关于CTC系统网络信息安全的分析

关于CTC系统网络信息安全的分析摘要：CTC（CentralizedTrafficControl）是广泛应用于高铁的调度指挥系统，CTC综合了计算机技术、网络通信技术和现代控制技术，采用智能化分散自律设计原则，以列车运行调整计划控制为中心，兼顾列车与调车作业的高度自动化的调度指挥系统。作为铁路运输指挥信息化自动化的基础和重要组成部分，如何保证系统内的信息安全性是非常值得重视的。关键词：CTC；信息安全；安全边界；访问控制；数据传输Abstract:theCTC(CentralizedTrafficControl)istheschedulingsystemwhichiswidelyusedinHigh-speedRail,theCTCintegratescomputer,networkcommunicationandmoderncontroltechnology,itadoptstheintelligentdecentralizeddesignprinciples,itplantsthetrainoperationadjustmentcontrolasthecenter,atthesametime,CTCisbothoftrainandshuntingoperationhighlyautomatedcommandsystem.AsthebasisandanimportantpartofRailwaytransportationcommandofinformationtechnologyautomation，sohowtoensurethesecurityofinformationwithinthesystemisveryimportant.信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。其根本目的就是使内部信息不受外部威胁，因此信息通常要加密。为保障信息安全，要求有信息源认证、访问控制，不能有非法软件驻留，不能有非法操作。CTC系统作为全国高铁使用的调度指挥系统，它由中心子系统、通信子系统和车站子系统三层结构组成，大多采用集中控制方式，是对传统调度指挥模式的革命性突破，它极大地减轻了调度员的劳动强度，提高了运输生产的效率。随着我国高速铁路的不断建设以及CTC系统的广泛应用，如何保证其信息的安全性更加引起了大家的重视。下面，我们将以北京局CTC系统为例进行其网络信息安全的分析。一、硬件安全硬件安全即网络硬件和存储媒体的安全。要保护这些硬设施不受损害，能够正常工作。在北京局CTC系统硬件中，包含中心设备、车站设备以及网络结构三个方面。1.CTC中心设备调度中心子系统包括数据库服务器、应用服务器、通信前置服务器、网络设备、电源设备、防雷设备、网管工作站、系统维护工作站、调度员工作站、助理调度员工作站等。这些设备均由CTC中心管理人员直接负责管理及维护工作，进行每日巡检维护，以及月度检修工作，在检查设备是否正常运行的同时确保设备运行的环境适宜，备品备件完备，保证任何设备出现故障时能够在最短时间内恢复系统正常使用，保证了CTC中心设备的安全。中心设备中的所有服务器及其它设备都属于双机热备，可以在发生故障时及时切换，防止由于设备故障造成的损失。同时，CTC中心还有双机热备的UPS电池组，可以防止在突然断电时可能造成的损失。另外所有设备均配备防雷设备，以防止雷击造成的损失。2.车站子系统设备车站子系统主要设备包括车站自律机、车务终端、综合维修终端、电务维护终端、网络设备、电源设备、防雷设备、联锁系统接口设备和无线系统接口设备等。车站子系统的设备由各车站信号工区及试验工区人员负责养护及维修工作。车站子系统中易发生故障的的站机、采样板属于双机热备，可以在发生故障时及时切换，防止由于设备故障造成的损失，车站TDCS机柜中也有防止突然断电的UPS及防雷设备。为了确保设备安全，车站子系统严禁与外部设备发现连接，即严禁使用USB接口接入外部设备或者通过网络接口连接外部设备。3.网络结构CTC系统网络与internet网络间采用硬件隔离方式，彻底隔绝来自铁路网络范围以外的网络安全威胁；在与其他铁路局间网络接口外均装有防火墙以防止外来安全威胁；在与远程协助单位外网如铁科研间的网络接口在不使用时都为断开状态；在CTC系统内部则在所有设备之间均安装有安全边界。以上配置保证了所有可能的外部造成的信息安全威胁。图2：调度中心对所有车站的安全边界接入拓扑图目前高铁的CTC中系统中均安装有信达环宇的安全边界，安全边界是设置在不信任网络与可信网络或网络安全域之间的一组系统，是不信任网络与可信网络之间进行通信的唯一通道。它在不同网络之间执行访问控制策略，控制（允许、拒绝、监测）不同网络之间通信的信息流。信达环宇的安全边界可以完成地址转化、地址映射、端口映射、数据包过滤、日志记录、访问控制和时间管理等基本功能；以及应用代理、流量统计、带宽控制、入侵检测、双机热备、网络计费、虚拟专用网、URL过滤、内容过滤、HTTP/FTP命令过滤、邮件病毒过滤，以及与入侵检测系统联动等功能。二、软件安全软件安全即计算机及其网络中各种软件不被篡改或破坏，不被非法操作或误操作，功能不会失效。不被非法复制。1.用户身份认证用户身份认证是保证信息安全的最重要一道防线。在CTC系统中，凡是需要人工操作的设备软件均需要进行用户身份认证才能够进行操作，针对每个用户采取权限管理、角色定义、系统跟踪日志等安全措施，从而使系统保证信息的安全性。2.防病毒软件按照规定在CTC系统中，每一台装有CTC软件的服务器、调度台、站机中必须安装有防病毒程序，并由专人进行每日巡视，及时进行更新。3.安全边界系统信达环宇系统可以在禁止使用移动存储设备的同时，允许使用经过认证的移动存储设备。同时该系统可以7×24不间断监控系统CPU利用率、内存利用率和磁盘空间等，能够智能识别各类不同来源的原始事件，通过内建的智能事件分析引擎，对标准化后的原始事件进行可靠过滤、重复压缩、对齐归并与依赖关联，自动修正告警记录，最终形成有效告警。方便发生故障时，进行及时的处理和追踪。五、结束语随着网络和计算机技术日新月异地飞速发展，新的安全问题不断产生和变化。因此网络信息的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障。参考文献【1】TDCS/CTC中心网络安全防护系统的补强方案《铁路通信信号工程技术》2013年第4期34-36页共3页【2】浅谈如何解决铁路调度集中系统的安全问题《科技信息》2010年第25期I0056-I0056页共2页【3】徐明、张海平，《网络信息安全》，西安电子科技大学出版社，2006【4】公通字[2007]43号信息安全等级保护管理办法