TDCS/CTC系统的信息与网络安全优化

2018-01-28王纬

铁路通信信号工程技术 2018年2期

王纬

（中国铁路郑州局集团有限公司郑州电务段，郑州 450000）

随着 “棱镜门”事件、勒索病毒（WannaCry）的全球性爆发与持续性发酵，网络空间安全也成为国家战略的重要组成部分。对于铁路系统而言，虽然已经取得了令全世界瞩目的高速铁路飞速发展的建设成果，同时，维护高速铁路的正常运行，特别是高速铁路的控制神经中枢——信号系统，其所涉及的网络与信息安全，又将是一个新的机遇与挑战。

1 TDCS/CTC系统简介与现状

列车调度指挥系统（TDCS）与调度集中系统（CTC）作为行车调度指挥的基础设备，在日常的运输调度指挥工作中发挥着重要作用。TDCS/CTC系统为调度指挥中心与基层车站之间提供信息传输，其结构由铁路总公司TDCS/CTC调度中心、铁路局TDCS/CTC调度中心与车站TDCS/CTC系统3部分组成。

近几年，随着信息化的加速建设与网络安全的迫切需要，郑州铁路局已经在新建高铁客运专线（郑徐、石武高铁等）与城际线（郑焦、郑开、郑机城际等）的CTC调度中心从及各车站开通并启用网络安全系统2.0。同时，将既有普速线（京广、陇海线等）的TDCS、CTC调度中心与部分车站原有网络安全系统1.0升级至2.0版本。这次开通启用或升级改造为网络安全系统2.0，极大提高了普速、高速线TDCS/CTC调度中心与各车站的网络安全与信息安全防护能力，满足国家安全等级保护要求的四级安全体系。

2 TDCS/CTC系统的安全防护

2016年以来，随着郑州铁路局调度所的整体搬迁，高铁与城际客专CTC调度中心的网络与信息安全防护系统——信息安全2.0，经过调度台安全加固软件启用、服务器系统安全加固软件启用、安全区域边界策略启用3个步骤，正式开通。而原有的TDCS/CTC系统信息安全1.0也在通过一段时间过渡后，升级改造为信息安全2.0。

TDCS/CTC系统的信息安全系统1.0是以防火墙、入侵检测、网络隔离等为基础的传统信息安全解决方案，自足于被动防御，倾向于 “事后处置、事中应急”，这些设备有很强的针对性与局限性。信息安全系统2.0是以主动防御为原则的高等级信息安全防护系统。通过构建安全管理中心支持下的安全计算环境、安全区域边界、安全通信网络所组成的3重防护体系，对TDCS/CTC系统内部的信息数据与传输网络进行保护。

信息安全系统2.0的核心——安全管理中心，分为安全管理子系统、审计子系统、系统管理子系统。对普速、高速铁路的TDCS/CTC系统安全计算环境、安全边界与安全通信网络进行统一的安全管控：统一进行安全策略或规则的设置和下发、统一进行安全运行状态的报警检测、统一进行汇总与显示安全审计日志并生成报表。

安全计算环境具有身份鉴别、自主访问控制、基于标记的强制访问控制、用户数据完整性保护、程序“白名单”、安全审计、移动介质权限管理、网络访问控制等安全功能防护，通过上述安全防护技术手段对TDCS/CTC系统中的软件程序和配置文件的安装、运行和修改进行全过程、全方位的监测与控制，确保该系统仅允许经过相关设备维护部门审批、并经过安全管理中心注册扫描的软件程序（含配置文件）的安装、运行与修改。

安全区域边界部署在TDCS/CTC系统对外接口、中心局域网与广域网接口，在信号网内边界实施身份认证、数据完整性检查、可信接入控制、协议过滤、数据过滤、边界完整性等功能，在信号网对外边界实施身份认证、硬件标记识别、安全审计、物理隔离（与TDMS、GSM-R等其他网络）等功能。对出入系统边界的数据进行过滤与控制，确保系统仅允许经过维护部门审批的正常业务程序穿越边界，防止未经授权穿越系统边界登录该系统、访问或者修改该系统中的业务数据与信息。

安全通信网络通过RSSP-II（一般基于TCP方式）与RSSP-I（一般基于UDP方式）来进行数据传输机密性保护与数据传输完整性保护，确保TDCS/CTC系统与信号安全数据网、集中监测网之间传输信息数据的安全。

3 TDCS/CTC信号数据网的安全管理

网络与信息安全领域有一句经常说的话：三分技术，七分管理。因此，必须通过科学有效的管理手段达到提升安全的目的，那么就必须建立完善的、全面的、分层次化的信息安全制度管理与规范，并加以严格落实。

首先，建立相应的信息安全管理组织或机构。信息安全管理机构组织是决定信息安全管理的关键。信息安全管理需要建立从上到下的由领导层、管理层和执行层构成的组织管理体系，这3个层次的组织与职责构成整个信息安全管理的组织体系。

其次，构建科学、严谨的信息安全管理制度。建立完善的信息安全组织机构后，就要建设关于铁路信号系统信息安全的相关管理制度，包括TDCS/CTC系统的信息安全日常维护管理、信息安全应急措施、安全监测与审计制度等，建立层次化与系统化的安全管理体系。

再次是人员管理。人员素质是影响信息与网络安全的核心因素，又将其分为信息安全认知和人员任用控制两方面。信息安全认知是信息安全人员对信息安全工作的认识与必要技能的把握，通过信息安全培训与教育来提升人员的业务素质；人员任用控制是组织内部人员的安全管理与控制，包括安全审查、安全保密管理与安全考核。健全的人员安全控制是减少安全事件发生的重要因素。

4 典型安全事件分析

下面选取近年来铁路系统发生的一起典型网络与信息安全事件，从技术层面与管理层面来分析。

某年某铁路局调度中心网络爆发W32.Downadup病毒，中心网络系统中大量终端设备的网络共享功能受到影响，不能正常使用，造成调度台之间的数据共享调取失败，只能采取人工手动调取的方法。同时，调度中心子系统TDCS/CTC应用程序不能正常运行，这期间的网络信息传输速率缓慢，造成调度中心内大量终端服务器程序无响应，严重影响行车调度长达2 h。

经过调查，发现事件的起因是由于中心调度台的升级施工，某厂家的人员使用自身携带的未经格式化与杀毒处理的非专用U盘，将最新的蠕虫病毒W32.Downadup带入TDCS/CTC信息系统中。由于该蠕虫病毒较新，在网络系统中的病毒库黑名单中并没有出现此病毒，因此原有的网络安全防御系统未能有效阻止该病毒的破坏。最后，通过与杀毒软件厂家联系沟通，以及该施工厂家人员采取现场值守方式随时采取手动提取数据直至系统重新恢复，才解决了此次病毒及其带来的严重破坏和影响。

通过这件安全事件，以此为教训进行反思，从技术层面与管理层面进行共同探讨。从技术层面来说，采用TDCS/CTC信息安全系统1.0的传统信息安全解决方案，已经无法满足当前铁路网络信息安全的需要。可以采用信息安全系统2.0防御体系，在TDCS/CTC系统中安装运行信息安全系统2.0，通过自身“白名单”设置、文件访问控制、U盘控制机制来自动防御新型的病毒，达到防御病毒入侵。从管理层面来说，一方面要完善施工的管理制度，加强现场盯控，绝不允许未经电务维护部门同意，随意使用U盘；另一方面要加强对现场电务维护人员与厂家人员的信息安全意识培训、教育，提升相关人员的信息与网络安全防护意识。