我国列车调度指挥系统信息安全技术的发展与展望

武长海 聂影

(铁道第三勘察设计院集团有限公司，天津 300251)

我国列车调度指挥系统信息安全技术的发展与展望

武长海 聂影

(铁道第三勘察设计院集团有限公司，天津 300251)

介绍我国铁路列车调度指挥系统（TDCS）/调度集中系统（CTC）系统信息安全技术装备经过近10余年的发展，经历从小规模到中等规模，从简易防护、被动防护到系统防护、主动防护的过程，详细阐述目前新一代信息安全设备在TDCS/CTC系统的技术和应用情况，最后对于信息安全在信号系统的发展提出个人见解。

TDCS/CTC系统；信息安全；发展

1 概述

1.1 信息安全在国家、铁路、信号发展中的意义

1）信息安全是国家战略

当前，发达国家美国、日本、德国等均对信息安全有很高的战略要求，我国对信息安全问题也非常关注，并于2014年2月成立了中央网络安全和信息化领导小组，将信息安全上升到国家战略高度，从国家层面对信息安全通盘部署；信息安全产品被工信部作为软件类别单独列出，体现出信息安全在目前国家战略中的重要性。

2）信息安全是铁路信息化的重要部分

信息系统是铁路运输生产的重要组成部分，必须具备严格的安全防范机制，对系统的网络安全、应用安全、管理安全进行了严格的分析，制定了科学、完整、详细的铁路信息系统安全策略。即应综合采用网络隔离技术、多层交换技术、虚拟局域网技术、现代密码技术、身份识别技术、网络防火墙、入侵诊断和病毒防护等技术，确保铁路信息系统的可靠性、可用性、保密性、完整性、真实性和可控性。因此，信息安全是铁路信息化的重要部分。

3）列车调度指挥/调度集中系统的信息安全是铁路信息安全的关键部分

原铁道部提出工业控制系统必须依据等级保护要求进行建设，依照要求达不到等级保护要求的系统一律不允许开通。2008年3月1日，信息系统安全等级保护备案证明（编号：800007211002-0002）中明确列车调度指挥/调度集中系统（以下简称TDCS/CTC系统）被国家确定为信息安全等级保护4级系统，原铁道部/铁路总公司通过等级保护4级的系统有客票系统、TDCS/CTC系统、电子支付平台3个系统，3个系统应在新建时同步进行信息安全建设。为此，TDCS/CTC系统信息安全达不到等级保护4级要求不得开通。

1.2 TDCS/CTC系统信息安全技术发展

TDCS/CTC系统信息安全技术发展经过10余年的发展，主要经过了以下3个阶段：

第一阶段：2002—2007年信息安全技术起步装备阶段（初级系统）

从2002年TDCS/CTC系统推广建设，信息安全设备已经覆盖全国18个铁路局及原铁道部调度指挥中心，大部分线路车站配备了信息安全设备；主要包括4项安全措施：防火墙、网络防病毒、漏洞扫描、身份认证，系统装备水平仅能勉强适应信息安全等级保护2级的水平。

第二阶段：2008—2011年信息安全技术补强阶段（第一代系统）

在原有4项装备基础上经过不断补强，又增加了入侵检测、安全审计、接入安全、软件补丁分发、安全集中管理、安全接入控制、管理终端安全等信息安全组件，但信息安全技术仍停留在防火墙、系统打补丁等被动防御的层面上，仍不能满足等级保护4级的要求，本文称之为第一代信息安全设备。

第三阶段：2012年至今，第二代信息安全技术推广应用阶段（第二代系统）

第二代系统从铁路总公司调度中心到铁路局调度中心、铁路局调度中心到车站采用3级安全架构设计，具有主动防护、整体防御能力。经过几年的建设，已经在北京、武汉、上海、广州、成都、哈尔滨等多个局调度中心及铁路总公司调度指挥中心部署，在保障高铁、普速列车调度指挥安全、可靠方面发挥了更大的作用，本文称之为第二代信息安全设备。

2 TDCS/CTC系统信息安全技术发展情况

2.1 第一代与第二代信息安全技术对比

根据《信息系统安全等级保护基本要求》（GB/ T22239－2008）规定第4级信息系统应具备的安全保护能力是：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。

上述标准从物理安全、网络安全、终端安全、应用安全、数据安全及备份恢复等5个技术要求方面提出了4级安全系统要实现的具体目标。表1对第一代信息安全设备和等级保护4级要求进行了对比。

从表1可看出，第一代CTC/TDCS系统信息安全措施不到位，使整体防御能力距离等级保护4级有较大差距，不能够有效的防御来自内部人员或外部组织的恶意攻击，将会给铁路运输调度任务造成严重的破坏性风险；第二代信息安全设备重点对以上差距进行安全设计和实施，提出有效的解决方案，达到“以防内为主，内外兼防”的效果，并已进入了工程化推广应用阶段。

表1 第一代信息安全设备与等级保护4级基本要求的差异对比汇总

2.2 第二代信息安全设备装备与集成

1）系统架构

第二代信息安全设备从总公司调度中心到路局调度中心、路局调度中心到车站采用3级安全架构设计，3者之间均部署了安全区域边界，对各区域实施安全防护，具有整体防御能力。系统由安全管理中心统一管理，以计算环境安全、区域边界安全、通信网络安全所组成的“一个中心、三重防护”体系结构实现针对TDCS/CTC系统的纵深防御、整体防御。

总公司、铁路局、车站3级安全防御系统示意如图1所示。

图1 3级安全防御系统示意图

2）系统功能

针对等级保护4级所定义的系统功能需求，第二代信息安全设备的主要功能如表2所示。

3）系统集成实施方案

a.铁路总公司TDCS系统中心

铁路总公司调度中心TDCS/CTC信息安全设

示备主要包括查询业务区域、调度业务区域、安全管理中心区域，各个区域之间布设了安全防护的业务边界、以及铁路总公司中心对铁路局相互之间的区域边界和安全通信网络，如图2所示。

b.铁路局TDCS中心/高铁CTC中心

铁路局TDCS中心/高铁CTC中心信息安全设备主要覆盖两个中心系统，分别是普速CTC/TDCS和客专CTC的中心（总机）系统，两个系统共用一个安全管理中心，且各自有一个调度业务区域和查询业务区域；各个业务区域之间布设了安全防护的业务边界、铁路局对车站之间的区域边界防护和

表2 第二代信息安全设备功能表

图2 铁路总公司中心TDS/CTC信息安全拓扑图

安全通信网络，如图3所示。

c.中心系统主要配置

系统硬件主要包括：安全管理中心、安全业务边界、安全区域边界3部分。

*安全管理中心对系统整体安全进行统一的策

图3 铁路局中心TDCS/CTC信息安全拓扑图

略管理、审计管理，由系统管理、安全管理、审计管理、集中监测、电子证书5类服务器组成，采用双机冗余部署。

*安全业务边界包括查询区域边界、安全管理中心边界，采用双机冗余部署。

*局中心与总公司（邻局）之间以及局中心与车站之间分别配置4台安全区域边界；区域边界使用万兆光口分别与核心交换机及核心路由器相连。

系统软件包括：安全管理中心软件以及应用到各类服务器、调度终端、复示终端上的系统加固软件等。

d.车站级结构及配置

车站安全组件主要包括安全计算环境及安全区域边界（含安全通信网络组件）2部分。安全计算环境主要包括：车务终端、CTC自律机/TDCS车站分机、综合维修终端的安全硬件环境；安全区域边界采用双机冗余方式部署在车站路由器与交换机之间。

4）系统集成发展情况

经过2012年至2014年3年的建设，目前第二代信息安全设备已经在北京、武汉、上海、广州、成都、哈尔滨等多个铁路局及总公司调度指挥中心的TDCS/CTC系统中部署完毕；以上海调度所为例，仅2015年规划年度管辖的主要高速铁路、客运专线、城际铁路共计约20条线路，长6 000 km，2013年底前已建成10余条高速铁路/客运专线，信息安全设备完成了安全管理中心、安全边界接入和调试，以及业务服务器和调度台终端系统的安全计算环境加固工作。

目前第二代系统主要功能和安全策略已启用，并在各调度中心稳定运行，第二代系统在安全管理中心的集中统一管理下，通过安全计算环境的白名单、完整性度量等功能，实现了程序安装、运行的控制，从而以主动防御的方式防止了病毒、蠕虫及其他非授权恶意程序的感染和破坏，保障了调度系统中未经批准的程序无法安装、在运行的调度程序不被非法篡改；同时，从技术手段上实现了调度系统程序升级的版本管理控制，只有路局批准的升级版本，才能够通过管理中心进行统一升级。

第二代信息安全设备实现了对U盘、光驱等各类计算机外设接口的控制，确保只有经过批准的U盘才能在CTC/TDCS专网中使用，避免了来自其他途径的U盘滥用。有效防止了在调度系统升级维护的过程中非授权U盘将病毒、蠕虫带入网内的风险。

通过安全管理中心的集中管理，实现对业务服务器和调度终端CPU、内存、硬盘占用空间等关键运行指标的实时监控。

安全边界的部署和策略的实施，对流经中心与车站、TSR、RBC等重要系统间接口的数据进行有效过滤和控制。

3 信息安全技术发展建议和展望

3.1 信息安全技术有待深入研发

目前信息安全产品尚未在IBM小型机上安装服务器安全环境，理论上存在被攻击的风险；系统个别功能未完全与等级保护4级功能吻合，虽不影响主要功能，仍有进一步强化完善的空间；信息安全设备与TDCS/CTC业务系统开发平台可能不尽相同，系统配置应保障被保护业务系统不受到影响，需进一步与业务系统实现匹配性开发；此外，第二代信息安全设备注重主动防御，但对于可能存在大量病毒风险的既有普速TDCS/CTC系统，直接应用第二代系统并不能完全清除风险，因此在具体的工程实践中仍需要结合具体的工程情况制订合理的工程技术方案。

3.2 需完善相关测试验证标准

信息安全设备作为保证TDCS/CTC系统信息安全的“盾牌”，安全功能需要通过相关符合条件的测评机构测评，并对装备信息安全的TDCS/CTC系统进行信息安全第三方功能验证。目前的测试验证主要集中在信息安全产品供应商的自检自测和工程验收检测，在具体工程实践中，如何验证装备之后的系统功能也需要专业机构，制订专业的、标准化的测试验证流程来检验和验收系统，则有助于系统发展的规范化。

3.3 配套管理手段促进系统能力发挥

信息安全不仅是信息安装装备，同等重要的另一方面是信息安全管理。实现真正意义的4级保护系统，还需要配套的管理要求：主要通过控制各种参与信息系统角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。建议在设计、建设、维护信息安全设备等全过程中，制定相应的管理办法并严格按照《信息安全技术信息系统安全等级保护基本要求》规定的安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等具体要求执行。通过管理制度、人员与信息安全产品的协调发展，形成完整而高效的信息安全管理系统，更充分地发挥等级保护4级系统的安全保障作用。

The paper introduces the evolution of information security technologies and equipment of the train operation dispatching command system (TDСS) /centralized traffi c control system (СTС) from small to medium size and from simple & passive protection to systematical & active protection after the development more than 10 years, and elaborates the technologies and application status of the new generation of information security systems in TDСS/СTС systems, fi nally it puts forward personal opinions for the development of information security in the signaling system.

TDСS/СTС system; information security; development

10.3969/j.issn.1673-4440.2015.01.027

2014-09-10)