康新平

（南昌铁路勘测设计院有限责任公司，南昌 330002）

1 铁路局TDCS/CTC中心的网络安全现状

列车调度指挥系统（TDCS）和调度集中系统（CTC）是铁路运输调度生产的重要信息系统，是铁路列车调度指挥的基础装备，是铁路各级行车调度对列车实行透明指挥、实时调整、集中控制的主要手段。一旦系统遭受破坏或攻击，将很有可能造成业务服务中断，甚至导致系统瘫痪，打乱列车调度指挥生产正常运行，甚至会造成铁路运输网的大面积瘫痪，必须对其实施全方位的安全保护。

以某铁路局为例，目前的网络安全防护设备是按《分散自律调度集中组网方案和硬件配置标准》（运基信号[2006]67号）、《铁路运输调度指挥系统技术标准（暂行）》（运基信号[2003]342号）和《关于调整TDCS系统结构及组网方案的通知》（运基信号[2005]142号）的要求进行配置的。分别部署了网络防病毒、中心防火墙、动态口令身份认证、漏洞扫描4种网络安全防护设备。这些设备有效防范了各类网络安全攻击与非法登录，控制了病毒的传播与发作，对于保障TDCS/CTC中心安全、稳定运行起到了重要的作用。既有设备的拓扑结构如图1所示。

2 存在的问题

国家有关部门已认定TDCS/CTC系统为信息安全等级保护四级系统（《信息安全等级保护管理办法》（公通字[2007]43号））。由于既有的网络安全设备部署较早，受当时技术条件和认知水平所限，既有TDCS/CTC网络安全系统在安全措施和策略上设置较单一，主要存在缺乏统一的安全管理、安全审计手段缺失、对U盘、外来终端等设备缺乏监控技术手段等问题，无法满足TDCS/CTC中心网络安全整体防护需要，难以应对日益严重的安全威胁与风险，更与国家信息安全等级保护要求有较大差距。

3 补强的目标及采用方案

根据铁道部运输局关于印发《列车调度指挥系统（TDCS）、调度集中系统（CTC）组网方案和硬件配置标准》（暂行）的通知（运基信号[2009]676号），对既有系统的补强应达到加强内部终端风险防护、提高系统纵深防御能力、提高安全装备技术水平等目标。采取的技术方案如下。

1）加强内部终端风险防护

通过中心部署安全接入控制系统对非授权设备私自联到TDCS/CTC中心网络的行为进行严格检查，防止未授权的U盘，移动电脑等设备接入调度指挥生产网络，从而杜绝由内部终端违规操作而导致的病毒感染与传播。另外，还可以对内部人员通过MODEM拨号、双网卡等方式接入互联网或其他信息系统进行检查与禁止，并通过网络安全集中管理平台进行集中的监测、报警以及违规U盘接入等安全事件的统一报警与响应。

在TDCS/CTC中心终端部署补丁分发系统，对TDCS/CTC中心内部各类终端操作系统的漏洞进行评估与分析，通过制定针对性较强的补丁升级策略，定期对终端操作系统补丁进行分发和安装，安全、及时的修补可能被病毒利用或攻击的系统漏洞，提升各类终端对病毒的“免疫力”和防范能力。

2）提高系统纵深防御能力

建立综合网络安全管理中心（SOC），主要包括网络安全集中管理和安全审计两大系统。

网络安全集中管理主要对铁路局TDCS/CTC中心安全体系内各种安全设备和相关网络设备的运行状态和网络运行拓扑状态进行实时监测，为安全管理人员提供统一的运行状态监测信息，并根据预定的报警阀值规则，进行统一的监测告警，保证安全系统自身的安全、可靠运行。具体监测对象包括防火墙、防病毒、身份认证、入侵检测等安全组件，将各类安全系统的管理进行有效整合，实现安全运行状态的集中统一监控，有利于值班人员对系统安全性的实时监测与维护，有利于预警性发现设备的故障隐患，有利于安全事件发生时的及时定位与排除。

安全审计系统主要监控TDCS/CTC中心的核心网络设备、操作系统等日志信息，以及各类安全组件的安全事件报警信息等，及时发现各类安全事件，例如网络蠕虫攻击事件、U盘非授权接入事件、DOS攻击事件等，便于及时发现问题，组织安全技术人员，采取相应措施，保证系统可靠运行，并在网络安全事件发生之后，对导致安全事件发生的各种行为或操作进行全面的取证与审计定责。同时结合网络安全集中管理中心各项功能，全面提高TDCS/CTC中心网络整体纵深防御能力。

3）提高安全装备技术水平

在TDCS/CTC中心系统内部部署入侵监测系统，及时检测、定位系统内部的黑客攻击行为或网络蠕虫病毒的感染事件，对系统内部各类常见的网络攻击行为进行全网的检测与报警，如端口扫描、拒绝服务攻击和地址欺骗等恶意攻击手段均会造成中心网络重要端口信息泄露，恶意消耗网络带宽资源，甚至冒充正常业务终端与合法主机进行数据交换，造成核心服务器数据泄露或重要主机配置文件被篡改等风险。

补强后的TDCS/CTC中心网络安全设备拓扑结构如图2所示。

4 补强方案的效果和特点

1）方案的效果

通过建立TDCS/CTC中心SOC，实现对全局TDCS/CTC中心网络安全的管理。做到安全事件统一的报警与响应，实时监测各安全组件运行状态，统一配置与升级各组件安全策略。

从网络边界到内部计算环境，采取多种安全措施，特别重点监控U盘违规使用，外来终端非法接入等严重内部安全隐患，及时发现各种安全漏洞和安全事件，保护TDCS/CTC中心免受较大规模的病毒破坏与恶意攻击，整体提升TDCS/CTC中心安全防护水平，建立了全方位的安全机制。

对各类恶意攻击、违规操作及关键系统调试行为进行全程的记录与审计，提高安全事件发生后的追溯与定责能力，建立完善的TDCS/CTC中心事后审计机制。

通过建立全局统一的安全运维机制，实现安全策略的动态优化、安全组件的及时升级，以降低TDCS/CTC中心受到攻击的可能性，防范安全事件的发生，提高TDCS/CTC中心安全事件的响应能力，尽量减小安全事件影响程度。

2）方案的特点

该方案充分利用了既有的网络安全防护设备，实施时，只需要对既有设备进行极少量的适应性接入工作，实现对既有设备的兼容，有效节约了投资，且实施方便，TDCS/CTC系统的运行影响小。同时保留铁路局TDCS/CTC中心补强后的网络安全系统向更高级网络安全防护水平过渡的需要，完全满足国家信息安全等级保护四级的要求。

[1]运基信号[2009]676号 关于印发《列车调度指挥系统（TDCS）、调度集中系统（CTC）组网方案和硬件配置标准》（暂行）的通知[S].

[2]公通字[2007]43号 信息安全等级保护管理办法[S].