鐵路信號系統(tǒng)網(wǎng)絡(luò)安全風險分析與防護措施研究

邢燕梅

（中鐵十二局集團電氣化工程有限公司，天津 300308）

0 引言

在鐵路建設(shè)高速發(fā)展的現(xiàn)代社會，構(gòu)建智能化鐵路信號系統(tǒng)已成為大勢所趨。只有進行不同信號設(shè)備的優(yōu)化重組，才能夠讓智能化鐵路信號系統(tǒng)的發(fā)展更貼合時代趨向，才能夠建立功能齊全的信息化網(wǎng)絡(luò)體系，推動鐵路未來的建設(shè)和發(fā)展。但就目前而言，信息系統(tǒng)內(nèi)部不同設(shè)備單元的交互聯(lián)系仍然存在一些問題，如果不能夠優(yōu)化信息系統(tǒng)內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，降低信號系統(tǒng)運作過程中出現(xiàn)的安全風險，在鐵路信號系統(tǒng)運作過程中將很容易出現(xiàn)各類突發(fā)性事故，不僅會影響鐵路的正常運行，還會產(chǎn)生一系列不可預估的嚴重后果。

1 網(wǎng)絡(luò)安全問題研究的價值分析

鐵路信號系統(tǒng)的組織構(gòu)建，經(jīng)過較為漫長的發(fā)展階段，現(xiàn)今的鐵路信號系統(tǒng)具備車輛調(diào)度指揮的功能，在控制列車運行時能進行必要的災害防護，實時監(jiān)測列車主要設(shè)備的運行狀況，同時進行必要的信息傳輸和管理。因此，現(xiàn)階段的鐵路信號系統(tǒng)具有較為明顯的綜合性信息控制功能，其運作狀況會直接影響鐵路運輸?shù)陌踩?/p>

但需要注意的是，鐵路信號系統(tǒng)自身的網(wǎng)絡(luò)具有封閉性特征，因此在傳統(tǒng)的網(wǎng)絡(luò)研究過程中，大多數(shù)學者把研究重點放在可靠性方面，而忽視了對網(wǎng)絡(luò)安全的研究。但實際上，在信息技術(shù)不斷發(fā)展的現(xiàn)代社會，不同類型的病毒和層出不窮的攻擊手段，給鐵路信號系統(tǒng)的日常運作帶來不小的挑戰(zhàn)。如果不及時更新網(wǎng)絡(luò)安全防御體系，提升鐵路信號系統(tǒng)的防護能力，那么鐵路信號系統(tǒng)在運作過程中就很容易遭受攻擊。只有讓鐵路行車運輸安全得到保障，才能夠降低各類突發(fā)事故的發(fā)生概率，因此，網(wǎng)絡(luò)安全問題研究具有極為重要的現(xiàn)實意義和價值。

2 鐵路信號系統(tǒng)的網(wǎng)絡(luò)安全風險

2.1 網(wǎng)絡(luò)安全事件處置風險

在信號系統(tǒng)應用中，很容易出現(xiàn)各類網(wǎng)絡(luò)安全事件，相應事件一旦出現(xiàn)，往往很難處理。之所以網(wǎng)絡(luò)安全事故難以得到妥善處理，與以下三個因素有密切關(guān)聯(lián)。

首先，大部分網(wǎng)絡(luò)架構(gòu)節(jié)點都包含各類安全設(shè)備，因此在發(fā)生安全事故時，技術(shù)人員無法通過設(shè)備配置的全面優(yōu)化調(diào)整方案進行針對性的響應。

其次，在信號系統(tǒng)運作過程中，日志在全網(wǎng)各設(shè)備中都可見，由于日志的分散性導致技術(shù)人員無法在短時間內(nèi)將日志統(tǒng)一匯總分析，致使相應的安全事故處理存在一定的遲滯。

最后，信號系統(tǒng)自身的網(wǎng)絡(luò)規(guī)模較為龐大，但在具體的監(jiān)測和運作過程中缺乏統(tǒng)一的中樞機制，因此工作人員難以通過信息傳輸?shù)姆绞剑诘谝粫r間判斷當前所遭遇的網(wǎng)絡(luò)安全事件的嚴重程度，從而很難及時采取具有針對性的措施解決網(wǎng)絡(luò)安全問題。

2.2 傳統(tǒng)防護邊界風險

在信號系統(tǒng)運作過程中，需要采取網(wǎng)絡(luò)安全防護措施進行邊界部署，在傳統(tǒng)的邊界風險防護過程中，通常使用的手段是防火墻建構(gòu)或網(wǎng)閘建構(gòu)。但由于信息技術(shù)的不斷發(fā)展與完善，現(xiàn)階段網(wǎng)絡(luò)安全威脅問題已經(jīng)逐步延伸到應用層的安全設(shè)備，以往的措施在應對當前網(wǎng)絡(luò)安全威脅時能夠產(chǎn)生的作用十分有限。如果要讓信息系統(tǒng)遭受安全威脅的概率得到有效控制，就需要根據(jù)當前信號系統(tǒng)網(wǎng)絡(luò)安全防護的具體需求，加強應用層數(shù)據(jù)監(jiān)測方面的工作。但就目前而言，此類工作的有效落實仍然存在一定阻礙，因此傳統(tǒng)防護邊界風險仍然存在。

2.3 安全管理手段不夠完善

在信號系統(tǒng)建設(shè)與優(yōu)化過程中，現(xiàn)階段所使用的安全管理制度已無法及時應對網(wǎng)絡(luò)安全形勢變化過程中出現(xiàn)的突發(fā)性事件，并妥善地解決各類突發(fā)性問題。在此類情況下，管理人員無法依據(jù)現(xiàn)有制度來降低安全風險出現(xiàn)的概率，進行新技術(shù)的全面應用。因此，在具體的系統(tǒng)運維過程中，如果需要完成修改、維護和升級軟件等工作，則很容易在非法設(shè)備接入和移動存儲介質(zhì)使用過程中出現(xiàn)各類安全問題，最終導致病毒感染或非法入侵的概率大幅度上升。而在這一過程中，網(wǎng)絡(luò)安全應急預案由于長久未能得到更新，從而缺乏全面性和系統(tǒng)性，已不能適應現(xiàn)階段的網(wǎng)絡(luò)安全變化情況。如果管理人員不能及時進行各類網(wǎng)絡(luò)安全事故的緊急演練，革新優(yōu)化相應事故的處理能力，那么鐵路信號系統(tǒng)的安全管理質(zhì)量就無法得到提升[1]。

2.4 遠程維護訪問存在風險

鐵路信號系統(tǒng)需要通過遠程訪問的方式來進行終端維護，因此現(xiàn)階段經(jīng)常使用PcAnywhere 以及DameWare 來進行維修和控制。此類維修軟件雖然實用，但缺少必要的安全審計機制，所以在具體的遠程維護過程中，很容易引發(fā)安全事故。一旦出現(xiàn)安全事件，技術(shù)人員很難通過追根溯源的方式進行徹查，制訂更具有針對性的事故處理方案。因此，在具體的遠程維護訪問過程中，需要詳細記錄不同類型設(shè)備的登錄日志和配置操作，只有如此，才能夠讓信號系統(tǒng)違規(guī)操作的事后追蹤能力得到提升。但就目前而言，這方面工作仍有不到位之處，以致鐵路信號系統(tǒng)的網(wǎng)絡(luò)安全問題尚難得到有效解決。

3 鐵路信號系統(tǒng)安全風險的成因

3.1 低安全等級網(wǎng)絡(luò)有被滲透的可能

相比于傳統(tǒng)的信號安全數(shù)據(jù)網(wǎng)，現(xiàn)階段所使用的能夠控制列車運行狀態(tài)和各類信號設(shè)備的CTC 系統(tǒng)網(wǎng)絡(luò)，在安全等級方面并不理想。CTC 系統(tǒng)中布置了大量不同類別的服務器，在具體運作過程中，需要使用專用或通用的操作系統(tǒng)來完成一系列操作，不論是Windows Server 還是Windows NT 系列，其自身并沒有內(nèi)置的安全功能，因此存在較為明顯的低安全等級網(wǎng)絡(luò)被滲透的風險，這也是導致鐵路信號系統(tǒng)安全風險問題無法得到徹底解決的重要因素之一[2]。

3.2 鐵路信號系統(tǒng)網(wǎng)絡(luò)設(shè)置不合理

雖然現(xiàn)階段鐵路信號系統(tǒng)所使用的CTC 網(wǎng)絡(luò)和TDCS 網(wǎng)絡(luò)具有較為明顯的獨立性特征，但其使用的系統(tǒng)服務器以及具備終端查詢功能的IP 地址設(shè)置均在同一個網(wǎng)段，從而意味著終端操作員可采用跨越防火墻登錄的方式來訪問不同節(jié)點的服務器，甚至在特殊情況下進行服務器配置修改工作，進而很容易使得調(diào)度系統(tǒng)陷入混亂局面，最終影響鐵路的行車安全。由此可見，鐵路信號系統(tǒng)自身網(wǎng)絡(luò)設(shè)置方面存在的問題是導致安全風險居高不下的重要原因之一。

3.3 鐵路信號系統(tǒng)易遭受病毒攻擊

由于計算機網(wǎng)絡(luò)層級設(shè)備在硬軟件方面均實現(xiàn)了較為明顯的突破性發(fā)展，因而硬件價格呈現(xiàn)出不斷下降的趨向，而且終端產(chǎn)品自身也具有一定的智能化特征，從而意味著自制計算機和終端設(shè)備在應用過程中失去明顯的分界。如果網(wǎng)絡(luò)權(quán)限一直是以開放形態(tài)進行工作的，網(wǎng)絡(luò)就很容易遭受攻擊風險。相比于以往鐵路信號系統(tǒng)的運作方式，現(xiàn)階段的信號系統(tǒng)一旦進入工作狀態(tài)，就極易遭受病毒的攻擊，這也是鐵路信號系統(tǒng)安全風險難以控制的重要原因之一。

4 安全風險分析與防護措施研究

4.1 進行安全區(qū)域邊界技術(shù)的合理應用

具體的安全區(qū)域邊界技術(shù)應用，可從如下四個方面來進行：

首先，技術(shù)人員可在TDCS 系統(tǒng)和CTC 系統(tǒng)架構(gòu)過程中，將網(wǎng)閘設(shè)備接入安全管理平臺，讓網(wǎng)絡(luò)安全設(shè)備的集中管理要求得到有效落實，確保CTC 系統(tǒng)、TDCS 系統(tǒng)與其他信號系統(tǒng)的接口所部署的網(wǎng)閘設(shè)備能夠在隔離防護方面起到作用，提高不同區(qū)域間信息交換的安全性。在網(wǎng)絡(luò)安全設(shè)備集中管理的過程中，只要將網(wǎng)閘設(shè)備接入安全管理平臺，那么信號系統(tǒng)的安全態(tài)勢感知精準程度將提高，確保網(wǎng)閘設(shè)備運行數(shù)據(jù)日志能夠被詳細地記錄到安管中心[3]。

其次，CTC 系統(tǒng)和TDCS 系統(tǒng)的不同區(qū)域之間均需要部署防火墻設(shè)備，相比于傳統(tǒng)防火墻，該防火墻需要具有在會話狀態(tài)下檢測訪問控制規(guī)則的能力。只有如此，相應系統(tǒng)在運作過程中才能將內(nèi)容和應用協(xié)議作為訪問控制規(guī)則的元素，保證訪問的安全性。在這一過程中，由于防火墻自身嵌入了入侵檢測及預防病毒的功能模塊，所以系統(tǒng)運作中業(yè)務流量監(jiān)測的安全威脅可得到有效控制。

再次，在CTC 系統(tǒng)和TDCS 系統(tǒng)運作過程中需要使用MAC 或IP 綁定技術(shù)，只有這樣，網(wǎng)絡(luò)設(shè)備的可信連接對象才能夠得到更進一步的固定，在系統(tǒng)運作過程中，空閑端口才可及時關(guān)閉。只要使用MAC 或IP綁定技術(shù)，訪問員地址就能有效控制系統(tǒng)內(nèi)的所有組件。在網(wǎng)絡(luò)訪問源限制過程中，都會變成僅允許可信遠程終端訪問的狀態(tài)，這能夠讓系統(tǒng)外違規(guī)設(shè)備接入的安全風險得到合理控制，從而進一步提升鐵路信號系統(tǒng)的使用安全性[4]。

最后，為了完善安全風險的防護效用，工作人員需要在關(guān)鍵網(wǎng)絡(luò)節(jié)點內(nèi)部署入侵防御系統(tǒng)，只有這樣，才能夠在CTC 系統(tǒng)和TDCS 系統(tǒng)使用過程中，完成不同數(shù)據(jù)包的深度檢測工作，讓新型網(wǎng)絡(luò)攻擊行為得到更精準的甄別。CTC 系統(tǒng)和TDCS 系統(tǒng)在網(wǎng)絡(luò)安全防御方面的體系架構(gòu)如圖1 所示。

圖1 CTC 系統(tǒng)和TDCS 系統(tǒng)

在入侵防御系統(tǒng)運作過程中，其自身所具備的防御和告警功能也會開啟，這有助于進行安全風險剔除，使鐵路信號系統(tǒng)正常運作。如果入侵防御系統(tǒng)檢測到流量中存在攻擊行為，就會主動發(fā)出警報，并及時完成阻斷工作，降低攻擊鏈接的成功概率，確保鐵路信號系統(tǒng)在運作過程中自動完成對網(wǎng)絡(luò)攻擊的防御。

4.2 進行安全通信網(wǎng)絡(luò)技術(shù)的優(yōu)化應用

在具體的系統(tǒng)優(yōu)化過程中，如果能夠完全按照設(shè)計的具體技術(shù)條件進行CTC 系統(tǒng)或TDCS 系統(tǒng)的建構(gòu)，那么其自身的網(wǎng)絡(luò)架構(gòu)就能夠滿足安全通信方面的要求。但需要注意的是，在具體的網(wǎng)絡(luò)安全區(qū)域劃分上，仍然需要花費一定的時間和精力。只有根據(jù)網(wǎng)絡(luò)安全區(qū)域劃分的具體原則和要求來劃分CTC 系統(tǒng)和TDCS 系統(tǒng)的安全域，才能夠讓安全通信網(wǎng)絡(luò)技術(shù)得到切實應用，讓安全風險方面的問題得到解決。在大多數(shù)情況下，CTC 系統(tǒng)和TDCS 系統(tǒng)都可被分成9個安全域，分別是運維管理域、業(yè)務終端域、核心業(yè)務域、數(shù)據(jù)查詢域、應急備用域、對外接口域、車站業(yè)務域、安全管理域及模擬仿真域，技術(shù)人員需要對這一防護措施的應用引起足夠重視[5]。

4.3 進行安全管理中心技術(shù)的優(yōu)化應用

在CTC 系統(tǒng)或TDCS 系統(tǒng)的安全管理域，進行統(tǒng)一安全管理平臺的部署，能夠讓網(wǎng)絡(luò)安全組件當中的補丁庫以及惡意代碼庫得到全面且集中的管理，從而意味著技術(shù)人員可通過更具有內(nèi)在邏輯關(guān)聯(lián)的安全審計方式，進行不同系統(tǒng)組件的安全審計記錄，并進行系統(tǒng)運作日志的統(tǒng)一存儲備份和傳輸，在此類情況下，CTC 系統(tǒng)以及TDCS 系統(tǒng)的安全態(tài)勢能夠得到全面的優(yōu)化與革新。安全管理中心技術(shù)的全面落實和應用，方便技術(shù)人員對各類審計記錄進行必要的分析和綜合查詢，對其所面臨的安全事件進行必要的等級劃分，這有助于安全管理員進行事先防控，并在事故發(fā)生階段進行實時監(jiān)測，以及完成事后報告的撰寫工作，這能夠讓整個網(wǎng)絡(luò)安全事件的回溯追蹤質(zhì)量得到更進一步的提升。

4.4 使用統(tǒng)一的網(wǎng)絡(luò)安全管控建設(shè)方案

現(xiàn)階段較為常見的網(wǎng)絡(luò)框架是SDN，技術(shù)人員可通過交換機和路由器之間的傳輸數(shù)據(jù)來完成平面控制工作，使用統(tǒng)一的控制器進行必要的數(shù)據(jù)管理，在這一過程中，一旦控制平面和數(shù)據(jù)平面出現(xiàn)分離狀態(tài)，網(wǎng)絡(luò)的控制平面就可充當平臺，在不同控制程序應用過程中實現(xiàn)對不同層級網(wǎng)絡(luò)平臺的管理工作，此類物理的隔離方式，能夠讓整體系統(tǒng)變得更加安全。在CTC 系統(tǒng)網(wǎng)絡(luò)以及信號安全問題解決過程中，技術(shù)人員采用設(shè)置獨立子網(wǎng)的方式，將CTC 系統(tǒng)網(wǎng)絡(luò)和SDN 融合到同一個網(wǎng)絡(luò)平臺，用統(tǒng)一的軟件進行操控，那么在虛擬化技術(shù)應用背景下，軟件定義信號體系的不同子網(wǎng)功能就會變得更加協(xié)調(diào)統(tǒng)一，此類統(tǒng)一的網(wǎng)絡(luò)安全管控建設(shè)方案，在操作方面并不存在難度，有助于鐵路信號系統(tǒng)的網(wǎng)絡(luò)安全管控工作得到全面優(yōu)化[6]。

5 結(jié)語

總而言之，在鐵路信號系統(tǒng)使用過程中，全面分析網(wǎng)絡(luò)安全風險的成因是很有必要的。只有根據(jù)當前鐵路信號系統(tǒng)的具體使用情況，制定出更具有可行性的安全風險分析和防護措施，才能夠降低安全事件出現(xiàn)的可能性。只有有效提升安全事件追溯分析的力度，讓鐵路信號系統(tǒng)的運作穩(wěn)定性得到提升，才能保障鐵路行業(yè)安全穩(wěn)定地運行。