安全資訊

城市軌道交通信號系統從2015年前后陸續開(kāi)始在新建線(xiàn)路中按照信息系統安全等級保護（暫定3級）的要求推進(jìn)相應等級保護工作，并在正式運營(yíng)前通過(guò)等級保護測評。2017年《網(wǎng)絡(luò )安全法》頒布實(shí)施后，國內城市軌道交通領(lǐng)域又迅速將目光轉向既有線(xiàn)信號系統信息安全等級保護，并進(jìn)行了廣泛的分析和探討。本文結合當前國內城市軌道交通線(xiàn)路建設和運營(yíng)的實(shí)際情況，對軌道交通信號系統信息安全等級保護策略進(jìn)行分析和探討。

1.系統概述

城市軌道交通信號系統是保證列車(chē)運行安全，控制列車(chē)運營(yíng)間隔，提高列車(chē)運行效率的先進(jìn)控制系統，一般由列車(chē)自動(dòng)控制系統（ATC）、計算機聯(lián)鎖系統（CI）、數據通信系統（DCS）以及外圍信號設備組成。

信號系統的網(wǎng)絡(luò )由有線(xiàn)網(wǎng)絡(luò )、無(wú)線(xiàn)網(wǎng)絡(luò )兩部分組成。有線(xiàn)網(wǎng)絡(luò )部分包括骨干網(wǎng)和接入網(wǎng)，骨干網(wǎng)主要由工業(yè)以太網(wǎng)交換機組成，接入網(wǎng)主要由交換機和光電轉換器組成；無(wú)線(xiàn)網(wǎng)絡(luò )部分包括軌旁無(wú)線(xiàn)網(wǎng)絡(luò )和車(chē)載無(wú)線(xiàn)網(wǎng)絡(luò )，軌旁無(wú)線(xiàn)網(wǎng)絡(luò )由軌旁無(wú)線(xiàn)接入點(diǎn)AP、功分器及定向天線(xiàn)等組成，車(chē)載無(wú)線(xiàn)網(wǎng)絡(luò )主要由車(chē)載調制解調器及天線(xiàn)組成。

2. 信息安全現狀分析

對于城市軌道交通信號系統來(lái)說(shuō)，其所面臨的信息安全威脅，主要集中在以下幾個(gè)方面：

（1）外部黑客攻擊：通信、信號、綜合監控、AFC等軌道交通系統大多都是關(guān)系民生的重要工業(yè)控制系統，極容易成為黑客攻擊的目標。其中，信號系統更是直接關(guān)系列車(chē)運行安全的工業(yè)控制系統。雖然它一般不直接與互聯(lián)網(wǎng)相連，但其擁有網(wǎng)絡(luò )形式的外部接口，并與綜合監控、通信等外部系統之間進(jìn)行數據交換，存在被黑客攻擊的可能，并且一旦成功就可能引發(fā)極為惡劣的社會(huì )影響。

（2）來(lái)自?xún)炔繂T工的威脅：與信號系統有直接接觸的內部人員包括控制中心調度員、車(chē)站值班員、車(chē)輛段/場(chǎng)調度員、計劃管理員、維護管理員、司機等。由于信號系統通常缺乏嚴格的網(wǎng)絡(luò )準入和控制機制，內部通訊時(shí)身份鑒別和認證機制不夠嚴密，同時(shí)也缺乏對系統最高權限的限制，這使得內部人員有意識的惡意行為成為系統重大的信息安全威脅。此外，在系統運行過(guò)程中，通常存在多個(gè)用戶(hù)操作同一臺設備的情況，加上事后有效追查工具的缺乏，也讓責任劃分和威脅追蹤變得更加困難。

（3）來(lái)自外部單位人員的威脅：軌道交通建設過(guò)程中，信號系統設備一般由施工單位和設備廠(chǎng)家分別完成其安裝和調試；軌道交通運營(yíng)過(guò)程中，運營(yíng)單位可能將部分非核心維保業(yè)務(wù)外包給第三方。如何有效地管控施工單位、設備廠(chǎng)商和第三方運維人員的操作行為，并進(jìn)行嚴格的審計，這也是信號系統必須面對的一個(gè)關(guān)鍵問(wèn)題。

（4）惡意代碼的廣泛傳播：以病毒為代表的惡意代碼，可通過(guò)移動(dòng)存儲設備、外來(lái)運維的電腦、無(wú)線(xiàn)系統等進(jìn)入信號系統，當病毒侵入網(wǎng)絡(luò )后，自動(dòng)收集有用信息，如關(guān)鍵業(yè)務(wù)指令、網(wǎng)絡(luò )中傳輸的明文口令等，或是探測網(wǎng)內計算機的漏洞，向網(wǎng)內計算機傳播。這也是當前影響信號系統網(wǎng)絡(luò )安全的主要因素之一。

3. 等級保護策略

基于信號系統的特殊性，信號系統等級保護整體方案應保持信號系統既有功能和架構不受影響，采用的技術(shù)手段要考慮實(shí)施的可行性，并兼顧軌道交通建設、運營(yíng)、維護等各方的需求，在增加安全防護措施的同時(shí)盡量減少新增故障點(diǎn)的可能。

此外，信息安全問(wèn)題從來(lái)都不是單純的技術(shù)問(wèn)題。如果把防范黑客入侵和病毒感染簡(jiǎn)單理解為信息安全問(wèn)題的全部，這也是片面且不準確的。因此，信號系統等級保護整體方案必須把技術(shù)措施和管理措施結合起來(lái)，這樣才能更有效地保障和提升系統的整體安全性。

3.1 安全域劃分

安全域的劃分應以業(yè)務(wù)角度為主，輔以安全角度，并充分參照信號系統現有網(wǎng)絡(luò )結構和管理現狀。由于信號系統是單獨的業(yè)務(wù)系統，因此，首先就要將整個(gè)信號系統作為一個(gè)安全域，從結構上與綜合監控系統、時(shí)鐘系統等外部系統劃分為不同的安全區域。

3.2 技術(shù)防護策略

從信息安全等級保護技術(shù)要求來(lái)講，一個(gè)信息系統的安全由物理安全、網(wǎng)絡(luò )安全、主機安全、應用安全、數據安全與備份恢復五個(gè)方面組成。

3.2.1 物理安全

信號系統的物理安全涉及到整個(gè)系統的配套部件、設備和設施的安全性能、所處環(huán)境安全以及整個(gè)系統可靠運行等方面，是系統安全運行的基本保障。信號系統的實(shí)際建設和運行過(guò)程中，物理安全方面對系統設備的電磁兼容、電磁屏蔽及接地等方面的要求已經(jīng)有成熟的解決方案；同時(shí)，機房其他相關(guān)要求則由機房管理來(lái)覆蓋。

3.2.2 網(wǎng)絡(luò )安全

數據通信網(wǎng)絡(luò )是信號系統進(jìn)行信息交互的通道，通信網(wǎng)絡(luò )安全設計通過(guò)對通信雙方進(jìn)行可信鑒別驗證，建立安全通道，對通信數據包的保密性和完整性實(shí)施保護，確保其在傳輸過(guò)程中不會(huì )被非授權竊聽(tīng)、篡改和破壞，使得數據在傳輸過(guò)程中的安全得到保障。在區域邊界對進(jìn)入和流出應用環(huán)境的信息流進(jìn)行安全檢查和訪(fǎng)問(wèn)控制，確保不會(huì )有違背系統安全策略的信息流經(jīng)過(guò)邊界。

3.2.3 主機安全

主機計算環(huán)境，即信號系統的運行環(huán)境，包括信號系統正常運行所必須的終端、服務(wù)器、網(wǎng)絡(luò )設備以及業(yè)務(wù)應用系統等。主機計算環(huán)境安全是信號系統安全的根本。主機安全就是通過(guò)終端、服務(wù)器、操作系統、上層應用系統和數據庫的安全機制和策略，保障信號系統業(yè)務(wù)處理過(guò)程的安全。通過(guò)在操作系統核心層和系統層設置以強制訪(fǎng)問(wèn)控制為主體的系統安全機制和策略，建立可信、無(wú)隱蔽通道的安全保護環(huán)境，形成嚴密的安全保護環(huán)境，通過(guò)對用戶(hù)行為的控制，可以有效防止非授權用戶(hù)訪(fǎng)問(wèn)和授權用戶(hù)越權訪(fǎng)問(wèn)，確保信息和信息系統的保密性和完整性，從而為信號系統的正常運行和免遭惡意破壞提供支撐和保障。

3.2.4 應用安全和數據安全

在應用和數據安全方面，應從身份鑒別、訪(fǎng)問(wèn)控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴(lài)、軟件容錯、資源控制等方面進(jìn)行安全防護。以軟件自身功能實(shí)現為主，部署使用終端安全防護、主機監控與審計為輔，完成達到信息系統安全等級保護三級的具體要求。同時(shí)，通過(guò)安全防護技術(shù)和管理體系建立信號系統數據保護基線(xiàn)，確保數據安全的完整性、保密性、可靠性。

3.2 系統安全管理

信號系統的安全管理是對信號系統生命周期全過(guò)程實(shí)施符合安全等級責任要求的科學(xué)管理，即從安全管理機構建設、安全方針和安全管理制度的制定，以及對資產(chǎn)安全、人員安全、物理和環(huán)境安全、通信和操作安全、系統建設、信息安全事件、業(yè)務(wù)連續性等方面建立日常管理規程，從管理的角度確保信號系統的安全。該部分工作主要由軌道交通建設和運營(yíng)管理單位結合軌道交通信息系統特點(diǎn)和信號系統獨有的特性具體推進(jìn)和落實(shí)。

3.3 安全運維管理

信號系統的安全運維體系是降低信號系統運行風(fēng)險、確保系統安全穩定運行的必要保障，即通過(guò)建設運維支撐平臺為信號系統的日常運行維護提供技術(shù)支持；通過(guò)確定安全運維組織為信號系統的安全運行維護提供相匹配的組織和人員保障；通過(guò)建立與信號系統相適應的運維制度、程序文件、操作規程為信號系統的安全運行維護提供規范保障；通過(guò)進(jìn)行備份與恢復、定期安全評估、緊急應急響應、實(shí)時(shí)安全監控以及日常運行維護操作等安全運維活動(dòng)為信號系統安全運行提供可靠保障。該部分工作由軌道交通運營(yíng)維護單位在系統廠(chǎng)商配合下完成。

4.結語(yǔ)

以上等級保護策略在尚未開(kāi)建和在建線(xiàn)路上實(shí)施相對容易，但是，如果要在已開(kāi)通運營(yíng)的既有線(xiàn)路上實(shí)施上述策略則還應充分考慮以下幾點(diǎn)：

（1）目前國內鮮有相應成功案例可供參考，方案實(shí)施存在一定的風(fēng)險性；

（2）根據實(shí)際情況對既有系統方案進(jìn)行重新設計，且設計、安裝、調試等整體耗時(shí)相對較長(cháng)；

（3）所有現場(chǎng)安裝和調試工作只能在夜間非運營(yíng)時(shí)段進(jìn)行，且須在次日運營(yíng)開(kāi)始前退回原系統方案（包括軟件、硬件及其接口等）并完成相應測試和驗證，直至所有安裝和調試工作完成；

（4）信號系統接口較多，安裝和調試過(guò)程中，新老接口頻繁倒接、數據更新等可能導致PIS、PA等外部系統不可用；

（5）現場(chǎng)安裝和調試過(guò)程中，系統軟件、硬件需要在新舊版本之間來(lái)回更換，須加強版本管理和過(guò)程控制，否則極易影響次日正常運營(yíng)。

參考文獻：

[1] 劉建.城市軌道交通信號系統信息安全設計方案[J].鐵道通信信號,2017(5):85.

[2] GB/T 22239-2008.信息安全技術(shù)信息系統安全等級保護基本要求[S].

[3] GB/T 25058-2010.信息安全技術(shù)信息系統安全等級保護實(shí)施指南[S].