路外车站接入路内TDCS/CTC系统网络安全防护

2021-04-01张红利

铁道运营技术 2021年2期

张红利

（中国铁路呼和浩特局集团有限公司工务部，工程师，内蒙古呼和浩特 010050）

1 概述

随着铁路信息化建设的迅猛发展，铁路核心生产业务信息化水平也不断提高，列车调度指挥系统（TDCS）迅速覆盖全路，分散自律调度集中系统（CTC）逐步推广使用，大大提高了铁路运输调度指挥现代化水平。由于TDCS/CTC 网络覆盖全路各铁路局及车站，其系统整体保密性、完整性和可靠性成为了保障行车安全的重要环节之一，因此,防范和消除系统网络安全风险的必要性、紧迫性也日益显现，2007年列车调度指挥系统（TDCS）、分散自律调度集中系统（CTC）正式被国家相关部门评定为“等级保护”四级系统，对该系统信息网络安全提出了更高的要求。

从全国铁路看，近年来路外新建专用线车站接入所在铁路局集团公司调度指挥系统进行统一调度指挥的状况极为普遍，使得经济区内地方货物向外输送更加通畅，同时也为铁路企业完成运输任务起着积极地促进作用。由于这类专用线车站（统称为路外车站）设备不属于铁路局集团公司资产，设备日常管理、维护由投资方委托维管单位维护，维护和管理水平相对薄弱；更为需要重视的是，路外车站接入铁路局集团公司TDCS/CTC 系统的网络结构无法实现与中心核心设备完全隔离，车站网络安全设备（安全边界策略、车务终端安全加固）也无法部署，对中心核心网网络安全造成安全威胁，网络安全状态无法把控，由此可见，改进局管外车站接入路内既有TDCS/CTC 系统方式（以下简称接入方式）迫在眉睫。笔者以中国铁路呼和浩特局集团有限公司为例，就如何实现路外车站接入路内TDCS/CTC 系统网络安全防护略陈管见。

2 既有接入方式主要弊端

既有接入方式为首尾站分别采用2 M 通道接入TDCS 中心的外部车站专用路由器，内部部署防火墙，直接与局管外通信前置机连接，各类信息通过TDCS中心核心交换机与应用服务器、数据库服务器进行交换。具体结构如图1所示：

图1 既有接入方式示意图

既有连接方式存在以下弊端：

1）TDCS/CTC 中心路外车站接入系统采用单套接入路由器、防火墙及通信前置服务器组网，主要设备没有做到双套冗余，不符合《列车调度指挥系统（TDCS）、调度集中系统（CTC）组网方案和硬件配置标准》要求。其次系统可靠性不高，其中任何一台设备故障都会造成车站信息传输不到TDCS/CTC 中心调度台，直接影响调度指挥。

2）安全管理中心、通信前置服务器接入TDCS/CTC 中心核心交换机，后者配置两个IP 地址，即TDCS/CTC 中心局域网段IP 和车站广域网段IP，这种连接方式使得安全管理中心服务器无法访问到广域网车务终端，造成车务终端无法通过中心统一管理，统一进行安全加固，无法对车站防火墙策略进行管理和监控，未满足国家信息安全等级保护及国铁集团有关网络安全2.0的相关配置要求。

3）路外车站系统与TDCS/CTC 核心系统之间未采用安全设备进行隔离，路外车站由于管理或维护不当造成车务终端感染病毒后，通过网络传播直接影响到核心系统设备，会对TDCS/CTC 中心核心设备安全性构成严重威胁。

4）当路外车站软、硬件设备故障或车站站改引起软件、配置修改和维护时，由于核心系统维护终端无法访问广域网车务终端设备，只能在通信前置服务器上进行相关操作，对安全生产不利，不符合相关维护管理办法要求。

3 改进后接入方式主要优点

路外车站依照完全隔离的结构模式接入，车站按照155 M 通道接入TDCS 中心的外部车站专用路由器，内部部署安全边界，再由三层交换与通信前置服务器、外部隔离机连接，外部隔离机与内部隔离机间部署安全边界通过以太网电口进行连接，起到安全隔离防护作用。具体结构图2所示：

图2 改进后的接入方式所示图

改进后的接入方式主要优点：

1）TDCS/CTC 中心路外车站接入系统设备全部采用双套冗余接入，符合《列车调度指挥系统（TDCS）、调度集中系统（CTC）组网方案和硬件配置标准》要求，系统可靠性提高了，不会因单台设备故障影响设备正常使用。

2）这种接入方式结构更加安全。路外车站系统独立组网，与TDCS/CTC 核心系统采用安全边界进行隔离，TDCS/CTC 核心系统与路外车站形成了纵深化防御体系，当路外车站接入系统受到病毒或黑客攻击时，不会渗透到核心系统，最大程度保障核心系统的安全性。

3）TDCS/CTC 中心核心系统与路外车站系统各增设了一套隔离通信机，路外车站设备与TDCS/CTC核心系统交换信息时，只通过内、外隔离通信机实现，做到了子系统与核心系统的安全隔离。

4）TDCS/CTC 中心路外系统域内建立了独立安全管理中心系统，域内终端部署安全加固形成安全计算环境，安全边界能够集中控制并统一下发安全策略，通过管理中心态势感知模块能够更加清晰展现域内的安全态势并达到实时监控。

5）TDCS/CTC 中心增加了路外车站系统维护终端，后期对车站设备进行日常维护、站改施工配合修改软件等工作时，直接在维护终端上操作即可，不需要在通信前置服务器上操作，满足TDCS/CTC 维护管理办法要求，消除了对服务器资源占用及人为误操作造成应用程序关闭等安全隐患。

6）后续新的路外车站接入TDCS/CTC 中心时，核心系统只需要更新内侧隔离通信机数据，因而对核心系统整体影响范围缩小，极大地减少对运输的影响。

4 结束语

本文立足有效解决路外车站接入所在铁路局集团公司调度指挥系统进行统一调度指挥存在的共性问题，重点就消除既有接入方式弊端提出改进对策，实施后，使路外车站接入路内TDCS/CTC 系统形成独立的组网结构，域内建立独立的安全管理中心，增加独立的维护终端，按照技术标准与TDCS/CTC 核心系统进行安全隔离，能够较好防范以至消除网络安全风险。后续拟将已经接入核心系统的路外车站分批进行分离，全部倒接至路外车站接入系统，进一步保证设备、信息的安全。