编组站自动化系统安全探讨

王继海

(1．北京全路通信信号研究设计院集团有限公司，北京 100070；2．北京市高速铁路运行控制系统工程技术研究中心，北京 100070)

1 概述

编组站综合自动化系统实现了铁路运输生产指挥智能化、信息化和自动化，满足铁路运营管理、安全维护等方面的需要。随着编组站自动化系统技术发展及应用需求，它与越来越多的其他系统、网络互联，尤其是采用云架构后，传统的安全解决方案已无法适用云数据中心的安全需要。

2 云架构编组站自动化系统安全风险分析

编组站综合自动化系统采用云架构后，其安全风险包括物理安全、管道安全、终端、云安全和安全管理风险等几个方面。

2.1 物理安全风险分析

物理安全涉及设备本身的安全、环境的安全、系统设置的安全等，它们分别针对编组站综合自动化系统设备所用设备、所在环境、系统组建进行安全保护。物理安全风险可能导致数据资源的损毁，主要表现在如下几个方面：

1）设备故障会造成数据丢失；

2）电源故障会造成的设备损坏或数据丢失；

3）电磁辐射会造成数据丢失。

2.2 管道安全风险分析

编组站综合自动化系统作为一个相对独立的系统，但其管道部分即网络部分为利用既有铁路网络，云与管道互联部分若没有严格的控制手段，很容易被来自铁路网络的其他无关用户随意访问，进行非法操作。

另外恶意的内部人士对数据库的非法篡改或使用、越权使用、引入未授权的软件到系统中也会影响关键生产系统的正常运行。

2.3 终端风险分析

终端是编组站工作人员处理业务的重要工具，由于其作业点分散且缺乏必要的安全手段，已经成为编组站综合自动化系统安全体系的薄弱环节。各终端除了本身易遭攻击破坏外，还容易把破坏迅速传播到网络上其他节点。

2.4 云风险分析

云安全风险可划分为数据安全风险、应用安全风险、虚拟化安全风险等。

数据安全风险在于数据泄露、数据丢失、界面和API被黑等。

应用安全风险在于身份凭证被盗、账号被劫持、系统漏洞等。

虚拟化安全风险在于共享技术共享危险及虚拟机的故障滥用等。

2.5 管理风险分析

管理风险在于管理制度，管理制度不完善，可操作性差等都可能引起管理安全的风险。

3 云架构编组站自动化系统安全解决方案

云架构编组站自动化系统安全保障体系是一个技术、管理相结合的综合保障体系。

3.1 物理安全

编组站自动化系统所用设备应有国家相关3C认证；设备安装在专用通信、信息、信号等专业设备机房；机房应配置双电源设备，机房应设置屏蔽网，系统应考虑冗余备份，以确保编组站自动化系统的物理安全。

3.2 管道安全

编组站自动化系统通过信息网与确报系统、班计划、清算系统、货票电子化上传系统、货运系统、电子货票系统、AEI系统、超编载系统、现车系统等有接口互联。系统边界安全为重中之重。

应在系统边界考虑设置防火墙、防病毒网关、入侵检测（IPS）、抗DDOS、沙箱等。同时编组站通过信息网与相关系统互联，应设置接口及交换服务，作为与信息网的安全隔离区。

防火墙设置访问控制策略，对进出安全区域边界的数据信息进行控制，阻止非授权访问，通过报文的五元组及应用的信息来过滤报文，防止设备的非法接入。

防病毒网关防范恶意代码，针对HTTP、FTP、邮件等应用协议的防病毒功能，防止病毒在网络传播扩散。

IPS进行入侵检测和阻断。抗DDOS防护大流量攻击。沙箱对未知恶意文件的检测，并与防火墙联动， 防护APT攻击。

3.3 终端安全

根据业务应用的具体要求，卸载所有不必要的应用程序和服务；关闭所有非必要开放的对外端口，并且对操作系统及时进行补丁更新；定期进行病毒查杀；关闭系统中guest用户，对系统用户设置强口令认证；开启系统审计。

终端应能实时检测USB接入状态，记录用户插拔USB时间、操作文件名、操作文件大小等详细信息。通过USB监控功能可以确保内部关键和机密文件不外泄，实现确保信息安全。

为满足有临时数据拷贝的特殊需求，可设置公共终端。公共终端对外可以使用USB指定端口，应对从外部设备拷贝到公共终端的文件进行病毒查杀后，才能导入网络。

3.4 云安全

云架构下信息数据高度集中，采用虚拟化的底层架构，使其面临许多新的安全威胁。从技术层面来分析，主要是由于传统安全策略适用于物理设备，无法管理到虚拟机、虚拟网络等，使得传统的防护机制难以有效保护基于共享虚拟化环境下的用户应用及信息安全。

基于以上本文提出云服务安全方案是在云外独立部署安全资源池，在云内部署的云导流平台结合流转发平台，实现对云内东西向流量的采集和导出。东西流量经过流转发平台的编排交付给虚拟化安全资源池。在虚拟安全资源池内虚拟出数据库审计、流量审计、日志审计等，用虚拟化导流器把云资源池内部东西及南北流量导出到SDN交换机，并由SDN交换机对流量进行智慧编排，最终把流量分配到虚拟化资源池内不同的虚拟化安全设备。对云资源池东西及南北流量进行审计。此方案通过将云内流量导出，极大扩展了分析空间。引入安全资源池，交付给多种类型的安全引擎进行分析。各类引擎实现了网络中基于流、包和事件等多个维度的可视。丰富的引擎类型为上层业务分析提供了多维度的基础数据。另外，通过对东西向流量的分析，实现了对可能造成数据泄露的主要路径的监控。

3.5 管理安全

管理平台承接着网络各种审计策略的执行与下发，应部署运维堡垒主机，为系统提供全面的运维管理体系和运维能力，支持资产管理、用户管理、命令阻断、访问控制、自动改密、审计等功能； 部署了漏洞扫描系统，通过定期对网络中的网络设备和服务器进行漏洞扫描，及时发现系统漏洞，从而提高系统的安全性； 部署安全审计系统，通过获取日志信息和操作信息等，全面监测各类操作过程和内容进行深层次地审计分析，及时发现违规的操作行为；部署终端管理和准入系统，对终端接入网络进行管控、终端用户的进程进行监控、终端用户的文件操作进行管控、及时进行补丁安装,从而加强终端用户的安全。

在运维管理网上的各管理平台应进行安全集中管控，设置系统管理员、安全管理员和审计员，这3种角色应由安全管理平台进行统一规则设定，并明确三权各自的职责。可以按照智能的白名单控制访问策略，确保系统中人员、应用程序可信，权限可控，可以对用户级、进程级、文件级以及网络空间级强制访问控制，对文件、目录、进程、注册表和服务进行防护，保护操作系统安全。

4 结束语

面向未来，基于云架构的信息应用必定是铁路信息业务发展的方向，云计算的架构下，数据、计算的共享场景将更加复杂多变，安全性方面的挑战更加严峻，合理有效地解决云环境中的各种类型的安全问题是云技术健康、可持续发展的基石。本文提出的云架构编组站自动化系统安全的一个解决方案，对于如何进一步满足系统安全的需求，是每一个设计者、开发者和运营维护人员应该深入思考的问题。