高速鐵路信號系統網絡安全與統一管控

王崧

摘要：為了滿足我國高速鐵路工程的工作需要，進行信號系統體系的健全是必要的，為了達到這個目的，需要從鐵路信號整體架構體系出發，做好信號系統的整體網絡安全分析工作。本文從高速鐵路信號體系中的整個架構進行出發，對于信號體系的網絡安全性分析和評估，并提出了基于軟件定義網絡（SDN） 的高速鐵路信號系統網絡統一安全管控方案。

關鍵詞：高速鐵路信號;網絡安全;管控

SDN高速鐵路信號體系是一種新型的軟件定義網絡模式，這種模式與高速鐵路信號系統網絡的安全性密切相關，為了提升高速鐵路工程的工作效益，需要做好信號安全數據、分散自律調度集中網絡等的管控及隔離工作的要求，從而實現對網絡流量的統一性管理，這都離不開統一性控制器的應用，做好整體設備的注冊管理工作，確保安全通信訪問控制工作的有效開展，從而實現該工程信號系統安全性的提升，降低網絡安全管理復雜性。

一、高速鐵路信號系統網絡架構

對于現代化的鐵路信號體系，不僅僅是將各種類型的信號設備進行組合起來，而是要實現功能比較完善化、層次鮮明的體系。在體系的內部，各個功能相互之間進行獨立工作，與此同時，相互之間又是聯系的，可以實現信息之間的互換。使得復雜的網絡結構形成。作為指揮人員，可以全方位的實現轄區內的各種情況，從而能靈活的配置各大系統的資源，確保鐵路體系實現安全的運營。高速鐵路的信號體系，主要有列控體系、行車指揮體系以及連鎖體系和信號集中監測體系構成。其中列控體系是由列控控制中心、車載設備、應答器以及無線閉塞中心等構成;行車指揮體系包括了CTC 中心、自律分機、各大傳輸網絡、各個接口服務器體系等構成;連鎖體系主要是由連鎖設備以及軌道電路系統，還有道岔轉化系統、信號機系統以及電源所構成。對于信號的集中監測，主要是通過標準接口和聯鎖體系進行聯系的，列車的控制中心、TDCS/CTC 等，通過CTC 分散自律調度，可以使得通信網絡集中到一起，信號系統更加安全得進行數據通信。

二、信號系統網絡接口方案的優化

1、為了提升高鐵工程信號系統的安全性，必須實現列車與RBC無線承載控制系統的連接，確保其良好的連接性，這需要做好RBC系統與列車的連接確認工作，保證列控中心指令的正確傳達，通過對以太網的應用，實現聯鎖模塊及列控模塊的有效協調，這兩個模塊之間不需要進行防火墻的隔離設置，因為一旦隔離，就可能影響到數據傳輸的實時性及安全性，這不利于鐵路數據信息數據的傳輸要求。在高鐵工程信號系統的應用過程中，局域網通信協議是常見的網絡配置模式，信號網絡系統系統與上位機，信號網絡系統分機與上位機的接口，都是聯鎖系統的常見內部配置模式，這些接口之間并非進行安全通信協議的應用，但應用了防火墻防護方案。客觀上來說，信號網絡系統系統具備非安全性，為了確保系統邊界防護效益的提升，必須進行安全通信協議的應用，確保上位機及信號網絡系統分機接口的安全通信協議的應用，通過對這兩者安全通信協議的應用可以避免這兩種網絡體系的相互滲透問題，避免以太網控制網系統內部要素的相互滲透狀況。

2、信號網絡系統及上位機并不能進行控制指令的傳遞，一旦采用安全協議，必然會導致信號網絡系統分機與上位機數據傳遞效率的降低，但是這并不影響控制系統的核心功能，通信系統部分軟件性能的提升，并不會增加該系統的維護成本。高鐵列車的安全運行離不開列車控制模塊的開展，列控中心系統、計算機聯鎖系統、臨時限速服務器系統等都將直接影響到高鐵列車的安全運行，信號安全數據網需要為最高等級的網絡子系統，信號網絡系統系統網絡負責現場設備及其相關網絡子系統的控制工作，集中監測系統主要負責故障信息的報警，現場設備狀態的監測等工作，并不負責列車及設備的控制工作，其整體安全性等級較低。列車的控制系統與集中監測網絡并無太大的關聯。

三、網絡統一安全管控方案

SDN 是當前比較新穎的一種網絡架構方式，它是將傳統意義上的網絡路由器和交換機之間的數據平面進行控制的方式，由一個統一的控制器進行控制，實施統一的管理。當網絡的控制平面和數據平面出現分離的情況后，我們可以將網絡的控制平面作為一個平臺，再通過不同的控制程序來對于各級的網絡平臺進行管理，對于我國的高速鐵路信號管理體系，主要是通過三張子網組成的，即CTC 系統網絡、信號安全數據網和集中監測網絡，通過各自獨立的網絡系統，采用物理方法進行隔離，實現整體系統的安全性。將 CTC 系統網絡以及信號安全數據方面的問題作為一個獨立的子網進行設置，和SDN 融合到一個網絡平臺中，由統一的軟件進行控制，基于虛擬化的技術，軟件定義信號體系中的各個功能子網變得統一起來，有效地實現信號系統的網絡安全管控。

1、資產注冊和服務管理。按照每一個設備進行開啟的網絡服務而言，弄清楚每一個設備對應的網絡服務，在鐵路設備資產管理服務器上進行注冊和認證，對于沒有認證的服務或者訪問關系來說，要通過網絡控制器來運用相關的網絡設備，這樣可以極大地增強對于網絡服務和終端設備的監管程度。

2、安全通信管理和訪問控制。按照現在已經注冊好的合理網絡服務，對于各個服務進行一定的訪問，制定出相關的通信管理矩陣，網絡控制器完全能夠通過業務通信管理矩陣實施某個設備，對于網絡服務資源進行有效地訪問，進而實現全局的一個控制。

3、網絡數據追蹤溯源和網絡診斷。對于網絡控制器，完全能夠對于每一個數據包進行標記和記錄，從而實現數據之間的來源信息，綁定一些數據包，適時的獲取到相關的信息資源。一旦發現網絡安全出現問題的時候，要及時地對于相關的位置進行追蹤溯源，此外，一旦發現業務或者是數據有問題的時候，也要按照所綁定的信息對于異常設備進行定位。

通過對高速鐵路信號體系的安全接口問題分析，對我國的鐵路信號系統中的網絡化發展奠定基礎。并提出了一種基于 SDN 的下一代鐵路信號系統網絡架構。在這個架構體系上，對于信號系統有一個更加詳細的了解，逐步增強了我國的高速鐵路信息體系的安全系數，有效地推動我國的高速鐵路信號的發展。

參考文獻

[1]禹志陽.高速鐵路信號系統集成、測試技術及“走出去”策略[J].鐵路通信信號工程技術，2017（1）：12-14.

[2]李紹斌，李文濤.一種新型的鐵路智能信號控制系統設計與實現[J].現代電子技術，2016（14）：20-22.

[3]薛雨霏.高速鐵路通信系統技術淺談[J].中小企業管理與科技（中旬刊），2017（3）：17-19.