鐵路信號系統網絡安全風險分析與防護措施研究

邢燕梅

（中鐵十二局集團電氣化工程有限公司，天津 300308）

0 引言

在鐵路建設高速發展的現代社會，構建智能化鐵路信號系統已成為大勢所趨。只有進行不同信號設備的優化重組，才能夠讓智能化鐵路信號系統的發展更貼合時代趨向，才能夠建立功能齊全的信息化網絡體系，推動鐵路未來的建設和發展。但就目前而言，信息系統內部不同設備單元的交互聯系仍然存在一些問題，如果不能夠優化信息系統內部的網絡結構，降低信號系統運作過程中出現的安全風險，在鐵路信號系統運作過程中將很容易出現各類突發性事故，不僅會影響鐵路的正常運行，還會產生一系列不可預估的嚴重后果。

1 網絡安全問題研究的價值分析

鐵路信號系統的組織構建，經過較為漫長的發展階段，現今的鐵路信號系統具備車輛調度指揮的功能，在控制列車運行時能進行必要的災害防護，實時監測列車主要設備的運行狀況，同時進行必要的信息傳輸和管理。因此，現階段的鐵路信號系統具有較為明顯的綜合性信息控制功能，其運作狀況會直接影響鐵路運輸的安全。

但需要注意的是，鐵路信號系統自身的網絡具有封閉性特征，因此在傳統的網絡研究過程中，大多數學者把研究重點放在可靠性方面，而忽視了對網絡安全的研究。但實際上，在信息技術不斷發展的現代社會，不同類型的病毒和層出不窮的攻擊手段，給鐵路信號系統的日常運作帶來不小的挑戰。如果不及時更新網絡安全防御體系，提升鐵路信號系統的防護能力，那么鐵路信號系統在運作過程中就很容易遭受攻擊。只有讓鐵路行車運輸安全得到保障，才能夠降低各類突發事故的發生概率，因此，網絡安全問題研究具有極為重要的現實意義和價值。

2 鐵路信號系統的網絡安全風險

2.1 網絡安全事件處置風險

在信號系統應用中，很容易出現各類網絡安全事件，相應事件一旦出現，往往很難處理。之所以網絡安全事故難以得到妥善處理，與以下三個因素有密切關聯。

首先，大部分網絡架構節點都包含各類安全設備，因此在發生安全事故時，技術人員無法通過設備配置的全面優化調整方案進行針對性的響應。

其次，在信號系統運作過程中，日志在全網各設備中都可見，由于日志的分散性導致技術人員無法在短時間內將日志統一匯總分析，致使相應的安全事故處理存在一定的遲滯。

最后，信號系統自身的網絡規模較為龐大，但在具體的監測和運作過程中缺乏統一的中樞機制，因此工作人員難以通過信息傳輸的方式，在第一時間判斷當前所遭遇的網絡安全事件的嚴重程度，從而很難及時采取具有針對性的措施解決網絡安全問題。

2.2 傳統防護邊界風險

在信號系統運作過程中，需要采取網絡安全防護措施進行邊界部署，在傳統的邊界風險防護過程中，通常使用的手段是防火墻建構或網閘建構。但由于信息技術的不斷發展與完善，現階段網絡安全威脅問題已經逐步延伸到應用層的安全設備，以往的措施在應對當前網絡安全威脅時能夠產生的作用十分有限。如果要讓信息系統遭受安全威脅的概率得到有效控制，就需要根據當前信號系統網絡安全防護的具體需求，加強應用層數據監測方面的工作。但就目前而言，此類工作的有效落實仍然存在一定阻礙，因此傳統防護邊界風險仍然存在。

2.3 安全管理手段不夠完善

在信號系統建設與優化過程中，現階段所使用的安全管理制度已無法及時應對網絡安全形勢變化過程中出現的突發性事件，并妥善地解決各類突發性問題。在此類情況下，管理人員無法依據現有制度來降低安全風險出現的概率，進行新技術的全面應用。因此，在具體的系統運維過程中，如果需要完成修改、維護和升級軟件等工作，則很容易在非法設備接入和移動存儲介質使用過程中出現各類安全問題，最終導致病毒感染或非法入侵的概率大幅度上升。而在這一過程中，網絡安全應急預案由于長久未能得到更新，從而缺乏全面性和系統性，已不能適應現階段的網絡安全變化情況。如果管理人員不能及時進行各類網絡安全事故的緊急演練，革新優化相應事故的處理能力，那么鐵路信號系統的安全管理質量就無法得到提升[1]。

2.4 遠程維護訪問存在風險

鐵路信號系統需要通過遠程訪問的方式來進行終端維護，因此現階段經常使用PcAnywhere 以及DameWare 來進行維修和控制。此類維修軟件雖然實用，但缺少必要的安全審計機制，所以在具體的遠程維護過程中，很容易引發安全事故。一旦出現安全事件，技術人員很難通過追根溯源的方式進行徹查，制訂更具有針對性的事故處理方案。因此，在具體的遠程維護訪問過程中，需要詳細記錄不同類型設備的登錄日志和配置操作，只有如此，才能夠讓信號系統違規操作的事后追蹤能力得到提升。但就目前而言，這方面工作仍有不到位之處，以致鐵路信號系統的網絡安全問題尚難得到有效解決。

3 鐵路信號系統安全風險的成因

3.1 低安全等級網絡有被滲透的可能

相比于傳統的信號安全數據網，現階段所使用的能夠控制列車運行狀態和各類信號設備的CTC 系統網絡，在安全等級方面并不理想。CTC 系統中布置了大量不同類別的服務器，在具體運作過程中，需要使用專用或通用的操作系統來完成一系列操作，不論是Windows Server 還是Windows NT 系列，其自身并沒有內置的安全功能，因此存在較為明顯的低安全等級網絡被滲透的風險，這也是導致鐵路信號系統安全風險問題無法得到徹底解決的重要因素之一[2]。

3.2 鐵路信號系統網絡設置不合理

雖然現階段鐵路信號系統所使用的CTC 網絡和TDCS 網絡具有較為明顯的獨立性特征，但其使用的系統服務器以及具備終端查詢功能的IP 地址設置均在同一個網段，從而意味著終端操作員可采用跨越防火墻登錄的方式來訪問不同節點的服務器，甚至在特殊情況下進行服務器配置修改工作，進而很容易使得調度系統陷入混亂局面，最終影響鐵路的行車安全。由此可見，鐵路信號系統自身網絡設置方面存在的問題是導致安全風險居高不下的重要原因之一。

3.3 鐵路信號系統易遭受病毒攻擊

由于計算機網絡層級設備在硬軟件方面均實現了較為明顯的突破性發展，因而硬件價格呈現出不斷下降的趨向，而且終端產品自身也具有一定的智能化特征，從而意味著自制計算機和終端設備在應用過程中失去明顯的分界。如果網絡權限一直是以開放形態進行工作的，網絡就很容易遭受攻擊風險。相比于以往鐵路信號系統的運作方式，現階段的信號系統一旦進入工作狀態，就極易遭受病毒的攻擊，這也是鐵路信號系統安全風險難以控制的重要原因之一。

4 安全風險分析與防護措施研究

4.1 進行安全區域邊界技術的合理應用

具體的安全區域邊界技術應用，可從如下四個方面來進行：

首先，技術人員可在TDCS 系統和CTC 系統架構過程中，將網閘設備接入安全管理平臺，讓網絡安全設備的集中管理要求得到有效落實，確保CTC 系統、TDCS 系統與其他信號系統的接口所部署的網閘設備能夠在隔離防護方面起到作用，提高不同區域間信息交換的安全性。在網絡安全設備集中管理的過程中，只要將網閘設備接入安全管理平臺，那么信號系統的安全態勢感知精準程度將提高，確保網閘設備運行數據日志能夠被詳細地記錄到安管中心[3]。

其次，CTC 系統和TDCS 系統的不同區域之間均需要部署防火墻設備，相比于傳統防火墻，該防火墻需要具有在會話狀態下檢測訪問控制規則的能力。只有如此，相應系統在運作過程中才能將內容和應用協議作為訪問控制規則的元素，保證訪問的安全性。在這一過程中，由于防火墻自身嵌入了入侵檢測及預防病毒的功能模塊，所以系統運作中業務流量監測的安全威脅可得到有效控制。

再次，在CTC 系統和TDCS 系統運作過程中需要使用MAC 或IP 綁定技術，只有這樣，網絡設備的可信連接對象才能夠得到更進一步的固定，在系統運作過程中，空閑端口才可及時關閉。只要使用MAC 或IP綁定技術，訪問員地址就能有效控制系統內的所有組件。在網絡訪問源限制過程中，都會變成僅允許可信遠程終端訪問的狀態，這能夠讓系統外違規設備接入的安全風險得到合理控制，從而進一步提升鐵路信號系統的使用安全性[4]。

最后，為了完善安全風險的防護效用，工作人員需要在關鍵網絡節點內部署入侵防御系統，只有這樣，才能夠在CTC 系統和TDCS 系統使用過程中，完成不同數據包的深度檢測工作，讓新型網絡攻擊行為得到更精準的甄別。CTC 系統和TDCS 系統在網絡安全防御方面的體系架構如圖1 所示。

圖1 CTC 系統和TDCS 系統

在入侵防御系統運作過程中，其自身所具備的防御和告警功能也會開啟，這有助于進行安全風險剔除，使鐵路信號系統正常運作。如果入侵防御系統檢測到流量中存在攻擊行為，就會主動發出警報，并及時完成阻斷工作，降低攻擊鏈接的成功概率，確保鐵路信號系統在運作過程中自動完成對網絡攻擊的防御。

4.2 進行安全通信網絡技術的優化應用

在具體的系統優化過程中，如果能夠完全按照設計的具體技術條件進行CTC 系統或TDCS 系統的建構，那么其自身的網絡架構就能夠滿足安全通信方面的要求。但需要注意的是，在具體的網絡安全區域劃分上，仍然需要花費一定的時間和精力。只有根據網絡安全區域劃分的具體原則和要求來劃分CTC 系統和TDCS 系統的安全域，才能夠讓安全通信網絡技術得到切實應用，讓安全風險方面的問題得到解決。在大多數情況下，CTC 系統和TDCS 系統都可被分成9個安全域，分別是運維管理域、業務終端域、核心業務域、數據查詢域、應急備用域、對外接口域、車站業務域、安全管理域及模擬仿真域，技術人員需要對這一防護措施的應用引起足夠重視[5]。

4.3 進行安全管理中心技術的優化應用

在CTC 系統或TDCS 系統的安全管理域，進行統一安全管理平臺的部署，能夠讓網絡安全組件當中的補丁庫以及惡意代碼庫得到全面且集中的管理，從而意味著技術人員可通過更具有內在邏輯關聯的安全審計方式，進行不同系統組件的安全審計記錄，并進行系統運作日志的統一存儲備份和傳輸，在此類情況下，CTC 系統以及TDCS 系統的安全態勢能夠得到全面的優化與革新。安全管理中心技術的全面落實和應用，方便技術人員對各類審計記錄進行必要的分析和綜合查詢，對其所面臨的安全事件進行必要的等級劃分，這有助于安全管理員進行事先防控，并在事故發生階段進行實時監測，以及完成事后報告的撰寫工作，這能夠讓整個網絡安全事件的回溯追蹤質量得到更進一步的提升。

4.4 使用統一的網絡安全管控建設方案

現階段較為常見的網絡框架是SDN，技術人員可通過交換機和路由器之間的傳輸數據來完成平面控制工作，使用統一的控制器進行必要的數據管理，在這一過程中，一旦控制平面和數據平面出現分離狀態，網絡的控制平面就可充當平臺，在不同控制程序應用過程中實現對不同層級網絡平臺的管理工作，此類物理的隔離方式，能夠讓整體系統變得更加安全。在CTC 系統網絡以及信號安全問題解決過程中，技術人員采用設置獨立子網的方式，將CTC 系統網絡和SDN 融合到同一個網絡平臺，用統一的軟件進行操控，那么在虛擬化技術應用背景下，軟件定義信號體系的不同子網功能就會變得更加協調統一，此類統一的網絡安全管控建設方案，在操作方面并不存在難度，有助于鐵路信號系統的網絡安全管控工作得到全面優化[6]。

5 結語

總而言之，在鐵路信號系統使用過程中，全面分析網絡安全風險的成因是很有必要的。只有根據當前鐵路信號系統的具體使用情況，制定出更具有可行性的安全風險分析和防護措施，才能夠降低安全事件出現的可能性。只有有效提升安全事件追溯分析的力度，讓鐵路信號系統的運作穩定性得到提升，才能保障鐵路行業安全穩定地運行。