铁路信号安全数据网网络管理系统优化方案研究

李 想，赵京京

（北京全路通信信号研究设计院集团有限公司，北京 100070）

1 概述

信号安全数据网是保障铁路信号系统稳定、安全、高效运行的专用通信网络，承载着计算机联锁设备、列控中心、中继站与无线闭塞中心和临时限速服务器等中心设备间的信息传输安全。铁路信号安全数据网网管系统负责监管铁路局管内所有线路的信号安全数据网设备、网管服务器、企业信息服务器（Enterprise Messaging Server，EMS）和网络管理系统（Network Management System，NMS）之间的网络设备的运行状态。铁路信号安全网网络管理系统具有重要作用，一旦发生故障则损失重大，因此对其进行方案优化具有重要意义。

2 当前管理系统及其存在问题

网络管理系统是一种通过结合软件和硬件用来对网络状态进行调整的系统，以保障网络系统能够正常、高效运行，使网络系统中的资源得到更好地利用。网络管理系统具有故障管理、配置管理、性能管理和安全管理等主要功能。从技术角度来说，网络管理可分为带内管理和带外管理两种管理模式，带内管理是管理信息与数据信息在同一物理通路上传输。带外管理是通过不同的物理通路分别传送管理信息和数据信息。当前铁路信号安全数据网网络管理系统主要通过带内管理实现。

2.1 带内管理系统方案

安全数据网二级网管架构由现场级和路局级网管构成，现场级网管直接通过南向接口与现场网络设备交互，获取现场设备状态信息、性能信息、故障信息和配置信息。路局级网管不直接与现场设备通信，而是通过现场级网管提供的北向接口间接获取各条线路的设备状态信息和故障信息，通过整合分析后，绘制区域和全网的拓扑图，提供资产统计信息、故障统计、性能统计以及报表和趋势信息。按照目前的组织方式，两级网管系统信息传输架构如图1 所示。

图1 两级网管架构示意Fig.1 Schematic of two-level network management architecture

现场级网管和路局级网管的通信基于Corba 技术，该技术包含北向接口和南向接口对接的标准接口通道。北向接口是现场级网管向路局级网管、部级网管发送网管信息的接口，南向接口是路局级网管、部级网管向现场级网管读取网管信息接口，这两个接口都是业界通用的接口管理规范。

2.2 带内管理系统方案存在的主要问题

信号安全数据网作为信号系统重要的基础通道，对于保证列车正常运营至关重要，必须装备完善的网络管理系统，确保在异常情况下仍能够实施网络监控。当前以带内管理系统方法为主的铁路信号安全数据网络管理系统主要存在以下几个方面的问题。

1）带内管理是管理信息与数据信息在同一物理通路上传输，一旦网络或设备出现故障，带内管理将无法管理设备，必须由管理员到达现场才能确定网络状况，浪费大量人力和财力，效率极其低下。

2）带内管理由于安全原因，无法在任意时间和任意地点对网络进行远程管理和维护，而带外管理可以不考虑时间和地理位置限制，对分布式网络系统进行集中管理和维护。网络管理员可以更有效地对网络管理系统进行管理和维护，这既降低了用户网络运营成本，又提高了网络运营效率和服务质量。

3 网管系统优化

3.1 对带内网管优化

3.1.1 网络结构优化

原技术规范中EMS 终端与EMS 服务器采用直连的方式，由于用户经常接触EMS 终端，EMS 终端暴露在相对不安全的使用环境中，有一定安全风险。优化方案中调整了防火墙位置和EMS 终端的位置，一方面EMS 终端和EMS 服务器之间有了防火墙的边界防护，相对更安全；另一方面，NMS、EMS 服务器、EMS 终端位于相互连通的网络中，当NMS 服务器部署杀毒软件的服务器端，EMS 服务器和终端都能通过网络自动更新病毒库，并且能够完成主机时间同步，网络结构更合理、更优化。

3.1.2 NMS和CTC时间同步

经过调研，在调度集中系统（Centralized Traffic Control，CTC）中心时间服务器通过串行接口从原子钟接口获取时间，并且通过网络接口对外提供时间信息。NMS 和CTC 时间同步如果直接使用网络连接，明显违背信号安全数据网封闭性原则。CTC 时间服务器对外发布时间信息采用NTP协议，可以在该链路上串入以太网TAP，监听CTC时间服务器与CTC 之间交互的时间信息进行解析。TAP 为监听设备，只能接收数据，不发送数据，并且断电之后具有旁路功能，对通信双方不造成任何影响，因此该方案非常安全。

3.2 加入带外网管进行优化

3.2.1 带外网络管理方案简介

带外管理是一种国际先进的网络管理方式，不同于传统的带内管理方式，将管理信道和数据信道相分离，从而避免带内管理方式中由于网络故障所导致的设备管理问题，既可以减少运营成本，又可以提高运营效率和服务质量。基本结构如图2 所示。

图2 带外管理结构Fig.2 Structure of out-of band management

带外管理系统由控制台服务器、远程KVM 和网络集中管理器组成。控制台服务器通过把机房内部的网络设备端口集中起来联网，建立一套独立于数据网络之外的专用管理网络。网络集中管理是整个网络设备的综合集中监控管理平台，多种网络设备通过SLM 内置的https 或SNMP 图形化管理界面统一监控、管理。系统管理员还可以通过SLM对网络内部的计算机或网络设备进行统一系统升级，而无需管理员对设备进行逐一安装。

3.2.2 在带内网络基础上加入带外管理的优点

带内管理和带外管理是网络管理的两个重要方面，带内管理一般作为正常网络管理的手段，带外管理则作为应急通道和安全通道来使用。在带内管理基础上还需要建设带外管理，可以通过带外网络管理系统建立一套同时具备网络集中监控、事故预警、管理、维护等功能的管理网络系统，在出现网络故障或通信中断时都可以通过专用的管理通道对网络进行管理和维护。

虽然带外管理在信号系统还是新事物，但是在银行、大企业、电信领域分布式设备管理以及机房设备管理方面应用十分广泛，方案成熟。国外很多大公司都有整套解决方案，比如securelinx。信号安全数据网之所以引入带外管理系统，最突出的优势能够实现任意时间和任意地点对网络进行安全的远程管理和维护。比如使用网管网或者使用Modern 接入维护，该方案的安全性体现在以下几个方面。

1）信号安全数据网和网管网完全独立，两者之间不存在任何网络的连接。

2）控制台服务器作为网管网的接入设备，通过串口与设备的Console 端口连接。

3）带外网管系统可确保管理数据安全可靠，其原因是由于带外网管系统支持128-bit、SSHv2、SSLv3 等数据加密技术，可将运维管理人员的所有管理控制信息都以加密方式传送到被管理设备。

4）带外网管系统可以防止未经授权用户非法访问，主要方法是通过轻型目录访问协议、SecurID、终端访问控制器访问控制系统、NIS、Kerberos 认证、RADIUS 协议等身份认证系统及加密系统，对运维管理人员的身份、管理权限、管理范围进行界定来实现。

5）IP 地址过滤技术由管理员配置IP 分组过滤表，IP 过滤模块根据IP 分组中报头的源地址、目的地址、端口号等信息，对来往的IP 分组进行过滤，允许或者禁止某些IP 地址的访问。

6）远程安全接入可以配合管理制度实施，在故障发生时，由人工连通通道。

3.2.3 带外网管优化

在铁路信号安全数据网络管理系统中引入带外管理系统，并结合实际需求进行优化，新增设备和DCN，使之成为信号系统的综合监控平台，实现信号系统各种设备接口数据采集。该系统就类似于信号系统的云计算平台，具有计算能力、存储能力以及I/O 能力的高扩展性，提供串口（RS-232、RS-485、RS-422）、网口以及CAN 总线等多种接口，在应用中硬件配置非常灵活。

综合监控平台结构由一台中心监测服务器以及若干分布式的采集节点构成，其中，中心监测服务器由网络集中管理器扩展而来，但性能更加强大，采集节点由控制台服务器扩展而来，但是具备串口/CAN/网络接口，同时计算能力和存储能力伸缩性很强。采集节点通过两个串行接口连接信号安全数据网交换机的console 端口，用于交换机的带外管理，同时通过交换机的镜像端口以及自身的CAN总线/串口接口捕获设备所有的通信数据，采集节点获得的这些数据将通过大容量网管专用网络汇集至中心监测服务器供其存储分析预警。其系统结构如图3 所示。

图3 综合采集平台系统的架构Fig.3 Architecture of integrated acquisition platform system

网管专用网络（DCN）采用与信号安全数据网物理隔离的单环网结构，部署非常容易，不用单独敷设通道，直接利用安全数据网剩余的独立光纤即可。网管专用网络和信号安全数据网有直接连接，但是完全可以保证信号安全数据网的安全性，因为信号安全数据网与采集节点只有串口和镜像口连接，其中交换机镜像口为单向通信接口，采集节点只能接收网络中数据，不能向信号安全数据网发送任何数据。

在网管网络中所有的采集节点与在线监测服务器实现全网时间同步，采集的原始数据都带有时间戳，经过网管网汇集至中心，可用于数据的记录和高级分析（比如时序分析、端到端丢包率分析），也可应用于运维系统和带外管理等应用。

4 结束语

现阶段国内铁路信号安全数据网网络管理系统多采用带内网络管理，随着国内铁路行业安全管理等级的逐步提升，带内网络管理在一些方面的劣势日益突出。本文分析了带外网管的安全可靠性、硬件配置灵活性等优点。希望通过带内、外系统协同作用，进一步地提高国内铁路信号安全数据网络管理系统的可靠性。