李京生，張 湜，趙 林

（1.中國鐵道科學(xué)研究院 研究生部，北京 100081；2.中國鐵路沈陽局集團有限公司 沈陽車務(wù)段，遼寧沈陽 110000；3.中國鐵道科學(xué)研究院集團有限公司 鐵道科學(xué)技術(shù)研究發(fā)展中心，北京 100081）

1 概述

地震是一種危害很大的自然災(zāi)害，尤其是對高速鐵路而言，即使是較小震級的地震，也可能會導(dǎo)致列車運行發(fā)生重大安全事故。我國高速鐵路地震預(yù)警系統(tǒng)由高速鐵路地震預(yù)警監(jiān)測系統(tǒng)和車載地震緊急處置裝置 2 部分組成，可以有效地防止或減輕地震災(zāi)害給鐵路運輸安全帶來的影響，避免重大的人員傷亡和經(jīng)濟損失[1-2]。目前我國高速鐵路地震預(yù)警監(jiān)測系統(tǒng)、地震監(jiān)測臺站主要布設(shè)在鐵路沿線，其監(jiān)測的范圍有限。相對于地震臺網(wǎng)監(jiān)測到的數(shù)據(jù)而言，鐵路沿線地震臺站很難精確地測定地震數(shù)據(jù)[3]。

為充分整合利用多種地震資源信息，獲取更全面和精確的地震數(shù)據(jù)，中國高速鐵路地震預(yù)警系統(tǒng)需要與地震臺網(wǎng)互聯(lián)，實現(xiàn)數(shù)據(jù)共享[4]。由于高速鐵路地震預(yù)警監(jiān)測系統(tǒng)采用鐵路傳輸系統(tǒng)組網(wǎng)，需要通過互聯(lián)網(wǎng)才能與地震臺網(wǎng)交換數(shù)據(jù)[5]，因而如何保證數(shù)據(jù)在鐵路內(nèi)網(wǎng)和鐵路外網(wǎng)之間交換的安全性和完整性，以及如何保證鐵路內(nèi)網(wǎng)的安全是需要解決的重要問題之一。為此，對高速鐵路地震預(yù)警監(jiān)測系統(tǒng)進行架構(gòu)安全性分析，同時對其進行功能安全性分析、安全需求分析和數(shù)據(jù)交換安全性分析，并分析網(wǎng)閘的組成及其原理，將其應(yīng)用于高速鐵路地震預(yù)警監(jiān)測系統(tǒng)與地震臺網(wǎng)的互聯(lián)中，從而確保高速鐵路地震預(yù)警監(jiān)測系統(tǒng)與地震臺網(wǎng)之間數(shù)據(jù)交換的安全性，同時保證鐵路內(nèi)網(wǎng)的安全。

2 高速鐵路地震預(yù)警監(jiān)測系統(tǒng)安全性分析

高速鐵路地震預(yù)警監(jiān)測系統(tǒng)采用鐵路傳輸系統(tǒng)組網(wǎng)，需要經(jīng)過互聯(lián)網(wǎng)與地震臺網(wǎng)交換數(shù)據(jù)，這種跨不同安全等級網(wǎng)絡(luò)之間的數(shù)據(jù)交換安全性及鐵路內(nèi)網(wǎng)的安全即需要得到保證。

2.1 架構(gòu)安全性分析

高速鐵路地震預(yù)警監(jiān)測系統(tǒng)采用二級架構(gòu)，第 1 級為鐵路局集團公司中心系統(tǒng)，第 2 級為現(xiàn)場監(jiān)測設(shè)備。鐵路局集團公司中心系統(tǒng)硬件設(shè)備中的臺網(wǎng)接口服務(wù)器是用于與地震臺網(wǎng)進行數(shù)據(jù)交互[5]。臺網(wǎng)接口服務(wù)器作為鐵路局集團公司中心系統(tǒng)內(nèi)的接口之一，與鐵路內(nèi)網(wǎng)相連，一旦遭到攻擊，將會造成很大損失。在臺網(wǎng)接口服務(wù)器的另一側(cè)則是公眾電信運營商專線，此為鐵路外網(wǎng)。

網(wǎng)閘又稱安全隔離與信息交換系統(tǒng)，它可以在斷開 2 個不同安全等級網(wǎng)絡(luò)的物理連接和網(wǎng)絡(luò)協(xié)議的同時，以信息“擺渡”的方式，實現(xiàn) 2 個網(wǎng)絡(luò)間的數(shù)據(jù)交換。網(wǎng)閘由外網(wǎng)處理單元、內(nèi)網(wǎng)處理單元和安全隔離硬件 3 部分組成，其中安全隔離硬件包括固態(tài)存儲介質(zhì)和調(diào)度控制電路[6]。由于互聯(lián)網(wǎng)是基于 TCP/IP 來實現(xiàn)的，因而斷開 TCP/IP 連接，就可以防止產(chǎn)生漏洞，進而防止網(wǎng)絡(luò)遭受攻擊，而網(wǎng)閘技術(shù)正是使內(nèi)外網(wǎng)不能同時連通，并且切斷了兩側(cè)網(wǎng)絡(luò)間的 TCP/IP 連接，使之不能直接進行網(wǎng)絡(luò)協(xié)議通訊而實現(xiàn)的。

網(wǎng)閘應(yīng)部署在臺網(wǎng)接口服務(wù)器之外，以抵御來自鐵路外網(wǎng)的攻擊，保證鐵路內(nèi)網(wǎng)及數(shù)據(jù)交換的安全。網(wǎng)閘的內(nèi)網(wǎng)處理單元與高速鐵路地震預(yù)警監(jiān)測系統(tǒng)相連，外網(wǎng)處理單元與互聯(lián)網(wǎng)相連。通過部署網(wǎng)閘，可以保證在同一時刻只有高速鐵路地震預(yù)警監(jiān)測系統(tǒng)與網(wǎng)閘之間有非 TCP/IP 協(xié)議的數(shù)據(jù)連接，或互聯(lián)網(wǎng)與網(wǎng)閘之間有非 TCP/IP 協(xié)議的數(shù)據(jù)連接，而高速鐵路地震預(yù)警監(jiān)測系統(tǒng)與互聯(lián)網(wǎng)不會直接相連，從而保證了高速鐵路地震預(yù)警監(jiān)測系統(tǒng)與地震臺網(wǎng)交換數(shù)據(jù)的安全性及鐵路內(nèi)網(wǎng)的安全。網(wǎng)閘在高速鐵路地震預(yù)警監(jiān)測系統(tǒng)中的部署如圖1所示。

2.2 功能安全性分析

中國高速鐵路地震預(yù)警系統(tǒng)有P波預(yù)警和閾值報警功能，可以在地震發(fā)生后，破壞性地震波尚未來襲的數(shù)秒至數(shù)十秒之前發(fā)出報警信號，使高速列車盡快減速或停車。通過高速鐵路沿線地震臺站與國家地震臺網(wǎng)互聯(lián)，可以實現(xiàn)本地報警和異地預(yù)警。高速鐵路地震預(yù)警監(jiān)測系統(tǒng)作為中國高速鐵路地震預(yù)警系統(tǒng)組成部分之一，可以由實時測定的地震參數(shù)及快速估算的地震基本參數(shù)確定地震影響范圍和警報等級，在破壞性地震波到達之前，向地震影響范圍內(nèi)的鐵路發(fā)布地震緊急處置信息，并觸發(fā)鐵路相關(guān)系統(tǒng)聯(lián)動，使運行的列車采取限速或停車措施；如果是誤報，則在對預(yù)警信息的真實性進行判別后自動發(fā)布誤報解除信息，或者通過人工操作進行地震警報解除。

圖1 網(wǎng)閘在高速鐵路地震預(yù)警監(jiān)測系統(tǒng)中的部署Fig.1 Gap and it’s deployment in high-speed railway earthquake early-warning and monitoring system

一套有效的高速鐵路地震預(yù)警監(jiān)測系統(tǒng)，可以減少由地震造成的列車脫軌、傾覆等列車運行安全重大事故，使列車在地震災(zāi)害發(fā)生時的損失程度大大降低。在高速鐵路地震預(yù)警監(jiān)測系統(tǒng)運行過程中，一旦遭到網(wǎng)絡(luò)攻擊或其他原因，導(dǎo)致數(shù)據(jù)交換出現(xiàn)問題而影響其發(fā)揮功能，將會降低高速鐵路地震預(yù)警監(jiān)測系統(tǒng)的可靠性。因此，只有在保證高速鐵路地震預(yù)警監(jiān)測系統(tǒng)的網(wǎng)絡(luò)安全和數(shù)據(jù)交換安全性的前提下，才能進一步保證其功能的發(fā)揮。

2.3 安全需求分析

網(wǎng)絡(luò)之間的數(shù)據(jù)交換都是基于 TCP/IP 來實現(xiàn)的。所有的攻擊，都可以歸納為對 TCP/IP 數(shù)據(jù)通信模型的某一層或多層的攻擊，因而斷開 TCP/IP數(shù)據(jù)通信模型的所有連接，就可以消除 TCP/IP 網(wǎng)絡(luò)存在的攻擊。在高速鐵路地震預(yù)警監(jiān)測系統(tǒng)經(jīng)過互聯(lián)網(wǎng)與地震臺網(wǎng)交換數(shù)據(jù)時，為保證鐵路內(nèi)網(wǎng)不遭受來自互聯(lián)網(wǎng)的攻擊，以及鐵路內(nèi)網(wǎng)的敏感信息不遭到泄露，需要斷開鐵路內(nèi)網(wǎng)與互聯(lián)網(wǎng)的連接。但是斷開網(wǎng)絡(luò)連接之后，高速鐵路地震預(yù)警監(jiān)測系統(tǒng)與地震臺網(wǎng)之間的數(shù)據(jù)交換又無法得到保證。因此，在斷開鐵路內(nèi)網(wǎng)和互聯(lián)網(wǎng)連接的同時，保證高速鐵路地震預(yù)警監(jiān)測系統(tǒng)與地震臺網(wǎng)進行數(shù)據(jù)交換成為迫切需要解決的問題。

傳統(tǒng)的網(wǎng)絡(luò)安全防護手段和方法，如防火墻、入侵檢測等雖然在一定程度上緩解了網(wǎng)絡(luò)安全問題，但由于它們還是和網(wǎng)絡(luò)相連，因而無法對內(nèi)部網(wǎng)絡(luò)做更深入的安全防護，無法從根本上保證內(nèi)網(wǎng)的安全。網(wǎng)閘技術(shù)是一種能夠保證內(nèi)外網(wǎng)隔離的同時，又能夠?qū)崿F(xiàn)數(shù)據(jù)交換的安全設(shè)備，彌補了傳統(tǒng)安全防護方式的不足[7]。網(wǎng)閘可以在徹底中斷網(wǎng)絡(luò)連接和剝離網(wǎng)絡(luò)協(xié)議的基礎(chǔ)上，將剝離協(xié)議后的原始數(shù)據(jù)以“擺渡”的方式完成數(shù)據(jù)交換，之后再重新封裝成需要的數(shù)據(jù)，這樣可以實現(xiàn)在網(wǎng)絡(luò)斷開的情況下完成數(shù)據(jù)的交換。

2.4 數(shù)據(jù)交換安全性

高速鐵路地震預(yù)警監(jiān)測系統(tǒng)與地震臺網(wǎng)之間的數(shù)據(jù)交換分為沒有數(shù)據(jù)交換和存在數(shù)據(jù)交換 2 種情形。高速鐵路地震預(yù)警監(jiān)測系統(tǒng)與地震臺網(wǎng)之間的數(shù)據(jù)交換過程如下。

（1）當高速鐵路地震預(yù)警監(jiān)測系統(tǒng)與地震臺網(wǎng)之間沒有數(shù)據(jù)交換時，如果沒有網(wǎng)閘，鐵路內(nèi)網(wǎng)和鐵路外網(wǎng)之間還是連通的，有被入侵或被攻擊的風險；而部署網(wǎng)閘之后，地震臺網(wǎng)和高速鐵路地震預(yù)警監(jiān)測系統(tǒng)是完全斷開的[8]，此時兩側(cè)網(wǎng)絡(luò)之間沒有連通，并且也沒有 TCP/IP 連接，進而不能直接進行網(wǎng)絡(luò)協(xié)議通訊，從而保證了沒有數(shù)據(jù)交換時的安全性。

（2）當高速鐵路地震預(yù)警監(jiān)測系統(tǒng)與地震臺網(wǎng)需要進行數(shù)據(jù)交換時，如果沒有網(wǎng)閘，鐵路內(nèi)網(wǎng)和鐵路外網(wǎng)是連通的，無法保證高速鐵路地震預(yù)警監(jiān)測系統(tǒng)和地震臺網(wǎng)之間的物理隔離，以及鐵路內(nèi)網(wǎng)的安全，也無法保證數(shù)據(jù)在交換過程中的安全性；而部署網(wǎng)閘之后，安全隔離硬件中的調(diào)度控制電路，會控制固態(tài)存儲介質(zhì)在同一時刻只與外網(wǎng)處理單元或內(nèi)網(wǎng)處理單元中的一端相連，而另一端是斷開的，這種設(shè)計能保證固態(tài)存儲介質(zhì)在任一時刻僅連通一側(cè)網(wǎng)絡(luò)，使得高速鐵路地震預(yù)警監(jiān)測系統(tǒng)與地震臺網(wǎng)永不相連，從而保證了高速鐵路地震預(yù)警監(jiān)測系統(tǒng)和地震臺網(wǎng)之間的物理隔離及數(shù)據(jù)交換的安全性。

當數(shù)據(jù)需要從高速鐵路地震預(yù)警監(jiān)測系統(tǒng)向地震臺網(wǎng)傳輸時，內(nèi)網(wǎng)處理單元發(fā)起對安全隔離硬件的非 TCP/IP 協(xié)議數(shù)據(jù)連接，待所有的協(xié)議剝離之后，將原始數(shù)據(jù)寫入固態(tài)存儲介質(zhì)。當數(shù)據(jù)寫入固態(tài)存儲介質(zhì)后，安全隔離硬件會立即中斷與內(nèi)網(wǎng)處理單元的連接，轉(zhuǎn)而發(fā)起對外網(wǎng)處理單元的非 TCP/IP 協(xié)議數(shù)據(jù)連接，并將固態(tài)存儲介質(zhì)中的數(shù)據(jù)推向外網(wǎng)處理單元。當外網(wǎng)處理單元收到數(shù)據(jù)后，立即進行 TCP/IP 和應(yīng)用協(xié)議的封裝，并將封裝好的數(shù)據(jù)傳給外網(wǎng)，待數(shù)據(jù)傳輸完成后，網(wǎng)閘會立即切斷與外網(wǎng)的連接[9]。當數(shù)據(jù)需要從地震臺網(wǎng)向高速鐵路地震預(yù)警監(jiān)測系統(tǒng)傳輸時，數(shù)據(jù)交換過程與前者相似。

由網(wǎng)閘工作原理，以及高速鐵路地震預(yù)警監(jiān)測系統(tǒng)與地震臺網(wǎng)之間的數(shù)據(jù)交換過程可以看出，不論是哪種數(shù)據(jù)交換情形，數(shù)據(jù)交換的安全性都可以得到保證。

3 結(jié)束語

目前人類還不能準確地預(yù)報地震，雖然地震預(yù)警提供的時間很短，但足以讓列車減速或停車，避免或減輕損失。將網(wǎng)閘技術(shù)應(yīng)用于高速鐵路地震預(yù)警監(jiān)測系統(tǒng)，能夠在保證鐵路內(nèi)網(wǎng)和鐵路外網(wǎng)隔離的同時實現(xiàn)數(shù)據(jù)的安全交換，既滿足跨不同安全等級網(wǎng)絡(luò)之間數(shù)據(jù)安全交換的需求，同時也保證鐵路內(nèi)網(wǎng)的安全。