路外車站接入路內(nèi)TDCS/CTC系統(tǒng)網(wǎng)絡安全防護

張紅利

（中國鐵路呼和浩特局集團有限公司 工務部，工程師，內(nèi)蒙古 呼和浩特 010050）

1 概述

隨著鐵路信息化建設的迅猛發(fā)展，鐵路核心生產(chǎn)業(yè)務信息化水平也不斷提高，列車調(diào)度指揮系統(tǒng)（TDCS）迅速覆蓋全路，分散自律調(diào)度集中系統(tǒng)（CTC）逐步推廣使用，大大提高了鐵路運輸調(diào)度指揮現(xiàn)代化水平。由于TDCS/CTC 網(wǎng)絡覆蓋全路各鐵路局及車站，其系統(tǒng)整體保密性、完整性和可靠性成為了保障行車安全的重要環(huán)節(jié)之一，因此,防范和消除系統(tǒng)網(wǎng)絡安全風險的必要性、緊迫性也日益顯現(xiàn)，2007年列車調(diào)度指揮系統(tǒng)（TDCS）、分散自律調(diào)度集中系統(tǒng)（CTC）正式被國家相關部門評定為“等級保護”四級系統(tǒng)，對該系統(tǒng)信息網(wǎng)絡安全提出了更高的要求。

從全國鐵路看，近年來路外新建專用線車站接入所在鐵路局集團公司調(diào)度指揮系統(tǒng)進行統(tǒng)一調(diào)度指揮的狀況極為普遍，使得經(jīng)濟區(qū)內(nèi)地方貨物向外輸送更加通暢，同時也為鐵路企業(yè)完成運輸任務起著積極地促進作用。由于這類專用線車站（統(tǒng)稱為路外車站）設備不屬于鐵路局集團公司資產(chǎn)，設備日常管理、維護由投資方委托維管單位維護，維護和管理水平相對薄弱；更為需要重視的是，路外車站接入鐵路局集團公司TDCS/CTC 系統(tǒng)的網(wǎng)絡結構無法實現(xiàn)與中心核心設備完全隔離，車站網(wǎng)絡安全設備（安全邊界策略、車務終端安全加固）也無法部署，對中心核心網(wǎng)網(wǎng)絡安全造成安全威脅，網(wǎng)絡安全狀態(tài)無法把控，由此可見，改進局管外車站接入路內(nèi)既有TDCS/CTC 系統(tǒng)方式（以下簡稱接入方式）迫在眉睫。筆者以中國鐵路呼和浩特局集團有限公司為例，就如何實現(xiàn)路外車站接入路內(nèi)TDCS/CTC 系統(tǒng)網(wǎng)絡安全防護略陳管見。

2 既有接入方式主要弊端

既有接入方式為首尾站分別采用2 M 通道接入TDCS 中心的外部車站專用路由器，內(nèi)部部署防火墻，直接與局管外通信前置機連接，各類信息通過TDCS中心核心交換機與應用服務器、數(shù)據(jù)庫服務器進行交換。具體結構如圖1所示：

圖1 既有接入方式示意圖

既有連接方式存在以下弊端：

1）TDCS/CTC 中心路外車站接入系統(tǒng)采用單套接入路由器、防火墻及通信前置服務器組網(wǎng)，主要設備沒有做到雙套冗余，不符合《列車調(diào)度指揮系統(tǒng)（TDCS）、調(diào)度集中系統(tǒng)（CTC）組網(wǎng)方案和硬件配置標準》要求。其次系統(tǒng)可靠性不高，其中任何一臺設備故障都會造成車站信息傳輸不到TDCS/CTC 中心調(diào)度臺，直接影響調(diào)度指揮。

2）安全管理中心、通信前置服務器接入TDCS/CTC 中心核心交換機，后者配置兩個IP 地址，即TDCS/CTC 中心局域網(wǎng)段IP 和車站廣域網(wǎng)段IP，這種連接方式使得安全管理中心服務器無法訪問到廣域網(wǎng)車務終端，造成車務終端無法通過中心統(tǒng)一管理，統(tǒng)一進行安全加固，無法對車站防火墻策略進行管理和監(jiān)控，未滿足國家信息安全等級保護及國鐵集團有關網(wǎng)絡安全2.0的相關配置要求。

3）路外車站系統(tǒng)與TDCS/CTC 核心系統(tǒng)之間未采用安全設備進行隔離，路外車站由于管理或維護不當造成車務終端感染病毒后，通過網(wǎng)絡傳播直接影響到核心系統(tǒng)設備，會對TDCS/CTC 中心核心設備安全性構成嚴重威脅。

4）當路外車站軟、硬件設備故障或車站站改引起軟件、配置修改和維護時，由于核心系統(tǒng)維護終端無法訪問廣域網(wǎng)車務終端設備，只能在通信前置服務器上進行相關操作，對安全生產(chǎn)不利，不符合相關維護管理辦法要求。

3 改進后接入方式主要優(yōu)點

路外車站依照完全隔離的結構模式接入，車站按照155 M 通道接入TDCS 中心的外部車站專用路由器，內(nèi)部部署安全邊界，再由三層交換與通信前置服務器、外部隔離機連接，外部隔離機與內(nèi)部隔離機間部署安全邊界通過以太網(wǎng)電口進行連接，起到安全隔離防護作用。具體結構圖2所示：

圖2 改進后的接入方式所示圖

改進后的接入方式主要優(yōu)點：

1）TDCS/CTC 中心路外車站接入系統(tǒng)設備全部采用雙套冗余接入，符合《列車調(diào)度指揮系統(tǒng)（TDCS）、調(diào)度集中系統(tǒng)（CTC）組網(wǎng)方案和硬件配置標準》要求，系統(tǒng)可靠性提高了，不會因單臺設備故障影響設備正常使用。

2）這種接入方式結構更加安全。路外車站系統(tǒng)獨立組網(wǎng)，與TDCS/CTC 核心系統(tǒng)采用安全邊界進行隔離，TDCS/CTC 核心系統(tǒng)與路外車站形成了縱深化防御體系，當路外車站接入系統(tǒng)受到病毒或黑客攻擊時，不會滲透到核心系統(tǒng)，最大程度保障核心系統(tǒng)的安全性。

3）TDCS/CTC 中心核心系統(tǒng)與路外車站系統(tǒng)各增設了一套隔離通信機，路外車站設備與TDCS/CTC核心系統(tǒng)交換信息時，只通過內(nèi)、外隔離通信機實現(xiàn)，做到了子系統(tǒng)與核心系統(tǒng)的安全隔離。

4）TDCS/CTC 中心路外系統(tǒng)域內(nèi)建立了獨立安全管理中心系統(tǒng)，域內(nèi)終端部署安全加固形成安全計算環(huán)境，安全邊界能夠集中控制并統(tǒng)一下發(fā)安全策略，通過管理中心態(tài)勢感知模塊能夠更加清晰展現(xiàn)域內(nèi)的安全態(tài)勢并達到實時監(jiān)控。

5）TDCS/CTC 中心增加了路外車站系統(tǒng)維護終端，后期對車站設備進行日常維護、站改施工配合修改軟件等工作時，直接在維護終端上操作即可，不需要在通信前置服務器上操作，滿足TDCS/CTC 維護管理辦法要求，消除了對服務器資源占用及人為誤操作造成應用程序關閉等安全隱患。

6）后續(xù)新的路外車站接入TDCS/CTC 中心時，核心系統(tǒng)只需要更新內(nèi)側隔離通信機數(shù)據(jù)，因而對核心系統(tǒng)整體影響范圍縮小，極大地減少對運輸?shù)挠绊憽?/p>

4 結束語

本文立足有效解決路外車站接入所在鐵路局集團公司調(diào)度指揮系統(tǒng)進行統(tǒng)一調(diào)度指揮存在的共性問題，重點就消除既有接入方式弊端提出改進對策，實施后，使路外車站接入路內(nèi)TDCS/CTC 系統(tǒng)形成獨立的組網(wǎng)結構，域內(nèi)建立獨立的安全管理中心，增加獨立的維護終端，按照技術標準與TDCS/CTC 核心系統(tǒng)進行安全隔離，能夠較好防范以至消除網(wǎng)絡安全風險。后續(xù)擬將已經(jīng)接入核心系統(tǒng)的路外車站分批進行分離，全部倒接至路外車站接入系統(tǒng)，進一步保證設備、信息的安全。