TDCS/CTC中心網絡安全防護系統的補強方案

焦景忠

摘 要：本文對于當前鐵路部TDCS/CTC中心網安全設施常見的問題，根據現有技術標準需求，提出補強計劃，并介紹方案思路、框架、獲得的成效與技術特征。

關鍵詞：TDCS/CTC；中心網絡；安全防護；補強計劃

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-2064（2019）15-0015-02

0 引言

TDCS是覆蓋整路段調度指揮管理平臺，可以及時、精準的為全路段各個調度指揮管理者帶來現代化調度指揮控制方式及平臺。TDCS屬于一個三級四成框架。結構圖見圖1所示.鐵路局調度指揮系統處在整個梯結構的第二層，通過中心機室設施、調度所設施與遠程終端設施構成。基于主、備路由器，通過主、備2Mb/s通道和所管屬的車站基層系統、臨近鐵路局TDCS與鐵路總單位踢TDCS銜接，實現數據交換，鐵路局每個功能臺經過交換機和路由器連接，組成主、備星形銜接的LAN。

1 TDCS/CTC中心網的安全情況

TDCS與CTC屬于鐵路運送調度運營的關鍵信息平臺，是鐵路運營調度指揮的重要裝備，屬于鐵路各級車輛調度對列車進行透明指揮、及時調節、統一把控的重要手段。如果系統受到損壞和攻擊，將極易導致業務服務斷開，甚至造成系統癱瘓，擾亂列車調度指揮運營正常進行，甚至將導致鐵路運送系統的大范圍癱瘓，需要對其進行多角度的安全防護。

就某鐵路局來說，當前網絡安全保護設施是根據《分散自律調度統一組網方案與硬件置規范》、《鐵路運送調度指揮平臺技術規范（暫行）》以及《關于調節TDCS平臺結構與主網計劃的通知》的標準來配備的。分別安裝了網絡抗病毒、中心防火墻以及動態口令身份認證、漏洞掃描四類網絡安全防護裝置。這類裝置有效預防各種網絡安全侵襲和非法登錄，預防了病毒傳遞和發作，針對保證TDCS/CTC中心穩定、可靠運轉到較大的作用。現有設施的拓樸結構件如圖1所示。

2 常見的問題

國家相關部門確定TDCS/CTC平臺是數據全等級防護四級平臺。因為現有的網絡安全裝備部署很早，受當時科技條件與認知水平的限制，現有TDCS/CTC網絡安全平臺安全措施及對策方面設置很單調，主要是缺少集中的安全控制、安全審計方式缺失、對U盤、外部終端等裝備缺少監督技術方法等問題，不能滿足TDCS/CTC中心網絡穩定總體防護需求，很難應對逐漸嚴重的安全威脅及風險，更與國家數據安全等級防護需求有明顯差別。

（1）廣播域管理不夠。因為交換機僅能縮小沖突域，并無法縮小廣播域，因此整個交換系統便是一個大的兩層廣播域，將形成諸多的二層廣播幀，這些信息幀將充斥全部交換系統，但針對TDCS/CTC來說，這類信息幀就是無效的信息幀。（2）環路風險。按照以太網交換協議規范，交換機間不能有環路，如果有環路會出現廣播風暴，最后將所有網絡資源耗盡，進而造成網絡不能用。（3）帶寬無法充分使用。為避免環路，整個網絡中交換機要開啟生成樹協議，阻塞出現環路的端口。為防止單點硬件異常與增加帶寬，某鐵路局TDCS/CTC調度中心的A網絡交換機和中心交換機A之間使用兩個光纖來銜接，但是在交換機當中出現了環路，需要經過生成樹協議斷開形成環路的交換機端部，該端口就是阻塞端口。唯有當穩定端口斷開，阻塞端口方可重新開啟得到通訊。即兩個光纖鏈路上僅有一個光纖鏈路處在穩定通訊狀態，另一個光纖鏈路處在斷開狀態下，不能同步采用兩個鏈路，導致帶寬無法充分使用。

3 補強目標與采取計劃

結合鐵路局運送局有關發表《TDCS、CTC組網計劃與硬件配置規范（暫行）》的通知，對現有平臺的補強要達到增強內部終端風險預防、提升平臺縱身防御水平、提升安全設備技術含量等目標，采用的技術方案有：

3.1 強化內部終端問題防護

經過中心部署安全銜接控制平臺對非授權設施隨意聯接至TDCS/CTC中心網的現象進行嚴格檢測，避免未授權的U盤，移動計算機等裝備連接調度指揮運營網絡，進而防止由內部終端違法操作而造成的病毒感染和傳遞。此外，還能夠對內部員工經MODEM撥號、雙網卡等形式連接網絡和其他信息平臺展開檢查和禁止，并基于網絡安全統一管理系統實現統一監控、報警和違規U盤銜接等安全問題的集中報警和響應。于TDCS/CTC中心系統分部布丁分發平臺，對TDCS/CTC中心內每種終端操作平臺的漏洞展開評價和研究，經過建立針對性很強的布丁升級對策，定時分發與設置終端操作平臺補丁，安全、立即的修補將會被病毒使用與攻擊的平臺漏洞，提高各種終端對病毒的預防性能以及“免疫力”。

3.2 提升系統縱深防范性能

創建SOC，重點包含網絡完全統一管理與安全升級兩大平臺。網絡安全統一管理重點實時監控鐵路部TDCS/CTC中心穩定體系中各種安全裝配與有關網絡設施的運轉狀態以及網絡運轉拓撲狀態展開及時監控，為安全控制者提供集中的運轉狀態監測數據，并結合預計的報警閥值標準，展開集中的監控告警，確保安全系統本身的安全、穩定運轉[1]。主要監測主體涉及防火墻、抗病毒、身份認證、侵襲檢查等安全部件，將各種安全平臺的管理實現有效整合，集中監督安全運轉狀態，有助于值班者及時監測和維護系統安全程度，有助于預警性找到設施的故障隱患，有助于及時定位和排除安全隱患。

安全審計平臺重點監測TDCS/CTC中心的關鍵網絡設施、操作平臺等日志數據，與各種安全部件的安全問題報警數據等，及時找到各種安全事件，比如網絡蠕蟲入侵情況、U盤非授權銜接情況、DOS攻擊情況等，方便及時找到問題，安排安全技術工作者，采用科學措施，確保系統穩定運轉，且在網絡安全問題出現以后，對造成安全事件出現的各種行為和操作展開整體的取證和審計定責[2]。而且根據網絡安全統一管理中心各種功能，不斷提升TDCS/CTC中心網總體縱深防御性能。

3.3 提升安全設備技術含量

在TDCS/CTC中心平臺中分布侵襲監測平臺，立即檢查、定位平臺中的黑客攻擊現象和網絡蠕蟲問題的感染事件，全網檢查和報警系統中各種常見的網絡攻擊現象，比如端口掃描、抵制服務攻擊與地址欺騙等不良攻擊方式都會導致中心網絡核心端口數據泄露，隨意耗損網絡帶寬信息，而且冒充正常項目業務終端和合法主機實現數據交換，導致關鍵服務設備信息泄露與關鍵主機配備文件被修改等情況。補強之后TDCS/CTC核心網絡安全裝配拓撲框架如圖2所示。

4 TDCS/CTC中心子平臺網絡結構完善

對于以往HSRP（或是仿真路由冗余協議VRRP）+MSTP部署形式的問題，而且為促進鐵路設施的國產化，某鐵路普速TDCS/CTC中心子平臺的網絡結構完善采取H3C交換機。把中心交換機、核心機室列頭交換器、調度大廳連接交換機集中部署IRF網絡模擬化、跨設施鏈路捆綁與端口聯動[3]。IRF邏輯方面把兩臺中心交換機模擬化成1臺中心交換機，中心交換機和連接交換機之中經跨設施鏈路捆綁形式，把網絡結構完善成一個樹形框架，消除、中心、連接層之中的環路，不再分布VRRP+MSTP協議。信息中心中邏輯結構明確、簡單，設施質量、帶寬得以充分使用。

4.1 IRF與鏈路捆綁

IRF屬于H3C自主開發的軟件模擬化技術。其關鍵思想是把多臺設施經過IRF物理端口銜接起來，做出相應的配置后，模擬化成1臺“分布式設施”。采用該種模擬化技術能夠得到多臺機器的協同運行、集中管理與持續維護[4]。鏈路捆綁指把若干個封裝一樣鏈路層協議的接口與鏈路捆綁起來，產生一條邏輯方面的信息鏈路。跨設施鏈路捆綁是基于IRF得到的對不同機械之間的同類接口相捆綁。采用IRF與鏈路捆綁，其顯著優點是：

（1）全面提高網絡性能。全部終端交換機都采取雙鏈路分別連接到接入交換機，其也采取雙鏈路分別接入中心交換機[5]。采用IRF與鏈路捆綁以前，為防止環路，關鍵設置、接入設施與鏈路僅能是“一主一備”形式運轉，設施與鏈路的使用率僅有50%；采用IRF與鏈路捆綁后，關鍵設施、接入設施以及鏈路都是負載負擔形式，設備與鏈路得到全部使用。（2）簡潔網絡拓撲與業務。采用IRF與鏈路捆綁前，整體交換網絡于二層需要開啟形成書，三層應當開啟VRRP，不管是VLAN規劃或者路由規劃均非常繁瑣，網絡異常后的收斂時間均是秒級。采用IRF與鏈路捆綁之后，全網絡變成一個樹形框架，沒有環路，二層不會再形成樹，三層不再用VRRP，不僅簡潔了網絡拓撲與業務，收斂時間也從秒級提高至毫秒級。（3）提升網絡穩定性。采用IRF與鏈路捆綁之前，當某一成員接口（或是鏈路）產生異常時，整個網絡應當重新展開收斂，必定會導致網絡閃斷；采用IRF與鏈路捆綁之后，當某一成員接口（或是鏈路）產生異常時，流量將在毫秒間智能切換至其他能用的成員接口（或是鏈路）上，進而提升了整體網絡的穩定性。

4.2 端口聯動

該過程經過監控交換機設施的上行端口，結合其up/down狀態的改變來觸及下行端口up/down狀態的改變，進而觸及下游設施實現業務（網絡）的轉換。分布端口聯動之前：當鐵路設施交換機A上行兩個萬兆鏈路同步產生異常時，服務器A與服務器B中的網卡A（實線位置）依舊正常運行，服務器無法感知列頭柜交換器A網絡出現異常，信號業務無法及時切換至B網運轉，有較大的安全問題。分布端口聯動后：如果列頭柜交換器A上行鏈路捆綁的兩個萬兆鏈路都down掉時，相關的下連服務器的兩個交換機端口也將down掉，進而感知網絡A異常，從而智能采取網絡B（虛線位置）轉發信息，實施網絡異常的智能轉換。

5 補強計劃的成效與特征

5.1 補強計劃的成效

通過創建TDCS/CTC核心SOC，全面控制全局TDCS/CTC核心網絡穩定。保證安全事件集中的報警和響應，及時監測每個安全部件運轉狀態，集中配置和升級每個部件安全對策。從網絡邊緣至內部計算條件，采用多種安全對策，尤其是著重監測U盤違規應用，外部終端非法銜接等巨大內部安全問題，立即找出多種安全漏洞與安全事件，防護TDCS/CTC核心不會受到較大范圍的病毒損壞和惡意攻擊，全面提高TDCS/CTC中心穩定防護效果，制定了多角度的安全體系。對各種惡意攻擊、違規處理與核心平臺調試行為展開全程的記錄和審計，提升安全事件出現后的追溯和定責水平，制定健全的TDCS/CTC平臺事后審計制度。

通過制定全局集中的安全運維制度，實現安全對策的動態完善、安全部件的立即升級，以減少TDCS/CTC中心遭到攻擊的幾率，預防安全事件的出現，提升TDCS/CTC中心穩定情況的響應水平，盡可能降低安全事件危害程度。

5.2 補強計劃的基本特征

這一計劃充分借助了現行的網絡安全防御設施，實施過程，僅需對現有裝置展開極少數的適應性連接工作，得到對現有設施的兼容，進一步節省了投資，同時實施簡單，TDCS/CTC平臺的運轉影響低[6]。而且，保留鐵路部TDCS/CTC中心補強之后的網絡安全平臺朝更高級網絡穩定防御水平過度的要求，完全符合國家數據安全等級防護四級的需求。

參考文獻

[1] 周曄.TDCS網絡車站至中心的專用通道故障淺析[J].鐵道通信信號，2018（4）：94-95.

[2] 張海峰，應志鵬，孫軻靖，李宗峰.TDCS中心子系統網絡結構的優化[J].鐵道通信信號，2015（4）：74-76+79.

[3] 康新平.TDCS/CTC中心網絡安全防護系統的補強方案[J].鐵路通信信號工程技術，2013（4）：34-36.

[4] 陳峰，苗義烽，徐大卯，宋毅.淺析TDCS中心架構方案的網絡冗余性驗證方法[J].鐵道通信信號，2013（S1）：47-51.

[5] 陳娟，沙穎會，石德臣.淺析京滬高鐵北京CTC中心網絡安全[J].鐵道通信信號，2012（4）：74-76.

[6] 周佩琦.TDCS/CTC系統路局中心網絡防火墻橋接模式[J].鐵道通信信號，2012（3）：61-63.