高鐵牽引變電所信息直采直送系統(tǒng)網絡安全措施

周萌，姚俊杰

（1.寧夏城際鐵路有限責任公司 工程管理部，寧夏銀川 750011；2.中國鐵路蘭州局集團有限公司 供電部，甘肅蘭州 730030）

0 引言

依據《鐵道部、國家電網公司電氣化鐵路供電協(xié)調領導小組辦公室第三次會議紀要》規(guī)定，牽引站向電力公司提供：牽引站高壓側母線高壓、高壓斷路器位置信號、供電線路電壓等信息，并對故障分析起重要作用的事故信號和斷路器跳閘信息同時上傳。鐵路牽引變電所通信網在電力系統(tǒng)中稱為信息直采直送系統(tǒng)[1]，主要向國家電網有限公司（簡稱國家電網公司）當地省調和當地地調雙平面?zhèn)魉鸵陨闲畔ⅲ阌趪译娋W公司掌握用戶端受電情況，及時處理故障、事故。

未實施網絡安全法前，牽引變電所的信息直采直送系統(tǒng)僅涉及通信傳輸系統(tǒng)和調度數據網接入系統(tǒng)，并未過多涉及網絡安全相關領域的要求。

我國鐵路作為國家公共交通資源的重要組成部分，隨著計算機技術在信息網絡建設中的不斷應用，鐵路信息網絡系統(tǒng)安全性成為鐵路系統(tǒng)生產運營的重要一環(huán)。隨著高鐵建設步伐的不斷推進，鐵路業(yè)務對信息網絡系統(tǒng)依賴度越來越高，鐵路和接入的電力網絡任何一方發(fā)生故障或遭到入侵破壞，將會互相影響另一方的正常運行，例如2015年“烏克蘭大停電”事件，由于電站內遭到黑客攻擊，導致烏克蘭全國大面積停電。

2017年6月1日實施《中華人民共和國網絡安全法》后，對能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域的公共通信及信息服務提出了建立健全網絡安全保障體系、提高網絡安全保護能力的要求。國家電網公司依據《中華人民共和國網絡安全法》，對高鐵牽引變電所信息直采直送系統(tǒng)提出新增在線監(jiān)測裝置、防火墻、隔離網閘、安全評估、主機加固等新的網絡安全防護設備及措施。

1 傳統(tǒng)直采直送系統(tǒng)組成及配置

傳統(tǒng)信息直采直送系統(tǒng)由服務器、工作站、網絡設備、安全防護設備、操作系統(tǒng)、數據庫及應用軟件等部分組成[1]。鐵路牽引站上傳信息需通過國家電網公司電力調度數據網絡與各級調度機構進行業(yè)務通信，高速鐵路牽引變電所和國家電網公司系統(tǒng)間采用認證、加密、訪問控制等技術措施實現數據的遠方安全傳輸以及縱向邊界的安全防護[2]。傳統(tǒng)直采直送系統(tǒng)網絡拓撲見圖1。

傳統(tǒng)的信息直采直送系統(tǒng)僅實現了安全分區(qū)、網絡專用和縱向加密，結合牽引變電所應用系統(tǒng)和功能模塊的特點（實時和非實時），將各功能模塊分別置于安全Ⅰ區(qū)控制區(qū)、安全Ⅱ區(qū)非控制區(qū)，實現安全分區(qū)[3]。調度數據網在SDH專用傳輸通道上使用獨立的網絡設備組網，采用基于SDH/PDH不同通道、不同光波長、不同纖芯等方式，在物理層面上實現與其他數據網及外部公共信息網的安全隔離，實現網絡專用。業(yè)務應用層面通過縱向加密裝置的SM2算法建立專用隧道，以策略配置業(yè)務IP點到點，端口最小化為原則進行通訊限制。

這種工作模式下，高鐵牽引變電所直采直送系統(tǒng)存在缺失橫向隔離、綜合防護不全面等方面的安全隱患，未達到從邊界、物理、網絡、主機、應用、數據安全共6個方面的安全防護要求。應進一步采用縱深防御和適度安全策略，即安全防護主要針對基于網絡的生產控制系統(tǒng)，重點強化邊界防護，提高內部安全防護能力，保證生產控制系統(tǒng)及重要數據的安全[4]。基于網絡安全要求，在高鐵牽引變電所建設時，應增加多項防護措施，以實現鐵路牽引變電所和國家電網公司網絡安全運行。

2 優(yōu)化后的直采直送系統(tǒng)

以某高速鐵路新建牽引變電所直采直送系統(tǒng)建設為例，對信息直采直送系統(tǒng)進行優(yōu)化，優(yōu)化后的網絡拓撲見圖2。

圖2 優(yōu)化直采直送系統(tǒng)網絡拓撲

一是在安全Ⅰ區(qū)加裝網絡安全在線監(jiān)測裝置，對整個電力監(jiān)控系統(tǒng)信息大區(qū)直采直送系統(tǒng)涉及的服務器、工作站、網絡設備、安全設備進行實時監(jiān)測；二是在安全Ⅰ區(qū)和安全Ⅱ區(qū)之間加裝防火墻，杜絕Ⅰ、Ⅱ區(qū)業(yè)務混連、直連現象，嚴格執(zhí)行安全分區(qū)要求；三是在國家電網和鐵路調度網的連接處增加隔離網閘，杜絕鐵網和電網的直連現象，實現邊界安全的防護要求。

2.1 加裝網絡安全在線監(jiān)測裝置

主要對服務器、工作站、網絡設備、安全防護設備等監(jiān)測對象進行數據采集和數據統(tǒng)計工作。其主要工作內容如下：一是對于服務器、工作站等包含用戶在終端設備上登錄信息采集、整理，用于采集監(jiān)控操作行為信息與網絡連接的相關信息、系統(tǒng)運行信息、外設接入信息、平臺核查的指令信息；二是對于網絡設備的運行，可以采集到局域網內部交換機設備的相關信息、連接交換機的活躍設備等網絡設備的拓撲信息、在線時長、CPU使用率、內存使用率、網口狀態(tài)、網絡連接情況等設備運行信息；三是對于安防設備自身策略的安全事件、配置信息、運行信息以及相關的操作信息進行采集統(tǒng)計[5]。網絡安全監(jiān)測裝置的使用能立即直觀的反饋設備信息，以及非法外聯的相關告警，從而及時作出相應的處理。設備連接正常后在裝置告警中可以看到從下聯設備中采集到的裝置信息，裝置進行整理后上送主站。優(yōu)化后的直采直送系統(tǒng)工作界面見圖3。

圖3 優(yōu)化后的直采直送系統(tǒng)工作界面

2.2 加裝隔離網閘和防火墻

隔離網閘和防火墻是電力監(jiān)控系統(tǒng)的橫向防線，隔離網閘和防火墻的指導思想不盡相同：防火墻是在保障互聯互通的前提下，盡可能安全；而隔離網閘是在保證必須安全的前提下，盡可能互聯互通。加裝隔離網閘和防火墻，能夠實現各安全區(qū)間隔離，是要解決目前網絡安全存在的如下問題：一是對操作系統(tǒng)的依賴，因為操作系統(tǒng)也有漏洞；二是對TCP/IP協(xié)議的依賴，而TCP/IP協(xié)議有漏洞；三是解決通信連接的問題，因為內網和外網直接連接，存在基于通信攻擊的風險；四是應用協(xié)議的漏洞，如非法的命令和指令等[6]。防火墻已在寧夏新建牽引變電所的應用（見圖4）。

圖4 防火墻在牽引變電所的應用界面

隔離網閘（安全隔離與信息交換）是在保證電網調度和鐵路調度2個網絡安全隔離的基礎上實現安全信息交換和資源共享。通過在Ⅰ區(qū)業(yè)務交換機和鐵路調度交換機中間增加隔離網閘，從而實現2套網絡共享牽引變電所內遠動、保護等業(yè)務信息，并順利實現信息在2套網絡間的安全交換（見圖5）。隔離網閘主要有3個模塊功能，分別是內網處理單元（A端）、外網處理單元（B端）和專用隔離交換單元（隔離通道）。

圖5 內、外網處理單元和專用隔離交換單元實物

安全隔離網閘系統(tǒng)中的內網處理單元（A端）連接電網調度，外網處理單元（B端）連接鐵路調度，專用隔離通道在任一時刻點僅連接內網處理單元（A1）或外網處理單元（B1），與兩者間的連接受內部硬件電路控制高速切換，其工作原理見圖6。

圖6 內、外網處理單元和專用隔離交換單元工作原理

加裝隔離網閘和防火墻后，保證專用隔離硬件交換單元在任一時刻僅連通內部網或者外部網，既滿足電力調度數據網與鐵路調度數據網的物理隔離要求，又能實現數據的動態(tài)交換。

2.3 風險評估及系統(tǒng)加固

新建牽引變電所的信息直采直送系統(tǒng)在安全防護上，不但增加了硬件防護，而且可進行主機加固和安全評估等工作。牽引變電所送電之前對站內所有主機進行了更換安全操作系統(tǒng)以及主機加固工作。因原有Windows操作系統(tǒng)存在太多安全漏洞，容易被黑客利用攻擊（如“熊貓燒香”“永恒之藍”“勒索病毒”等事件），故將牽引變電所的主機操作系統(tǒng)更換為相對安全的Linux操作系統(tǒng)，并進一步設置了強口令防止非操作員的登錄配置，關閉了無用用戶以防止遠程登錄竄改文件，關閉了遠程登錄相關協(xié)議及端口，設置防火墻策略，啟用了日志審計功能，對應用主機進行安全基線加固，漏洞消缺，強化了就地網絡安全的防范力度。

對安全制度、人員管理、物理環(huán)境、電力監(jiān)控系統(tǒng)開展了調研、評估、走查、訪談、漏掃、基線審查等工作，對牽引變電所評估服務整體架構、制度管理、主機設備、網絡設備、操作系統(tǒng)、應用程序進行風險分析，暴露其在物理安全、主機安全、應用安全、管理層面上的脆弱點和風險源，并提出建議處置措施，規(guī)避相應安全事件發(fā)生的可能性，降低安全事件損失，使整體安全運行更加可靠[7-8]。評估結果見圖7、圖8。

圖7 風險匯總表

圖8 各模塊風險值

由圖7、圖8可知，通過對新建牽引變電所電力監(jiān)控系統(tǒng)風險評估，共發(fā)現12個風險點，其中高等級風險0項，中等級風險0項，低等級風險12項。

3 結論

通過對傳統(tǒng)直采直送系統(tǒng)的優(yōu)化，堅持以安全分區(qū)、網絡專用、橫向隔離、縱向認證為基本原則，在綜合防護方面進行主機加固和安全評估，提高了專用網絡間的二次安防水平，保障了鐵路牽引站和國家電網公司間網絡通信的加密性和安全性，進一步加強了抵御橫向外來攻擊、消除內部安全隱患、降低縱向關鍵信息泄露風險等能力。

但是，還需在抵御黑客制造的病毒、惡意代碼等方面對牽引變電所網絡系統(tǒng)安全方面繼續(xù)開展工作。目前整個國家電網系統(tǒng)已經制定最新安全防護要求：在電力監(jiān)控系統(tǒng)增加日志審計、入侵檢測、防惡意代碼、堡壘機等相關設備和措施[8]。相對于國家對網絡安全更高的要求，國鐵牽引變電所的信息安全防護系統(tǒng)建設還需進一步研究。