高铁牵引变电所信息直采直送系统网络安全措施

2021-08-13周萌姚俊杰

铁路技术创新 2021年3期

周萌，姚俊杰

（1.宁夏城际铁路有限责任公司工程管理部，宁夏银川 750011；2.中国铁路兰州局集团有限公司供电部，甘肃兰州 730030）

0 引言

依据《铁道部、国家电网公司电气化铁路供电协调领导小组办公室第三次会议纪要》规定，牵引站向电力公司提供：牵引站高压侧母线高压、高压断路器位置信号、供电线路电压等信息，并对故障分析起重要作用的事故信号和断路器跳闸信息同时上传。铁路牵引变电所通信网在电力系统中称为信息直采直送系统[1]，主要向国家电网有限公司（简称国家电网公司）当地省调和当地地调双平面传送以上信息，便于国家电网公司掌握用户端受电情况，及时处理故障、事故。

未实施网络安全法前，牵引变电所的信息直采直送系统仅涉及通信传输系统和调度数据网接入系统，并未过多涉及网络安全相关领域的要求。

我国铁路作为国家公共交通资源的重要组成部分，随着计算机技术在信息网络建设中的不断应用，铁路信息网络系统安全性成为铁路系统生产运营的重要一环。随着高铁建设步伐的不断推进，铁路业务对信息网络系统依赖度越来越高，铁路和接入的电力网络任何一方发生故障或遭到入侵破坏，将会互相影响另一方的正常运行，例如2015年“乌克兰大停电”事件，由于电站内遭到黑客攻击，导致乌克兰全国大面积停电。

2017年6月1日实施《中华人民共和国网络安全法》后，对能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的公共通信及信息服务提出了建立健全网络安全保障体系、提高网络安全保护能力的要求。国家电网公司依据《中华人民共和国网络安全法》，对高铁牵引变电所信息直采直送系统提出新增在线监测装置、防火墙、隔离网闸、安全评估、主机加固等新的网络安全防护设备及措施。

1 传统直采直送系统组成及配置

传统信息直采直送系统由服务器、工作站、网络设备、安全防护设备、操作系统、数据库及应用软件等部分组成[1]。铁路牵引站上传信息需通过国家电网公司电力调度数据网络与各级调度机构进行业务通信，高速铁路牵引变电所和国家电网公司系统间采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护[2]。传统直采直送系统网络拓扑见图1。

传统的信息直采直送系统仅实现了安全分区、网络专用和纵向加密，结合牵引变电所应用系统和功能模块的特点（实时和非实时），将各功能模块分别置于安全Ⅰ区控制区、安全Ⅱ区非控制区，实现安全分区[3]。调度数据网在SDH专用传输通道上使用独立的网络设备组网，采用基于SDH/PDH不同通道、不同光波长、不同纤芯等方式，在物理层面上实现与其他数据网及外部公共信息网的安全隔离，实现网络专用。业务应用层面通过纵向加密装置的SM2算法建立专用隧道，以策略配置业务IP点到点，端口最小化为原则进行通讯限制。

这种工作模式下，高铁牵引变电所直采直送系统存在缺失横向隔离、综合防护不全面等方面的安全隐患，未达到从边界、物理、网络、主机、应用、数据安全共6个方面的安全防护要求。应进一步采用纵深防御和适度安全策略，即安全防护主要针对基于网络的生产控制系统，重点强化边界防护，提高内部安全防护能力，保证生产控制系统及重要数据的安全[4]。基于网络安全要求，在高铁牵引变电所建设时，应增加多项防护措施，以实现铁路牵引变电所和国家电网公司网络安全运行。

2 优化后的直采直送系统

以某高速铁路新建牵引变电所直采直送系统建设为例，对信息直采直送系统进行优化，优化后的网络拓扑见图2。

图2 优化直采直送系统网络拓扑

一是在安全Ⅰ区加装网络安全在线监测装置，对整个电力监控系统信息大区直采直送系统涉及的服务器、工作站、网络设备、安全设备进行实时监测；二是在安全Ⅰ区和安全Ⅱ区之间加装防火墙，杜绝Ⅰ、Ⅱ区业务混连、直连现象，严格执行安全分区要求；三是在国家电网和铁路调度网的连接处增加隔离网闸，杜绝铁网和电网的直连现象，实现边界安全的防护要求。

2.1 加装网络安全在线监测装置

主要对服务器、工作站、网络设备、安全防护设备等监测对象进行数据采集和数据统计工作。其主要工作内容如下：一是对于服务器、工作站等包含用户在终端设备上登录信息采集、整理，用于采集监控操作行为信息与网络连接的相关信息、系统运行信息、外设接入信息、平台核查的指令信息；二是对于网络设备的运行，可以采集到局域网内部交换机设备的相关信息、连接交换机的活跃设备等网络设备的拓扑信息、在线时长、CPU使用率、内存使用率、网口状态、网络连接情况等设备运行信息；三是对于安防设备自身策略的安全事件、配置信息、运行信息以及相关的操作信息进行采集统计[5]。网络安全监测装置的使用能立即直观的反馈设备信息，以及非法外联的相关告警，从而及时作出相应的处理。设备连接正常后在装置告警中可以看到从下联设备中采集到的装置信息，装置进行整理后上送主站。优化后的直采直送系统工作界面见图3。

图3 优化后的直采直送系统工作界面

2.2 加装隔离网闸和防火墙

隔离网闸和防火墙是电力监控系统的横向防线，隔离网闸和防火墙的指导思想不尽相同：防火墙是在保障互联互通的前提下，尽可能安全；而隔离网闸是在保证必须安全的前提下，尽可能互联互通。加装隔离网闸和防火墙，能够实现各安全区间隔离，是要解决目前网络安全存在的如下问题：一是对操作系统的依赖，因为操作系统也有漏洞；二是对TCP/IP协议的依赖，而TCP/IP协议有漏洞；三是解决通信连接的问题，因为内网和外网直接连接，存在基于通信攻击的风险；四是应用协议的漏洞，如非法的命令和指令等[6]。防火墙已在宁夏新建牵引变电所的应用（见图4）。

图4 防火墙在牵引变电所的应用界面

隔离网闸（安全隔离与信息交换）是在保证电网调度和铁路调度2个网络安全隔离的基础上实现安全信息交换和资源共享。通过在Ⅰ区业务交换机和铁路调度交换机中间增加隔离网闸，从而实现2套网络共享牵引变电所内远动、保护等业务信息，并顺利实现信息在2套网络间的安全交换（见图5）。隔离网闸主要有3个模块功能，分别是内网处理单元（A端）、外网处理单元（B端）和专用隔离交换单元（隔离通道）。

图5 内、外网处理单元和专用隔离交换单元实物

安全隔离网闸系统中的内网处理单元（A端）连接电网调度，外网处理单元（B端）连接铁路调度，专用隔离通道在任一时刻点仅连接内网处理单元（A1）或外网处理单元（B1），与两者间的连接受内部硬件电路控制高速切换，其工作原理见图6。

图6 内、外网处理单元和专用隔离交换单元工作原理

加装隔离网闸和防火墙后，保证专用隔离硬件交换单元在任一时刻仅连通内部网或者外部网，既满足电力调度数据网与铁路调度数据网的物理隔离要求，又能实现数据的动态交换。

2.3 风险评估及系统加固

新建牵引变电所的信息直采直送系统在安全防护上，不但增加了硬件防护，而且可进行主机加固和安全评估等工作。牵引变电所送电之前对站内所有主机进行了更换安全操作系统以及主机加固工作。因原有Windows操作系统存在太多安全漏洞，容易被黑客利用攻击（如“熊猫烧香”“永恒之蓝”“勒索病毒”等事件），故将牵引变电所的主机操作系统更换为相对安全的Linux操作系统，并进一步设置了强口令防止非操作员的登录配置，关闭了无用用户以防止远程登录窜改文件，关闭了远程登录相关协议及端口，设置防火墙策略，启用了日志审计功能，对应用主机进行安全基线加固，漏洞消缺，强化了就地网络安全的防范力度。

对安全制度、人员管理、物理环境、电力监控系统开展了调研、评估、走查、访谈、漏扫、基线审查等工作，对牵引变电所评估服务整体架构、制度管理、主机设备、网络设备、操作系统、应用程序进行风险分析，暴露其在物理安全、主机安全、应用安全、管理层面上的脆弱点和风险源，并提出建议处置措施，规避相应安全事件发生的可能性，降低安全事件损失，使整体安全运行更加可靠[7-8]。评估结果见图7、图8。