TDCS/CTC中心網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的補強(qiáng)方案

焦景忠

摘 要：本文對于當(dāng)前鐵路部TDCS/CTC中心網(wǎng)安全設(shè)施常見的問題，根據(jù)現(xiàn)有技術(shù)標(biāo)準(zhǔn)需求，提出補強(qiáng)計劃，并介紹方案思路、框架、獲得的成效與技術(shù)特征。

關(guān)鍵詞：TDCS/CTC；中心網(wǎng)絡(luò)；安全防護(hù)；補強(qiáng)計劃

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-2064（2019）15-0015-02

0 引言

TDCS是覆蓋整路段調(diào)度指揮管理平臺，可以及時、精準(zhǔn)的為全路段各個調(diào)度指揮管理者帶來現(xiàn)代化調(diào)度指揮控制方式及平臺。TDCS屬于一個三級四成框架。結(jié)構(gòu)圖見圖1所示.鐵路局調(diào)度指揮系統(tǒng)處在整個梯結(jié)構(gòu)的第二層，通過中心機(jī)室設(shè)施、調(diào)度所設(shè)施與遠(yuǎn)程終端設(shè)施構(gòu)成?；谥?、備路由器，通過主、備2Mb/s通道和所管屬的車站基層系統(tǒng)、臨近鐵路局TDCS與鐵路總單位踢TDCS銜接，實現(xiàn)數(shù)據(jù)交換，鐵路局每個功能臺經(jīng)過交換機(jī)和路由器連接，組成主、備星形銜接的LAN。

1 TDCS/CTC中心網(wǎng)的安全情況

TDCS與CTC屬于鐵路運送調(diào)度運營的關(guān)鍵信息平臺，是鐵路運營調(diào)度指揮的重要裝備，屬于鐵路各級車輛調(diào)度對列車進(jìn)行透明指揮、及時調(diào)節(jié)、統(tǒng)一把控的重要手段。如果系統(tǒng)受到損壞和攻擊，將極易導(dǎo)致業(yè)務(wù)服務(wù)斷開，甚至造成系統(tǒng)癱瘓，擾亂列車調(diào)度指揮運營正常進(jìn)行，甚至將導(dǎo)致鐵路運送系統(tǒng)的大范圍癱瘓，需要對其進(jìn)行多角度的安全防護(hù)。

就某鐵路局來說，當(dāng)前網(wǎng)絡(luò)安全保護(hù)設(shè)施是根據(jù)《分散自律調(diào)度統(tǒng)一組網(wǎng)方案與硬件置規(guī)范》、《鐵路運送調(diào)度指揮平臺技術(shù)規(guī)范（暫行）》以及《關(guān)于調(diào)節(jié)TDCS平臺結(jié)構(gòu)與主網(wǎng)計劃的通知》的標(biāo)準(zhǔn)來配備的。分別安裝了網(wǎng)絡(luò)抗病毒、中心防火墻以及動態(tài)口令身份認(rèn)證、漏洞掃描四類網(wǎng)絡(luò)安全防護(hù)裝置。這類裝置有效預(yù)防各種網(wǎng)絡(luò)安全侵襲和非法登錄，預(yù)防了病毒傳遞和發(fā)作，針對保證TDCS/CTC中心穩(wěn)定、可靠運轉(zhuǎn)到較大的作用?，F(xiàn)有設(shè)施的拓樸結(jié)構(gòu)件如圖1所示。

2 常見的問題

國家相關(guān)部門確定TDCS/CTC平臺是數(shù)據(jù)全等級防護(hù)四級平臺。因為現(xiàn)有的網(wǎng)絡(luò)安全裝備部署很早，受當(dāng)時科技條件與認(rèn)知水平的限制，現(xiàn)有TDCS/CTC網(wǎng)絡(luò)安全平臺安全措施及對策方面設(shè)置很單調(diào)，主要是缺少集中的安全控制、安全審計方式缺失、對U盤、外部終端等裝備缺少監(jiān)督技術(shù)方法等問題，不能滿足TDCS/CTC中心網(wǎng)絡(luò)穩(wěn)定總體防護(hù)需求，很難應(yīng)對逐漸嚴(yán)重的安全威脅及風(fēng)險，更與國家數(shù)據(jù)安全等級防護(hù)需求有明顯差別。

（1）廣播域管理不夠。因為交換機(jī)僅能縮小沖突域，并無法縮小廣播域，因此整個交換系統(tǒng)便是一個大的兩層廣播域，將形成諸多的二層廣播幀，這些信息幀將充斥全部交換系統(tǒng)，但針對TDCS/CTC來說，這類信息幀就是無效的信息幀。（2）環(huán)路風(fēng)險。按照以太網(wǎng)交換協(xié)議規(guī)范，交換機(jī)間不能有環(huán)路，如果有環(huán)路會出現(xiàn)廣播風(fēng)暴，最后將所有網(wǎng)絡(luò)資源耗盡，進(jìn)而造成網(wǎng)絡(luò)不能用。（3）帶寬無法充分使用。為避免環(huán)路，整個網(wǎng)絡(luò)中交換機(jī)要開啟生成樹協(xié)議，阻塞出現(xiàn)環(huán)路的端口。為防止單點硬件異常與增加帶寬，某鐵路局TDCS/CTC調(diào)度中心的A網(wǎng)絡(luò)交換機(jī)和中心交換機(jī)A之間使用兩個光纖來銜接，但是在交換機(jī)當(dāng)中出現(xiàn)了環(huán)路，需要經(jīng)過生成樹協(xié)議斷開形成環(huán)路的交換機(jī)端部，該端口就是阻塞端口。唯有當(dāng)穩(wěn)定端口斷開，阻塞端口方可重新開啟得到通訊。即兩個光纖鏈路上僅有一個光纖鏈路處在穩(wěn)定通訊狀態(tài)，另一個光纖鏈路處在斷開狀態(tài)下，不能同步采用兩個鏈路，導(dǎo)致帶寬無法充分使用。

3 補強(qiáng)目標(biāo)與采取計劃

結(jié)合鐵路局運送局有關(guān)發(fā)表《TDCS、CTC組網(wǎng)計劃與硬件配置規(guī)范（暫行）》的通知，對現(xiàn)有平臺的補強(qiáng)要達(dá)到增強(qiáng)內(nèi)部終端風(fēng)險預(yù)防、提升平臺縱身防御水平、提升安全設(shè)備技術(shù)含量等目標(biāo)，采用的技術(shù)方案有：

3.1 強(qiáng)化內(nèi)部終端問題防護(hù)

經(jīng)過中心部署安全銜接控制平臺對非授權(quán)設(shè)施隨意聯(lián)接至TDCS/CTC中心網(wǎng)的現(xiàn)象進(jìn)行嚴(yán)格檢測，避免未授權(quán)的U盤，移動計算機(jī)等裝備連接調(diào)度指揮運營網(wǎng)絡(luò)，進(jìn)而防止由內(nèi)部終端違法操作而造成的病毒感染和傳遞。此外，還能夠?qū)?nèi)部員工經(jīng)MODEM撥號、雙網(wǎng)卡等形式連接網(wǎng)絡(luò)和其他信息平臺展開檢查和禁止，并基于網(wǎng)絡(luò)安全統(tǒng)一管理系統(tǒng)實現(xiàn)統(tǒng)一監(jiān)控、報警和違規(guī)U盤銜接等安全問題的集中報警和響應(yīng)。于TDCS/CTC中心系統(tǒng)分部布丁分發(fā)平臺，對TDCS/CTC中心內(nèi)每種終端操作平臺的漏洞展開評價和研究，經(jīng)過建立針對性很強(qiáng)的布丁升級對策，定時分發(fā)與設(shè)置終端操作平臺補丁，安全、立即的修補將會被病毒使用與攻擊的平臺漏洞，提高各種終端對病毒的預(yù)防性能以及“免疫力”。

3.2 提升系統(tǒng)縱深防范性能

創(chuàng)建SOC，重點包含網(wǎng)絡(luò)完全統(tǒng)一管理與安全升級兩大平臺。網(wǎng)絡(luò)安全統(tǒng)一管理重點實時監(jiān)控鐵路部TDCS/CTC中心穩(wěn)定體系中各種安全裝配與有關(guān)網(wǎng)絡(luò)設(shè)施的運轉(zhuǎn)狀態(tài)以及網(wǎng)絡(luò)運轉(zhuǎn)拓?fù)錉顟B(tài)展開及時監(jiān)控，為安全控制者提供集中的運轉(zhuǎn)狀態(tài)監(jiān)測數(shù)據(jù)，并結(jié)合預(yù)計的報警閥值標(biāo)準(zhǔn)，展開集中的監(jiān)控告警，確保安全系統(tǒng)本身的安全、穩(wěn)定運轉(zhuǎn)[1]。主要監(jiān)測主體涉及防火墻、抗病毒、身份認(rèn)證、侵襲檢查等安全部件，將各種安全平臺的管理實現(xiàn)有效整合，集中監(jiān)督安全運轉(zhuǎn)狀態(tài)，有助于值班者及時監(jiān)測和維護(hù)系統(tǒng)安全程度，有助于預(yù)警性找到設(shè)施的故障隱患，有助于及時定位和排除安全隱患。

安全審計平臺重點監(jiān)測TDCS/CTC中心的關(guān)鍵網(wǎng)絡(luò)設(shè)施、操作平臺等日志數(shù)據(jù)，與各種安全部件的安全問題報警數(shù)據(jù)等，及時找到各種安全事件，比如網(wǎng)絡(luò)蠕蟲入侵情況、U盤非授權(quán)銜接情況、DOS攻擊情況等，方便及時找到問題，安排安全技術(shù)工作者，采用科學(xué)措施，確保系統(tǒng)穩(wěn)定運轉(zhuǎn)，且在網(wǎng)絡(luò)安全問題出現(xiàn)以后，對造成安全事件出現(xiàn)的各種行為和操作展開整體的取證和審計定責(zé)[2]。而且根據(jù)網(wǎng)絡(luò)安全統(tǒng)一管理中心各種功能，不斷提升TDCS/CTC中心網(wǎng)總體縱深防御性能。

3.3 提升安全設(shè)備技術(shù)含量

在TDCS/CTC中心平臺中分布侵襲監(jiān)測平臺，立即檢查、定位平臺中的黑客攻擊現(xiàn)象和網(wǎng)絡(luò)蠕蟲問題的感染事件，全網(wǎng)檢查和報警系統(tǒng)中各種常見的網(wǎng)絡(luò)攻擊現(xiàn)象，比如端口掃描、抵制服務(wù)攻擊與地址欺騙等不良攻擊方式都會導(dǎo)致中心網(wǎng)絡(luò)核心端口數(shù)據(jù)泄露，隨意耗損網(wǎng)絡(luò)帶寬信息，而且冒充正常項目業(yè)務(wù)終端和合法主機(jī)實現(xiàn)數(shù)據(jù)交換，導(dǎo)致關(guān)鍵服務(wù)設(shè)備信息泄露與關(guān)鍵主機(jī)配備文件被修改等情況。補強(qiáng)之后TDCS/CTC核心網(wǎng)絡(luò)安全裝配拓?fù)淇蚣苋鐖D2所示。

4 TDCS/CTC中心子平臺網(wǎng)絡(luò)結(jié)構(gòu)完善

對于以往HSRP（或是仿真路由冗余協(xié)議VRRP）+MSTP部署形式的問題，而且為促進(jìn)鐵路設(shè)施的國產(chǎn)化，某鐵路普速TDCS/CTC中心子平臺的網(wǎng)絡(luò)結(jié)構(gòu)完善采取H3C交換機(jī)。把中心交換機(jī)、核心機(jī)室列頭交換器、調(diào)度大廳連接交換機(jī)集中部署IRF網(wǎng)絡(luò)模擬化、跨設(shè)施鏈路捆綁與端口聯(lián)動[3]。IRF邏輯方面把兩臺中心交換機(jī)模擬化成1臺中心交換機(jī)，中心交換機(jī)和連接交換機(jī)之中經(jīng)跨設(shè)施鏈路捆綁形式，把網(wǎng)絡(luò)結(jié)構(gòu)完善成一個樹形框架，消除、中心、連接層之中的環(huán)路，不再分布VRRP+MSTP協(xié)議。信息中心中邏輯結(jié)構(gòu)明確、簡單，設(shè)施質(zhì)量、帶寬得以充分使用。

4.1 IRF與鏈路捆綁

IRF屬于H3C自主開發(fā)的軟件模擬化技術(shù)。其關(guān)鍵思想是把多臺設(shè)施經(jīng)過IRF物理端口銜接起來，做出相應(yīng)的配置后，模擬化成1臺“分布式設(shè)施”。采用該種模擬化技術(shù)能夠得到多臺機(jī)器的協(xié)同運行、集中管理與持續(xù)維護(hù)[4]。鏈路捆綁指把若干個封裝一樣鏈路層協(xié)議的接口與鏈路捆綁起來，產(chǎn)生一條邏輯方面的信息鏈路?？缭O(shè)施鏈路捆綁是基于IRF得到的對不同機(jī)械之間的同類接口相捆綁。采用IRF與鏈路捆綁，其顯著優(yōu)點是：

（1）全面提高網(wǎng)絡(luò)性能。全部終端交換機(jī)都采取雙鏈路分別連接到接入交換機(jī)，其也采取雙鏈路分別接入中心交換機(jī)[5]。采用IRF與鏈路捆綁以前，為防止環(huán)路，關(guān)鍵設(shè)置、接入設(shè)施與鏈路僅能是“一主一備”形式運轉(zhuǎn)，設(shè)施與鏈路的使用率僅有50%；采用IRF與鏈路捆綁后，關(guān)鍵設(shè)施、接入設(shè)施以及鏈路都是負(fù)載負(fù)擔(dān)形式，設(shè)備與鏈路得到全部使用。（2）簡潔網(wǎng)絡(luò)拓?fù)渑c業(yè)務(wù)。采用IRF與鏈路捆綁前，整體交換網(wǎng)絡(luò)于二層需要開啟形成書，三層應(yīng)當(dāng)開啟VRRP，不管是VLAN規(guī)劃或者路由規(guī)劃均非常繁瑣，網(wǎng)絡(luò)異常后的收斂時間均是秒級。采用IRF與鏈路捆綁之后，全網(wǎng)絡(luò)變成一個樹形框架，沒有環(huán)路，二層不會再形成樹，三層不再用VRRP，不僅簡潔了網(wǎng)絡(luò)拓?fù)渑c業(yè)務(wù)，收斂時間也從秒級提高至毫秒級。（3）提升網(wǎng)絡(luò)穩(wěn)定性。采用IRF與鏈路捆綁之前，當(dāng)某一成員接口（或是鏈路）產(chǎn)生異常時，整個網(wǎng)絡(luò)應(yīng)當(dāng)重新展開收斂，必定會導(dǎo)致網(wǎng)絡(luò)閃斷；采用IRF與鏈路捆綁之后，當(dāng)某一成員接口（或是鏈路）產(chǎn)生異常時，流量將在毫秒間智能切換至其他能用的成員接口（或是鏈路）上，進(jìn)而提升了整體網(wǎng)絡(luò)的穩(wěn)定性。

4.2 端口聯(lián)動

該過程經(jīng)過監(jiān)控交換機(jī)設(shè)施的上行端口，結(jié)合其up/down狀態(tài)的改變來觸及下行端口up/down狀態(tài)的改變，進(jìn)而觸及下游設(shè)施實現(xiàn)業(yè)務(wù)（網(wǎng)絡(luò)）的轉(zhuǎn)換。分布端口聯(lián)動之前：當(dāng)鐵路設(shè)施交換機(jī)A上行兩個萬兆鏈路同步產(chǎn)生異常時，服務(wù)器A與服務(wù)器B中的網(wǎng)卡A（實線位置）依舊正常運行，服務(wù)器無法感知列頭柜交換器A網(wǎng)絡(luò)出現(xiàn)異常，信號業(yè)務(wù)無法及時切換至B網(wǎng)運轉(zhuǎn)，有較大的安全問題。分布端口聯(lián)動后：如果列頭柜交換器A上行鏈路捆綁的兩個萬兆鏈路都down掉時，相關(guān)的下連服務(wù)器的兩個交換機(jī)端口也將down掉，進(jìn)而感知網(wǎng)絡(luò)A異常，從而智能采取網(wǎng)絡(luò)B（虛線位置）轉(zhuǎn)發(fā)信息，實施網(wǎng)絡(luò)異常的智能轉(zhuǎn)換。

5 補強(qiáng)計劃的成效與特征

5.1 補強(qiáng)計劃的成效

通過創(chuàng)建TDCS/CTC核心SOC，全面控制全局TDCS/CTC核心網(wǎng)絡(luò)穩(wěn)定。保證安全事件集中的報警和響應(yīng)，及時監(jiān)測每個安全部件運轉(zhuǎn)狀態(tài)，集中配置和升級每個部件安全對策。從網(wǎng)絡(luò)邊緣至內(nèi)部計算條件，采用多種安全對策，尤其是著重監(jiān)測U盤違規(guī)應(yīng)用，外部終端非法銜接等巨大內(nèi)部安全問題，立即找出多種安全漏洞與安全事件，防護(hù)TDCS/CTC核心不會受到較大范圍的病毒損壞和惡意攻擊，全面提高TDCS/CTC中心穩(wěn)定防護(hù)效果，制定了多角度的安全體系。對各種惡意攻擊、違規(guī)處理與核心平臺調(diào)試行為展開全程的記錄和審計，提升安全事件出現(xiàn)后的追溯和定責(zé)水平，制定健全的TDCS/CTC平臺事后審計制度。

通過制定全局集中的安全運維制度，實現(xiàn)安全對策的動態(tài)完善、安全部件的立即升級，以減少TDCS/CTC中心遭到攻擊的幾率，預(yù)防安全事件的出現(xiàn)，提升TDCS/CTC中心穩(wěn)定情況的響應(yīng)水平，盡可能降低安全事件危害程度。

5.2 補強(qiáng)計劃的基本特征

這一計劃充分借助了現(xiàn)行的網(wǎng)絡(luò)安全防御設(shè)施，實施過程，僅需對現(xiàn)有裝置展開極少數(shù)的適應(yīng)性連接工作，得到對現(xiàn)有設(shè)施的兼容，進(jìn)一步節(jié)省了投資，同時實施簡單，TDCS/CTC平臺的運轉(zhuǎn)影響低[6]。而且，保留鐵路部TDCS/CTC中心補強(qiáng)之后的網(wǎng)絡(luò)安全平臺朝更高級網(wǎng)絡(luò)穩(wěn)定防御水平過度的要求，完全符合國家數(shù)據(jù)安全等級防護(hù)四級的需求。

參考文獻(xiàn)

[1] 周曄.TDCS網(wǎng)絡(luò)車站至中心的專用通道故障淺析[J].鐵道通信信號，2018（4）：94-95.

[2] 張海峰，應(yīng)志鵬，孫軻靖，李宗峰.TDCS中心子系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化[J].鐵道通信信號，2015（4）：74-76+79.

[3] 康新平.TDCS/CTC中心網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的補強(qiáng)方案[J].鐵路通信信號工程技術(shù)，2013（4）：34-36.

[4] 陳峰，苗義烽，徐大卯，宋毅.淺析TDCS中心架構(gòu)方案的網(wǎng)絡(luò)冗余性驗證方法[J].鐵道通信信號，2013（S1）：47-51.

[5] 陳娟，沙穎會，石德臣.淺析京滬高鐵北京CTC中心網(wǎng)絡(luò)安全[J].鐵道通信信號，2012（4）：74-76.

[6] 周佩琦.TDCS/CTC系統(tǒng)路局中心網(wǎng)絡(luò)防火墻橋接模式[J].鐵道通信信號，2012（3）：61-63.