高速鐵路自然災害及異物侵限監測系統信息安全架構設計和研究

姚洪磊，劉江川，王 彤

（1.中國鐵道科學研究院 電子計算技術研究所，北京 100081；2. 大西鐵路客運專線有限責任公司 工程部，太原 030027）

安全方案設計

高速鐵路自然災害及異物侵限監測系統信息安全架構設計和研究

姚洪磊1，劉江川2，王 彤1

（1.中國鐵道科學研究院 電子計算技術研究所，北京 100081；2. 大西鐵路客運專線有限責任公司 工程部，太原 030027）

為提高高速鐵路自然災害與異物侵限監測系統（簡稱：災害監測系統）安全，保障系統穩定運行，通過分析災害系統監測面臨的安全風險和安全需求，設計了災害監測系統安全體系架構，結合具體模型和數據處理流程，重點從物理安全、網絡安全、主機安全、應用安全和數據安全等不同方面對災害監測系統軟件的安全系統進行設計。應用結果表明，在不降低軟件性能條件下，安全架構及設計方案對提高軟件安全性有明顯效果，可有效地提高災害監測系統自身安全性。

高速鐵路；災害監控；信息安全設計；安全架構

我國高速鐵路建設迅猛發展，截至2013年底，我國高速鐵路運營里程已達到11 000 km。高速列車的運行與旅客生命財產息息相關，隨著列車運行速度的不斷提高，風、雨、雪自然災害和異物侵限事件對于高速列車運行安全影響增大，在高速鐵路建設同步建設高速鐵路災害監測信息系統，以防止或減輕各類災害及異物侵限對高速鐵路列車行車安全的危害，為列車運行安全提供技術保障。

高速鐵路自然災害與異物侵限監測系統（以下簡稱：災害監測系統）為列車安全運行等方面提供有力保障的同時，也需要考慮自身運行的安全，在進行安全設計時，根據信息安全相關技術要求[1]，除了在保障系統安全、穩定運行以及在安全管理方面建立相應管理規范和規章制度外，本文主要從技術角度分析災害監測系統面臨的安全風險和安全需求，從物理安全、網絡安全、主機安全、應用安全和數據安全5個方面對安全架構進行設計。

1 災害監測系統介紹

災害監測系統對高速鐵路沿線風、雨、雪及上跨鐵路的道路橋梁的異物侵限實現有效、準確、實時的監測，為調度指揮及維護管理提供報警、預警信息，有效防止或減少災害對高速鐵路列車運行安全的影響。災害監測信息系統中，鐵路局中心系統由數據處理中心和前端應用兩級結構組成，匯總處理風、雨、雪及異物侵限監測、報警信息，并與列車調度指揮系統（CTC）、防洪管理系統、綜合視頻監控系統、其它鐵路局中心系統及省氣象局氣象觀測網相關系統進行信息交換和共享，為高速鐵路動車組運行安全提供技術保障[2]，災害監測系統結構如圖1所示。

圖1 災害監測系統結構

2 安全風險及安全需求分析

2.1 安全風險

災害監測系統及其承載的網絡面臨以下幾個方面的安全風險[3~4]：

（1）監測系統漏報和誤報的安全風險，包括由于監測點采集設備接口接觸不良、傳感器設備故障或宕機、服務器故障或宕機、網絡數據流量超過設定閾值等導致災害監測系統的漏報和誤報，引起影響列車運行的安全事故；

（2）故障導致災害監測系統中斷運行的安全風險，包括由于應用軟件或進程發生異常、應用服務器或數據庫服務器運行狀態異常等導致災害監測系統停止運行的安全風險；

（3）人為因素導致災害監測系統中斷運行的安全風險，包括由于軟件或操作系統升級、服務器升級或更換、網絡設備升級或更換等人為操作導致監測數據傳輸中斷或采集設備上報不及時的安全風險；

（4）自然環境威脅引起的安全風險，包括災害監測信息系統現場采集、傳輸、鐵路局中心設備和計算網絡設備設施可能遭受水災、火災、雪災等環境事故等造成的安全風險；

（5）病毒和惡意攻擊安全風險，包括非授權的接入對網絡的入侵或攻擊、包含惡意攻擊、堵塞式攻擊、終端或服務器的病毒感染、外部用戶的非法接入等。

（6）有缺陷的設計、實現和維護可能導致應用系統存在安全隱患和漏洞而影響應用系統可用性的安全風險；

2.2 安全需求

（1）針對監測系統漏報和誤報的安全風險，需要在災害監測系統具備監測點及傳感器狀態檢測功能，可以對各數據采集節點的運行狀態進行實時檢測，同時采用雙緩沖機制和負載均衡技術降低誤報和漏報的風險；

（2）針對故障導致災害監測系統中斷運行的安全風險，需要在鐵路局中心機房內部署機房環境監控系統，對核心服務器的運行狀態、重要性能指標、網絡設備性能、應用軟件或進程的狀態進行監控并及時報警；

（3）針對人為因素導致災害監測系統中斷運行的安全風險，需要建立完備的備份機制，在對服務器或軟件進行升級時，需保證災害監測系統的零時和無縫切換；

（4）針對自然環境威脅引起的安全風險，需加強對戶外監控采集設備的防雷和防水保護，加強鐵路局中心機房環境的防雷、防火、防盜、防電磁泄露等保護；

（5）針對病毒和惡意攻擊導致的安全威脅，應加強災害監測系統網絡邊界的安全防護，并建立有效的防病毒機制；

（6）針對應用軟件可能存在的安全缺陷，需在應用軟件研發和設計時從數據校驗、資源控制、通信保密、訪問控制和安全審計等方面考慮應用系統的安全性。

3 安全架構設計

安全架構指提供系統軟硬件方面整體安全性的所有服務和技術工具的總和，安全設計涉及系統的各組成部分，具體內容包括物理安全、網絡安全、主機安全、應用安全和數據安全，災害監測系統安全架構如圖2所示。

圖2 災害監測系統安全架構

4 設計方案

災害監測系統安全設計可按照物理安全、網絡安全、主機安全、應用安全和數據安全進行設計。

4.1 物理安全設計

災害監測系統物理安全設計可從環境安全、設備安全和線路安全3個方面進行設計。

4.1.1 環境安全

環境安全包括環境條件安全和基礎設施安全。保障環境條件安全應考慮火災、水災、爆炸以及其他形式的自然或人為災害，系統監測設備如雨量監測設備、風速監測設備等一般位于戶外，并安置于自然災害頻發地段，應充分考慮各個監測點的地面環境，監測設備應有專門的防雷電和防水等措施；

保障基礎設施安全需要部署機房環境監控系統，使機房溫度、濕度的變化在設備運行所允許的范圍之內。所有的網絡設備（包括交換機、路由器、服務器、防火墻等）都需設置物理保護，不能隨意讓人接觸，相關主機和設備都應統一編號，定期進行維護；機房供電線路上應配置穩壓器和過電壓防護設備。

4.1.2 設備安全

在災害監測系統中，設備選型上選用高可靠性硬件設備，數據庫服務器采用雙機熱備方式配置，以確保主機的高可用性，數據存儲采用邏輯卷鏡像的雙智能存儲，以確保數據的高安全性，應用服務器采用負載均衡方式配置以確保業務的高連續性。

4.1.3 線路安全

線路安全包括電纜安全、光纜安全和供電安全。電源電纜是提供設備電力供應的保證，在災害監測系統建設中，通信設備的電源線和通信線路設計采取地下暗線布放方式；光纜安全根據不同的環境采取不同的防護措施，在白蟻和昆蟲啃嚙地段采用防蟻光纜，在特殊地段如水底采用水底光纜接頭盒，同時在設計施工時需考慮防止機械損傷、防強電、防雷電和防潮。

4.2 網絡安全設計

4.2.1 網絡結構安全

網絡結構安全是指在網絡結構設計上避免單點故障，災害監測系統在網絡結構上使用雙星型網絡冗余結構，如圖3所示。

網絡在結構上分為主用和備用鏈路，監控單元通過防災專網接入車站的主備鏈路接入層交換機，各車站主備鏈路接入層交換機通過防災專網主備用專用通道與鐵路局中心核心交換機互聯；既有防災系統監控數據處理設備與鐵路局中心系統、相鄰鐵路局中心系統間、中國鐵路總公司復示終端與鐵路局中心系統間、行車調度與工務終端間網絡通信鏈路均采用上述主備鏈路通信方式來避免單點故障。

4.2.2 網絡邊界安全

網絡邊界安全包含系統內部不同區域間的邊界安全和災害監測系統與外部系統間的邊界安全。

系統內部不同區域間的邊界包括鐵路局中心系統與相鄰鐵路局中心系統間、既有防災系統與鐵路局中心系統、中國鐵路總公司復示終端與鐵路局中心系統、行車調度與工務終端間的網絡邊界，此類邊界安全防護采用的設計方案如下：

（1）在網絡出口、服務器區域及其他重要網段等各邊界部署防火墻類邊界隔離設備，對網絡邊界或區域邏輯隔離，實現網絡層的訪問控制；

圖3 災害監測系統雙星型網絡結構

（2）在網絡邊界部署防病毒網關，在服務器、終端設備上安裝防病毒系統（要求與防病毒網關具有不同的惡意代碼庫），同時在鐵路局中心部署防病毒升級服務器，保持系統補丁及時得到更新，支持病毒庫的統一管理；

（3）在網絡中的關鍵點部署入侵檢測系統（IDS）或入侵防御系統（IPS）實時監控和分析網絡數據流及網絡行為，即時發現各種惡意和可疑行為，提供及時的報警及響應。

與外部系統間的邊界包括鐵路局中心系統與綜合視頻監控系統間、省氣象局氣象觀測網間、時鐘同步系統、防洪管理系統、CTC系統等外部系統的邊界。為保證防災專網和其他信息系統網絡的相對獨立，可采用網閘方式對各業務系統網絡進行有效隔離。網閘是通過阻斷各業務系統網絡的直接連接，將原始數據以非網絡連接的方式傳送，使隔離機制傳輸具有不可編程性，使通過網閘的任何數據都不具有攻擊和有害特性，在較高程度上保證了不同業務系統間的邊界安全。

4.3 主機安全設計

主機安全是指鐵路局中心災害監控系統中的主機、桌面終端的安全，具體包括操作系統、中間件和數據庫系統的安全。

（1）選擇相對安全的操作系統、中間件和數據庫系統，對主機系統進行必要的加固；對關鍵服務器和工作站均采用服務器版本的操作系統；

（2）應將主要服務器的性能指標納入機房監控系統的監測范圍，監測指標包括服務器的CPU利用率、內存、磁盤空間、重要進程運行狀態、數據庫運行狀態等，防止因服務器宕機或應用服務停止造成的應用系統不可用。

（3）對操作系統、應用系統和數據庫系統的用戶進行有效管理，禁止缺省口令和弱口令。

（4）操作系統應遵循最小安裝原則，僅安裝需要的組件和應用程序，保持系統補丁及時得到更新。

（5）采用漏洞掃描技術對操作系統進行加固，在鐵路局中心防災專網中部署主機漏洞掃描設備，對專網中的主機和數據庫進行自動發現、識別，根據其類型采取相應的漏洞掃描手段進行掃描，發現系統在安全策略配置上的漏洞和不合理處，并提供全面的報表和查詢功能，在漏洞掃描的基礎上對主機進行安全評估和加固。由于主機掃描時會產生大量的會話，為避免影響防火墻性能，不建議漏洞掃描產品跨骨干網和跨防火墻操作，一般部署于鐵路局中心防災內部局域網。

4.4 應用安全設計

災害監測信息系統無論是采用B/S結構還是C/S結構，都要防止應用系統中用戶數據的丟失、修改或濫用。應用系統安全設計可以從數據校驗、資源控制、通信保密、訪問控制、安全審計5個方面進行考慮。

4.4.1 數據校驗

在對應用系統設計時應考慮對數據的有效性進行驗證，如通過人機接口（程序界面）輸入或通過通信接口輸入的數據格式或長度是否符合系統設定要求，防止個別用戶數據畸形數據而導致系統出錯（如：SQL注入攻擊）。

4.4.2 資源控制

在應用系統設計時應考慮當通信一方在一段時間未做任何相應，另一方應能自動結束會話，并且該時間應能進行配置，同時應考慮采取措施對最大的并發會話連接數進行限制，該數據應能進行配置。

4.4.3 通信保密

在應用系統設計時，與外部信息系統的通信應采用加密協議，如SSL、HTTPS等安全協議。

4.4.4 訪問控制

在應用系統設計時，應考慮具備管理員權限的用戶可以通過應用程序靈活定制某個用戶對應用系統數據庫表、進程、功能模塊等的訪問控制權限。

4.4.5 安全審計

在應用系統設計時，應考慮具備審計功能，對登錄日志、操作日志、應用系統日志、異常事件等應能進行記錄和審計，發生安全事件時應能進行報警。

4.5 數據安全設計

災害監測系統的數據安全應根據系統的特點，從數據的可用性、數據完整性和保密性、數據備份和恢復等方面進行設計：

4.5.1 數據可用性

數據的誤報和濫報：災害監測系統處理的數據主要為采集監測點的報警類數據，該類數據具有訪問不確定、隨機性較大，數據量大的特點，采用雙緩沖機制處理抖增類數據，接收到此類數據時，先將其放置在緩沖區中進行預處理，對重復數據和異常數據進行過濾和篩選，再將其復制至另一緩沖區進行正式處理后上報上級系統，最大可能防止數據的誤報和濫報。

數據的漏報：（1）可能是攻擊或DDoS攻擊而導致服務器充斥大量要求回復的信息，消耗網絡帶寬或系統資源導致網絡或系統不堪負荷以至于癱瘓而停止提供正常的網絡服務，監測點無法及時將監測數據上報至鐵路局中心系統，設計時可以考慮在鐵路局中心防災系統專網內部署主機入侵檢測系統，防止惡意攻擊；（2）服務器、操作系統、應用軟件的升級或更換導致服務不可用，設計時可考慮采用負載均衡方法，當其中一套應用服務（包含應用服務器、數據庫服務器等）暫時不可用時，另一套應用服務依然可用，實現升級過程中的無縫和零時切換，避免監測數據的漏報。

4.5.2 數據完整性和保密性

對數據庫中存儲和傳輸的數據應有完整性校驗措施，可采用MD5算法對存儲和傳輸數據進行完整性校驗；對數據庫中的敏感數據采用加密算法進行加密存儲。

4.5.3 備份和恢復

通過專用的備份恢復軟件，結合利用網絡備份手段對災害監測信息系統的重要主機、數據庫服務器進行備份，并制定相應的備份恢復策略；對重要服務器采用RAID方式冗余磁盤陣列提供容錯恢復。

5 結束語

本文的安全架構設計方案從環境安全為災害監測系統安全提供了物理基礎，從網絡安全保障了通信數據的傳輸，從主機安全保障了系統的運行環境，從應用安全加強了系統安全審核機制，從數據安全方面加強了系統對數據的過濾。由于系統加強了對無效、非法以及重復數據的過濾，在提高安全的同時也提高了系統的處理性能。隨著災害監測系統在各行業的進一步應用，結合特定應用場景的安全架構設計是后續的研究方向。

[1] 中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 22239–2008， 信息安全技術—信息系統安全等級保護基本要求[S]. 北京：中國標準出版社，2008.

[2] 王 瑞，喻麒睿，王 彤. 高速鐵路災害監測系統優化升級[J]. 中國鐵路，2013（10）：17-20.

[3] 李曉宇，張 鵬，戴賢春. 高速鐵路自然災害及異物侵限監測系統運用及管理優化研究[J]. 中國鐵路，2013（10）：21-25.

[4] 張衛軍.防災監控系統在高速鐵路中的應用[J].鐵道通信信號，2010，46（6）：80-81.

責任編輯 方 圓

Information security design and research for High-Speed Railway Nature Disaster and Foreign Invasion Monitor System

YAO Honglei1, LIU Jiangchuan2, WANG Tong1
( 1.Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China; 2.Engineering Department, Atlantic Railway Passenger Dedicated Co.Ltd, Taiyuan 030027, China )

In order to improve the information security of High-speed Railway Nature Disaster and Foreign Invasion Monitor System, ensure operational stability of the System, the paper designed Information Security System, combined with specif i c models and data processing of the System. The design was focused on the physical security, network security, host security, application security and data security for the software of High-speed Railway Nature Disaster and Foreign Invasion Monitor System. The application results showed that the software security architecture and design solutions could improve software security without reducing the performance of the software, effectively improve information security of the System.

high-speed railway; disaster monitoring; information security design; security architecture

U29-39

A

1005-8451（2015）02-0028-05

2014-10-08

中國鐵道科學研究院基金項目(1052DZ1301)。

姚洪磊，助理研究員；劉江川，高級工程師。