鐵路信號安全數據網網絡安全整體解決方案研究

王 穎，趙京京

（北京全路通信信號研究設計院集團有限公司，北京 100070）

1 概述

鐵路是國家重要基礎設施，信號安全數據網是鐵路信號系統各控制設備的專用通信網絡，承載著列控中心（TCC）、計算機聯鎖（CBI）、臨時限速服務器（TSRS）、無線自動閉塞（RBC）等設備的安全數據傳輸，是列車運行現場控制、執行系統，其保障列車安全、有序、穩定、可靠地運行，是鐵路系統關鍵基礎設施、核心生產作業系統。信號安全數據網系統安全保護等級建設應按等級保護四級建設，對其實施全方位的安全保護。

2 安全現狀和風險分析

信號安全數據網采用工業級以太網交換機，構成雙冗余環網。環網間采用物理隔離，交換機設備間采用專用單模光纖連接；在路局或線路子網邊界采用三層交換機進行子網間路由，三層交換機間采用雙冗余光纜進行鏈路聚合連接，保證安全數據網的可靠性和穩定性。整個網絡劃分不同的虛擬局域網（VLAN），業務VLAN 只用于承載信號系統應用設備之間的安全數據通信，管理VLAN 只用于網絡管理數據的通信，業務數據優先使用帶寬。信號安全數據網系統主要與外部系統（TDCS/CTC 系統、集中監測系統）進行業務交互。信號安全數據網組網結構如圖1所示。

圖1 信號安全數據網結構示意圖Fig.1 Schematic diagram of signaling safety data network structure

1）網絡安全層面

NMS、EMS 網管系統引入破壞安全數據網封閉性，其防護能力依賴于網管系統邊界安全策略和網管系統自身安全防護水平。

網管系統與安全數據網邊界、網管EMS與NMS 邊界雖然部署防火墻，但由于缺少統一的管理，可能存在安全策略不當情況。網管系統外部終端缺少隔離措施，存在外部終端接入情況，容易從外部終端引入病毒和攻擊。

網管系統對網絡設備進行管理和監測，能夠對網絡設備運行狀態、網絡流量等進行記錄，但是缺少網絡的攻擊檢測和感知能力。

2）主機安全層面

網內控制設備主機設備大多采用嵌入式系統，專用安全平臺，對系統和軟件運行過程的完整性有嚴格的安全機制保證，不存在通用操作系統的漏洞，無感染網絡病毒風險。通信過程采用安全通信協議RSSP-I/RSSP-II 協議，能夠保證通信過程完整性、對通信雙方具有校驗過程，具有封閉網絡通信安全保護能力。但是受限于系統資源和計算能力，無法使用傳統的主機防護技術。

網管系統對登錄用戶缺少強身份鑒別的能力。EMS 網管系統網管服務器具有對信號安全數據網網絡設備進行配置管理和軟件升級功能，當非法用戶登錄并惡意篡改網絡設備配置或發起攻擊時，會對安全數據網造成破壞。

安全控制設備維護終端、網管系統服務器及終端，存在高危漏洞，且不具備入侵防范能力。容易被當作跳板對信號安全數據網系統發起攻擊，且采用傳統網絡防病毒軟件，無法及時更新惡意代碼庫，無法識別新的惡意軟件，起不到完整的主機防護作用。缺乏有效的安全審計功能，無法感知被病毒、入侵攻擊行為。

3 設計目標

建立完整的網絡安全保障體系（本方案主要討論網絡安全技術體系的建設），使信號安全數據網通信滿足如下能力。

1）安全防護能力

應能夠在統一安全策略下防護系統免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發起的惡意攻擊，以及其他相當危害程度的威脅（內部人員的惡意威脅、無意失誤、嚴重的技術故障等）所造成的資源損害，能夠發現安全漏洞和安全事件，在系統遭到損害后，能夠迅速恢復所有功能。

2）運行監控能力

建立安全技術、安全管理和安全運行閉關體系，實現技術產品、管理制度、運行措施的有效集成和安全協同，實現全網安全設備、安全策略的統一系統管理、統一安全管理、統一配置管理和統一集中管控。

3）感知預警能力

有效利用人工智能、大數據分析和威脅情報等前沿安全技術，建立高鐵網絡安全態勢感知平臺，實現安全狀態、安全資源、安全數據的動態可視化，形成全天候、全方位態勢感知能力。

信號安全數據網網絡安全保障體系構成如圖2所示。

圖2 信號安全數據網網絡安全保障體系Fig.2 Network security guarantee system of railway signaling safety data network

4 技術方案

本方案技術體系按照網絡安全等級保護基本要求“一個中心，三重防護”的指導思想進行安全方案設計，在不影響安全數據網可用性、實時性基礎上，構建縱深安全防護體系，滿足安全技術和合規需求，如圖3所示。

安全管理中心：統籌協調全局網絡安全設備狀態和安全策略，實現統一系統管理、統一安全管理、統一審計的管理。

安全區域邊界：實現安全數據網及其承載系統與其他系統網絡（CTC/TDCS/集中監測、網管終端）的安全隔離，隔離威脅數據，阻斷安全攻擊。

圖3 一個中心三重防護示意圖Fig.3 Schematic diagram of one center with triple protection

安全通信網絡：實現安全數據網基礎網絡運行狀態以及承載內容的安全管控，保障網絡健壯性。

安全計算環境：實現控制設備、維護機、網管系統和網絡節點的安全防護。

1）安全管理中心

安全管理中心負責全系統統一管控，確保信號安全數據網系統安全策略全局一致。采用系統管理員、審計管理員、安全管理員三權分立設計用戶角色。系統管理員負責對系統的資產進行監測，對節點IP地址、軟硬件等資源進行集中管理，對管理平臺的各用戶身份和權限進行設置。安全管理員通過安全管理平臺制定安全策略，保證計算環境內安全計算節點、各邊界防護設備和安全通信網絡執行安全策略，確保策略一致，實現所有安全機制的統一集中管理，同時支持與系統內時鐘進行同步，保證時間統一同步。審計管理子系統主要用于區域范圍內審計策略的統一制定，審計信息的統一接收、分析及查詢。

2）安全區域邊界

信號安全數據網的區域邊界包括：安全數據網系統與外部系統之間、安全網與EMS網管系統之間、EMS 網管系統與NMS 網管系統之間、網管系統與網管終端之間。首先在保證鐵路信號安全數據網物理隔離，確保其獨立性、封閉性的前提下，采用工業防火墻或工業網閘實現邊界訪問控制和數據包過濾；采用終端安全管理和準入設備實現接入和外聯控制，并對其行為進行阻斷。在與其他系統邊界處采用IDPS對內外部攻擊行為進行檢測和阻斷；采用態勢感知實現對未知威脅的安全分析。在網絡邊界和核心交換機處采用IDPS、工業安全審計監測系統對重要業務行為進行安全審計，并將審計結果送至安全管理中心。

3）安全通信網絡

各設備之間采用安全通信協議RSSP-I/RSSP-II協議，保證數據完整性。安全網自身采用通信線路冗余、網絡設備硬件及性能冗余、關鍵計算設備冗余等機制保證網絡架構安全。對內部區域按照業務及數據不同劃分為不同安全域，并采用工業防火墻或工業網閘實現區域隔離。采用數字證書、加密技術或安全協議（如SSL、IPSEC、SNMPV3等）等實現通信過程中的數據保密和完整性校驗。增強安全數據網的安全感知能力，通過在安全數據網內交換機旁路接入流量探針，采集通信網絡內的通信數據，進行數據分析，獲取異常數據進行深度分析，進行各項檢測，分析信號安全數據網網絡內是否存在針對信號系統的入侵行為。

4）安全計算環境

通過創建網管系統、控制設備維護終端的安全計算環境，防止通過終端設備向安全數據網發起攻擊和病毒傳播。通過在各服務器和終端設備上部署主機加固軟件，采用基線檢查技術、主機加固技術實現主機系統身份鑒別、登錄處理、雙因子認證安全管控；采用堡壘機實現應用系統、服務器、網絡設備、數據庫設備的統一運維和鑒別認證、安全審計，并對審計結果進行統一管理?？刹捎寐┒磼呙杓夹g實現主機系統安裝組件、系統服務、網絡端口、遠程接入、數據輸入等的安全管控和校驗；采用態勢感知技術實現主機系統漏洞和入侵攻擊行為的安全分析和告警。

5 結論

針對信號安全數據網系統網絡框架以及業務情況進行風險分析、安全需求分析，依據信息等級保護基本要求，以“一個中心三重防護”的安全防護體系架構構建安全數據網的安全防護體系，采用主動防護技術、物理隔離、協議轉換技術、態勢感知技術等多種技術手段，保護安全數據網主機安全、網絡安全和環境安全，切斷各種入侵的攻擊途徑，可以使信號安全數據網系統具備高等級的防護能力。除了技術體系的建設外，從安全管理制度、安全管理機構、安全人員管理、安全意識培訓等方面的管理體系建設，也是鐵路信號安全數據網網絡安全保障體系的關鍵環節。