鐵路信號安全數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全整體解決方案研究

王 穎，趙京京

（北京全路通信信號研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070）

1 概述

鐵路是國家重要基礎(chǔ)設(shè)施，信號安全數(shù)據(jù)網(wǎng)是鐵路信號系統(tǒng)各控制設(shè)備的專用通信網(wǎng)絡(luò)，承載著列控中心（TCC）、計(jì)算機(jī)聯(lián)鎖（CBI）、臨時(shí)限速服務(wù)器（TSRS）、無線自動(dòng)閉塞（RBC）等設(shè)備的安全數(shù)據(jù)傳輸，是列車運(yùn)行現(xiàn)場控制、執(zhí)行系統(tǒng)，其保障列車安全、有序、穩(wěn)定、可靠地運(yùn)行，是鐵路系統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施、核心生產(chǎn)作業(yè)系統(tǒng)。信號安全數(shù)據(jù)網(wǎng)系統(tǒng)安全保護(hù)等級建設(shè)應(yīng)按等級保護(hù)四級建設(shè)，對其實(shí)施全方位的安全保護(hù)。

2 安全現(xiàn)狀和風(fēng)險(xiǎn)分析

信號安全數(shù)據(jù)網(wǎng)采用工業(yè)級以太網(wǎng)交換機(jī)，構(gòu)成雙冗余環(huán)網(wǎng)。環(huán)網(wǎng)間采用物理隔離，交換機(jī)設(shè)備間采用專用單模光纖連接；在路局或線路子網(wǎng)邊界采用三層交換機(jī)進(jìn)行子網(wǎng)間路由，三層交換機(jī)間采用雙冗余光纜進(jìn)行鏈路聚合連接，保證安全數(shù)據(jù)網(wǎng)的可靠性和穩(wěn)定性。整個(gè)網(wǎng)絡(luò)劃分不同的虛擬局域網(wǎng)（VLAN），業(yè)務(wù)VLAN 只用于承載信號系統(tǒng)應(yīng)用設(shè)備之間的安全數(shù)據(jù)通信，管理VLAN 只用于網(wǎng)絡(luò)管理數(shù)據(jù)的通信，業(yè)務(wù)數(shù)據(jù)優(yōu)先使用帶寬。信號安全數(shù)據(jù)網(wǎng)系統(tǒng)主要與外部系統(tǒng)（TDCS/CTC 系統(tǒng)、集中監(jiān)測系統(tǒng)）進(jìn)行業(yè)務(wù)交互。信號安全數(shù)據(jù)網(wǎng)組網(wǎng)結(jié)構(gòu)如圖1所示。

圖1 信號安全數(shù)據(jù)網(wǎng)結(jié)構(gòu)示意圖Fig.1 Schematic diagram of signaling safety data network structure

1）網(wǎng)絡(luò)安全層面

NMS、EMS 網(wǎng)管系統(tǒng)引入破壞安全數(shù)據(jù)網(wǎng)封閉性，其防護(hù)能力依賴于網(wǎng)管系統(tǒng)邊界安全策略和網(wǎng)管系統(tǒng)自身安全防護(hù)水平。

網(wǎng)管系統(tǒng)與安全數(shù)據(jù)網(wǎng)邊界、網(wǎng)管EMS與NMS 邊界雖然部署防火墻，但由于缺少統(tǒng)一的管理，可能存在安全策略不當(dāng)情況。網(wǎng)管系統(tǒng)外部終端缺少隔離措施，存在外部終端接入情況，容易從外部終端引入病毒和攻擊。

網(wǎng)管系統(tǒng)對網(wǎng)絡(luò)設(shè)備進(jìn)行管理和監(jiān)測，能夠?qū)W(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)、網(wǎng)絡(luò)流量等進(jìn)行記錄，但是缺少網(wǎng)絡(luò)的攻擊檢測和感知能力。

2）主機(jī)安全層面

網(wǎng)內(nèi)控制設(shè)備主機(jī)設(shè)備大多采用嵌入式系統(tǒng)，專用安全平臺(tái)，對系統(tǒng)和軟件運(yùn)行過程的完整性有嚴(yán)格的安全機(jī)制保證，不存在通用操作系統(tǒng)的漏洞，無感染網(wǎng)絡(luò)病毒風(fēng)險(xiǎn)。通信過程采用安全通信協(xié)議RSSP-I/RSSP-II 協(xié)議，能夠保證通信過程完整性、對通信雙方具有校驗(yàn)過程，具有封閉網(wǎng)絡(luò)通信安全保護(hù)能力。但是受限于系統(tǒng)資源和計(jì)算能力，無法使用傳統(tǒng)的主機(jī)防護(hù)技術(shù)。

網(wǎng)管系統(tǒng)對登錄用戶缺少強(qiáng)身份鑒別的能力。EMS 網(wǎng)管系統(tǒng)網(wǎng)管服務(wù)器具有對信號安全數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行配置管理和軟件升級功能，當(dāng)非法用戶登錄并惡意篡改網(wǎng)絡(luò)設(shè)備配置或發(fā)起攻擊時(shí)，會(huì)對安全數(shù)據(jù)網(wǎng)造成破壞。

安全控制設(shè)備維護(hù)終端、網(wǎng)管系統(tǒng)服務(wù)器及終端，存在高危漏洞，且不具備入侵防范能力。容易被當(dāng)作跳板對信號安全數(shù)據(jù)網(wǎng)系統(tǒng)發(fā)起攻擊，且采用傳統(tǒng)網(wǎng)絡(luò)防病毒軟件，無法及時(shí)更新惡意代碼庫，無法識別新的惡意軟件，起不到完整的主機(jī)防護(hù)作用。缺乏有效的安全審計(jì)功能，無法感知被病毒、入侵攻擊行為。

3 設(shè)計(jì)目標(biāo)

建立完整的網(wǎng)絡(luò)安全保障體系（本方案主要討論網(wǎng)絡(luò)安全技術(shù)體系的建設(shè)），使信號安全數(shù)據(jù)網(wǎng)通信滿足如下能力。

1）安全防護(hù)能力

應(yīng)能夠在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊，以及其他相當(dāng)危害程度的威脅（內(nèi)部人員的惡意威脅、無意失誤、嚴(yán)重的技術(shù)故障等）所造成的資源損害，能夠發(fā)現(xiàn)安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能。

2）運(yùn)行監(jiān)控能力

建立安全技術(shù)、安全管理和安全運(yùn)行閉關(guān)體系，實(shí)現(xiàn)技術(shù)產(chǎn)品、管理制度、運(yùn)行措施的有效集成和安全協(xié)同，實(shí)現(xiàn)全網(wǎng)安全設(shè)備、安全策略的統(tǒng)一系統(tǒng)管理、統(tǒng)一安全管理、統(tǒng)一配置管理和統(tǒng)一集中管控。

3）感知預(yù)警能力

有效利用人工智能、大數(shù)據(jù)分析和威脅情報(bào)等前沿安全技術(shù)，建立高鐵網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)，實(shí)現(xiàn)安全狀態(tài)、安全資源、安全數(shù)據(jù)的動(dòng)態(tài)可視化，形成全天候、全方位態(tài)勢感知能力。

信號安全數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全保障體系構(gòu)成如圖2所示。

圖2 信號安全數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全保障體系Fig.2 Network security guarantee system of railway signaling safety data network

4 技術(shù)方案

本方案技術(shù)體系按照網(wǎng)絡(luò)安全等級保護(hù)基本要求“一個(gè)中心，三重防護(hù)”的指導(dǎo)思想進(jìn)行安全方案設(shè)計(jì)，在不影響安全數(shù)據(jù)網(wǎng)可用性、實(shí)時(shí)性基礎(chǔ)上，構(gòu)建縱深安全防護(hù)體系，滿足安全技術(shù)和合規(guī)需求，如圖3所示。

安全管理中心：統(tǒng)籌協(xié)調(diào)全局網(wǎng)絡(luò)安全設(shè)備狀態(tài)和安全策略，實(shí)現(xiàn)統(tǒng)一系統(tǒng)管理、統(tǒng)一安全管理、統(tǒng)一審計(jì)的管理。

安全區(qū)域邊界：實(shí)現(xiàn)安全數(shù)據(jù)網(wǎng)及其承載系統(tǒng)與其他系統(tǒng)網(wǎng)絡(luò)（CTC/TDCS/集中監(jiān)測、網(wǎng)管終端）的安全隔離，隔離威脅數(shù)據(jù)，阻斷安全攻擊。

圖3 一個(gè)中心三重防護(hù)示意圖Fig.3 Schematic diagram of one center with triple protection

安全通信網(wǎng)絡(luò)：實(shí)現(xiàn)安全數(shù)據(jù)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)運(yùn)行狀態(tài)以及承載內(nèi)容的安全管控，保障網(wǎng)絡(luò)健壯性。

安全計(jì)算環(huán)境：實(shí)現(xiàn)控制設(shè)備、維護(hù)機(jī)、網(wǎng)管系統(tǒng)和網(wǎng)絡(luò)節(jié)點(diǎn)的安全防護(hù)。

1）安全管理中心

安全管理中心負(fù)責(zé)全系統(tǒng)統(tǒng)一管控，確保信號安全數(shù)據(jù)網(wǎng)系統(tǒng)安全策略全局一致。采用系統(tǒng)管理員、審計(jì)管理員、安全管理員三權(quán)分立設(shè)計(jì)用戶角色。系統(tǒng)管理員負(fù)責(zé)對系統(tǒng)的資產(chǎn)進(jìn)行監(jiān)測，對節(jié)點(diǎn)IP地址、軟硬件等資源進(jìn)行集中管理，對管理平臺(tái)的各用戶身份和權(quán)限進(jìn)行設(shè)置。安全管理員通過安全管理平臺(tái)制定安全策略，保證計(jì)算環(huán)境內(nèi)安全計(jì)算節(jié)點(diǎn)、各邊界防護(hù)設(shè)備和安全通信網(wǎng)絡(luò)執(zhí)行安全策略，確保策略一致，實(shí)現(xiàn)所有安全機(jī)制的統(tǒng)一集中管理，同時(shí)支持與系統(tǒng)內(nèi)時(shí)鐘進(jìn)行同步，保證時(shí)間統(tǒng)一同步。審計(jì)管理子系統(tǒng)主要用于區(qū)域范圍內(nèi)審計(jì)策略的統(tǒng)一制定，審計(jì)信息的統(tǒng)一接收、分析及查詢。

2）安全區(qū)域邊界

信號安全數(shù)據(jù)網(wǎng)的區(qū)域邊界包括：安全數(shù)據(jù)網(wǎng)系統(tǒng)與外部系統(tǒng)之間、安全網(wǎng)與EMS網(wǎng)管系統(tǒng)之間、EMS 網(wǎng)管系統(tǒng)與NMS 網(wǎng)管系統(tǒng)之間、網(wǎng)管系統(tǒng)與網(wǎng)管終端之間。首先在保證鐵路信號安全數(shù)據(jù)網(wǎng)物理隔離，確保其獨(dú)立性、封閉性的前提下，采用工業(yè)防火墻或工業(yè)網(wǎng)閘實(shí)現(xiàn)邊界訪問控制和數(shù)據(jù)包過濾；采用終端安全管理和準(zhǔn)入設(shè)備實(shí)現(xiàn)接入和外聯(lián)控制，并對其行為進(jìn)行阻斷。在與其他系統(tǒng)邊界處采用IDPS對內(nèi)外部攻擊行為進(jìn)行檢測和阻斷；采用態(tài)勢感知實(shí)現(xiàn)對未知威脅的安全分析。在網(wǎng)絡(luò)邊界和核心交換機(jī)處采用IDPS、工業(yè)安全審計(jì)監(jiān)測系統(tǒng)對重要業(yè)務(wù)行為進(jìn)行安全審計(jì)，并將審計(jì)結(jié)果送至安全管理中心。

3）安全通信網(wǎng)絡(luò)

各設(shè)備之間采用安全通信協(xié)議RSSP-I/RSSP-II協(xié)議，保證數(shù)據(jù)完整性。安全網(wǎng)自身采用通信線路冗余、網(wǎng)絡(luò)設(shè)備硬件及性能冗余、關(guān)鍵計(jì)算設(shè)備冗余等機(jī)制保證網(wǎng)絡(luò)架構(gòu)安全。對內(nèi)部區(qū)域按照業(yè)務(wù)及數(shù)據(jù)不同劃分為不同安全域，并采用工業(yè)防火墻或工業(yè)網(wǎng)閘實(shí)現(xiàn)區(qū)域隔離。采用數(shù)字證書、加密技術(shù)或安全協(xié)議（如SSL、IPSEC、SNMPV3等）等實(shí)現(xiàn)通信過程中的數(shù)據(jù)保密和完整性校驗(yàn)。增強(qiáng)安全數(shù)據(jù)網(wǎng)的安全感知能力，通過在安全數(shù)據(jù)網(wǎng)內(nèi)交換機(jī)旁路接入流量探針，采集通信網(wǎng)絡(luò)內(nèi)的通信數(shù)據(jù)，進(jìn)行數(shù)據(jù)分析，獲取異常數(shù)據(jù)進(jìn)行深度分析，進(jìn)行各項(xiàng)檢測，分析信號安全數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)內(nèi)是否存在針對信號系統(tǒng)的入侵行為。

4）安全計(jì)算環(huán)境

通過創(chuàng)建網(wǎng)管系統(tǒng)、控制設(shè)備維護(hù)終端的安全計(jì)算環(huán)境，防止通過終端設(shè)備向安全數(shù)據(jù)網(wǎng)發(fā)起攻擊和病毒傳播。通過在各服務(wù)器和終端設(shè)備上部署主機(jī)加固軟件，采用基線檢查技術(shù)、主機(jī)加固技術(shù)實(shí)現(xiàn)主機(jī)系統(tǒng)身份鑒別、登錄處理、雙因子認(rèn)證安全管控；采用堡壘機(jī)實(shí)現(xiàn)應(yīng)用系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫設(shè)備的統(tǒng)一運(yùn)維和鑒別認(rèn)證、安全審計(jì)，并對審計(jì)結(jié)果進(jìn)行統(tǒng)一管理?？刹捎寐┒磼呙杓夹g(shù)實(shí)現(xiàn)主機(jī)系統(tǒng)安裝組件、系統(tǒng)服務(wù)、網(wǎng)絡(luò)端口、遠(yuǎn)程接入、數(shù)據(jù)輸入等的安全管控和校驗(yàn)；采用態(tài)勢感知技術(shù)實(shí)現(xiàn)主機(jī)系統(tǒng)漏洞和入侵攻擊行為的安全分析和告警。

5 結(jié)論

針對信號安全數(shù)據(jù)網(wǎng)系統(tǒng)網(wǎng)絡(luò)框架以及業(yè)務(wù)情況進(jìn)行風(fēng)險(xiǎn)分析、安全需求分析，依據(jù)信息等級保護(hù)基本要求，以“一個(gè)中心三重防護(hù)”的安全防護(hù)體系架構(gòu)構(gòu)建安全數(shù)據(jù)網(wǎng)的安全防護(hù)體系，采用主動(dòng)防護(hù)技術(shù)、物理隔離、協(xié)議轉(zhuǎn)換技術(shù)、態(tài)勢感知技術(shù)等多種技術(shù)手段，保護(hù)安全數(shù)據(jù)網(wǎng)主機(jī)安全、網(wǎng)絡(luò)安全和環(huán)境安全，切斷各種入侵的攻擊途徑，可以使信號安全數(shù)據(jù)網(wǎng)系統(tǒng)具備高等級的防護(hù)能力。除了技術(shù)體系的建設(shè)外，從安全管理制度、安全管理機(jī)構(gòu)、安全人員管理、安全意識培訓(xùn)等方面的管理體系建設(shè)，也是鐵路信號安全數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全保障體系的關(guān)鍵環(huán)節(jié)。