鐵路信號系統網絡的統一安全管控分析

摘 要：我國鐵路系統建設不斷完善，且鐵路交通運行速度在不斷增加，鐵路信號系統網絡是當前我國交通運輸網絡結構中的重要基礎。自鐵路系統建設過程中，信號系統網絡管理與控制是一項重要內容，對于鐵路運行效率以及運行安全性會產生直接影響，所以必須采用統一化、安全化的管理與控制方式，才能夠提高鐵路信號系統管理質量，從而滿足鐵路運輸需要。

關鍵詞：鐵路系統 信號系統 網絡管理 安全管控 優化措施

中圖分類號：U284文獻標識碼：A ? ? ? ? ?文章編號：1672-3791（2021）10（c）-0000-00

Analysis of Unified Security Management and Control of Railway Signal System Network

WANG ?Fan

（Beijing Railway Signal Co.， Ltd.， Beijing， 102613 China）

Abstract：China's railway system construction continues to improve， and the speed of railway traffic is increasing. Railway signal system network is an important foundation in the current transportation network structure in China. In the process of railway system construction， signal system network management and control is an important content， which will have a direct impact on railway operation efficiency and operation safety. Therefore， unified and safe management and control mode must be adopted to improve the management quality of railway signal system and meet the requirements of railway transportation.

Key Words： Railway system; Signal system; Network management; Safety management and control; Optimization measures

我國是世界上高速鐵路運營里程最長、運營速度最快以及建設規模最大的國家，鐵路建設對于我國社會發展具有重要的作用。在現代科學技術快速發展的推動下，鐵路信號技術逐漸向統一化、高標準化以及綜合化方向發展，但是現有的系統網絡安全管控模式較為落后，難以滿足鐵路信號系統實際管理需求，所以需要根據當前管控系統的基本情況，對其進行優化升級，從而能夠保障鐵路運行性，為我國交通運輸行業發展提供助力。

1當前我國鐵路信號系統分析

1.1信號集中監測系統

信號集中監測系統為三層、四級的架構體系，能夠實現信息存儲、報警、狀態在線以及信號檢測等多線功能，信號集中檢測系統通過CAN總線與信號機、信號線纜、采集轉轍機、軌道電路以及電源屏等多種信號設備連接，為其電氣參數模擬量信息以及開關量信息提供實時連接功能，同時能夠獲取其他相關的信息，利用通信接口的方式與CBI、TCC等通信設備實現緊密連接。該系統在運行過程中，技術人員能夠通過該系統識別鐵路信號系統存在的故障，進而開展科學的維修管理工作[1]。

1.2列車監控檢測子系統

列車的監控檢測子系統具有重要的應用價值，主要功能是對鐵路列車運行的數據實時收集和處理，該子系統主要構成為車載司法記錄單元、維護終端臨時限速器和微機聯鎖電務終端等，每一項設備都具有重要的基礎功能。車載司法記錄單元主要用于對鐵路列車運行安全數據的收集和記錄，包括司機動作信息、緊急制動命令等;維護終端設備一般安裝在鐵路列車的監控室內，主要功能是調閱CTC系統實施運行狀態以及列車運行狀態等，從而判斷當前列車是否處于安全運行模式下;微機聯鎖電務終端的主要功能為診斷聯鎖系統是否存在故障，限速服務器主要用故障診斷與運行維護。

1.3GSM—R通信監測

GSM—R通信監測系統的技術構成主要包括GSM—R網管監測和通信接口監測兩個方面，GSM—R網管監測能夠實現配置管理、警告管理以及故障管理等多項安全保障功能，能夠對當前鐵路列車的運行狀態獲取實時數據，對于確保列車安全運行具有重要意義;通信接口監測能夠記錄鐵路列車的運行數據，以便于后期的數據查詢等工作。

2當前我國鐵路信號網絡統一管理存在的主要問題分析

受到我國鐵路建設規模不斷擴大以及科學技術水平不斷提高的影響，用于鐵路信號系統網絡管控的技術水平也在不斷提高，許多新型技術和新設備相繼投入使用，但是從整體的角度來看，在統一化安全管控方面還存在著一些需要完善的地方，主要體現在以下幾個方面。

2.1設備缺少關聯性

當前我國鐵路信號監測系統中會安裝多種不同設備，核心為信號集中監測系統，該系統中包含軌道電路設備、電源屏設備、信號機設備以及線纜設備等多種不同類型設備，這些設備之間具有緊密的聯系，通過發揮協同作用實現對鐵路列車運行的全過程監測。然而，除信號集中監測系統以外的設備，例如：維護終端設備、動態監測設備等，這些設備之間缺乏關聯性，各設備都處于獨立的工作狀態，所以通過設備所獲取的鐵路列車運行數據關聯性較差，無法從整體方面呈現出當前列車運行存在的問題，需要人工檢測方式進行完善補充，從而導致故障判斷識別以及故障維修等工作效率降低。

2.2預測實施與智能分析效果不佳

鐵路列車運行過程中，需要保證其內部系統和設備處于良好且協同的工作狀態下，任何一個系統或設備出現故障問題，都會對列車的運行穩定性和安全性造成影響。所以，列車運行中需要多種不同信號監測設備對其運行狀態數據進行收集和記錄，但是當前能夠用于鐵路信號檢測的智能化技術較少，且應用深度不足，無法通過現有運行數據對列車后續的運行狀態和可能發生故障進行預測，從而難以做到故障預防與預防性維修的管理工作。

2.3監測數據缺乏有效共享利用

雖然當前鐵路列車中的信號監測系統具有多個子系統和監測設備，但是各設備和系統之間受到通信網絡管理以及其他因素的影響，整體數據缺乏有效共享利用，數據只服務于其所在的特定領域，無法直觀地呈現出列車整體運行狀態，從而當某一環節出現故障問題時，無法快速準確地判斷出故障的原因和故障發生的位置，經常出現故障以后再去查看監測數據排查故障的情況，對于列車故障為維護、維護等共管理工作產生不利影響，且不利于統一化、標準化的安全管控模式建設，是當前影響我國鐵路列車信號系統網絡統一化管理和控制模式建設的主要因素，需要根據當前的模式構成對其進行優化設計，確保能夠建設統一化管控模式，從而推動我國鐵路運輸行業發展。

3鐵路信號系統網絡的統一安全管控模式構建分析

鐵路信號系統對于網絡的安全性和可靠性具有極高要求，本文提出一種基于可信計算的網絡安全統一化管理模式，該模式能夠降低網絡管控復雜性，同時提升信號系統管控效率和安全性，該系統利用多種網絡冗余技術，同時要求鏈路在發生失效或設備出現故障時能夠快速切換到應急備用管理模式中，需要結合工業以太網環網冗余技術以及鏈路聚合技術[2]。

因為鐵路的通信系統為專網運營模式，在運行過程中不與外界網絡接觸，這種專網運營模式能夠減少外界網絡對其產生的影響，但是會影響到自身系統的升級實效性，如果發生網絡安全問題，會產生較為嚴重的后果，且解決難度較高。同時，因為鐵路信號系統所包含的設備較多，系統結構較為復雜，網絡安全管控問題所面臨形勢較為嚴峻[3]。基于此，該文建議采用可信計算以及軟件定義網絡技術，能夠有效提高鐵路信號系統網絡管理安全性，防止網絡被木馬病毒入侵，同時能夠為系統賦予主動免疫的功能。

3.1可信計算環境分析

可信計算環境內部構成主要包括可信平臺控制模塊和可信軟件，TPCM能夠為可信計算提供較為完整的安全存儲、可信報告以及度量服務，是可信計算的核心硬件。在具體運行時，TPCM首先啟動，在建立信任鏈后以TPCM的完整性度量作為起點，CPU啟動后控制權會轉移，從而將信任鏈拓寬到具體的系統程序中可信軟件主要為控制機制、度量機制、基準庫以及判定機制構成，控制機制能夠攔截來自系統程序之外的訪問請求，同時能夠按照自主訪問控制對請求是否違規進行檢測，如果請求符合規定則通過，如果不符合規定則攔截;度量機制能夠對程序的完整性進行對比分析，如果度量機制發現系統程序存在被篡改的問題，則會執行文件恢復等功能，能夠有效防止病毒入侵網絡管理程序，從而提高系統運行安全性[4-6]。

3.2可信管控中心分析

可信管控中心是對系統整體的管理，主要包含系統管理、審計管理、密碼管理以及安全管理等多項內容，管控中心采用相對獨立的管控模式，管理人員能夠根據實際業務需要開展相應的管理工作，按照用戶的安全級別形成可信程序庫，安全管理人員在對系統用戶進行授權之后，系統則能夠生成基準值，從而實現對系統主體和客體的命名標記功能，按照業務需要和系統邏輯對訪問客體的權限進行甄別，從而能夠避免系統出現安全管理缺失等問題，能夠對當前鐵路信號系統存在的漏洞進行補足，同時能夠對鐵路信號系統的運行狀態進行監測，保證系統處于正常運行模式中。

3.3抗DDoS的SDN控制調度方法分析

因為鐵路信號系統網絡的規模和體量較大，所以采用SDN技術時，管控容易受到以流量為基礎的DDoS影響，所以該文在設計鐵路信號系統網絡統一安全管理模式時，增加能夠防御DDoS的SDN控制調度方式，從而能夠提高SND控制的抵抗能力。

3.4統一安全管控系統分析

該文針對當前鐵路信號網絡管理中存在問題研發的統一安全管控系統，具有可編程的特點，能夠良好地應對鐵路信號網絡管控復雜性問題，從而使得鐵路信號網絡管控更加智能化，同時能夠滿足列車管控對于數據獲取實時性的要求，對于提高管控系統穩定性具有重要作用。

在系統架構方面，該系統架構主要分為數據層、控制層和應用層，每個層級都設定有統一的應用接口。首先，在專用信令網絡和通道方面，信號系統安全數據網絡連接鐵路沿線的多個車站，每個車站中都安裝有信號系統數據交換機，線纜沿著鐵路進行鋪設，該系統能夠通過鐵路沿線的光纜，建設信令專用物理鏈路網絡，從而實現網絡傳輸的業務數據分析需求。網絡控制數據和業務數據傳遞進行物理隔離，能夠使其安全性得到提升，從而解決傳統控制模式中存在的多項隱患和問題。其次，在數據層設計中，主要是將信號系統網絡管理的安全問題轉化為數據層的網絡流，結合白名單機制能夠對異常接入以及異常檢測等進行控制，從而能夠全面減少信號系統管理的安全威脅，該系統同時承擔地面列車控制各個設備之間的通信功能，主要包括TCC、CBI、RBC、TSRS等。第三，在該系統的網絡應用層中，網絡管控功能主要由應用層實現，能夠完成該系統中的網絡流精細化管控需要。

3.5實際應用測試分析

將上述所設計的系統應用在鐵路信號系統網絡統一安全管控中，在不同的場景中進行測試。例如：將其應用在某被不法分子潛入的無人值守車站信號機房中，該信號安全數據網絡終端設備被人惡意控制，此時可以通過該終端發起測試。根據測試結果顯示，當系統被入侵后，利用nmap對網絡中存在的主機終端進行掃描，即可發現系統中存在的異常設備，在該系統的防護下，只有部分終端能夠被發現，其他設備無法被發現，從而能夠提高系統安全性，將非法入侵隔離在較小的范圍之內。

4 結語

綜上所述，該文全面闡述鐵路信號系統網絡監測多種模式，并對鐵路信號系統網絡安全管理中存在的問題進行分析，最后提出一種基于可信技術和SDN技術的統一安全管控系統，希望能夠對我國鐵路信息化建設起到一定的借鑒和幫助作用，從而不斷提高鐵路運行安全性。

參考文獻

[1] 趙妮.試析高速鐵路信號系統的網絡安全與統一管控[J].價值工程，2018，37（11）：73-74.

[2] 石明明.高速鐵路信號系統安全數據網數據獲取及分析[J].鐵路通信信號工程技術，2019，16（9）：48-51.

[3] 孫凱，朱子恒.某客運專線信號安全數據網“網絡風暴”事件分析[J].鐵路通信信號工程技術，2019，16（1）：81-84.

[4] 田開元.鐵路信號安全數據網異常行為檢測方法研究[D].北京：北京交通大學，2020.

[5] 馮飛，趙紅霞.信號安全數據網故障分析及改進對策[J].鐵路通信信號工程技術，2020，17（10）：71-75.

[6] 王威華.達成線遂寧至三匯鎮段CTCS-2級列控通道維護策略研究[D].北京：中國鐵道科學研究院，2020.

作者簡介：王帆（1989—），男，本科，中級工程師，研究方向為鐵道信號。