路外車站接入路內(nèi)TDCS/CTC系統(tǒng)網(wǎng)絡(luò)安全防護(hù)

張紅利

（中國鐵路呼和浩特局集團(tuán)有限公司 工務(wù)部，工程師，內(nèi)蒙古 呼和浩特 010050）

1 概述

隨著鐵路信息化建設(shè)的迅猛發(fā)展，鐵路核心生產(chǎn)業(yè)務(wù)信息化水平也不斷提高，列車調(diào)度指揮系統(tǒng)（TDCS）迅速覆蓋全路，分散自律調(diào)度集中系統(tǒng)（CTC）逐步推廣使用，大大提高了鐵路運(yùn)輸調(diào)度指揮現(xiàn)代化水平。由于TDCS/CTC 網(wǎng)絡(luò)覆蓋全路各鐵路局及車站，其系統(tǒng)整體保密性、完整性和可靠性成為了保障行車安全的重要環(huán)節(jié)之一，因此,防范和消除系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險的必要性、緊迫性也日益顯現(xiàn)，2007年列車調(diào)度指揮系統(tǒng)（TDCS）、分散自律調(diào)度集中系統(tǒng)（CTC）正式被國家相關(guān)部門評定為“等級保護(hù)”四級系統(tǒng)，對該系統(tǒng)信息網(wǎng)絡(luò)安全提出了更高的要求。

從全國鐵路看，近年來路外新建專用線車站接入所在鐵路局集團(tuán)公司調(diào)度指揮系統(tǒng)進(jìn)行統(tǒng)一調(diào)度指揮的狀況極為普遍，使得經(jīng)濟(jì)區(qū)內(nèi)地方貨物向外輸送更加通暢，同時也為鐵路企業(yè)完成運(yùn)輸任務(wù)起著積極地促進(jìn)作用。由于這類專用線車站（統(tǒng)稱為路外車站）設(shè)備不屬于鐵路局集團(tuán)公司資產(chǎn)，設(shè)備日常管理、維護(hù)由投資方委托維管單位維護(hù)，維護(hù)和管理水平相對薄弱；更為需要重視的是，路外車站接入鐵路局集團(tuán)公司TDCS/CTC 系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)無法實(shí)現(xiàn)與中心核心設(shè)備完全隔離，車站網(wǎng)絡(luò)安全設(shè)備（安全邊界策略、車務(wù)終端安全加固）也無法部署，對中心核心網(wǎng)網(wǎng)絡(luò)安全造成安全威脅，網(wǎng)絡(luò)安全狀態(tài)無法把控，由此可見，改進(jìn)局管外車站接入路內(nèi)既有TDCS/CTC 系統(tǒng)方式（以下簡稱接入方式）迫在眉睫。筆者以中國鐵路呼和浩特局集團(tuán)有限公司為例，就如何實(shí)現(xiàn)路外車站接入路內(nèi)TDCS/CTC 系統(tǒng)網(wǎng)絡(luò)安全防護(hù)略陳管見。

2 既有接入方式主要弊端

既有接入方式為首尾站分別采用2 M 通道接入TDCS 中心的外部車站專用路由器，內(nèi)部部署防火墻，直接與局管外通信前置機(jī)連接，各類信息通過TDCS中心核心交換機(jī)與應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器進(jìn)行交換。具體結(jié)構(gòu)如圖1所示：

圖1 既有接入方式示意圖

既有連接方式存在以下弊端：

1）TDCS/CTC 中心路外車站接入系統(tǒng)采用單套接入路由器、防火墻及通信前置服務(wù)器組網(wǎng)，主要設(shè)備沒有做到雙套冗余，不符合《列車調(diào)度指揮系統(tǒng)（TDCS）、調(diào)度集中系統(tǒng)（CTC）組網(wǎng)方案和硬件配置標(biāo)準(zhǔn)》要求。其次系統(tǒng)可靠性不高，其中任何一臺設(shè)備故障都會造成車站信息傳輸不到TDCS/CTC 中心調(diào)度臺，直接影響調(diào)度指揮。

2）安全管理中心、通信前置服務(wù)器接入TDCS/CTC 中心核心交換機(jī)，后者配置兩個IP 地址，即TDCS/CTC 中心局域網(wǎng)段IP 和車站廣域網(wǎng)段IP，這種連接方式使得安全管理中心服務(wù)器無法訪問到廣域網(wǎng)車務(wù)終端，造成車務(wù)終端無法通過中心統(tǒng)一管理，統(tǒng)一進(jìn)行安全加固，無法對車站防火墻策略進(jìn)行管理和監(jiān)控，未滿足國家信息安全等級保護(hù)及國鐵集團(tuán)有關(guān)網(wǎng)絡(luò)安全2.0的相關(guān)配置要求。

3）路外車站系統(tǒng)與TDCS/CTC 核心系統(tǒng)之間未采用安全設(shè)備進(jìn)行隔離，路外車站由于管理或維護(hù)不當(dāng)造成車務(wù)終端感染病毒后，通過網(wǎng)絡(luò)傳播直接影響到核心系統(tǒng)設(shè)備，會對TDCS/CTC 中心核心設(shè)備安全性構(gòu)成嚴(yán)重威脅。

4）當(dāng)路外車站軟、硬件設(shè)備故障或車站站改引起軟件、配置修改和維護(hù)時，由于核心系統(tǒng)維護(hù)終端無法訪問廣域網(wǎng)車務(wù)終端設(shè)備，只能在通信前置服務(wù)器上進(jìn)行相關(guān)操作，對安全生產(chǎn)不利，不符合相關(guān)維護(hù)管理辦法要求。

3 改進(jìn)后接入方式主要優(yōu)點(diǎn)

路外車站依照完全隔離的結(jié)構(gòu)模式接入，車站按照155 M 通道接入TDCS 中心的外部車站專用路由器，內(nèi)部部署安全邊界，再由三層交換與通信前置服務(wù)器、外部隔離機(jī)連接，外部隔離機(jī)與內(nèi)部隔離機(jī)間部署安全邊界通過以太網(wǎng)電口進(jìn)行連接，起到安全隔離防護(hù)作用。具體結(jié)構(gòu)圖2所示：

圖2 改進(jìn)后的接入方式所示圖

改進(jìn)后的接入方式主要優(yōu)點(diǎn)：

1）TDCS/CTC 中心路外車站接入系統(tǒng)設(shè)備全部采用雙套冗余接入，符合《列車調(diào)度指揮系統(tǒng)（TDCS）、調(diào)度集中系統(tǒng)（CTC）組網(wǎng)方案和硬件配置標(biāo)準(zhǔn)》要求，系統(tǒng)可靠性提高了，不會因單臺設(shè)備故障影響設(shè)備正常使用。

2）這種接入方式結(jié)構(gòu)更加安全。路外車站系統(tǒng)獨(dú)立組網(wǎng)，與TDCS/CTC 核心系統(tǒng)采用安全邊界進(jìn)行隔離，TDCS/CTC 核心系統(tǒng)與路外車站形成了縱深化防御體系，當(dāng)路外車站接入系統(tǒng)受到病毒或黑客攻擊時，不會滲透到核心系統(tǒng)，最大程度保障核心系統(tǒng)的安全性。

3）TDCS/CTC 中心核心系統(tǒng)與路外車站系統(tǒng)各增設(shè)了一套隔離通信機(jī)，路外車站設(shè)備與TDCS/CTC核心系統(tǒng)交換信息時，只通過內(nèi)、外隔離通信機(jī)實(shí)現(xiàn)，做到了子系統(tǒng)與核心系統(tǒng)的安全隔離。

4）TDCS/CTC 中心路外系統(tǒng)域內(nèi)建立了獨(dú)立安全管理中心系統(tǒng)，域內(nèi)終端部署安全加固形成安全計(jì)算環(huán)境，安全邊界能夠集中控制并統(tǒng)一下發(fā)安全策略，通過管理中心態(tài)勢感知模塊能夠更加清晰展現(xiàn)域內(nèi)的安全態(tài)勢并達(dá)到實(shí)時監(jiān)控。

5）TDCS/CTC 中心增加了路外車站系統(tǒng)維護(hù)終端，后期對車站設(shè)備進(jìn)行日常維護(hù)、站改施工配合修改軟件等工作時，直接在維護(hù)終端上操作即可，不需要在通信前置服務(wù)器上操作，滿足TDCS/CTC 維護(hù)管理辦法要求，消除了對服務(wù)器資源占用及人為誤操作造成應(yīng)用程序關(guān)閉等安全隱患。

6）后續(xù)新的路外車站接入TDCS/CTC 中心時，核心系統(tǒng)只需要更新內(nèi)側(cè)隔離通信機(jī)數(shù)據(jù)，因而對核心系統(tǒng)整體影響范圍縮小，極大地減少對運(yùn)輸?shù)挠绊憽?/p>

4 結(jié)束語

本文立足有效解決路外車站接入所在鐵路局集團(tuán)公司調(diào)度指揮系統(tǒng)進(jìn)行統(tǒng)一調(diào)度指揮存在的共性問題，重點(diǎn)就消除既有接入方式弊端提出改進(jìn)對策，實(shí)施后，使路外車站接入路內(nèi)TDCS/CTC 系統(tǒng)形成獨(dú)立的組網(wǎng)結(jié)構(gòu)，域內(nèi)建立獨(dú)立的安全管理中心，增加獨(dú)立的維護(hù)終端，按照技術(shù)標(biāo)準(zhǔn)與TDCS/CTC 核心系統(tǒng)進(jìn)行安全隔離，能夠較好防范以至消除網(wǎng)絡(luò)安全風(fēng)險。后續(xù)擬將已經(jīng)接入核心系統(tǒng)的路外車站分批進(jìn)行分離，全部倒接至路外車站接入系統(tǒng)，進(jìn)一步保證設(shè)備、信息的安全。