某客运专线信号安全数据网“网络风暴”事件分析

某客运专线信号安全数据网“网络风暴”事件分析
高速铁路信号技术交流
前沿▏ 适用▏ 精品
内容导读 ID：gaotiexinhao 信号系统安全数据网是应用CTCS-2 或CTCS-3 级列控系统的高速铁路中需建设的数据网，为列控中心（TCC）、无线闭塞中心（RBC）、车站计算机联锁（CBI）、临时限速服务器（TSRS）等设备之间的信息传送提供安全数据通道。

通过对一起典型网络风暴事件进行剖析，说明数据安全与网络管理的必要性。

高速铁路已成为推动“一带一路”战略相关国家和地区贸易与人员往来便利化、实现经济融合的重要工具，更是中国“一带一路”战略的重要组成部分。

而作为高速铁路“控制神经中枢”的信号安全数据网，早已不是各种信号设备的简单集合组合，而是相互联系、交换信息的复杂网络，保证铁路系统安全、稳定、高效的运行。

所以，信号安全数据网的安全性将关乎着铁路的调度和运行。

为此，大连电务段提高网络安全意识，针对客专信号数据网“网络风暴”网络安全事件进行专题研究，总结经验，防范网络安全事故，保障列车运行安全。

1.信号安全数据网基本情况
信号安全数据网是一个为各信号系统设备提供高速的数据交换平台，采用每个车站或中继站设置的工业以太网设备构成冗余的双环网，双环之间物理隔离。

1.1 网络结构某客运专线信号安全数据网左网（A 网）：在各个车站、中继站设置二层交换机，在X X 中继站、X X 站设置三层交换机，将各车站的交换机通过通信2×6 芯专用光芯构成专用光纤通道，构成环网的主通道。

迂回通道上，在网内部署中继交换机若干，完成A 网迂回通道的通信中继。

某客运专专线信号安全数据网右网（B 网）：在各个车站、中继站设置二层交换机，在X X 线路所、X X 站设置三层交换机，将各车站的交换机通过通信2×6 芯专用光芯构成专用光纤通道，构成环网的主通道。

迂回通道上，在中继站或车站部署中继交换机若干，完成B 网迂回通道的通信中继。

安全数据网结构如图1 所示。

1.2 信息传输
信号安全数据网承载着地面列控系统设备和计算机联锁设备之间的安全数据通信。

在车站和中继站的串联交换机，其数据接入设备为列控中心和联锁设备，在中心车站数据接入无线闭塞中心（R B C）和临时限速服务器（T S R S）设备，对于中继器交换机设备而言，没有数据业务接入，只起到数据中继作用（应用设备接口所图2 所示）
其信息传输包括：1）列控中心和车站联锁之间列控中心向车站联锁传输区间方向信息、区间闭塞分区状态信息、信号降级命令信息。

车站联锁向列控中心传输列车进路状态信息、调车信号状态信息、区间改方命令信息、车站信号机点灯状态信息。

2）列控中心和TSRS 之间TSRS 向列控中心传输临时限速命令信息和校时时钟信息。

列控中心向临时限速服务器T S R S 传输临时限速命令状态信息、区间闭塞分区
状态和站内正线轨道区段信息。

3）RBC 和TSRS 之间T S R S 服务器向R B C 传输临时限速命令。

RBC 向T S R S 服务器传输临时限速命令状态。

4）RBC 和车站联锁之间车站联锁向R B C 传输联锁进路信息，包括进路类型、进路状态、降级状态、进路识别号、危险点、溜入危险以及紧急区域信息。

R B C 向车站联锁传输列车状态信息，包括列车状态、行车许可、列车位置、列车长度和列车速度。

2.网络风暴事件脉络2.1 基本情况2018 年XX 月XX 日12 时04 分，XX 客专全线1、2、3、4、5、6 中继站C T C 界面显示分别灰屏，相邻客专线车站边界轨道区段显示三点检查故障，但无法通过列控逻辑检查功能关闭，经查找判断为网络风暴。

电务段管控中心立即安排就近现场人员断开X X 站安全数据网中继器交换机，安全数据网A 网12 时30 分恢复，安全数据网B 网12 时34 分恢复。

12 时45 分恢复正常。

影响G 字动车等16 趟列车晚点。

2.2 事件处置故障发生后，电务段技术人员第一时间查看网管日志，发现A 网先上报“DT - R i n g 环开”报警，随后由X X1 站三层交换机开始，A 网交换机陆续上报“设备通讯异常”告警。

约30 m i n 后，B 网上报“DT-Ring 环开”报警，由XX2 站三层交换机开始，B 网交换机陆续上报“设备通讯异常”告警。

根据故障现象判断产生广播风暴，现场人员分别断开A、B网环网，故障恢复。

随后上报情况，请厂家技术人员进一步分析。

3.事件分析经厂家技术人员现场排查分析，确认该故障由三层交换机T i c k 计数器反转导致。

交换机内部有一个Tick 计数器，Tick 计数器是一个32 bit 的无符号计数值，最大计数值为：4 294 967 295。

1 s 是60 个T i c k，设备运行时间超过828.5 天，T i c k 计数值就会反转为0。

Tick 值反转会影响一些协议定时器的超时判断，反转期间（约十几秒）C P U 异常，该交换机不再转发Dt-ring 报文，主站收不到环检测报文，认为环网存在断点，随即打开阻塞端口，但三层交换机的数据转发功能正常，此时网络逻辑成环，因此产生网络风暴。

检查交换机运行日志，A 网X X1 站交换机比B 网X X2 站交换机早运行30 多mi n，因此造成
A、B 环网相继出现网络风暴。

4.事件启示
通过对该事件的分析，在思想、管理和人员能力上给予很多启示。

首先在思想上，应树立网络安全意识，实现网络安全目标。

其次在管理上，加应强网络安全管理，建立应急响应机制。

最后在人员上，应加强网络人员培养，提升网络运维团队。

4.1 树立网络安全意识，实现网络安全目标此次事件暴露出了对网络安全的重视仅仅停留在口头上，没有具体落到实处和具体的环节上，甚至部分人员连基本的网络概念都没有建立。

铁路内部网络与其他网络物理隔离虽然提高了安全性，但却放松了人员的安全意识。

铁路控制网络正是国家基础设施网络的重要组成部分，是国家战略安全网络。

应树立起网络安全意识，不能做“温水青蛙”，逐渐丧失安全阵地。

所以借此次事件，敲打自己：一是应进行全面的设备检查，杜绝此类事件再次发生；二是制定年度安全目标，把各单位的网络安全也计入量化考评体系；三是加强网络安全教育，让每个人从思想上提高安全意识。

同时建立健全的信息安全管理制度，实现信息安全责任制，切实负起确保网络与信息安全的责任。

严格按照“谁主管、谁负责”的原则，落实网络管理责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，确保信号安全数据网络的安全使用，保证客运专线的行车安全。

4.2 加强网络安全管理，建立应急响应机制此次事件暴露出一些机制上问题：一是信号安全数据网内、环内不同单位部门、车间、工区没有做到互联互通，缺少统一的调度管理，优良的资源在闲置浪费；二是对突发事件无机制、预案，当事件发生未能及时解决问题。

应学习国家CNCERT 等网络安全部门的机制和经验，建立应急响应机制。

1）制定网络安全突发事件的处理流程和典型网络安全事件预案，统一指挥，上传下达，高效处置。

把工作做在前，把影响降至最低。

2）健全路局列控网管中心、电务段管控中心、车间管控组3 层管理模式，从上到下的由领导层、管理层和执行层构成的组织管理体系，这3 个层次的组织与职责构成整个信息网络管理的组织体系，可高效处置网络安全突发事件。

3）在机制建立的基础上，加强突发事件演练，畅通指挥链，夯实制度机制，提高人员网络安全技术。

4.3 加强网络人员培养，提升网络运维团队此次事件曝露出段组建的专家团队主要以自
己会、自己干为主体，没有在传、帮、带上发挥作用，没有在培养新人上下功夫。

同时也反映出职能科室的管理问题，没能搭建有效的平台，提供选手供专家团队进行培养选拔，来拓展专家团队的作用。

缺少网络安全人才，就没有网络安全而言，人才是网络安全的基石。

组织生产厂商和维护人员坐到一起面对面研究核心技术的合力控制措施，修订铁路安全网络的应急预案。

建立高素质的网络安全和信息化人才队伍。

要做到以下几点。

1）制定网络安全培养计划，首先让维护中心、R B C 中心等各部门互联互通、观摩学习交流，其次再把专家请进来，知识引进来，通过集中学习授课提高能力水平。

2）加强知识、经验的分享，创建网络安全知识库分享经验，让网络运维人员人人学，人人参与。

还可请现有单位的安全专家进行公开课录制，当作学习资料共享。

3）通过岗位以工代训，网管分析人员需要掌握安全数据网的构造，设备组成，承载业务等知识，可通过日常工作处置，提升人员的业务素质，学习相关知识。

只有高素质的技术人员是才是安全事件发生的核心要素。

精彩历史消息！。