武文韬
1.中国铁道科学研究院研究生部 北京 100081; 2.中国铁路青藏集团有限公司工电检测所 青海西宁 810006
摘要:TDCS/CTC系统即列车调度指挥系统和调度集中系统是铁路运输中重要的行车指挥系统,网络安全对于系统的稳定运行起着至关重要的作用。同时新版《信息安全技术网络安全等级保护基本要求》已正式施行,TDCS/CTC系统属于等级保护第四级,因此对网络安全技术提出了更高的要求。本文对TDCS/CTC系统网络安全技术进行了简单分析,同时结合新版等级保护要求对系统存在的不足提出了建议。
关键字:TDCS CTC 调度指挥 网络安全 等级保护
一、TDCS/CTC系统
TDCS/CTC系统即列车调度指挥系统和调度集中系统是铁路运输中十分重要的行车指挥系统,它的功能主要有实时监控列车运行情况、列车运行图自动生成、调度命令自动下发、远程排列列车进路、自动下发进路预告和调度命令等功能,是行车指挥的主要手段,在全路范围内广泛使用,全路18个铁路局与铁总中心互联互通,共同构成了全国的铁路运输指挥系统。
图一 TDCS/CTC系统结构示意图
二、TDCS/CTC系统网络安全
TDCS/CTC系统的网络安全技术一直在不断发展,早期主要是通过杀毒软件进行网络安全防护,主要用于病毒防护,属于被动型防护。通过在中心服务器区域设置防病毒服务器,在终端安装杀毒软件,在定期通过防病毒服务器进行病毒库的升级工作。但随着互联网技术和计算机技术的不断发展,这种简单的依靠杀毒软件进行网络安全防护的方式已经远远不能满足网络安全的需要了。
目前TDCS/CTC系统采用的是网络安全V2.0系统,是由铁总统一规划建设的TDCS/CTC系统专用的网络安全防护系统,它主要分为安全计算环境、安全区域边界和安全通信网络三部分,以终端安全为基础对这三部分实施保护,构成由安全管理中心支持下的安全计算环境、安全区域边界、安全通信网络所组成的三重防护体系结构。
1.安全管理中心
.png)
安全管理中心和整个网络安全防护系统的核心部分,通过安全通信网络接入TDCS/CTC系统,负责对安全加固和安全边界进行管理,负责安全策略的统一设置和下发,负责对被系统内设备的安全运行状态进行监控和报警,确保系统的完整可信,对用户的操作权限进行卡控,对各系统运行记录进行收集和汇总,形成安全审计日志并生成报表。
安全管理中心由三个子系统组成:系统管理子系统、安全管理子系统和审计子系统。系统管理子系统完成对边界子系统、网络子系统的软硬件进行管理和维护,实现用户身份鉴别功能,将与用户相关的属性信息、证书及密钥等安全属性发行到与用户绑定的硬件中,以硬件代表用户身份和权限。安全管理子系统主要负责网络安全策略管理,负责对系统的主体和客体进行统一标记,并分别为主客体进行授权,生成文件访问控制表和策略信息并下发至各安全部件中,负责对策略相关的事件请求进行处理。审计子系统审计负责区域范围内所有设备审计信息的接收、统计和分析,同时,对安全管理中心自身的各种操作也进行详细记录,为用户提供图形化的查询展示界面,可以根据日期、范围和审计级别等条件进行审计信息查询。
安全管理中心的三个子系统各自拥有不同的系统管理员,配置权限各自独立,每个管理员只被授予能够完成其各自基本任务所需的最小权限,三个管理员之间既相互监督又相互制约,共同完成对网络安全系统的统一管理。安全管理中心分别在铁总、铁路局两个层面部署,各层之间进行信息交互。上一级中心可以集中展示下一级中心的信息。
2.安全计算环境
安全计算环境是由一个或多个计算机系统组成的,对于TDCS/CTC系统主要是终端计算机和各类服务器设备,如应用服务器、通信前置服务器、调度台终端、车务终端等,均属于安全计算环境管理范畴。计算环境安全是实现TDCS/CTC 信息安全的基础,通过在操作系统核心层和系统层建立以强制访问控制为主体的系统安全机制,保障TDCS/CTC系统业务处理全过程的信息安全。
安全计算环境以安全加固的方式实现。安全加固部署在TDCS/CTC系统中所有的终端和服务器上,以软件形式安装在各操作系统中,实现用户身份鉴别、主客体文件标记、强制访问控制以及各类审计功能。
安全加固安装时需要对系统进行病毒扫描,确保系统初始安全,加固安装过程中会对所有系统文件进行扫描和主客体标记,安装完成后,根据安全管理中心下发的策略信息,使用 BLP 模型、Biba 模型建立强制访问控制规则,按安全标记和强制访问控制规则对主体访问客体的操作进行控制,禁止非法人员登录系统,禁止非法文件启动运行,禁止非法对系统文件进行添加、修改、删除、移动等操作,从而有效防止了恶意代码的运行和传播。审计策略提供对系统内各类安全事件的记录和上报功能。
通过安全加固和安全管理中心的配合,可以实现对不同访问控制机制,不同级别,不同用户的结构化管理,实现对系统资源访问的灵活控制和安全把控。
3.安全区域边界
TDCS/CTC系统根据其网络结构可以将其纵向分为铁总、路局、车站三层区域,再以路局对其他系统的接口为分界点进行横向划分,分为G网接口、TSR接口、TMIS接口、RBC接口、邻局接口区域,同时在系统内部,根据不同的业务需求,还可分为调度业务区域和查询业务区域。
.png)
安全区域边界系统通过部署安全边界设备实现,部署在TDCS/CTC系统所有不同区域间的接口处,所有区域间的通信都需要经过安全审核,其主要功能为:①区域边界的安全访问控制,对进出的安全区域边界数据信息控制,阻止非授权的非法访问。②区域边界的协议过滤,根据区域边界的安全控制策略,通过检查数包源地址、目标地址、传输协议、安全标记等确定是否允许该数据包通过。③区域边界的安全审计,对边界设备自身所有安全日志进行记录并上传管理中心。
4.安全通信网络
通信网络时TDCS/CTC系统重要的组成部分,系统内所有设备间的通信均通过网络通信实现,要确保系统通信网络的安全,主要从安全网络设备和安全网络通信实现,设备方面采用安全路由器和交换机设备,在各节点采用双机配置,互为备份,网络通道均采用交叉互联,从设备层面保证单台设备故障不影响系统正常网络通信功能。安全网络通信通过使用安全网络通信协议实现,利用加密算法在数据包传输过程中进行安全防护,确保数据不会被窃取。同时,通过与安全区域边界系统共同配合,对不同的网络区域间进行安全隔离,使整个TDCS/CTC系统的网络通信变得安全、稳定、可靠。
三、新版等级保护2.0
《中华人民共和国网络安全法》于2017年6月1日起正式施行,网络安全等级保护制度正式纳入了国家法律体系,相关单位和企业必须按照网络安全等级保护的相关要求进行网络安全防护建设。2019年12月1日新版《信息安全技术网络安全等级保护基本要求》GB/T 22239-2019正式施行,新标准的修订,对网络安全等级保护工作提出了新的要求。
TDCS/CTC系统按规定属于等级保护第四级,新版《信息安全技术网络安全等级保护基本要求》的实施,对目前使用的信息安全V2.0系统提出了更高的要求,现对新标准下等级保护要求的变化进行简单梳理。
1.新版标准
本标准代替GB/T 22239- 2008《信息安全技术 信息系统安全等级保护基本要求》,与GB/T 22239-2008相比,主要变化如下:
将标准名称变更为《信息安全技术 网络安全等级保护基本要求》;
调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运推管理;
调整各个级别的安全要求为安全通用要求、云计算安全扩展要求.移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求;
通过标准名称和整体标准文件结构的变化可以看出,新版标准的覆盖范围更广了,覆盖各地区、各单位、各部门、各企业、各机构,也就是覆盖全社会,另一方面,它覆盖的保护对象也增加了,针对云平台、物联网、工控系统、大数据、移动互联等各类技术应用,无一例外都要落实等级保护制度。这也充分说明,网络安全在各行各业的经营管理工作中已经变得越来越重要了。
2.等保四级标准
旧版等级保护第四级安全要求主要分为技术要求和管理要求两部分,而新版本统一变为安全通用要求,另外增加了云计算、移动互联、物联网、工控系统的专属章节。新版安全通用要求中基本上是按照技术要求和管理要求两部分进行描述的,在技术要求方面,对旧版中网络安全、主机安全、应用安全、数据安全及备份恢复用安全通信网络、安全区域边界、安全计算环境、安全管理中心进行了代替,这说明网络安全的防护要求现在已经上升到了全网络空间和网络安全防护体系的层面,更加强调主动防御和网络安全防护体系的建设。主要体现在安全计算环境和安全管理中心方面的要求,安全计算环境由系统内所有主机及应用共同组成,着重强调了用户身份鉴别、密码技术、软件安全等方面要求,安全管理中心强调了网络安全防护的集中管理和各种网络安全信息的监测及分析,提高了网络安全防护的整体功能。管理要求方面总体变化不大,新版要求对相关条款进行了一定程度的简化,但对网络漏洞检测、定期测评和密码技术的应用有了更高的要求。
四、存在的不足及建议
通过以上分析可以看出,TDCS/CTC系统目前使用的网络安全V2.0系统,从安全计算环境、安全区域边界、安全通信网络、安全管理中心几方面均符合新版等级保护第四级的相关要求,能够做到将自主和强制访问控扩展到所有主体和客体,并实现强制访问控制,控制机制无法被旁路,能够区分系统关键安全部件和非安全部件,根据重要程度不同实现不同级别的安全防护。同时,整个系统还具有结构化的特点,增强了系统抗渗透的能力,保证了TDCS/CTC系统的数据完整性和安全性。但是在实际测评的过程中,在用户行为审计、密码防护、操作系统版本老旧、智能化程度不高等方面依然存在不足。
1.密码技术
密码的使用在TDCS/CTC系统十分广泛,日常系统维护时都需要使用密码,但系统还没有使用专用的密码设备进行密码保护,值依靠操作系统本身的身份鉴别功能和安全加固实现密码防护。因此专用的密码设备能够提供机密性、完整性、不可抵赖性的系统保护,可以有效提高系统密码保护能力,同时等级保护四级要求中就要求必须使用双因子验证,至少一种为生物技术,因此专用密码设备的使用是必须的。
2.用户行为审计
由于TDCS/CTC系统的服务器、终端、网络设备数量十分庞大,为了维护方便,会有多名维护人员登录同一设备进行维护操作,但具体的操作内容没有专门的设备进行记录和防护,发生问题后无法溯源。同时台服务器使用同一密码登录,降低了系统安全性。定期修改系统登录密码无法批量操作,需要手工逐台进行,工作量庞大且容易操作失误,导致密码修改失误,系统无法登录。维护人员使用同一终端进行系统维护,对用户行为无法有效进行记录和防护。
堡垒机是解决这一问题的有效方式,它支持对不同用户分配不同权限,对所有用户的行为进行记录和统计,所有的维护指令均通过堡垒机进行下发,避免了用户直接登录服务器设备操作的风险。同时它还支持各类数据库、服务器、安全设备等进行密码的自动化周期更改,简化密码管理,让使用者无需记忆众多系统密码,即可实现自动登录目标设备,便捷安全。
3.操作系统
TDCS/CTC系统服务器和终端使用的操作系统大部分为Windows系列的操作系统,例如Windows Server 2008、Windows XP等,这些操作系统已经比较老旧,微软官方对其的安全支持很多都已经停止了,Windows XP于2014年4月8日停止了对该系统的技术支持,Windows Server 2008的支持也于2020年1月14日停止,这就意味着这些操作系统存在的漏洞将不会再被修复,为以后的安全使用带来了隐患。
目前TDCS/CTC系统的新版本软件已经采用了Centos操作系统平台, Linux发行版之一。Centos操作系统相对于Windows操作系统稳定性更好一些,而且由于其源代码的开放性和操作系统版本的多样性和可定制性,病毒也相对较少,降低了网络安全风险,这对于TDCS/CTC系统需要的高稳定性高安全性也非常契合。
4.智能防御
目前TDCS/CTC系统使用的网络安全防护系统,对日常发生的网络安全事件能够做到记录、统计和分析,但是对网络安全攻击的自动识别和自动处置方面依然存在一定的不足,现在对于网络安全攻击的识别依然以人工判断为主,同时对安全事件处置也没有自动断网、自动隔离、智能处置等功能。
TDCS/CTC系统本身属于独立系统,不与互联网连接,网络安全事件相对较少,因此在智能判断方面缺乏大量可借鉴的实际数据支撑,但随着系统数据的不断积累,再利用大数据算法,同时借鉴淘宝、百度等大公司的网络安全防护技术经验,才能够逐步形成适用于TDCS/CTC系统自身的网络安全防护智能防护系统。
5.结束语
随着技术发展在不断进步,国内外网络安全威胁的不断升级,网络安全工作任重而道远,TDCS/CTC系统作为铁路运输的重要指挥系统,无论何时何地,网络安全都是确保系统稳定运行的必要手段,通过创新和发展不断提高网络安全防护水平。
参考文献:
[1] GB/T 22239-2019, 信息安全技术 网络安全等级保护基本要求[S].
[2] 陈安观.列车调度指挥系统(CTC/TDCS)网络信息安全主动防御体系设计方案研究[J].铁路通信信号工程技术,2017,14(03):32-34+43.
[3] 戴启元.客运专线CTC系统网络安全设计[J].铁道通信信号,2010,46(04):66-68.
[4] 王纬.TDCS/CTC系统的信息与网络安全优化[J].铁路通信信号工程技术,2018,15(02):29-31.