近年来,电力、能源和交通等国家关键基础设施和工业控制系统的网络安全问题,得到了越来越多的重视和关注。尤其是2010年“震网病毒”造成伊朗核电站事故,给整个工业控制领域带了重大影响。我国铁路通信和信号控制系统作为其中一部分,一直以来作为隔离专网运营,由于与互联网隔离等原因,网络安全问题并不是其关注的重点。铁路信号系统在设计之初主要考虑应对系统故障失效和可靠性等问题,未对网络信息安全问题进行全面考量。另外,随着网络信息技术发展,为了实现不同系统间协同和信息共享,提高铁路运营效率,列控系统现场控制设备技术也在不断变化,使得整个系统的技术具备了更灵活的远程控制功能和更强大的计算能力,开放性和互联性更加明显。然而,近年来高级持续威胁(APT)等概念的提出,使得我国铁路通信与信号系统面临的网络威胁不断升级,因此,与铁路通信信号控制系统网络相适应的网络信息安全防护技术研究日益重要。本文首先从我国铁路通信和信号系统的业务入手,根据系统的业务逻辑,构建可能的风险场景,并对已有的安全措施进行分析,分析其存在的脆弱性,是一项纯理论研究,不是具体实现过程中的缺陷和漏洞,同样也不是系统在操作和维护过程中所引起的安全隐患。最后,根据铁路信号控制系统的特点,即以安全(Safety)为第一,Security为“安全”提供保障,研究如何在不影响甚至提高系统安全性、实时性和可靠性的前提下,提高铁路通信信号控制系统的网络与信息安全。具体研究工作描述如下:(1)建立了我国铁路信号系统网络安全分析模型,包括信息流模型、功能结构模型以及信号系统的网络安全威胁模型,该模型突出刻画我国铁路信号系统的技术和业务特点。基于上述模型,分析在网络威胁情况下,铁路信号系统所面临的主要危害事件,即列车超速、列车冒进信号和列车中断运行;进而通过故障树分析方法,得出了针对上述主要危害事件的63个威胁场景,并对信号系统现有的防护技术及其脆弱性进行详细分析。该分析方法可以满足网络安全分析与铁路信号系统业务特点深度融合的需求,有利于铁路信号系统运营管理者客观理解信号系统的网络安全风险以及做出决策。(2)基于本文对我国铁路通信系统网络的风险分析,提出了基于可信与SDN结合的铁路通信系统网络安全体系架构。采用故障树定性分析方法,对铁路通信网络的整体风险进行分析,包括数据错误、系统缺陷、人为失误和冗余缺失等4类主要风险。铁路通信系统作为隔离专网,网络规模庞大,管理十分复杂,新旧网络交织,系统升级困难,因此,已有的网络安全技术不能充分满足网络安全保障的发展需求,针对这些挑战,提出了基于可信计算与SDN结合的铁路通信系统体系架构,通过可信计算技术解决铁路通信网络不易升级的问题,通过SDN技术解决铁路通信网络管理复杂等问题。此外,提出一种抗DDoS的控制器调度方案,进一步提高了SDN控制器对DDoS的抵抗能力。可望为提高我国铁路通信系统的网络安全提供有益参考。(3)提出了基于SDN的信号安全数据网统一管控及主动防护技术,即SD-SSDN(Software-Defined Signal Safety Date Network)技术,通过SDN面向信号系统业务白名单的精细流控技术,使得信号安全数据网的每台交换机都具备安全防护功能,大大减小了信号安全数据网的威胁面,提高了安全性。SD-SSDN方案主要功能包括信号安全数据网的资产注册和管理、面向信号安全数据网的业务流控设计、风险感知和威胁检测。在SD-SSDN架构基础上,设计实现了网络迷惑系统,可以进一步提高信号系统网络安全防护的主动性。最后对SD-SSDN和网络迷惑系统的防护效果进行了实验测试。(4)为满足铁路信号系统的高实时性和高可靠性要求,提出了基于SDN的环网冗余技术-RFTM(Redundant Flow Table Mapping)和自适应链路聚合技术。RFTM技术实现了在10个交换机节点下的快速冗余切换(切换时间8ms),并且解决了环网冗余的网络震荡问题;自适应链路聚合技术,实现了配置的自动化和链路聚合的自适应。为了提高SDN网络的可靠性,基于Zookeeper设计实现了主从模式的多控制器方案。