浅谈铁路信号TDCS系统网络安全防护

摘要：我们处在21世纪的互联网时代，计算机网络安全问题成为一个十分热门的课题。随着现代信息技术在铁路系统的广泛应用，铁路新号TDCS系统的网络安全防护就显得尤为重要。本文从TDCS系统遭受病毒侵袭的主要途径分析出发，总结其病毒感染的来源；进而就现有TDCS系统存在的安全问题进行了详细的阐述与分析，最后提出针对性的改进措施和防范对策。这对提高TDCS系统运行的稳定性、安全性有着重要的现实意义，为推进铁路系统信息化建设提供有益参考与借鉴价值。

关键词：计算机网络；铁路信号系统；安全威胁

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2012) 06-0000-02

随着现代信息技术在各领域的渗透与广泛应用，我国铁路系统的信号系统朝着信息化、网络化方向的跨越式发展。新技术、新设备的应用，给铁路新号系统带来了新的新的挑战。列车调度指挥系统TDCS系统尽管具有相对独立的内部网，在实施安全管理策略方面较之于其他系统会难度要低，但我们必须看到TDCS是构建在一个通用开放的操作平台上。因此其系统安全防护仍然是一项十分重要的工作。笔者结合工作实践，就铁路新号TDCS系统网络安全防护问题做以下探讨与分析，以期为同行提供有益借鉴与参考。

一、TDCS系统遭受病毒侵袭的主要途径

（一）日常管理维护的不到位

在实际操作中，由于部分TDCS维护人员日常使用硬盘盒维护，给系统带来了安全隐患。比如本该属于TDCS系统专用的硬盘盒而用来存储其他数据文件，由此为感染病毒创造了可乘之机。

（二）网络系统设置的不科学

在TDC系统网络中，由于与其他系统合用一网，这样一来就有可能使得病毒从网络传入而感染系统，在当前互联网病毒盛行时期，这种风险时刻存在。

（三）计算机资源存在欠缺

典型的情况是，一机多网使用。这样一来给TDCS和其他工作都带来了病毒入侵的可能，造成系统安全隐患。

（四）遭受恶意攻击等其他非正常途径

这主要是各种形形的恶意攻击，来给TDCS系统网路安全带来威胁。

二、TDCS系统网络安全防护的需求与可操作性

（一）系统需求

随着各种安全防护技术措施的成熟以及防护方案的不断完善，现有TDCS网络系统安全体系初步形成，但还不够成熟、稳定。因此，面对当前无处不在的网络病毒和安全威胁，TDCS系统网络安全防护必然要求结合铁路信号系统的实际，进行合理的规划与实施。从而要确保系统骨干网络系统的安全问题，并建立其完整有效的备份方案和应急预案。以面对各种网络安全威胁与挑战，确保数据不会遭到破坏与丢失。

（二）TDCS系统安全状况的可操作分析

（1）针对早期建成的TDCS系统，组织专门的渗透测试，检查安全漏洞是否存在。这类工作可以通过组织专家小组或聘请专业公司的形式来协助完成，从而避免系统漏洞的安全风险。

（2）可以通过增设网络安全服务器，安装防火墙来加强TDCS系统网络中心的安全。建立安全防范机制，对TDCS系统网络中的相关机器，实行统一的、规范化的管理模式。

（3）成立专门的维护中心或工作站。对于TDCS系统，需要建立技术故障处理体系，并组织技术骨干力量，从而使得各电务段的信息设备安全养护和故障处理得到有力的技术支持。

（4）优化系统的内部结构。在TDCS系统中，由于应用的软件程序较多，加之当前一些程序软件缺乏统一标准和规范，因此，在应用中可能存在补丁与正在运行的操作的冲突现象。针对这种可能存在的现象，我们管理员在进行安装补丁时需要经过检测与验证后，在确保不会影响到TDCS系统运行的稳定性情况下，才能进行更新与处理。

三、相关网络安全机制及改进方向

完善铁路TDCS网络安全配套设施建设，是在现有网络安全防护系统的基础上，充分考虑防火墙、入侵检测/防护、漏洞扫描、防病毒系统等安全技术及产品在整个安全体系中所起到的不同防护功能，增加相应的硬件设施，建立多层次的安全防护体系，更有效的保障骨干网络系统的运行。因此，在铁路信号系统中运用网络技术时应要做好充分的考虑。

（一）相关安全因素的防护作用

（1）防火墙防护：对TDCS系统而言，其网络安全防护的策略就是防火墙。防火墙技术随互联网技术的发展而发展，从目前防火墙发展技术水平来看，部分防火墙技术已经比较成熟与完善。可以有效地抵御来自于互联网的外部攻击或者局域网内部病毒感染引起的内部攻击。对于TDCS系统网络安全防护而言，防火墙是加强其安全管理的第一道防线，也是必不可少的重要组成部分。

（2）入侵检测系统：在TDCS系统中，由于网络安全威胁的重要来源之一就是病毒的入侵和外来攻击，因此加强入侵检测系统(IDS)的研究无疑是提高系统安全性的重要途径。作为防火墙的有益补充，入侵检测系统的应用，可以有效地胁制来自外部网络的入侵，有效地使系统管理员的安全管理能力得到了扩展（比如安全审计、监视、进攻识别和响应），从而从系统整体上提高了信息安全性与应对安全威胁的处理能力。

由于信息技术不断更新与发展，我们看到几乎所有的操作系统和软件都存在安全漏洞，但是我们却无法时刻进行更新与打补丁，这无疑给病毒入侵造就了机会，实践经验也充分证明了这一点。所以，必须加强漏洞扫描技术，堵住病毒入侵通道，维护TDCS系统网络安全。

（3）防病毒系统：针对病毒传播的特点，以及病毒的常见类型，我们需要针对铁路TDCS网络系统的实际情况，建立起防病毒系统。在安全防护的改进过程中，我们要结合不同的安全保护因素，创建一个比单一防护更有效的综合保护屏障。这种分层的安全防护体系成倍地增加了黑客或病毒攻击的成本和难度，从而大大减少了他们对骨干网络的攻击。

（二）建立多层次的网络安全防护体系

在骨干网络系统中，建立一个集入侵检测系统、安全漏洞扫描、防火墙系统和防病毒系统于一体的多层次、全方位的网络安全防护体系。这种分层的网络安全防护技术具体来说包括攻击检测，攻击防范，攻击后的恢复这三大方向，每一个方向上都有代表性的技术手段和安全产品。

（三）证网络安全的其他注意事项

（1）硬件安全：具体包括：①瓶颈安全：每种网络都有其弱点，如采用的星型以太网，其瓶颈在于交换机，交换机的安全可靠性直接关系到整个系统的安全，因此，选择硬件时在备品备件上应做好充分的考虑，如采用双机热备，条件许可再冷备等等。②硬件期限：电子设备特别是计算机设备的使用周期在铁路信号的维修规程中无很明确的轮修周期，因此，选择优良的国际品牌、便捷优良的售后服务是关键。③隔离措施：强电、雷电等冲击很容易造成硬件的损坏，除做好系统防雷外，硬件本身的每个I/O应具备光隔措施，以确保整个系统的安全。

（2）软件安全：具体包括：①系统安全：作为网络技术支撑的UNIX和Windows NT（2000、XP）等，本身系统具有广泛的开放性，部分代码是公开的，系统在发展中必然存在一些不可避免的安全漏洞，黑客利用漏洞制造的病毒全球泛滥。从安全上的考虑，在选择操作系统时可采用一些专用的操作系统，这将对网络系统的安全起到独特的效果。②网络安全：杜绝与互联网相连的可能，整个系统网内任何一个子网内任何一台计算机不得存在与互联网相通情况，远程诊断服务端计算机的安全性也不例外，这可能是一个容易忽略的问题。另外，设置防火墙是网络系统中必不可少的条件，且需定期升级。③协议安全：协议间的相互认证是网络安全的一个组成部分，采用增加协议的认证层次或区别于目前流行的通信协议等方式也是确保网络安全的一个层面，软件设计时是应该可以考虑的。④程序安全：核心程序通常由某个人或小部分人开发，软件的维护有时就会出现人走茶凉的局面。⑤存储安全：系统维护用的光盘、软盘、磁带只能是专用，需要外用的存储设备只能出不能进。

四、结束语

综上所述，随着以计算机为基础的现代信息技术对铁路领域的渗透，我国铁路信息系统建设取得了长足的进步与发展，为促进铁路信系统信息化建设的发展发挥了巨大的推动作用；但同时也给TDCS系统网络带来了安全隐患与威胁，如何积极应对网络安全威胁是TDCS系统网络安全防护必须面对的挑战。我们应当树立正确的思想意识，权衡利弊，遇到问题解决问题。鉴于目前网络技术在铁路信号系统中运用较为广泛的现实，我们必须具备与时俱进的精神，提高警惕，积极应对各种安全威胁，从而促进铁路系统的信息化建设，是科技更好地为改善我们的生活而服务。

参考文献：

[1]薄宜勇.传感技术在铁路信号设备中的应用[J].中国铁路,2004,10

[2]李增海,谭侃让.我国铁路信号技术的发展与展望[J].科技咨询导报,2007,24

[3]刘波.铁路信号设备的维护与安全机制[J].硅谷,2012,2

[4]贾卫东.铁路信号存在的问题及对策[J].科技传播,2012,3