邢燕梅

（中鐵十二局集團(tuán)電氣化工程有限公司，天津 300308）

0 引言

在鐵路建設(shè)高速發(fā)展的現(xiàn)代社會(huì)，構(gòu)建智能化鐵路信號(hào)系統(tǒng)已成為大勢(shì)所趨。只有進(jìn)行不同信號(hào)設(shè)備的優(yōu)化重組，才能夠讓智能化鐵路信號(hào)系統(tǒng)的發(fā)展更貼合時(shí)代趨向，才能夠建立功能齊全的信息化網(wǎng)絡(luò)體系，推動(dòng)鐵路未來的建設(shè)和發(fā)展。但就目前而言，信息系統(tǒng)內(nèi)部不同設(shè)備單元的交互聯(lián)系仍然存在一些問題，如果不能夠優(yōu)化信息系統(tǒng)內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，降低信號(hào)系統(tǒng)運(yùn)作過程中出現(xiàn)的安全風(fēng)險(xiǎn)，在鐵路信號(hào)系統(tǒng)運(yùn)作過程中將很容易出現(xiàn)各類突發(fā)性事故，不僅會(huì)影響鐵路的正常運(yùn)行，還會(huì)產(chǎn)生一系列不可預(yù)估的嚴(yán)重后果。

1 網(wǎng)絡(luò)安全問題研究的價(jià)值分析

鐵路信號(hào)系統(tǒng)的組織構(gòu)建，經(jīng)過較為漫長(zhǎng)的發(fā)展階段，現(xiàn)今的鐵路信號(hào)系統(tǒng)具備車輛調(diào)度指揮的功能，在控制列車運(yùn)行時(shí)能進(jìn)行必要的災(zāi)害防護(hù)，實(shí)時(shí)監(jiān)測(cè)列車主要設(shè)備的運(yùn)行狀況，同時(shí)進(jìn)行必要的信息傳輸和管理。因此，現(xiàn)階段的鐵路信號(hào)系統(tǒng)具有較為明顯的綜合性信息控制功能，其運(yùn)作狀況會(huì)直接影響鐵路運(yùn)輸?shù)陌踩?/p>

但需要注意的是，鐵路信號(hào)系統(tǒng)自身的網(wǎng)絡(luò)具有封閉性特征，因此在傳統(tǒng)的網(wǎng)絡(luò)研究過程中，大多數(shù)學(xué)者把研究重點(diǎn)放在可靠性方面，而忽視了對(duì)網(wǎng)絡(luò)安全的研究。但實(shí)際上，在信息技術(shù)不斷發(fā)展的現(xiàn)代社會(huì)，不同類型的病毒和層出不窮的攻擊手段，給鐵路信號(hào)系統(tǒng)的日常運(yùn)作帶來不小的挑戰(zhàn)。如果不及時(shí)更新網(wǎng)絡(luò)安全防御體系，提升鐵路信號(hào)系統(tǒng)的防護(hù)能力，那么鐵路信號(hào)系統(tǒng)在運(yùn)作過程中就很容易遭受攻擊。只有讓鐵路行車運(yùn)輸安全得到保障，才能夠降低各類突發(fā)事故的發(fā)生概率，因此，網(wǎng)絡(luò)安全問題研究具有極為重要的現(xiàn)實(shí)意義和價(jià)值。

2 鐵路信號(hào)系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

2.1 網(wǎng)絡(luò)安全事件處置風(fēng)險(xiǎn)

在信號(hào)系統(tǒng)應(yīng)用中，很容易出現(xiàn)各類網(wǎng)絡(luò)安全事件，相應(yīng)事件一旦出現(xiàn)，往往很難處理。之所以網(wǎng)絡(luò)安全事故難以得到妥善處理，與以下三個(gè)因素有密切關(guān)聯(lián)。

首先，大部分網(wǎng)絡(luò)架構(gòu)節(jié)點(diǎn)都包含各類安全設(shè)備，因此在發(fā)生安全事故時(shí)，技術(shù)人員無法通過設(shè)備配置的全面優(yōu)化調(diào)整方案進(jìn)行針對(duì)性的響應(yīng)。

其次，在信號(hào)系統(tǒng)運(yùn)作過程中，日志在全網(wǎng)各設(shè)備中都可見，由于日志的分散性導(dǎo)致技術(shù)人員無法在短時(shí)間內(nèi)將日志統(tǒng)一匯總分析，致使相應(yīng)的安全事故處理存在一定的遲滯。

最后，信號(hào)系統(tǒng)自身的網(wǎng)絡(luò)規(guī)模較為龐大，但在具體的監(jiān)測(cè)和運(yùn)作過程中缺乏統(tǒng)一的中樞機(jī)制，因此工作人員難以通過信息傳輸?shù)姆绞?，在第一時(shí)間判斷當(dāng)前所遭遇的網(wǎng)絡(luò)安全事件的嚴(yán)重程度，從而很難及時(shí)采取具有針對(duì)性的措施解決網(wǎng)絡(luò)安全問題。

2.2 傳統(tǒng)防護(hù)邊界風(fēng)險(xiǎn)

在信號(hào)系統(tǒng)運(yùn)作過程中，需要采取網(wǎng)絡(luò)安全防護(hù)措施進(jìn)行邊界部署，在傳統(tǒng)的邊界風(fēng)險(xiǎn)防護(hù)過程中，通常使用的手段是防火墻建構(gòu)或網(wǎng)閘建構(gòu)。但由于信息技術(shù)的不斷發(fā)展與完善，現(xiàn)階段網(wǎng)絡(luò)安全威脅問題已經(jīng)逐步延伸到應(yīng)用層的安全設(shè)備，以往的措施在應(yīng)對(duì)當(dāng)前網(wǎng)絡(luò)安全威脅時(shí)能夠產(chǎn)生的作用十分有限。如果要讓信息系統(tǒng)遭受安全威脅的概率得到有效控制，就需要根據(jù)當(dāng)前信號(hào)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的具體需求，加強(qiáng)應(yīng)用層數(shù)據(jù)監(jiān)測(cè)方面的工作。但就目前而言，此類工作的有效落實(shí)仍然存在一定阻礙，因此傳統(tǒng)防護(hù)邊界風(fēng)險(xiǎn)仍然存在。

2.3 安全管理手段不夠完善

在信號(hào)系統(tǒng)建設(shè)與優(yōu)化過程中，現(xiàn)階段所使用的安全管理制度已無法及時(shí)應(yīng)對(duì)網(wǎng)絡(luò)安全形勢(shì)變化過程中出現(xiàn)的突發(fā)性事件，并妥善地解決各類突發(fā)性問題。在此類情況下，管理人員無法依據(jù)現(xiàn)有制度來降低安全風(fēng)險(xiǎn)出現(xiàn)的概率，進(jìn)行新技術(shù)的全面應(yīng)用。因此，在具體的系統(tǒng)運(yùn)維過程中，如果需要完成修改、維護(hù)和升級(jí)軟件等工作，則很容易在非法設(shè)備接入和移動(dòng)存儲(chǔ)介質(zhì)使用過程中出現(xiàn)各類安全問題，最終導(dǎo)致病毒感染或非法入侵的概率大幅度上升。而在這一過程中，網(wǎng)絡(luò)安全應(yīng)急預(yù)案由于長(zhǎng)久未能得到更新，從而缺乏全面性和系統(tǒng)性，已不能適應(yīng)現(xiàn)階段的網(wǎng)絡(luò)安全變化情況。如果管理人員不能及時(shí)進(jìn)行各類網(wǎng)絡(luò)安全事故的緊急演練，革新優(yōu)化相應(yīng)事故的處理能力，那么鐵路信號(hào)系統(tǒng)的安全管理質(zhì)量就無法得到提升[1]。

2.4 遠(yuǎn)程維護(hù)訪問存在風(fēng)險(xiǎn)

鐵路信號(hào)系統(tǒng)需要通過遠(yuǎn)程訪問的方式來進(jìn)行終端維護(hù)，因此現(xiàn)階段經(jīng)常使用PcAnywhere 以及DameWare 來進(jìn)行維修和控制。此類維修軟件雖然實(shí)用，但缺少必要的安全審計(jì)機(jī)制，所以在具體的遠(yuǎn)程維護(hù)過程中，很容易引發(fā)安全事故。一旦出現(xiàn)安全事件，技術(shù)人員很難通過追根溯源的方式進(jìn)行徹查，制訂更具有針對(duì)性的事故處理方案。因此，在具體的遠(yuǎn)程維護(hù)訪問過程中，需要詳細(xì)記錄不同類型設(shè)備的登錄日志和配置操作，只有如此，才能夠讓信號(hào)系統(tǒng)違規(guī)操作的事后追蹤能力得到提升。但就目前而言，這方面工作仍有不到位之處，以致鐵路信號(hào)系統(tǒng)的網(wǎng)絡(luò)安全問題尚難得到有效解決。

3 鐵路信號(hào)系統(tǒng)安全風(fēng)險(xiǎn)的成因

3.1 低安全等級(jí)網(wǎng)絡(luò)有被滲透的可能

相比于傳統(tǒng)的信號(hào)安全數(shù)據(jù)網(wǎng)，現(xiàn)階段所使用的能夠控制列車運(yùn)行狀態(tài)和各類信號(hào)設(shè)備的CTC 系統(tǒng)網(wǎng)絡(luò)，在安全等級(jí)方面并不理想。CTC 系統(tǒng)中布置了大量不同類別的服務(wù)器，在具體運(yùn)作過程中，需要使用專用或通用的操作系統(tǒng)來完成一系列操作，不論是Windows Server 還是Windows NT 系列，其自身并沒有內(nèi)置的安全功能，因此存在較為明顯的低安全等級(jí)網(wǎng)絡(luò)被滲透的風(fēng)險(xiǎn)，這也是導(dǎo)致鐵路信號(hào)系統(tǒng)安全風(fēng)險(xiǎn)問題無法得到徹底解決的重要因素之一[2]。

3.2 鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)設(shè)置不合理

雖然現(xiàn)階段鐵路信號(hào)系統(tǒng)所使用的CTC 網(wǎng)絡(luò)和TDCS 網(wǎng)絡(luò)具有較為明顯的獨(dú)立性特征，但其使用的系統(tǒng)服務(wù)器以及具備終端查詢功能的IP 地址設(shè)置均在同一個(gè)網(wǎng)段，從而意味著終端操作員可采用跨越防火墻登錄的方式來訪問不同節(jié)點(diǎn)的服務(wù)器，甚至在特殊情況下進(jìn)行服務(wù)器配置修改工作，進(jìn)而很容易使得調(diào)度系統(tǒng)陷入混亂局面，最終影響鐵路的行車安全。由此可見，鐵路信號(hào)系統(tǒng)自身網(wǎng)絡(luò)設(shè)置方面存在的問題是導(dǎo)致安全風(fēng)險(xiǎn)居高不下的重要原因之一。

3.3 鐵路信號(hào)系統(tǒng)易遭受病毒攻擊

由于計(jì)算機(jī)網(wǎng)絡(luò)層級(jí)設(shè)備在硬軟件方面均實(shí)現(xiàn)了較為明顯的突破性發(fā)展，因而硬件價(jià)格呈現(xiàn)出不斷下降的趨向，而且終端產(chǎn)品自身也具有一定的智能化特征，從而意味著自制計(jì)算機(jī)和終端設(shè)備在應(yīng)用過程中失去明顯的分界。如果網(wǎng)絡(luò)權(quán)限一直是以開放形態(tài)進(jìn)行工作的，網(wǎng)絡(luò)就很容易遭受攻擊風(fēng)險(xiǎn)。相比于以往鐵路信號(hào)系統(tǒng)的運(yùn)作方式，現(xiàn)階段的信號(hào)系統(tǒng)一旦進(jìn)入工作狀態(tài)，就極易遭受病毒的攻擊，這也是鐵路信號(hào)系統(tǒng)安全風(fēng)險(xiǎn)難以控制的重要原因之一。

4 安全風(fēng)險(xiǎn)分析與防護(hù)措施研究

4.1 進(jìn)行安全區(qū)域邊界技術(shù)的合理應(yīng)用

具體的安全區(qū)域邊界技術(shù)應(yīng)用，可從如下四個(gè)方面來進(jìn)行：

首先，技術(shù)人員可在TDCS 系統(tǒng)和CTC 系統(tǒng)架構(gòu)過程中，將網(wǎng)閘設(shè)備接入安全管理平臺(tái)，讓網(wǎng)絡(luò)安全設(shè)備的集中管理要求得到有效落實(shí)，確保CTC 系統(tǒng)、TDCS 系統(tǒng)與其他信號(hào)系統(tǒng)的接口所部署的網(wǎng)閘設(shè)備能夠在隔離防護(hù)方面起到作用，提高不同區(qū)域間信息交換的安全性。在網(wǎng)絡(luò)安全設(shè)備集中管理的過程中，只要將網(wǎng)閘設(shè)備接入安全管理平臺(tái)，那么信號(hào)系統(tǒng)的安全態(tài)勢(shì)感知精準(zhǔn)程度將提高，確保網(wǎng)閘設(shè)備運(yùn)行數(shù)據(jù)日志能夠被詳細(xì)地記錄到安管中心[3]。

其次，CTC 系統(tǒng)和TDCS 系統(tǒng)的不同區(qū)域之間均需要部署防火墻設(shè)備，相比于傳統(tǒng)防火墻，該防火墻需要具有在會(huì)話狀態(tài)下檢測(cè)訪問控制規(guī)則的能力。只有如此，相應(yīng)系統(tǒng)在運(yùn)作過程中才能將內(nèi)容和應(yīng)用協(xié)議作為訪問控制規(guī)則的元素，保證訪問的安全性。在這一過程中，由于防火墻自身嵌入了入侵檢測(cè)及預(yù)防病毒的功能模塊，所以系統(tǒng)運(yùn)作中業(yè)務(wù)流量監(jiān)測(cè)的安全威脅可得到有效控制。

再次，在CTC 系統(tǒng)和TDCS 系統(tǒng)運(yùn)作過程中需要使用MAC 或IP 綁定技術(shù)，只有這樣，網(wǎng)絡(luò)設(shè)備的可信連接對(duì)象才能夠得到更進(jìn)一步的固定，在系統(tǒng)運(yùn)作過程中，空閑端口才可及時(shí)關(guān)閉。只要使用MAC 或IP綁定技術(shù)，訪問員地址就能有效控制系統(tǒng)內(nèi)的所有組件。在網(wǎng)絡(luò)訪問源限制過程中，都會(huì)變成僅允許可信遠(yuǎn)程終端訪問的狀態(tài)，這能夠讓系統(tǒng)外違規(guī)設(shè)備接入的安全風(fēng)險(xiǎn)得到合理控制，從而進(jìn)一步提升鐵路信號(hào)系統(tǒng)的使用安全性[4]。

最后，為了完善安全風(fēng)險(xiǎn)的防護(hù)效用，工作人員需要在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)內(nèi)部署入侵防御系統(tǒng)，只有這樣，才能夠在CTC 系統(tǒng)和TDCS 系統(tǒng)使用過程中，完成不同數(shù)據(jù)包的深度檢測(cè)工作，讓新型網(wǎng)絡(luò)攻擊行為得到更精準(zhǔn)的甄別。CTC 系統(tǒng)和TDCS 系統(tǒng)在網(wǎng)絡(luò)安全防御方面的體系架構(gòu)如圖1 所示。

圖1 CTC 系統(tǒng)和TDCS 系統(tǒng)

在入侵防御系統(tǒng)運(yùn)作過程中，其自身所具備的防御和告警功能也會(huì)開啟，這有助于進(jìn)行安全風(fēng)險(xiǎn)剔除，使鐵路信號(hào)系統(tǒng)正常運(yùn)作。如果入侵防御系統(tǒng)檢測(cè)到流量中存在攻擊行為，就會(huì)主動(dòng)發(fā)出警報(bào)，并及時(shí)完成阻斷工作，降低攻擊鏈接的成功概率，確保鐵路信號(hào)系統(tǒng)在運(yùn)作過程中自動(dòng)完成對(duì)網(wǎng)絡(luò)攻擊的防御。

4.2 進(jìn)行安全通信網(wǎng)絡(luò)技術(shù)的優(yōu)化應(yīng)用

在具體的系統(tǒng)優(yōu)化過程中，如果能夠完全按照設(shè)計(jì)的具體技術(shù)條件進(jìn)行CTC 系統(tǒng)或TDCS 系統(tǒng)的建構(gòu)，那么其自身的網(wǎng)絡(luò)架構(gòu)就能夠滿足安全通信方面的要求。但需要注意的是，在具體的網(wǎng)絡(luò)安全區(qū)域劃分上，仍然需要花費(fèi)一定的時(shí)間和精力。只有根據(jù)網(wǎng)絡(luò)安全區(qū)域劃分的具體原則和要求來劃分CTC 系統(tǒng)和TDCS 系統(tǒng)的安全域，才能夠讓安全通信網(wǎng)絡(luò)技術(shù)得到切實(shí)應(yīng)用，讓安全風(fēng)險(xiǎn)方面的問題得到解決。在大多數(shù)情況下，CTC 系統(tǒng)和TDCS 系統(tǒng)都可被分成9個(gè)安全域，分別是運(yùn)維管理域、業(yè)務(wù)終端域、核心業(yè)務(wù)域、數(shù)據(jù)查詢域、應(yīng)急備用域、對(duì)外接口域、車站業(yè)務(wù)域、安全管理域及模擬仿真域，技術(shù)人員需要對(duì)這一防護(hù)措施的應(yīng)用引起足夠重視[5]。

4.3 進(jìn)行安全管理中心技術(shù)的優(yōu)化應(yīng)用

在CTC 系統(tǒng)或TDCS 系統(tǒng)的安全管理域，進(jìn)行統(tǒng)一安全管理平臺(tái)的部署，能夠讓網(wǎng)絡(luò)安全組件當(dāng)中的補(bǔ)丁庫(kù)以及惡意代碼庫(kù)得到全面且集中的管理，從而意味著技術(shù)人員可通過更具有內(nèi)在邏輯關(guān)聯(lián)的安全審計(jì)方式，進(jìn)行不同系統(tǒng)組件的安全審計(jì)記錄，并進(jìn)行系統(tǒng)運(yùn)作日志的統(tǒng)一存儲(chǔ)備份和傳輸，在此類情況下，CTC 系統(tǒng)以及TDCS 系統(tǒng)的安全態(tài)勢(shì)能夠得到全面的優(yōu)化與革新。安全管理中心技術(shù)的全面落實(shí)和應(yīng)用，方便技術(shù)人員對(duì)各類審計(jì)記錄進(jìn)行必要的分析和綜合查詢，對(duì)其所面臨的安全事件進(jìn)行必要的等級(jí)劃分，這有助于安全管理員進(jìn)行事先防控，并在事故發(fā)生階段進(jìn)行實(shí)時(shí)監(jiān)測(cè)，以及完成事后報(bào)告的撰寫工作，這能夠讓整個(gè)網(wǎng)絡(luò)安全事件的回溯追蹤質(zhì)量得到更進(jìn)一步的提升。

4.4 使用統(tǒng)一的網(wǎng)絡(luò)安全管控建設(shè)方案

現(xiàn)階段較為常見的網(wǎng)絡(luò)框架是SDN，技術(shù)人員可通過交換機(jī)和路由器之間的傳輸數(shù)據(jù)來完成平面控制工作，使用統(tǒng)一的控制器進(jìn)行必要的數(shù)據(jù)管理，在這一過程中，一旦控制平面和數(shù)據(jù)平面出現(xiàn)分離狀態(tài)，網(wǎng)絡(luò)的控制平面就可充當(dāng)平臺(tái)，在不同控制程序應(yīng)用過程中實(shí)現(xiàn)對(duì)不同層級(jí)網(wǎng)絡(luò)平臺(tái)的管理工作，此類物理的隔離方式，能夠讓整體系統(tǒng)變得更加安全。在CTC 系統(tǒng)網(wǎng)絡(luò)以及信號(hào)安全問題解決過程中，技術(shù)人員采用設(shè)置獨(dú)立子網(wǎng)的方式，將CTC 系統(tǒng)網(wǎng)絡(luò)和SDN 融合到同一個(gè)網(wǎng)絡(luò)平臺(tái)，用統(tǒng)一的軟件進(jìn)行操控，那么在虛擬化技術(shù)應(yīng)用背景下，軟件定義信號(hào)體系的不同子網(wǎng)功能就會(huì)變得更加協(xié)調(diào)統(tǒng)一，此類統(tǒng)一的網(wǎng)絡(luò)安全管控建設(shè)方案，在操作方面并不存在難度，有助于鐵路信號(hào)系統(tǒng)的網(wǎng)絡(luò)安全管控工作得到全面優(yōu)化[6]。

5 結(jié)語

總而言之，在鐵路信號(hào)系統(tǒng)使用過程中，全面分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的成因是很有必要的。只有根據(jù)當(dāng)前鐵路信號(hào)系統(tǒng)的具體使用情況，制定出更具有可行性的安全風(fēng)險(xiǎn)分析和防護(hù)措施，才能夠降低安全事件出現(xiàn)的可能性。只有有效提升安全事件追溯分析的力度，讓鐵路信號(hào)系統(tǒng)的運(yùn)作穩(wěn)定性得到提升，才能保障鐵路行業(yè)安全穩(wěn)定地運(yùn)行。