中国列车运行控制系统(CTCS-3)作为我国高速铁路客运专线的关键控制系统,肩负着保障列车高效、稳定、安全运营的重大责任。随着列控系统信息化的发展,大量通用服务器、操作系统和数据库应用于列控系统,这些产品存在着网络安全隐患,使列控系统面临严重的网络安全问题。而且C3系统中的无线闭塞中心是列控系统的对外接口,这给非法入侵提供了渠道。铁路运营关乎人民生命财产安全,一旦遭到恶意攻击将产生不可估量的损失,因此保障铁路系统的安全运营至关重要。目前列控系统的安全防护主要使用防火墙、杀毒软件和安全隔离网闸等技术。防火墙和网闸可用于防御非信任网络对信任网络的攻击,但是不能阻止信任网络内部发起的攻击。杀毒软件需要不断更新特征库,对新病毒的防御总是滞后。对系统中的控制终端进行加固是提高列控系统安全性能的一种有效方法,当网络攻击或病毒入侵突破外层防护措施或直接从网内发起时,能够使其免受攻击。本文分析了C3系统面临的网络威胁和常规网络安全防护技术,从保护通信终端的角度出发,设计了一个针对列控系统通信终端的硬件隔离平台。该平台采用双微处理器结构,集成以太网、CAN和422双向接口,放置于系统中关键终端设备的入网处,对该终端的网络通信数据进行分析与过滤。本文开发了该硬件平台的底层驱动软件与数据处理软件,采用“白名单”匹配技术对进出终端的数据包进行严格审查,阻止非法数据包流过,并将分析结果实时传至上位机。编写了上位机与隔离平台的通信软件,实现了数据分析结果的可视化显示及告警功能。为验证该终端隔离平台的性能,论文基于C3系统的信号系统安全数据网,进行了扫描测试(包括主机扫描和端口扫描)、多种攻击测试(包括ARP攻击、缓冲区溢出攻击、木马攻击等)和隔离平台时延测试。测试结果表明：在不影响网络实时性、稳定性的前提下,采用该隔离平台能够有效防御非法入侵、网内设备间相互攻击和病毒在局域网内的传播,实现了对网内设备终端的安全加固。