网络通倍
高速铁路信号系统网络安全与统一管控
作者/曲大军,中铁进出口公司
摘要:为了使得我国的高速铁路信号体系的网络处于安全的状态下,本文从高速铁路信号体系的整体架构方面出发,对于系统中所面临的 网络安全相关问题进行了分析,提出了基于软件定义网络(SDN)的高速铁路信号系统网络安全统一管控方案,将一些分散自律、调度集中 网络、信号安全数据网和集中监测网络,通过软件定义的方式,实施了一定的管控和隔离,从而有效实现了对网络流量的精细控制和统一 管理,运用逻辑上的统一控制器,逐步完善了全局的设备注册管理、安全通信访问控制,以及对于网络数据的追踪溯源,这将极大得增强 网络的安全性,有效使得网络管理的复杂性降低。
关键词:高速铁路信号;网络安全;管控
现在,我国的铁路信号体系的安全方面的防护主要是 运用了原来的防火墙设备,通过访问控制,隔离以及病毒 漏洞的扫描技术进行防御。
并没有针对铁路通信进行全面 的安全防御。
这势必导致某些情况下,一些防护措施难以 发挥作用。
本文从我国的高速铁路信号体系中的整个架构进行出 发,对于信号体系的网络安全性方面做了详细、全面的分析 和评估,对于高速铁路信号体系中的各个接口的安全性能做 了详细的分析。
并提出了基于软件定义网络(SDN)的高速 铁路信号系统网络统一安全管控方案。
1. 高速铁路信号系统网络架构分析
对于现代化的铁路信号体系,不仅仅是将各种类型的信 号设备进行组合起来,而是要实现功能比较完善化、层次鲜 明的体系。
在体系的内部,各个功能相互之间进行独立工作,与此同时,相互之间又是联系的,可以实现信息之间的互换。
使得复杂的网络结构形成。
作为指挥人员,可以全方位的实 现辖区内的各种情况,从而能灵活的配置各大系统的资源,确保铁路体系实现安全的运营[1]。
高速铁路的信号体系,主要有列控体系、行车指挥体系 以及连锁体系和信号集中监测体系构成。
其中列控体系是由 列控控制中心、车载设备、应答器以及无线闭塞中心等构成;行车指挥体系包括了 CTC中心、自律分机、各大传输网络、各个接口服务器体系等构成;连锁体系主要是由连锁设备以 及轨道电路系统,还有道岔转化系统、信号机系统以及电 源所构成。
对于信号的集中监测,主要是通过标准接口和联 锁体系进行联系的,列车的控制中心、TDCS/CTC等,通过 CTC分散自律调度,可以使得通信网络集中到一起,信号 系统更加安全得进行数据通信。
2. 高速铁路信号系统网络接口分析
■2.1列控体系的接口处的安全问题分析
火车和RBC之间构建出新的连接,并且进行对连,使 得列车和RBC之间的连接状态能够保持准确的连接,这是确保列控中心的一个根本。
作为列控中心,通过以太网和联 锁体系进行连接,使得两者之间进行相互的分离。
_旦运用 防火墙体系进行隔离的话,就会使得很多的数据之间不能验 证,导致数据传输出现问题。
对于列车的车载设备来说,和 地面之间要进行通信,就要向列控中心将数据传输过去,由于地面和列控中心之间有着不同的距离,导致会出现一定的 时间误差情况。
这也将对于行车的精确性方面有一定的干扰。
■2.2联锁系统接口处的安全问题分析
2.2.1联镇系统上位机和C TC分机之间接口的安全问屈及播施
对于联锁系统而言,主要是通过上位机与和CTC体系 的车站分机接口进行连接的,运用局域网和TCP/IP通信协 议,这两者之间并没有运用安全通信协议。
两者之间虽然已 经运用了防火墙的设备作为有效地防御,但是基于CTC体 系并不是安全体系,只能从系统的边界防护方面进行考虑。
针对于CTC分机以及上位机之间的通信接口,主要运用安 全方面的通信协议来实现。
基于连锁体系,一定要同信号安 全数据之间建立通信,通过以太网进行控制,而作为分机,必须要同调度集中数据之间建立联系,对于CTC分机和上 位机相互间的通信接口,主要运用安全通信协议来实现,这 样能够避免这两者之间的问题[21。
2.2.2联纽系统电务雄修机和集中监涵系统接口的安全问题及播施
计算机联锁系统主要是通过维修机和集中监测体系进 行相互连接的,通过局域网之间的通信设备,运用TCP/IP 协议以及安全通信协议,这两者之间并没有运用防火墙的设 备作为防护。
对于集中监测体系,我们要对于集中监测系统 和维修机系统进行安全通信协议,运用防火墙对于接口处进 行防护。
基于连锁体系,要和信号安全数据之间建立通信关系,对于监测体系中的站内分机,要和集中监测数据之间进行通 信,就要通a以太网来进行,倘若对于电务维修机和集中监 测体系之间的通信接口处,主要运用安全通信协议,运用防 火墙进行相关的防护措施,可以避免出现两大网络之间的渗 透问题,特别是要集中监测数据对于以太网方面进行监测。
■2.3集中监测系统接口分析的安全问题及措施
集中监测体系和别的控制体系接口,主要是运用站内局
|81
明络通倍
域网TCP/IP协议,这两者之间的通信,并没有运用安全通 信协议和防火墙设备。
对于集中监测体系而言,并不是安全系统,我们要对于 集中监测体系和别的通信接口进行安全方面的通信。
作为 集中监控系统,在站内和站外,都要运用防火墙进行保护,避免其与其它系统之间的安全问题。
基于相关的控制体系,和信号之间的安全问题要通过以太网的通信来实现,作为 C TC系统,要和调度集中数据之间建立通信关系,然而,作为集中监测体系而言,站内分机和集中监测数据通信要 进行通信,必须运用安全通信协议或者是通过防火墙进行分 离。
这样能够有效地避免三网之间的渗透相关问题,特别是 对于信号安全方面的问题。
3.网络统一安全管控方案
SDN是当前比较新颖的一种网络架构方式,它是将传 统意义上的网络路由器和交换机之间的数据平面进行控制 的方式,由一个统一的控制器进行控制,实施统一的管理。
当网络的控制平面和数据平面出现分离的情况后,我们 可以将网络的控制平面作为一个平台,再通过不同的控制程 序来对于各级的网络平台进行管理,对于我国的高速铁路信 号管理体系,主要是通过三张子网组成的,即C TC系统网 络、信号安全数据网和集中监测网络,通过各自独立的网络 系统,采用物理方法进行隔离,实现整体系统的安全性[3]。
我们将C TC系统网络以及信号安全数据方面的问题作 为一个独立的子网进行设置,和SDN融合到一个网络平台 中,由统一的软件进行控制,基于虚拟化的技术,软件定义 信号体系中的各个功能子网变得统一起来,有效地实现信号 系统的网络安全管控。
■3.1资产注册和服务管理
按照每一个设备进行开启的网络服务而言,弄清楚每一 个设备对应的网络服务,在铁路设备资产管理服务器上进行注册和认证,对于没有认证的服务或者访问关系来说,要通 过网络控制器来运用相关的网络设备,这样可以极大地增强 对于网络服务和终端设备的监管程度。
■3.2安全通信管理和访问控制
按照现在已经注册好的合理网络服务,对于各个服务进 行一定的访问,制定出相关的通信管理矩阵,网络控制器完 全能够通a业务通信管理矩阵实施某个设备,对于网络服务 资源进行有效地访问,进而实现全局的一个控制。
■3.3网络数据追踪溯源和网络诊断
对于网络控制器,完全能够对于每一个数据包进行标记 和记录,从而实现数据之间的来源信息,绑定一些数据包,适时的获取到相关的信息资源。
_旦发现网络安全出现问题 的时候,要及时地对于相关的位置进行追踪溯源,此外,一 旦发现业务或者是数据有问题的时候,也要按照所绑定的信 息对于异常设备进行定位。
4.结束语
综上所述,通过对于我国的高速铁路信号体系的安全接 口问题进行分析,这对于我国的铁路信号系统中的网络化发 展奠定基础。
并提出了一种基于SDN的下一代铁路信号系 统网络架构。
在这个架构体系上,对于信号系统有一个更加 详细的了解,逐步增强了我国的高速铁路信息体系的安全系 数,有效地推动我国的高速铁路信号的发展。
参考文献
氺[1]中华人民共和国铁道部.运基信号[2010]267号铁路信号安 全通信协议技术规范[S/OL].2014-08-05.
氺[2]中华人民共和国铁道部.科技运[2008]34号CTCS-3级列控 系统总体技术方案[S].北京:中国铁道出版社,2008.
氺[3]中华人民共和国铁道部.运基信号[2010]709号.铁路信号集 中监测系统技术条件[S/OLJ.2010-09-20.
(上接第84页)
QoS业务监视功能。
监视QoS参数的实际运行情况,为带宽资源管理系统提供计算参数。
同时监视业务状況,充 分了解网络运行现状,发现和解决问题。
综上所述,基于NGB(下一代广播电视网)骨干网的 QoS保证机制的研究可以根据网内应用程序的实际需求以 及网络状况来管理带宽,并通过不同等级的业务Qos的实 现机制采用不同的技术手段,如速率限制、QoS分类和标 记和拥塞队列管理等实现QoS保证。
各种技术手段的综合 运用也可以使得设备上的QoS机制优化数据包在设备中被转发的调度策略,能够在一定级别上确保NGB中的业务流 和服务要求得到满足。
参考文献
氺[1]彭树铁.基于业务的QoS策略的研究[J].现代电子技术,2015 (11).
氺[2]刘士贤.基于IP网络的QoS策略研究[J].软件工程师,2015 (4).
氺[3]孟资,王正军.NGB骨干网络设计分析与思考[J].广播与电 视技术,2012 (3)
82|电子制作2(U7年7月。
