)以及數(shù)據(jù)信息共享，對發(fā)揮數(shù)據(jù)資源優(yōu)勢、提升鐵路信號系統(tǒng)安全、保障列車高效運(yùn)行具有重要作用。

1 鐵路信號系統(tǒng)分析

1.1 鐵路信號集中監(jiān)測系統(tǒng)

在互聯(lián)網(wǎng)背景下，鐵路信號集中監(jiān)測系統(tǒng)基于先進(jìn)的互聯(lián)網(wǎng)計算機(jī)技術(shù)以及圖形擬物化展現(xiàn)技術(shù)、智能診斷技術(shù)和模塊化的軟件程序架構(gòu)，可以充分發(fā)揮先進(jìn)技術(shù)的優(yōu)勢，實(shí)現(xiàn)鐵路運(yùn)行信息存儲、故障預(yù)警、運(yùn)行狀態(tài)監(jiān)測等多重功能，并對鐵路運(yùn)行全過程產(chǎn)生的數(shù)據(jù)信息做到統(tǒng)一規(guī)劃、管理與實(shí)施，有助于營造可靠的鐵路信號系統(tǒng)環(huán)境，保障列車行車安全。

第一，安全編碼以及冗余技術(shù)在鐵路信號集中監(jiān)測系統(tǒng)中的應(yīng)用，既能保證數(shù)據(jù)信息安全，又能提高數(shù)據(jù)信息的精確度，尤其是安全通信協(xié)議以及防火墻隔離效能的發(fā)揮，能夠更好地適應(yīng)系統(tǒng)種類多樣的集中監(jiān)測系統(tǒng)，保證監(jiān)測設(shè)備正常運(yùn)行。

第二，鐵路信號集中監(jiān)測系統(tǒng)結(jié)合三級四層體系結(jié)構(gòu)，采用新技術(shù)與新理念，進(jìn)一步豐富了電務(wù)段子系統(tǒng)功能，完善了信號設(shè)備監(jiān)測內(nèi)容，既能實(shí)現(xiàn)故障預(yù)警，引起維修人員關(guān)注，又能自動生成信號設(shè)備維護(hù)建議報告，幫助維修人員選擇最佳的維修方案，提高維修質(zhì)效。

1.2 列車監(jiān)控監(jiān)測子系統(tǒng)

鐵路綜合監(jiān)控系統(tǒng)以信號ATC 系統(tǒng)為核心，與多項(xiàng)子系統(tǒng)采取互聯(lián)方式集成。列車監(jiān)控監(jiān)測子系統(tǒng)涵蓋內(nèi)容較多，可與綜合監(jiān)控系統(tǒng)數(shù)據(jù)集成，收集列車運(yùn)行的實(shí)時信息，顯示設(shè)備運(yùn)行的狀態(tài)，便于調(diào)度員和行車人員掌握實(shí)時信息，完善運(yùn)營監(jiān)管。

第一，車載司法記錄單元主要收集和記錄列車運(yùn)行過程中產(chǎn)生的安全數(shù)據(jù)和司法數(shù)據(jù)，如司機(jī)操作信息、緊急制動命令、軌道電路信息等，以發(fā)揮原始數(shù)據(jù)客觀、真實(shí)的作用，為后期故障分析和事故責(zé)任界定提供數(shù)據(jù)支撐。

第二，維護(hù)終端臨時限速器采用冗余結(jié)構(gòu)和熱備工作方式，通過調(diào)閱CTC 系統(tǒng)以及列車實(shí)時運(yùn)行狀態(tài)，判斷正在運(yùn)行的列車是否處于安全運(yùn)行模式，具有系統(tǒng)結(jié)構(gòu)簡單、易維護(hù)和擴(kuò)展等特點(diǎn)[2]。

第三，微機(jī)聯(lián)鎖電務(wù)終端借助以太網(wǎng)運(yùn)行，可以避免網(wǎng)絡(luò)之間相互滲透，集中監(jiān)控數(shù)據(jù)，用于診斷聯(lián)鎖系統(tǒng)故障。

1.3 GSM-R 通信監(jiān)測系統(tǒng)

GSM-R 通信監(jiān)測系統(tǒng)是由前端接入、數(shù)據(jù)采集存儲、數(shù)據(jù)分析處理等部分構(gòu)成，可以更方便準(zhǔn)確地測試通信網(wǎng)絡(luò)的多個技術(shù)指標(biāo)，為維修人員提供更加準(zhǔn)確的原始數(shù)據(jù)。GSM-R 通信監(jiān)測系統(tǒng)包括以下兩個方面內(nèi)容：一方面，通信接口監(jiān)測具有全程追蹤列車運(yùn)行時發(fā)生通信行為的功能，既能完整跟蹤某一呼叫的信令過程，快速確定各樣本間信令配合情況，又能進(jìn)行切換追蹤，時刻監(jiān)視通信行為切換的成功率，可以為日后故障分析和通信回放，提供大量可靠的原始數(shù)據(jù)。另一方面，GSM-R 網(wǎng)管監(jiān)測可以實(shí)時獲取列車運(yùn)行的實(shí)時數(shù)據(jù)與狀態(tài)，為列車配置、故障預(yù)警等多項(xiàng)內(nèi)容提供安全保障，并智能、及時、準(zhǔn)確地定位故障，幫助維修人員第一時間完成故障檢修，提高業(yè)務(wù)運(yùn)行質(zhì)量，保障列車運(yùn)行安全。

2 鐵路信號系統(tǒng)網(wǎng)絡(luò)統(tǒng)一安全管控存在的問題

2.1 不同類型設(shè)備之間的關(guān)聯(lián)性較少

鐵路信號系統(tǒng)網(wǎng)絡(luò)具有結(jié)構(gòu)復(fù)雜性，涉及多個系統(tǒng)和設(shè)備的綜合應(yīng)用，其核心是信號集中監(jiān)測系統(tǒng)，但不同類型設(shè)備在整個系統(tǒng)中扮演不同的角色、發(fā)揮不同的性能，可以識別不同的數(shù)據(jù)信息與信號反饋，并做出相關(guān)反應(yīng)，以通過所有設(shè)備協(xié)同性能的支撐而保障列車安全運(yùn)行。因此，在列車運(yùn)行過程中，為了實(shí)時監(jiān)測列車運(yùn)行的全過程，就需要所有不同類型的設(shè)備發(fā)揮協(xié)同效能。當(dāng)前鐵路信號系統(tǒng)網(wǎng)絡(luò)在統(tǒng)一安全管控中存在部分問題，如維護(hù)終端、動態(tài)監(jiān)測等部分設(shè)備處于相互獨(dú)立的工作狀態(tài)和運(yùn)行模式，通過不同類型設(shè)備收集整理數(shù)據(jù)的關(guān)聯(lián)性差，無法整體反映列車的運(yùn)行狀態(tài)。需要以人工監(jiān)測的方式補(bǔ)充完善列車運(yùn)行數(shù)據(jù)，便會導(dǎo)致數(shù)據(jù)信息收集的滯后性，故障判斷、識別、維修效率低下，影響列車運(yùn)行的可靠性與安全性[3]。

2.2 用于信號監(jiān)測的智能化技術(shù)較少

鐵路信號系統(tǒng)監(jiān)測的目的是全方位、多角度記錄列車運(yùn)行過程中產(chǎn)生的各項(xiàng)數(shù)據(jù)信息，以便為后期責(zé)任界定提供客觀依據(jù)，而鐵路信號系統(tǒng)的良好運(yùn)行離不開內(nèi)部系統(tǒng)和設(shè)備的協(xié)同配合，任一環(huán)節(jié)出現(xiàn)問題都會增加列車運(yùn)行的不穩(wěn)定性。當(dāng)前，在鐵路信號系統(tǒng)網(wǎng)絡(luò)統(tǒng)一安全管控過程中，智能化技術(shù)在鐵路信號監(jiān)測方面的應(yīng)用較少，且挖掘深度不足、智能分析薄弱，便會因提供的原始記錄和數(shù)據(jù)資源有限，無法實(shí)時監(jiān)測列車運(yùn)行狀態(tài)。尤其是不能及時發(fā)現(xiàn)、預(yù)警、診斷故障問題，因故障維修滯后，而增加列車運(yùn)行的不安全性。例如，在列控體系中，列車與RBC 之間準(zhǔn)確的連接狀態(tài)是確保列控中心的根本，需要依賴以太網(wǎng)和聯(lián)鎖體系連接，保證兩者分離。而一旦使用防火墻體系對其進(jìn)行隔離，便會因不能及時驗(yàn)證所有數(shù)據(jù)而出現(xiàn)數(shù)據(jù)傳輸問題，進(jìn)而干擾行車的精確性。

2.3 監(jiān)測數(shù)據(jù)的共享利用效率待提高

GSM-R 通信監(jiān)測系統(tǒng)是保障列車安全運(yùn)行的重要部分，主要負(fù)責(zé)傳輸車等地信息狀況，發(fā)揮數(shù)據(jù)共享優(yōu)勢，做好風(fēng)險預(yù)警和防控。在列車實(shí)際運(yùn)行過程中，由于通信網(wǎng)管與信號設(shè)備監(jiān)測之間的數(shù)據(jù)無法共享，導(dǎo)致現(xiàn)有數(shù)據(jù)信息只能服務(wù)于設(shè)備所在的特定領(lǐng)域，既無法直觀地呈現(xiàn)列車整體運(yùn)行狀態(tài)，又無法幫助工作人員快速判斷列車運(yùn)行中通信信號結(jié)合部分的故障問題，尤其是無線電干擾等問題的存在，會出現(xiàn)列車運(yùn)行通信超時、脫網(wǎng)等不良現(xiàn)象，影響列車控制與調(diào)度指揮系統(tǒng)的正常工作。另外，我國是世界上鐵路運(yùn)營里程最長、運(yùn)營速度最快、建設(shè)規(guī)模最大的國家，鐵路信號系統(tǒng)網(wǎng)絡(luò)統(tǒng)一安全管控是鐵路信號系統(tǒng)網(wǎng)絡(luò)發(fā)展的必然趨勢，但監(jiān)測數(shù)據(jù)的共享利用效率有待提高，會在很大程度上阻礙統(tǒng)一化、標(biāo)準(zhǔn)化安全管控模式的建設(shè)，制約列控系統(tǒng)和鐵路運(yùn)輸行業(yè)有序發(fā)展。

3 鐵路信號系統(tǒng)網(wǎng)絡(luò)統(tǒng)一安全管控的策略

3.1 可信計算環(huán)境層面

可信計算環(huán)境是由可信平臺控制模塊（TPCM）和可信軟件組成，可以保證計算全程可測可控，不被干擾。TPCM 是建立在信任鏈的基礎(chǔ)上，將信任鏈拓展到具體系統(tǒng)程序中，既能提供數(shù)據(jù)加密，防止惡意引導(dǎo)加載程序惡意軟件，又能在發(fā)生妥協(xié)時自動切換到隔離模式，以排除故障，還能將在線服務(wù)的加密密鑰、證書和密碼存在其中，提高數(shù)據(jù)信息存儲安全，保證可信報告與度量服務(wù)質(zhì)量[4]?？尚跑浖钥刂茩C(jī)制和度量機(jī)制為主，不僅可以直接攔截系統(tǒng)程序之外的訪問請求，自主檢測請求是否違規(guī)，又能通過對比分析程序的完整性，及時發(fā)現(xiàn)系統(tǒng)程序被篡改現(xiàn)象，進(jìn)而執(zhí)行文件恢復(fù)功能，防止病毒入侵網(wǎng)絡(luò)，保證系統(tǒng)安全。

在鐵路信號系統(tǒng)網(wǎng)絡(luò)統(tǒng)一安全管控的過程中，為營造安全可靠的網(wǎng)絡(luò)環(huán)境，政府要從國家層面采取更強(qiáng)有力的措施，支撐可信計算產(chǎn)業(yè)發(fā)展，加大可信計算的研究投入力度，鼓勵引導(dǎo)基于TPCM 可信密碼模塊的計算系統(tǒng)和設(shè)備。堅持以自主密碼算法為核心，以可信密碼模塊芯片為基礎(chǔ)，加大力度快速推動可信計算基礎(chǔ)產(chǎn)業(yè)發(fā)展，進(jìn)而形成戰(zhàn)略規(guī)模，打造自主可信網(wǎng)絡(luò)空間的技術(shù)環(huán)境，推動鐵路信號系統(tǒng)網(wǎng)絡(luò)朝著統(tǒng)一化、規(guī)范化、集成化的安全管控方向穩(wěn)健發(fā)展。

3.2 可信管控中心層面

可信管控中心是對可信計算環(huán)境、基于SDN 的可信區(qū)域邊界、通信網(wǎng)絡(luò)等整個鐵路信號系統(tǒng)的管理，包括系統(tǒng)管理、審計管理、密碼管理以及安全管理等內(nèi)容。在可信管控中心運(yùn)行過程中，為推進(jìn)落實(shí)鐵路信號系統(tǒng)網(wǎng)絡(luò)統(tǒng)一安全管控，管理人員要立足管控中心相對獨(dú)立的管控模式，根據(jù)實(shí)際業(yè)務(wù)需求以及用戶身份憑證和安全級別形成可信程序庫，并在安全管理員對系統(tǒng)用戶授權(quán)之后生成基準(zhǔn)值，實(shí)現(xiàn)對系統(tǒng)主體和客體的命名標(biāo)記，確定可執(zhí)行程序白名單，進(jìn)而按照業(yè)務(wù)需要和系統(tǒng)邏輯甄別訪問客體的權(quán)限。由安全審計員對系統(tǒng)管理行為、安全管理行為和可信軟件基行為進(jìn)行審計，全面監(jiān)控整個系統(tǒng)的運(yùn)行狀態(tài)，避免出現(xiàn)系統(tǒng)安全管理缺失問題，保證鐵路信號系統(tǒng)始終處于正常運(yùn)行模式。

3.3 抗DDoS 的SDN 控制調(diào)度方法

SDN 控制器采用可信計算技術(shù)，可以從可信管控中心下載控制策略，實(shí)現(xiàn)對通信網(wǎng)絡(luò)邏輯的集中統(tǒng)一管控，并對跨節(jié)點(diǎn)的通信業(yè)務(wù)主客體進(jìn)行標(biāo)記，實(shí)施嚴(yán)格的網(wǎng)絡(luò)訪問控制，進(jìn)而保證網(wǎng)絡(luò)環(huán)境的整體可信。當(dāng)前我國鐵路信號系統(tǒng)網(wǎng)絡(luò)規(guī)模較大，在使用SDN 控制器技術(shù)時，易受以流量為基礎(chǔ)的分布式拒絕服務(wù)（DDoS）影響，降低鐵路信號系統(tǒng)的穩(wěn)定性。為提高SDN 控制的抵抗能力，工作人員可應(yīng)用多維條件熵算法建立常規(guī)防御與快速防御在內(nèi)的聯(lián)合檢測機(jī)制，以提高檢測的準(zhǔn)確率。工作人員既要正確認(rèn)識并發(fā)揮SDN 控制器優(yōu)勢，實(shí)時監(jiān)控SDN 網(wǎng)絡(luò)狀態(tài)，根據(jù)交換機(jī)的Packet-in 消息達(dá)到率和信息熵檢測DDoS是否存在攻擊網(wǎng)絡(luò)狀態(tài)的行為，又要根據(jù)檢測結(jié)果定位攻擊，并通過丟棄Packet-in 消息的方式結(jié)束攻擊防御，同時設(shè)置合適的流表項(xiàng)Timeout 值保護(hù)交換機(jī)流表空間，使正常的數(shù)據(jù)包獲得較好的服務(wù)，以保證鐵路信號系統(tǒng)網(wǎng)絡(luò)的正常運(yùn)行狀態(tài)[5]。

3.4 統(tǒng)一安全管控系統(tǒng)

SDN 是由統(tǒng)一控制器進(jìn)行統(tǒng)一控制和管理的一種新型網(wǎng)絡(luò)架構(gòu)方式，可直接編程網(wǎng)絡(luò)設(shè)備的控制面，實(shí)現(xiàn)網(wǎng)絡(luò)功能自定義，方便整網(wǎng)改造和集中管理。鐵路信號系統(tǒng)統(tǒng)一安全管控模式由CTC 系統(tǒng)網(wǎng)絡(luò)、信號安全數(shù)據(jù)網(wǎng)和集中監(jiān)測網(wǎng)絡(luò)組成，既能通過各自獨(dú)立的網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)隔離，又能通過統(tǒng)一的軟件控制而保障整體系統(tǒng)的安全性，積極應(yīng)對鐵路信號網(wǎng)絡(luò)管控中的復(fù)雜問題，促使鐵路信號網(wǎng)絡(luò)管控更加系統(tǒng)化和智能化，滿足新時期列車管控對數(shù)據(jù)實(shí)時性的要求。

第一，為增強(qiáng)鐵路信號系統(tǒng)網(wǎng)絡(luò)的穩(wěn)定性，工作人員要提高自身專業(yè)能力，規(guī)范自身行為，在明確不同設(shè)備對應(yīng)的網(wǎng)絡(luò)服務(wù)的基礎(chǔ)上，在鐵路設(shè)備資產(chǎn)管理服務(wù)器上注冊和認(rèn)證，以增強(qiáng)對網(wǎng)絡(luò)服務(wù)和終端設(shè)備的監(jiān)管力度。

第二，結(jié)合已有的合理網(wǎng)絡(luò)服務(wù)和白名單機(jī)制，制定通信管理矩陣，利用網(wǎng)絡(luò)控制器有效控制業(yè)務(wù)通信管理矩陣中的設(shè)備，并訪問網(wǎng)絡(luò)服務(wù)資源，控制異常接入和異常檢測，減少鐵路信號系統(tǒng)管理的安全威脅。

第三，網(wǎng)絡(luò)控制器可以標(biāo)記和記錄數(shù)據(jù)，進(jìn)而明確數(shù)據(jù)來源，并深入挖掘、實(shí)時獲取相關(guān)的信息資源，一旦出現(xiàn)網(wǎng)絡(luò)安全問題也能及時追蹤溯源，標(biāo)明數(shù)據(jù)或設(shè)備的異常位置，實(shí)現(xiàn)網(wǎng)絡(luò)流精細(xì)化管理。

4 結(jié)語

鐵路信號系統(tǒng)對網(wǎng)絡(luò)的安全性和可靠性提出了較高要求，管控能力較弱勢必會出現(xiàn)網(wǎng)絡(luò)安全問題，影響鐵路列控系統(tǒng)的可用性。為保證列車運(yùn)行安全，實(shí)施鐵路信號系統(tǒng)網(wǎng)絡(luò)統(tǒng)一安全管控模式，降低網(wǎng)絡(luò)管控的復(fù)雜性，提高鐵路信號系統(tǒng)管控的效率和安全性，是鐵路運(yùn)輸行業(yè)發(fā)展的必然趨勢。在鐵路信號系統(tǒng)網(wǎng)絡(luò)統(tǒng)一安全管控過程中，工作人員既要正確認(rèn)識可信計算的重要性，積極構(gòu)建自主可信網(wǎng)絡(luò)空間的技術(shù)環(huán)境，以保證系統(tǒng)安全，又要從可信管控中心層面全面監(jiān)控整個系統(tǒng)的運(yùn)行狀態(tài)。另外，還要立足鐵路信號系統(tǒng)網(wǎng)絡(luò)規(guī)模龐大的現(xiàn)狀，設(shè)置防御DDoS 的SDN 控制器調(diào)度方法，弱化DDoS 技術(shù)對SDN 技術(shù)的干擾，增強(qiáng)控制器的可靠性與網(wǎng)絡(luò)的可用性，并加大統(tǒng)一安全管控系統(tǒng)建設(shè)力度，科學(xué)制定通信管理矩陣，實(shí)現(xiàn)網(wǎng)絡(luò)流精細(xì)化管理，保證鐵路信號系統(tǒng)網(wǎng)絡(luò)運(yùn)行狀態(tài)正常。