信號系統中維護支持子系統的網絡安全隔離方案設計

摘要：隨著網絡安全問題的日益凸顯，多地地鐵用戶提出，希望對信號系統內維護支持子系統（MSS）進行單獨組網，并且與信號系統內其他子系統（ATC、CI、ATS、DCS等）接口做好網絡安全方面的隔離防護。文章從網絡結構設計、邊界劃分、接口方式等角度，對整體方案進行研究，形成切實可行的網絡安全隔離方案，為實際應用提供理論基礎。

關鍵詞：信號系統；維護支持系統；網絡安全；接口；防護；設計

doi：10.3969/J.ISSN.1672-7274.2023.02.024

中圖分類號：TP 393.02，U 231" " " " " " " "文獻標示碼：A" " " " " " " "文章編碼：1672-7274（2023）02-00-03

Cyber Security Isolation Scheme Design of Maintenance Support Subsystem

in Signal System

TONG Shuai

（Casco Signal Co.， Ltd.， Beijing 100160， China）

Abstract： With the increasingly prominent cyber security problems， according to the needs of subway users in many places， it is hoped that the maintenance support subsystem in the signal system can be networked separately， and the interface with other subsystems in the signal system will be isolated and protected in terms of cyber security. This paper studies the overall scheme from the network structure design， boundary division， interface mode and protocol， and forms a practical cyber security isolation scheme， which provides a theoretical basis for practical application.

Key words： signal system; maintenance support system; cyber security; interface; protect; design

隨著城市軌道交通的不斷發展，軌道交通信息的價值也越來越重要，網絡安全問題也就日益凸顯，需要對軌道交通信息進行安全防護。因此，國家對城市軌道交通信號系統提出了信息安全等級保護的要求[1]。

信號系統作為軌道交通的大腦，發揮著至關重要的作用。一旦信號系統出現問題，會對運營產生直接影響，問題嚴重的甚至可能危及乘客生命和財產安全，因此，對軌道交通信號系統進行有效的保護，避免出現網絡安全問題是重中之重。

根據多個地鐵用戶需求，維護支持子系統（MSS）作為維護人員日常直接接觸最密切的信號系統子系統，容易成為網絡安全中的高風險點，并且該系統與信號系統所有其他子系統，如列車自動控制系統（ATC）、計算機聯鎖系統（CI）、列車自動監控系統（ATS）、數據通信系統（DCS）等均有接口，因此希望有較為完善的組網方案和網絡防護方案，將潛在安全風險遏制在萌芽中[2]。

1" 網絡結構

通常信號系統中的維護支持子系統與其他子系統（ATC、CI、ATS、DCS等）的接口缺乏邊界防護措施，經常采用直連通信的方式，如圖1所示，一旦在網絡安全層面產生風險因素，易擴散至其他系統[3]。

我們可以將信號系統中的維護支持子系統與其他子系統獨立開來，自行組網，并且設置邊界，部署安全防護設備，從而達到隔離防護的目的。

在對數據通信系統（DCS）進行設計時，針對維護支持子系統，可以獨立設置一個環形網絡，通過采用環保護協議保證光纖單斷點故障不影響信息傳輸，這種協議的重置時間低于50 ms。該協議是“偵聽”數據包的擴展應用，這些數據包由環網服務器設備的一個環接口（環接口1）發送，在環網服務器設備的另一個環接口（環接口2）接收（環上每臺交換機有兩個環接口）。一旦收到“偵聽”數據包，環接口2將保持監聽模式，也就是說環接口2接收但不轉發任何數據包。當斷了一根光纖后，環接口2收不到“偵聽”數據包，當接口2連續3次收不到“偵聽”數據包時，環服務器認為環上有一個鏈路斷開，環接口2將改變發送模式，開始發送數據包。環網被重新配置，所有連接至環網上的設備都可以正常通信。從而確保數據通信有更高的可靠性。節點設備部署在全線集中站、車輛段、停車場、控制中心、備用控制中心等地，非集中站可點對點接入鄰近集中站[4]。

由于維護支持子系統在信號系統中是非安全系統，通常設置為單網即可，如圖2所示，大圓為環網節點（集中站、車輛段、停車場、控制中心、備用控制中心等），小圓為非集中站節點，也可以根據實際情況考慮設置成冗余網絡。

在網絡內可對本聯鎖區內局部業務和全線業務進一步進行區分，達到更細致的數據流控制，可以通過劃分VLAN和細分掩碼等方式實現。

2" 邊界劃分

維護支持子系統需要匯總信號系統內部所有設備的狀態和報警信息，有諸多接口，以往通常直接接入對應網絡來獲取信息，缺乏清晰的邊界和網絡安全防護。一旦感染病毒或者遭受惡意攻擊，影響范圍極易迅速擴大至整個信號系統，帶來難以估量的損失[5]。

由于維護支持子系統的服務器通常設置于線路上的維修中心，因此我們就把其與其他信號子系統（ATC、CI、ATS、DCS等）的接口邊界也定位于此，并作為唯一的接口位置，避免接口位置過多造成管理混亂，界限模糊；明確系統內部區域、外部區域、DMZ區域，并設置相應接口交換機和防火墻。DMZ區域就是在內網和外網之間創建的一塊緩沖區，處于DMZ區域的主機可以互相訪問，也可以被內部區域及外部區域訪問，但是DMZ區域內的主機不能訪問內部區域。內部區域可以訪問DMZ區域是為了加強對DMZ區域內的設備管理，而DMZ區域不能訪問內部區域是為了安全。

在設計過程中，我們將MSS網絡一側定義為內部，電源屏系統、計軸系統、線網平臺等在MSS內部網絡里均有接口，這些接口通常采用透明傳輸方式接入網絡。防火墻不參與路由，無須改變原有的網絡拓撲結構。結合防火墻自帶的Bypass功能（旁路功能），在網絡安全設備之間出現斷電或者死機故障時，通過特定的觸發方式，在物理上讓兩個網絡不通過網絡安全設備系統直接導通。Bypass可用作其網絡基礎架構的一部分，以確保網絡具有最大的正常運行時間，而不會對其業務造成負面影響。因此當異常發生時，使用旁路保護設備，將大大減小災難所帶來的損失，可以保障信息傳輸不受防火墻設備本身的狀態影響[6]。

信號系統內其他子系統（ATC、CI、ATS、DCS等）被定義為外部，亦可根據自身需求進行重新定義。MSS內部接口交換機可根據實際需求部署1臺或者2臺，與環網數量相對應。譬如，單環網一般對應1臺，雙冗余環網一般對應2臺。以下設計以單環網為例，主要針對信號系統內的其他子系統（ATC、CI、ATS、DCS等）接口進行防護隔離，如圖3所示。

3" 接口防護設計

在維修中心接口位置設置內部接口交換機（三層）、下一代防火墻、外部接口交換機（三層）。下一代防火墻（Next Generation Firewall， NG Firewall）是一款可以全面應對應用層威脅的高性能防火墻，通過深入洞察網絡流量中的用戶、應用和內容，并借助全新的高性能單路徑異構并行處理引擎，下一代防火墻能夠為用戶提供有效的應用層一體化安全防護，幫助用戶安全地開展業務并簡化用戶的網絡安全架構。在防火墻處使用NAT（Network Address Translation，網絡地址轉換）功能。NAT的實現方式有三種，即靜態轉換（Static NAT）、動態轉換（Dynamic NAT）和端口多路復用（Over Load）。在此處我們使用靜態轉換。靜態轉換是指將內部網絡的私有IP地址轉換為公有IP地址，IP地址是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。借助于靜態轉換功能，可以實現外部網絡對內部網絡中某些特定設備（如服務器）的訪問[7]。

通過進一步明確對端IP地址、傳輸協議、端口號等內容，從而配置相應的安全策略。這樣不僅能利用較少的IP地址達到通信目的，還能夠隱藏源頭服務器地址，最大程度避免網絡外部攻擊，提升安全可靠性。

由于信號系統內其他子系統（ATC、CI、ATS、DCS等）均采用雙網冗余設計，所以在進行接口時，需要配置2臺下一代防火墻和2臺外部接口交換機。所有的信號系統內其他子系統（ATC、CI、ATS、DCS等）業務均接到2臺外部接口交換機上，分A、B網進行一一對應。

針對IP地址進行如下規劃：MSS server1和MSS server2使用的地址分別是A1/B1和A2/B2，在工作時使用虛擬地址IP地址A和IP地址B，對外則顯示為IP地址C和IP地址D。在內部和外部接口交換機上需要相應地配制好靜態路由，通過圖4的結構配置設計，使用盡量少的接口數量和設備數量，達到維護支持子系統與信號系統其他各子系統（ATC、CI、ATS、DCS等）的安全連通效果。

4" 結束語

本文對信號系統中維護支持子系統的網絡安全隔離方案展開研究，設計了MSS網絡架構、地址規劃設計、所需安全防護設備以及接口防護隔離等一系列完整方案，并且在鄭州地鐵和濟南地鐵上已經形成了適應實際需求的具體應用方案。■

參考文獻

[1] 陳登科．城市軌道交通信號系統網絡安全分析[J]．鐵路通信信號工程技術，2012，9（5）：41-43.

[2] 沈偉鋒．CBTC信號系統對外網絡接口設計[J]．電子世界，2020（21）：110-113.

[3] 馬書杰，院志超．淺析網絡安全和系統防護[J]．IT經理世界，2020（4）：154-155.

[4] 張學林．計算機網絡安全防護體系的建設研究[J]．網絡安全技術與應用，2015（2）：140.

[5] 王宗琰．軌道交通信號系統中信息安全技術的應用[J]．網絡安全技術與應用，2021（6）：126-127.

[6] 張志鵬．基于網絡隔離技術的軌道交通信息安全防護設計[J]．交通科技與管理，2021（14）：1-2.

[7] 馮珂．軌道交通系統通信網絡安全防護研究[J]．數字通信世界，2021（7）：29-30，60