摘 要：我國(guó)鐵路系統(tǒng)建設(shè)不斷完善，且鐵路交通運(yùn)行速度在不斷增加，鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)是當(dāng)前我國(guó)交通運(yùn)輸網(wǎng)絡(luò)結(jié)構(gòu)中的重要基礎(chǔ)。自鐵路系統(tǒng)建設(shè)過(guò)程中，信號(hào)系統(tǒng)網(wǎng)絡(luò)管理與控制是一項(xiàng)重要內(nèi)容，對(duì)于鐵路運(yùn)行效率以及運(yùn)行安全性會(huì)產(chǎn)生直接影響，所以必須采用統(tǒng)一化、安全化的管理與控制方式，才能夠提高鐵路信號(hào)系統(tǒng)管理質(zhì)量，從而滿足鐵路運(yùn)輸需要。

關(guān)鍵詞：鐵路系統(tǒng) 信號(hào)系統(tǒng) 網(wǎng)絡(luò)管理 安全管控 優(yōu)化措施

中圖分類號(hào)：U284文獻(xiàn)標(biāo)識(shí)碼：A ? ? ? ? ?文章編號(hào)：1672-3791（2021）10（c）-0000-00

Analysis of Unified Security Management and Control of Railway Signal System Network

WANG ?Fan

（Beijing Railway Signal Co.， Ltd.， Beijing， 102613 China）

Abstract：China's railway system construction continues to improve， and the speed of railway traffic is increasing. Railway signal system network is an important foundation in the current transportation network structure in China. In the process of railway system construction， signal system network management and control is an important content， which will have a direct impact on railway operation efficiency and operation safety. Therefore， unified and safe management and control mode must be adopted to improve the management quality of railway signal system and meet the requirements of railway transportation.

Key Words： Railway system; Signal system; Network management; Safety management and control; Optimization measures

我國(guó)是世界上高速鐵路運(yùn)營(yíng)里程最長(zhǎng)、運(yùn)營(yíng)速度最快以及建設(shè)規(guī)模最大的國(guó)家，鐵路建設(shè)對(duì)于我國(guó)社會(huì)發(fā)展具有重要的作用。在現(xiàn)代科學(xué)技術(shù)快速發(fā)展的推動(dòng)下，鐵路信號(hào)技術(shù)逐漸向統(tǒng)一化、高標(biāo)準(zhǔn)化以及綜合化方向發(fā)展，但是現(xiàn)有的系統(tǒng)網(wǎng)絡(luò)安全管控模式較為落后，難以滿足鐵路信號(hào)系統(tǒng)實(shí)際管理需求，所以需要根據(jù)當(dāng)前管控系統(tǒng)的基本情況，對(duì)其進(jìn)行優(yōu)化升級(jí)，從而能夠保障鐵路運(yùn)行性，為我國(guó)交通運(yùn)輸行業(yè)發(fā)展提供助力。

1當(dāng)前我國(guó)鐵路信號(hào)系統(tǒng)分析

1.1信號(hào)集中監(jiān)測(cè)系統(tǒng)

信號(hào)集中監(jiān)測(cè)系統(tǒng)為三層、四級(jí)的架構(gòu)體系，能夠?qū)崿F(xiàn)信息存儲(chǔ)、報(bào)警、狀態(tài)在線以及信號(hào)檢測(cè)等多線功能，信號(hào)集中檢測(cè)系統(tǒng)通過(guò)CAN總線與信號(hào)機(jī)、信號(hào)線纜、采集轉(zhuǎn)轍機(jī)、軌道電路以及電源屏等多種信號(hào)設(shè)備連接，為其電氣參數(shù)模擬量信息以及開(kāi)關(guān)量信息提供實(shí)時(shí)連接功能，同時(shí)能夠獲取其他相關(guān)的信息，利用通信接口的方式與CBI、TCC等通信設(shè)備實(shí)現(xiàn)緊密連接。該系統(tǒng)在運(yùn)行過(guò)程中，技術(shù)人員能夠通過(guò)該系統(tǒng)識(shí)別鐵路信號(hào)系統(tǒng)存在的故障，進(jìn)而開(kāi)展科學(xué)的維修管理工作[1]。

1.2列車監(jiān)控檢測(cè)子系統(tǒng)

列車的監(jiān)控檢測(cè)子系統(tǒng)具有重要的應(yīng)用價(jià)值，主要功能是對(duì)鐵路列車運(yùn)行的數(shù)據(jù)實(shí)時(shí)收集和處理，該子系統(tǒng)主要構(gòu)成為車載司法記錄單元、維護(hù)終端臨時(shí)限速器和微機(jī)聯(lián)鎖電務(wù)終端等，每一項(xiàng)設(shè)備都具有重要的基礎(chǔ)功能。車載司法記錄單元主要用于對(duì)鐵路列車運(yùn)行安全數(shù)據(jù)的收集和記錄，包括司機(jī)動(dòng)作信息、緊急制動(dòng)命令等;維護(hù)終端設(shè)備一般安裝在鐵路列車的監(jiān)控室內(nèi)，主要功能是調(diào)閱CTC系統(tǒng)實(shí)施運(yùn)行狀態(tài)以及列車運(yùn)行狀態(tài)等，從而判斷當(dāng)前列車是否處于安全運(yùn)行模式下;微機(jī)聯(lián)鎖電務(wù)終端的主要功能為診斷聯(lián)鎖系統(tǒng)是否存在故障，限速服務(wù)器主要用故障診斷與運(yùn)行維護(hù)。

1.3GSM—R通信監(jiān)測(cè)

GSM—R通信監(jiān)測(cè)系統(tǒng)的技術(shù)構(gòu)成主要包括GSM—R網(wǎng)管監(jiān)測(cè)和通信接口監(jiān)測(cè)兩個(gè)方面，GSM—R網(wǎng)管監(jiān)測(cè)能夠?qū)崿F(xiàn)配置管理、警告管理以及故障管理等多項(xiàng)安全保障功能，能夠?qū)Ξ?dāng)前鐵路列車的運(yùn)行狀態(tài)獲取實(shí)時(shí)數(shù)據(jù)，對(duì)于確保列車安全運(yùn)行具有重要意義;通信接口監(jiān)測(cè)能夠記錄鐵路列車的運(yùn)行數(shù)據(jù)，以便于后期的數(shù)據(jù)查詢等工作。

2當(dāng)前我國(guó)鐵路信號(hào)網(wǎng)絡(luò)統(tǒng)一管理存在的主要問(wèn)題分析

受到我國(guó)鐵路建設(shè)規(guī)模不斷擴(kuò)大以及科學(xué)技術(shù)水平不斷提高的影響，用于鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)管控的技術(shù)水平也在不斷提高，許多新型技術(shù)和新設(shè)備相繼投入使用，但是從整體的角度來(lái)看，在統(tǒng)一化安全管控方面還存在著一些需要完善的地方，主要體現(xiàn)在以下幾個(gè)方面。

2.1設(shè)備缺少關(guān)聯(lián)性

當(dāng)前我國(guó)鐵路信號(hào)監(jiān)測(cè)系統(tǒng)中會(huì)安裝多種不同設(shè)備，核心為信號(hào)集中監(jiān)測(cè)系統(tǒng)，該系統(tǒng)中包含軌道電路設(shè)備、電源屏設(shè)備、信號(hào)機(jī)設(shè)備以及線纜設(shè)備等多種不同類型設(shè)備，這些設(shè)備之間具有緊密的聯(lián)系，通過(guò)發(fā)揮協(xié)同作用實(shí)現(xiàn)對(duì)鐵路列車運(yùn)行的全過(guò)程監(jiān)測(cè)。然而，除信號(hào)集中監(jiān)測(cè)系統(tǒng)以外的設(shè)備，例如：維護(hù)終端設(shè)備、動(dòng)態(tài)監(jiān)測(cè)設(shè)備等，這些設(shè)備之間缺乏關(guān)聯(lián)性，各設(shè)備都處于獨(dú)立的工作狀態(tài)，所以通過(guò)設(shè)備所獲取的鐵路列車運(yùn)行數(shù)據(jù)關(guān)聯(lián)性較差，無(wú)法從整體方面呈現(xiàn)出當(dāng)前列車運(yùn)行存在的問(wèn)題，需要人工檢測(cè)方式進(jìn)行完善補(bǔ)充，從而導(dǎo)致故障判斷識(shí)別以及故障維修等工作效率降低。

2.2預(yù)測(cè)實(shí)施與智能分析效果不佳

鐵路列車運(yùn)行過(guò)程中，需要保證其內(nèi)部系統(tǒng)和設(shè)備處于良好且協(xié)同的工作狀態(tài)下，任何一個(gè)系統(tǒng)或設(shè)備出現(xiàn)故障問(wèn)題，都會(huì)對(duì)列車的運(yùn)行穩(wěn)定性和安全性造成影響。所以，列車運(yùn)行中需要多種不同信號(hào)監(jiān)測(cè)設(shè)備對(duì)其運(yùn)行狀態(tài)數(shù)據(jù)進(jìn)行收集和記錄，但是當(dāng)前能夠用于鐵路信號(hào)檢測(cè)的智能化技術(shù)較少，且應(yīng)用深度不足，無(wú)法通過(guò)現(xiàn)有運(yùn)行數(shù)據(jù)對(duì)列車后續(xù)的運(yùn)行狀態(tài)和可能發(fā)生故障進(jìn)行預(yù)測(cè)，從而難以做到故障預(yù)防與預(yù)防性維修的管理工作。

2.3監(jiān)測(cè)數(shù)據(jù)缺乏有效共享利用

雖然當(dāng)前鐵路列車中的信號(hào)監(jiān)測(cè)系統(tǒng)具有多個(gè)子系統(tǒng)和監(jiān)測(cè)設(shè)備，但是各設(shè)備和系統(tǒng)之間受到通信網(wǎng)絡(luò)管理以及其他因素的影響，整體數(shù)據(jù)缺乏有效共享利用，數(shù)據(jù)只服務(wù)于其所在的特定領(lǐng)域，無(wú)法直觀地呈現(xiàn)出列車整體運(yùn)行狀態(tài)，從而當(dāng)某一環(huán)節(jié)出現(xiàn)故障問(wèn)題時(shí)，無(wú)法快速準(zhǔn)確地判斷出故障的原因和故障發(fā)生的位置，經(jīng)常出現(xiàn)故障以后再去查看監(jiān)測(cè)數(shù)據(jù)排查故障的情況，對(duì)于列車故障為維護(hù)、維護(hù)等共管理工作產(chǎn)生不利影響，且不利于統(tǒng)一化、標(biāo)準(zhǔn)化的安全管控模式建設(shè)，是當(dāng)前影響我國(guó)鐵路列車信號(hào)系統(tǒng)網(wǎng)絡(luò)統(tǒng)一化管理和控制模式建設(shè)的主要因素，需要根據(jù)當(dāng)前的模式構(gòu)成對(duì)其進(jìn)行優(yōu)化設(shè)計(jì)，確保能夠建設(shè)統(tǒng)一化管控模式，從而推動(dòng)我國(guó)鐵路運(yùn)輸行業(yè)發(fā)展。

3鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)的統(tǒng)一安全管控模式構(gòu)建分析

鐵路信號(hào)系統(tǒng)對(duì)于網(wǎng)絡(luò)的安全性和可靠性具有極高要求，本文提出一種基于可信計(jì)算的網(wǎng)絡(luò)安全統(tǒng)一化管理模式，該模式能夠降低網(wǎng)絡(luò)管控復(fù)雜性，同時(shí)提升信號(hào)系統(tǒng)管控效率和安全性，該系統(tǒng)利用多種網(wǎng)絡(luò)冗余技術(shù)，同時(shí)要求鏈路在發(fā)生失效或設(shè)備出現(xiàn)故障時(shí)能夠快速切換到應(yīng)急備用管理模式中，需要結(jié)合工業(yè)以太網(wǎng)環(huán)網(wǎng)冗余技術(shù)以及鏈路聚合技術(shù)[2]。

因?yàn)殍F路的通信系統(tǒng)為專網(wǎng)運(yùn)營(yíng)模式，在運(yùn)行過(guò)程中不與外界網(wǎng)絡(luò)接觸，這種專網(wǎng)運(yùn)營(yíng)模式能夠減少外界網(wǎng)絡(luò)對(duì)其產(chǎn)生的影響，但是會(huì)影響到自身系統(tǒng)的升級(jí)實(shí)效性，如果發(fā)生網(wǎng)絡(luò)安全問(wèn)題，會(huì)產(chǎn)生較為嚴(yán)重的后果，且解決難度較高。同時(shí)，因?yàn)殍F路信號(hào)系統(tǒng)所包含的設(shè)備較多，系統(tǒng)結(jié)構(gòu)較為復(fù)雜，網(wǎng)絡(luò)安全管控問(wèn)題所面臨形勢(shì)較為嚴(yán)峻[3]?；诖耍撐慕ㄗh采用可信計(jì)算以及軟件定義網(wǎng)絡(luò)技術(shù)，能夠有效提高鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)管理安全性，防止網(wǎng)絡(luò)被木馬病毒入侵，同時(shí)能夠?yàn)橄到y(tǒng)賦予主動(dòng)免疫的功能。

3.1可信計(jì)算環(huán)境分析

可信計(jì)算環(huán)境內(nèi)部構(gòu)成主要包括可信平臺(tái)控制模塊和可信軟件，TPCM能夠?yàn)榭尚庞?jì)算提供較為完整的安全存儲(chǔ)、可信報(bào)告以及度量服務(wù)，是可信計(jì)算的核心硬件。在具體運(yùn)行時(shí)，TPCM首先啟動(dòng)，在建立信任鏈后以TPCM的完整性度量作為起點(diǎn)，CPU啟動(dòng)后控制權(quán)會(huì)轉(zhuǎn)移，從而將信任鏈拓寬到具體的系統(tǒng)程序中可信軟件主要為控制機(jī)制、度量機(jī)制、基準(zhǔn)庫(kù)以及判定機(jī)制構(gòu)成，控制機(jī)制能夠攔截來(lái)自系統(tǒng)程序之外的訪問(wèn)請(qǐng)求，同時(shí)能夠按照自主訪問(wèn)控制對(duì)請(qǐng)求是否違規(guī)進(jìn)行檢測(cè)，如果請(qǐng)求符合規(guī)定則通過(guò)，如果不符合規(guī)定則攔截;度量機(jī)制能夠?qū)Τ绦虻耐暾赃M(jìn)行對(duì)比分析，如果度量機(jī)制發(fā)現(xiàn)系統(tǒng)程序存在被篡改的問(wèn)題，則會(huì)執(zhí)行文件恢復(fù)等功能，能夠有效防止病毒入侵網(wǎng)絡(luò)管理程序，從而提高系統(tǒng)運(yùn)行安全性[4-6]。

3.2可信管控中心分析

可信管控中心是對(duì)系統(tǒng)整體的管理，主要包含系統(tǒng)管理、審計(jì)管理、密碼管理以及安全管理等多項(xiàng)內(nèi)容，管控中心采用相對(duì)獨(dú)立的管控模式，管理人員能夠根據(jù)實(shí)際業(yè)務(wù)需要開(kāi)展相應(yīng)的管理工作，按照用戶的安全級(jí)別形成可信程序庫(kù)，安全管理人員在對(duì)系統(tǒng)用戶進(jìn)行授權(quán)之后，系統(tǒng)則能夠生成基準(zhǔn)值，從而實(shí)現(xiàn)對(duì)系統(tǒng)主體和客體的命名標(biāo)記功能，按照業(yè)務(wù)需要和系統(tǒng)邏輯對(duì)訪問(wèn)客體的權(quán)限進(jìn)行甄別，從而能夠避免系統(tǒng)出現(xiàn)安全管理缺失等問(wèn)題，能夠?qū)Ξ?dāng)前鐵路信號(hào)系統(tǒng)存在的漏洞進(jìn)行補(bǔ)足，同時(shí)能夠?qū)﹁F路信號(hào)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)，保證系統(tǒng)處于正常運(yùn)行模式中。

3.3抗DDoS的SDN控制調(diào)度方法分析

因?yàn)殍F路信號(hào)系統(tǒng)網(wǎng)絡(luò)的規(guī)模和體量較大，所以采用SDN技術(shù)時(shí)，管控容易受到以流量為基礎(chǔ)的DDoS影響，所以該文在設(shè)計(jì)鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)統(tǒng)一安全管理模式時(shí)，增加能夠防御DDoS的SDN控制調(diào)度方式，從而能夠提高SND控制的抵抗能力。

3.4統(tǒng)一安全管控系統(tǒng)分析

該文針對(duì)當(dāng)前鐵路信號(hào)網(wǎng)絡(luò)管理中存在問(wèn)題研發(fā)的統(tǒng)一安全管控系統(tǒng)，具有可編程的特點(diǎn)，能夠良好地應(yīng)對(duì)鐵路信號(hào)網(wǎng)絡(luò)管控復(fù)雜性問(wèn)題，從而使得鐵路信號(hào)網(wǎng)絡(luò)管控更加智能化，同時(shí)能夠滿足列車管控對(duì)于數(shù)據(jù)獲取實(shí)時(shí)性的要求，對(duì)于提高管控系統(tǒng)穩(wěn)定性具有重要作用。

在系統(tǒng)架構(gòu)方面，該系統(tǒng)架構(gòu)主要分為數(shù)據(jù)層、控制層和應(yīng)用層，每個(gè)層級(jí)都設(shè)定有統(tǒng)一的應(yīng)用接口。首先，在專用信令網(wǎng)絡(luò)和通道方面，信號(hào)系統(tǒng)安全數(shù)據(jù)網(wǎng)絡(luò)連接鐵路沿線的多個(gè)車站，每個(gè)車站中都安裝有信號(hào)系統(tǒng)數(shù)據(jù)交換機(jī)，線纜沿著鐵路進(jìn)行鋪設(shè)，該系統(tǒng)能夠通過(guò)鐵路沿線的光纜，建設(shè)信令專用物理鏈路網(wǎng)絡(luò)，從而實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)分析需求。網(wǎng)絡(luò)控制數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)傳遞進(jìn)行物理隔離，能夠使其安全性得到提升，從而解決傳統(tǒng)控制模式中存在的多項(xiàng)隱患和問(wèn)題。其次，在數(shù)據(jù)層設(shè)計(jì)中，主要是將信號(hào)系統(tǒng)網(wǎng)絡(luò)管理的安全問(wèn)題轉(zhuǎn)化為數(shù)據(jù)層的網(wǎng)絡(luò)流，結(jié)合白名單機(jī)制能夠?qū)Ξ惓＝尤胍约爱惓z測(cè)等進(jìn)行控制，從而能夠全面減少信號(hào)系統(tǒng)管理的安全威脅，該系統(tǒng)同時(shí)承擔(dān)地面列車控制各個(gè)設(shè)備之間的通信功能，主要包括TCC、CBI、RBC、TSRS等。第三，在該系統(tǒng)的網(wǎng)絡(luò)應(yīng)用層中，網(wǎng)絡(luò)管控功能主要由應(yīng)用層實(shí)現(xiàn)，能夠完成該系統(tǒng)中的網(wǎng)絡(luò)流精細(xì)化管控需要。

3.5實(shí)際應(yīng)用測(cè)試分析

將上述所設(shè)計(jì)的系統(tǒng)應(yīng)用在鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)統(tǒng)一安全管控中，在不同的場(chǎng)景中進(jìn)行測(cè)試。例如：將其應(yīng)用在某被不法分子潛入的無(wú)人值守車站信號(hào)機(jī)房中，該信號(hào)安全數(shù)據(jù)網(wǎng)絡(luò)終端設(shè)備被人惡意控制，此時(shí)可以通過(guò)該終端發(fā)起測(cè)試。根據(jù)測(cè)試結(jié)果顯示，當(dāng)系統(tǒng)被入侵后，利用nmap對(duì)網(wǎng)絡(luò)中存在的主機(jī)終端進(jìn)行掃描，即可發(fā)現(xiàn)系統(tǒng)中存在的異常設(shè)備，在該系統(tǒng)的防護(hù)下，只有部分終端能夠被發(fā)現(xiàn)，其他設(shè)備無(wú)法被發(fā)現(xiàn)，從而能夠提高系統(tǒng)安全性，將非法入侵隔離在較小的范圍之內(nèi)。

4 結(jié)語(yǔ)

綜上所述，該文全面闡述鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)監(jiān)測(cè)多種模式，并對(duì)鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)安全管理中存在的問(wèn)題進(jìn)行分析，最后提出一種基于可信技術(shù)和SDN技術(shù)的統(tǒng)一安全管控系統(tǒng)，希望能夠?qū)ξ覈?guó)鐵路信息化建設(shè)起到一定的借鑒和幫助作用，從而不斷提高鐵路運(yùn)行安全性。

參考文獻(xiàn)

[1] 趙妮.試析高速鐵路信號(hào)系統(tǒng)的網(wǎng)絡(luò)安全與統(tǒng)一管控[J].價(jià)值工程，2018，37（11）：73-74.

[2] 石明明.高速鐵路信號(hào)系統(tǒng)安全數(shù)據(jù)網(wǎng)數(shù)據(jù)獲取及分析[J].鐵路通信信號(hào)工程技術(shù)，2019，16（9）：48-51.

[3] 孫凱，朱子恒.某客運(yùn)專線信號(hào)安全數(shù)據(jù)網(wǎng)“網(wǎng)絡(luò)風(fēng)暴”事件分析[J].鐵路通信信號(hào)工程技術(shù)，2019，16（1）：81-84.

[4] 田開(kāi)元.鐵路信號(hào)安全數(shù)據(jù)網(wǎng)異常行為檢測(cè)方法研究[D].北京：北京交通大學(xué)，2020.

[5] 馮飛，趙紅霞.信號(hào)安全數(shù)據(jù)網(wǎng)故障分析及改進(jìn)對(duì)策[J].鐵路通信信號(hào)工程技術(shù)，2020，17（10）：71-75.

[6] 王威華.達(dá)成線遂寧至三匯鎮(zhèn)段CTCS-2級(jí)列控通道維護(hù)策略研究[D].北京：中國(guó)鐵道科學(xué)研究院，2020.

作者簡(jiǎn)介：王帆（1989—），男，本科，中級(jí)工程師，研究方向?yàn)殍F道信號(hào)。