王 颖，赵京京

（北京全路通信信号研究设计院集团有限公司，北京 100070）

1 概述

铁路是国家重要基础设施，信号安全数据网是铁路信号系统各控制设备的专用通信网络，承载着列控中心（TCC）、计算机联锁（CBI）、临时限速服务器（TSRS）、无线自动闭塞（RBC）等设备的安全数据传输，是列车运行现场控制、执行系统，其保障列车安全、有序、稳定、可靠地运行，是铁路系统关键基础设施、核心生产作业系统。信号安全数据网系统安全保护等级建设应按等级保护四级建设，对其实施全方位的安全保护。

2 安全现状和风险分析

信号安全数据网采用工业级以太网交换机，构成双冗余环网。环网间采用物理隔离，交换机设备间采用专用单模光纤连接；在路局或线路子网边界采用三层交换机进行子网间路由，三层交换机间采用双冗余光缆进行链路聚合连接，保证安全数据网的可靠性和稳定性。整个网络划分不同的虚拟局域网（VLAN），业务VLAN 只用于承载信号系统应用设备之间的安全数据通信，管理VLAN 只用于网络管理数据的通信，业务数据优先使用带宽。信号安全数据网系统主要与外部系统（TDCS/CTC 系统、集中监测系统）进行业务交互。信号安全数据网组网结构如图1所示。

图1 信号安全数据网结构示意图Fig.1 Schematic diagram of signaling safety data network structure

1）网络安全层面

NMS、EMS 网管系统引入破坏安全数据网封闭性，其防护能力依赖于网管系统边界安全策略和网管系统自身安全防护水平。

网管系统与安全数据网边界、网管EMS与NMS 边界虽然部署防火墙，但由于缺少统一的管理，可能存在安全策略不当情况。网管系统外部终端缺少隔离措施，存在外部终端接入情况，容易从外部终端引入病毒和攻击。

网管系统对网络设备进行管理和监测，能够对网络设备运行状态、网络流量等进行记录，但是缺少网络的攻击检测和感知能力。

2）主机安全层面

网内控制设备主机设备大多采用嵌入式系统，专用安全平台，对系统和软件运行过程的完整性有严格的安全机制保证，不存在通用操作系统的漏洞，无感染网络病毒风险。通信过程采用安全通信协议RSSP-I/RSSP-II 协议，能够保证通信过程完整性、对通信双方具有校验过程，具有封闭网络通信安全保护能力。但是受限于系统资源和计算能力，无法使用传统的主机防护技术。

网管系统对登录用户缺少强身份鉴别的能力。EMS 网管系统网管服务器具有对信号安全数据网网络设备进行配置管理和软件升级功能，当非法用户登录并恶意篡改网络设备配置或发起攻击时，会对安全数据网造成破坏。

安全控制设备维护终端、网管系统服务器及终端，存在高危漏洞，且不具备入侵防范能力。容易被当作跳板对信号安全数据网系统发起攻击，且采用传统网络防病毒软件，无法及时更新恶意代码库，无法识别新的恶意软件，起不到完整的主机防护作用。缺乏有效的安全审计功能，无法感知被病毒、入侵攻击行为。

3 设计目标

建立完整的网络安全保障体系（本方案主要讨论网络安全技术体系的建设），使信号安全数据网通信满足如下能力。

1）安全防护能力

应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击，以及其他相当危害程度的威胁（内部人员的恶意威胁、无意失误、严重的技术故障等）所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。

2）运行监控能力

建立安全技术、安全管理和安全运行闭关体系，实现技术产品、管理制度、运行措施的有效集成和安全协同，实现全网安全设备、安全策略的统一系统管理、统一安全管理、统一配置管理和统一集中管控。

3）感知预警能力

有效利用人工智能、大数据分析和威胁情报等前沿安全技术，建立高铁网络安全态势感知平台，实现安全状态、安全资源、安全数据的动态可视化，形成全天候、全方位态势感知能力。

信号安全数据网网络安全保障体系构成如图2所示。

图2 信号安全数据网网络安全保障体系Fig.2 Network security guarantee system of railway signaling safety data network

4 技术方案

本方案技术体系按照网络安全等级保护基本要求“一个中心，三重防护”的指导思想进行安全方案设计，在不影响安全数据网可用性、实时性基础上，构建纵深安全防护体系，满足安全技术和合规需求，如图3所示。

安全管理中心：统筹协调全局网络安全设备状态和安全策略，实现统一系统管理、统一安全管理、统一审计的管理。

安全区域边界：实现安全数据网及其承载系统与其他系统网络（CTC/TDCS/集中监测、网管终端）的安全隔离，隔离威胁数据，阻断安全攻击。

图3 一个中心三重防护示意图Fig.3 Schematic diagram of one center with triple protection

安全通信网络：实现安全数据网基础网络运行状态以及承载内容的安全管控，保障网络健壮性。

安全计算环境：实现控制设备、维护机、网管系统和网络节点的安全防护。

1）安全管理中心

安全管理中心负责全系统统一管控，确保信号安全数据网系统安全策略全局一致。采用系统管理员、审计管理员、安全管理员三权分立设计用户角色。系统管理员负责对系统的资产进行监测，对节点IP地址、软硬件等资源进行集中管理，对管理平台的各用户身份和权限进行设置。安全管理员通过安全管理平台制定安全策略，保证计算环境内安全计算节点、各边界防护设备和安全通信网络执行安全策略，确保策略一致，实现所有安全机制的统一集中管理，同时支持与系统内时钟进行同步，保证时间统一同步。审计管理子系统主要用于区域范围内审计策略的统一制定，审计信息的统一接收、分析及查询。

2）安全区域边界

信号安全数据网的区域边界包括：安全数据网系统与外部系统之间、安全网与EMS网管系统之间、EMS 网管系统与NMS 网管系统之间、网管系统与网管终端之间。首先在保证铁路信号安全数据网物理隔离，确保其独立性、封闭性的前提下，采用工业防火墙或工业网闸实现边界访问控制和数据包过滤；采用终端安全管理和准入设备实现接入和外联控制，并对其行为进行阻断。在与其他系统边界处采用IDPS对内外部攻击行为进行检测和阻断；采用态势感知实现对未知威胁的安全分析。在网络边界和核心交换机处采用IDPS、工业安全审计监测系统对重要业务行为进行安全审计，并将审计结果送至安全管理中心。

3）安全通信网络

各设备之间采用安全通信协议RSSP-I/RSSP-II协议，保证数据完整性。安全网自身采用通信线路冗余、网络设备硬件及性能冗余、关键计算设备冗余等机制保证网络架构安全。对内部区域按照业务及数据不同划分为不同安全域，并采用工业防火墙或工业网闸实现区域隔离。采用数字证书、加密技术或安全协议（如SSL、IPSEC、SNMPV3等）等实现通信过程中的数据保密和完整性校验。增强安全数据网的安全感知能力，通过在安全数据网内交换机旁路接入流量探针，采集通信网络内的通信数据，进行数据分析，获取异常数据进行深度分析，进行各项检测，分析信号安全数据网网络内是否存在针对信号系统的入侵行为。

4）安全计算环境

通过创建网管系统、控制设备维护终端的安全计算环境，防止通过终端设备向安全数据网发起攻击和病毒传播。通过在各服务器和终端设备上部署主机加固软件，采用基线检查技术、主机加固技术实现主机系统身份鉴别、登录处理、双因子认证安全管控；采用堡垒机实现应用系统、服务器、网络设备、数据库设备的统一运维和鉴别认证、安全审计，并对审计结果进行统一管理。可采用漏洞扫描技术实现主机系统安装组件、系统服务、网络端口、远程接入、数据输入等的安全管控和校验；采用态势感知技术实现主机系统漏洞和入侵攻击行为的安全分析和告警。

5 结论

针对信号安全数据网系统网络框架以及业务情况进行风险分析、安全需求分析，依据信息等级保护基本要求，以“一个中心三重防护”的安全防护体系架构构建安全数据网的安全防护体系，采用主动防护技术、物理隔离、协议转换技术、态势感知技术等多种技术手段，保护安全数据网主机安全、网络安全和环境安全，切断各种入侵的攻击途径，可以使信号安全数据网系统具备高等级的防护能力。除了技术体系的建设外，从安全管理制度、安全管理机构、安全人员管理、安全意识培训等方面的管理体系建设，也是铁路信号安全数据网网络安全保障体系的关键环节。