铁路信号系统网络安全风险分析与防护措施研究

邢燕梅

（中铁十二局集团电气化工程有限公司，天津 300308）

0 引言

在铁路建设高速发展的现代社会，构建智能化铁路信号系统已成为大势所趋。只有进行不同信号设备的优化重组，才能够让智能化铁路信号系统的发展更贴合时代趋向，才能够建立功能齐全的信息化网络体系，推动铁路未来的建设和发展。但就目前而言，信息系统内部不同设备单元的交互联系仍然存在一些问题，如果不能够优化信息系统内部的网络结构，降低信号系统运作过程中出现的安全风险，在铁路信号系统运作过程中将很容易出现各类突发性事故，不仅会影响铁路的正常运行，还会产生一系列不可预估的严重后果。

1 网络安全问题研究的价值分析

铁路信号系统的组织构建，经过较为漫长的发展阶段，现今的铁路信号系统具备车辆调度指挥的功能，在控制列车运行时能进行必要的灾害防护，实时监测列车主要设备的运行状况，同时进行必要的信息传输和管理。因此，现阶段的铁路信号系统具有较为明显的综合性信息控制功能，其运作状况会直接影响铁路运输的安全。

但需要注意的是，铁路信号系统自身的网络具有封闭性特征，因此在传统的网络研究过程中，大多数学者把研究重点放在可靠性方面，而忽视了对网络安全的研究。但实际上，在信息技术不断发展的现代社会，不同类型的病毒和层出不穷的攻击手段，给铁路信号系统的日常运作带来不小的挑战。如果不及时更新网络安全防御体系，提升铁路信号系统的防护能力，那么铁路信号系统在运作过程中就很容易遭受攻击。只有让铁路行车运输安全得到保障，才能够降低各类突发事故的发生概率，因此，网络安全问题研究具有极为重要的现实意义和价值。

2 铁路信号系统的网络安全风险

2.1 网络安全事件处置风险

在信号系统应用中，很容易出现各类网络安全事件，相应事件一旦出现，往往很难处理。之所以网络安全事故难以得到妥善处理，与以下三个因素有密切关联。

首先，大部分网络架构节点都包含各类安全设备，因此在发生安全事故时，技术人员无法通过设备配置的全面优化调整方案进行针对性的响应。

其次，在信号系统运作过程中，日志在全网各设备中都可见，由于日志的分散性导致技术人员无法在短时间内将日志统一汇总分析，致使相应的安全事故处理存在一定的迟滞。

最后，信号系统自身的网络规模较为庞大，但在具体的监测和运作过程中缺乏统一的中枢机制，因此工作人员难以通过信息传输的方式，在第一时间判断当前所遭遇的网络安全事件的严重程度，从而很难及时采取具有针对性的措施解决网络安全问题。

2.2 传统防护边界风险

在信号系统运作过程中，需要采取网络安全防护措施进行边界部署，在传统的边界风险防护过程中，通常使用的手段是防火墙建构或网闸建构。但由于信息技术的不断发展与完善，现阶段网络安全威胁问题已经逐步延伸到应用层的安全设备，以往的措施在应对当前网络安全威胁时能够产生的作用十分有限。如果要让信息系统遭受安全威胁的概率得到有效控制，就需要根据当前信号系统网络安全防护的具体需求，加强应用层数据监测方面的工作。但就目前而言，此类工作的有效落实仍然存在一定阻碍，因此传统防护边界风险仍然存在。

2.3 安全管理手段不够完善

在信号系统建设与优化过程中，现阶段所使用的安全管理制度已无法及时应对网络安全形势变化过程中出现的突发性事件，并妥善地解决各类突发性问题。在此类情况下，管理人员无法依据现有制度来降低安全风险出现的概率，进行新技术的全面应用。因此，在具体的系统运维过程中，如果需要完成修改、维护和升级软件等工作，则很容易在非法设备接入和移动存储介质使用过程中出现各类安全问题，最终导致病毒感染或非法入侵的概率大幅度上升。而在这一过程中，网络安全应急预案由于长久未能得到更新，从而缺乏全面性和系统性，已不能适应现阶段的网络安全变化情况。如果管理人员不能及时进行各类网络安全事故的紧急演练，革新优化相应事故的处理能力，那么铁路信号系统的安全管理质量就无法得到提升[1]。

2.4 远程维护访问存在风险

铁路信号系统需要通过远程访问的方式来进行终端维护，因此现阶段经常使用PcAnywhere 以及DameWare 来进行维修和控制。此类维修软件虽然实用，但缺少必要的安全审计机制，所以在具体的远程维护过程中，很容易引发安全事故。一旦出现安全事件，技术人员很难通过追根溯源的方式进行彻查，制订更具有针对性的事故处理方案。因此，在具体的远程维护访问过程中，需要详细记录不同类型设备的登录日志和配置操作，只有如此，才能够让信号系统违规操作的事后追踪能力得到提升。但就目前而言，这方面工作仍有不到位之处，以致铁路信号系统的网络安全问题尚难得到有效解决。

3 铁路信号系统安全风险的成因

3.1 低安全等级网络有被渗透的可能

相比于传统的信号安全数据网，现阶段所使用的能够控制列车运行状态和各类信号设备的CTC 系统网络，在安全等级方面并不理想。CTC 系统中布置了大量不同类别的服务器，在具体运作过程中，需要使用专用或通用的操作系统来完成一系列操作，不论是Windows Server 还是Windows NT 系列，其自身并没有内置的安全功能，因此存在较为明显的低安全等级网络被渗透的风险，这也是导致铁路信号系统安全风险问题无法得到彻底解决的重要因素之一[2]。

3.2 铁路信号系统网络设置不合理

虽然现阶段铁路信号系统所使用的CTC 网络和TDCS 网络具有较为明显的独立性特征，但其使用的系统服务器以及具备终端查询功能的IP 地址设置均在同一个网段，从而意味着终端操作员可采用跨越防火墙登录的方式来访问不同节点的服务器，甚至在特殊情况下进行服务器配置修改工作，进而很容易使得调度系统陷入混乱局面，最终影响铁路的行车安全。由此可见，铁路信号系统自身网络设置方面存在的问题是导致安全风险居高不下的重要原因之一。

3.3 铁路信号系统易遭受病毒攻击

由于计算机网络层级设备在硬软件方面均实现了较为明显的突破性发展，因而硬件价格呈现出不断下降的趋向，而且终端产品自身也具有一定的智能化特征，从而意味着自制计算机和终端设备在应用过程中失去明显的分界。如果网络权限一直是以开放形态进行工作的，网络就很容易遭受攻击风险。相比于以往铁路信号系统的运作方式，现阶段的信号系统一旦进入工作状态，就极易遭受病毒的攻击，这也是铁路信号系统安全风险难以控制的重要原因之一。

4 安全风险分析与防护措施研究

4.1 进行安全区域边界技术的合理应用

具体的安全区域边界技术应用，可从如下四个方面来进行：

首先，技术人员可在TDCS 系统和CTC 系统架构过程中，将网闸设备接入安全管理平台，让网络安全设备的集中管理要求得到有效落实，确保CTC 系统、TDCS 系统与其他信号系统的接口所部署的网闸设备能够在隔离防护方面起到作用，提高不同区域间信息交换的安全性。在网络安全设备集中管理的过程中，只要将网闸设备接入安全管理平台，那么信号系统的安全态势感知精准程度将提高，确保网闸设备运行数据日志能够被详细地记录到安管中心[3]。

其次，CTC 系统和TDCS 系统的不同区域之间均需要部署防火墙设备，相比于传统防火墙，该防火墙需要具有在会话状态下检测访问控制规则的能力。只有如此，相应系统在运作过程中才能将内容和应用协议作为访问控制规则的元素，保证访问的安全性。在这一过程中，由于防火墙自身嵌入了入侵检测及预防病毒的功能模块，所以系统运作中业务流量监测的安全威胁可得到有效控制。

再次，在CTC 系统和TDCS 系统运作过程中需要使用MAC 或IP 绑定技术，只有这样，网络设备的可信连接对象才能够得到更进一步的固定，在系统运作过程中，空闲端口才可及时关闭。只要使用MAC 或IP绑定技术，访问员地址就能有效控制系统内的所有组件。在网络访问源限制过程中，都会变成仅允许可信远程终端访问的状态，这能够让系统外违规设备接入的安全风险得到合理控制，从而进一步提升铁路信号系统的使用安全性[4]。

最后，为了完善安全风险的防护效用，工作人员需要在关键网络节点内部署入侵防御系统，只有这样，才能够在CTC 系统和TDCS 系统使用过程中，完成不同数据包的深度检测工作，让新型网络攻击行为得到更精准的甄别。CTC 系统和TDCS 系统在网络安全防御方面的体系架构如图1 所示。

图1 CTC 系统和TDCS 系统

在入侵防御系统运作过程中，其自身所具备的防御和告警功能也会开启，这有助于进行安全风险剔除，使铁路信号系统正常运作。如果入侵防御系统检测到流量中存在攻击行为，就会主动发出警报，并及时完成阻断工作，降低攻击链接的成功概率，确保铁路信号系统在运作过程中自动完成对网络攻击的防御。

4.2 进行安全通信网络技术的优化应用

在具体的系统优化过程中，如果能够完全按照设计的具体技术条件进行CTC 系统或TDCS 系统的建构，那么其自身的网络架构就能够满足安全通信方面的要求。但需要注意的是，在具体的网络安全区域划分上，仍然需要花费一定的时间和精力。只有根据网络安全区域划分的具体原则和要求来划分CTC 系统和TDCS 系统的安全域，才能够让安全通信网络技术得到切实应用，让安全风险方面的问题得到解决。在大多数情况下，CTC 系统和TDCS 系统都可被分成9个安全域，分别是运维管理域、业务终端域、核心业务域、数据查询域、应急备用域、对外接口域、车站业务域、安全管理域及模拟仿真域，技术人员需要对这一防护措施的应用引起足够重视[5]。

4.3 进行安全管理中心技术的优化应用

在CTC 系统或TDCS 系统的安全管理域，进行统一安全管理平台的部署，能够让网络安全组件当中的补丁库以及恶意代码库得到全面且集中的管理，从而意味着技术人员可通过更具有内在逻辑关联的安全审计方式，进行不同系统组件的安全审计记录，并进行系统运作日志的统一存储备份和传输，在此类情况下，CTC 系统以及TDCS 系统的安全态势能够得到全面的优化与革新。安全管理中心技术的全面落实和应用，方便技术人员对各类审计记录进行必要的分析和综合查询，对其所面临的安全事件进行必要的等级划分，这有助于安全管理员进行事先防控，并在事故发生阶段进行实时监测，以及完成事后报告的撰写工作，这能够让整个网络安全事件的回溯追踪质量得到更进一步的提升。

4.4 使用统一的网络安全管控建设方案

现阶段较为常见的网络框架是SDN，技术人员可通过交换机和路由器之间的传输数据来完成平面控制工作，使用统一的控制器进行必要的数据管理，在这一过程中，一旦控制平面和数据平面出现分离状态，网络的控制平面就可充当平台，在不同控制程序应用过程中实现对不同层级网络平台的管理工作，此类物理的隔离方式，能够让整体系统变得更加安全。在CTC 系统网络以及信号安全问题解决过程中，技术人员采用设置独立子网的方式，将CTC 系统网络和SDN 融合到同一个网络平台，用统一的软件进行操控，那么在虚拟化技术应用背景下，软件定义信号体系的不同子网功能就会变得更加协调统一，此类统一的网络安全管控建设方案，在操作方面并不存在难度，有助于铁路信号系统的网络安全管控工作得到全面优化[6]。

5 结语

总而言之，在铁路信号系统使用过程中，全面分析网络安全风险的成因是很有必要的。只有根据当前铁路信号系统的具体使用情况，制定出更具有可行性的安全风险分析和防护措施，才能够降低安全事件出现的可能性。只有有效提升安全事件追溯分析的力度，让铁路信号系统的运作稳定性得到提升，才能保障铁路行业安全稳定地运行。