铁路信号安全数据网安全分析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
理 数 据 分 离 转 发 , 需 要 在 工 业 交 换 机 上 设 定 VLAN (虚 拟 局 域 网 ),包 括 业 务 VLAN 和 管 理 VLAN。业 务 VLAN 只用 于 承 载 信 号 设 备 之 间 的 安全 数据 通 信 ;管 理 VLAN 只用 于管 理 网络 数 据 的通 信 ,不应 跨越 综合 网管 系统 的管 辖 范 围。 1.3 综 合 网管 系统
Abstract: In view of the structure,industrial exchange and the integrated network adm inistration system of the safety data network for railway signaling,the security of the whole network system is analyzed.A lso,its potential security hazards are sum m arized and suggestions of protection in technology and m anagement are proposed. Key words: Railway; Signal safety data network;Industrial exchange;Integrated network ad— m inistration system ;Security analysis;Protection suggestions
王旭煜 :北京 市华铁信 息技术 开发 总公 司 助理工程师 100081 北京
刘 天旭 :中国铁道科 学研究 院集团有限公 司通信信 号研究所 助理 研 究员 100081 北 京
基金项 目:中国铁路总公司科技研 究开发计划.铁 道信号系统信 息 安 全及 防 护技 术 研究 .2016X008一B
收 稿 日期 : 2018—02 09
H
L 一 一 __
__] 一 一 _JL 一
_r。 露'卜-一J
图 1 铁 路 信 号 安 全 数 据 网结 构 示意 图
1.2 工 业交换 机 工 业交 换 机是信 号 安全 数据 网 的核心 设备 ,其
核 心 功能包 括 业务及 管 理数 据包 的转 发 和光 信号 中 继放 大 。其 中 ,数 据 包 转 发 涉 及 到 链 路 层 、网 络 层 、传输层 以及应 用层 等方 面 的报 文封装 、拆封 等 工作 ,由交 换 机 底 层 交 换 芯 片 和 CPU (中央 处 理 单元 ) 层各项 通 信协 议完 成 ;而光 信 号 中继放 大功
DOI:10.13879/j.issnl000—7458.2018-10.18073
高 速铁 路信 号 安全数 据 网利 用工 业 以太 网的优 势 ,依 靠成 熟 可靠 的工业 交 换机 组成 环 型 网络 ,以 满 足信 号 系统 信息 传输 距离 远 、数据 流 量大 ,以及 数 据传 输 的稳 定性 和 实时性 等方 面 的要 求 。然 而 随 着 高 速铁 路 的组 网规模 越来 越 大 ,信 号 安全数 据 网 面 临的 安全 问题 也 Ft益严 峻起 来 。因此 ,有 必要 分 析 铁路 信号 安全 数据 网面临 的安 全隐 患并 提 出可靠 的防护 措施 ,以提高 网络 的安 全性 和 可靠 性 。
l 铁 路信 号 安 全 数 据 网
1.1 网络 结构 铁路 信 号安全 数 据 网以工 业交 换机 为节 点 Βιβλιοθήκη Baidu利
用铁 路上 、下行 光缆 构成 2个 独立 的环 型 网络 ,称 为左 环 网和 右环 网 ,双 网之 间进行 物理 隔离 并互 作 冗余 。各 个 车 站 的计 算 机 联 锁 (CBI)、列 控 中心 (TCC)、临 时 限 速 服 务 器 (TSRS)、无 线 闭 塞 中 心 (RBC) 等信 号 设 备 通 过 接 人 环 网与 相 邻 车 站 (或 者 中继 站 )的信 号设 备进 行 通信 。
—
44 一
RAILW AY SIGNALLING & COM MUNICATION Vo1.54 No.10 2018
能是 交换 机光 端 口物理层 面 上 的基础 功能 。
点 ,也 为渗 透路 径及 被攻 击设 备 范 围提 供 了广泛 的
在信 号安 全数 据 网 中,为 了实现 业务 数据 与管 选 择 。
2018年 10月 第 54卷 第 10期
铁 道 通 信 信 号 RAILW AY SIGNALI ING & COMMUNICAT10N
0ctober 2018 Vo1.54 NO.10
铁 路 信 号 安 全 数 据 网 安 全 分 析
王旭煜 刘天旭
摘 要 :围绕铁路 信 号安 全数 据 网的 网络 结构 、_r-_,Ik交换 机 以及 综合 网管 系统 等 方面 ,对整 个 网 络 系统进 行 了安 全分 析 ,总结 了存 在 的安 全 隐患 ,并从技 术 和 管理方 面提 出防护 建议 。 关键 词 :铁路 ;信号 安全 数据 网 ;工 业 交换 机 ;综 合 网管 系统 ;安全 分析 ;防护 建议
按 照 《高速铁 路信 号 系统安 全数 据 网技术 规 范 V3.O》(铁总运 [-2014]353号)的要求 ,信号安 全 数据 网须设 置综 合 网管 系统 ,用 于监 控并 管理 网 络 。综 合 网管 系统 采 用 基 于 Windows操作 系 统 的 工 业计算 机 ,通 过在 工业计 算 机上 安装 综合 网管 系 统 软件 ,接 收 交 换 机 的 SNMP (简 单 网 络 管 理 协 议 )报 文并 判定 工业 交换 机状 态 。当交 换机 状态 发 生 改变 时 ,会 向综 合 网管 系 统 上 传 Trap (陷 阱 ) 数 据包 ,综 合 网管 系统对 工业 交换 机设 备 的通信 状 态 、电源状 态 等进行 实 时监控 报警 。该 综合 网管 系 统 还 具备 Telnet(远 程 终 端 协 议 )和 Web (万 维 网)远程登录工业交换机 、FTP (文件传输协议 ) 上 传 /下载 工业 交 换 机 配 置 等 功能 ,以 服务 器 和 客 户端的形式提供远程信息复视等 。
以车站 (或 者 中继站 ) 为单位 ,在 左环 网和右 环网的主通道上布置工业交换机 ,作为信号设备接 人 网络 的节 点 ,回环 通 道则 根据距 离 酌情 布置 工业 交 换机 ,用 以实现光 信号 中继 (此处 工业 交换 机一 般 被 称 为 中继 器 )。需 要 跨 网段 通 信 时 ,使 用 上 、 下 行 光缆 构造 套袖 结构 ,并 采 用链 路聚 合 和静态 路 由技 术 实现 功能 。铁 路信 号安 全 数 据 网结 构 如 图 1 所 示 。