城市軌道交通信號系統網絡安全分析

陳登科

（北京全路通信信號研究設計院有限公司，北京 100073）

城市軌道交通作為大容量公共交通工具，其安全性直接關系到廣大乘客的生命安全。作為城市軌道交通運行的神經中樞，信號系統在軌道交通中發揮著越來越重要的作用。近年來，隨著計算機系統在信號系統中的應用日益廣泛和深入，信號系統朝著網絡化、智能化的方向發展。如何保證其網絡及信息安全，使其符合安全完整性等級及信息安全等級保護要求，成為城市軌道交通系統迫切需要解決的問題。

1 信息安全

信息安全主要指數據和信息在通過計算機網絡存儲、處理、傳輸過程中完整性、保密性和有效性等的安全保證，例如防止信息竊取、信息篡改、冒充發送信息和發送者抵賴等。信息安全保障的核心技術是密碼技術，通過密碼技術實現數據加密、完整性校驗、數字簽名和身份確認等。信息安全和系統層安全具有很強的相互依賴關系[1]。

2 安全完整性等級

安全完整性等級是定性的表示安全完整性的離散等級。IEC61508定義了安全完整性等級表格，根據安全功能的平均要求時失效概率（PFDavg）劃分為4個等級[2-3]，如表1所示。等級4具有最高安全完整性等級，等級1最低，不同的安全完整性等級對系統提出不同的技術要求。安全功能的安全完整性等級確定的太高，要求的技術條件就會很復雜，成本會很高；反之，如果確定的過低，系統安全水平就達不到系統的安全要求。因此，在安全相關系統的設計開發時，必須為各安全功能確定合適的安全完整性等級。

表1 高要求操作模式的安全完整性等級

對覆蓋面廣、網絡設備復雜、操作系統較多，要求安全可靠不間斷運行的城市軌道交通信號系統網絡來說，網絡安全涉及諸多方面的因素，已經成為網絡建設中需要認真分析、綜合考慮的關鍵問題。要進一步提高城市軌道交通行車的安全系數和運行效率，應該建立一個完整的綜合網絡安全解決方案，采用網段分離、用戶口令加密存儲與傳輸、分設操作員、增加網絡信息員和密押員等方式，加強網絡安全性。

3 信號系統網絡安全的現狀與解決方案

3.1 網絡安全現狀

近幾年，我國城市軌道交通信號技術裝備進入計算機時代，給信號系統的安全性帶來新的挑戰。城市軌道交通計算機網絡是通過多級局域網絡的互聯，形成超大規模的企業內部網絡。其中大型局域網采用疊加式結構，小型局域網采用平面式結構。從網絡應用和安全方面考慮，城市軌道交通內部計算機網絡邏輯上由3個網絡層次組成：外部訪問服務網、內部服務網和生產網。信號控制系統處于最內部的生產網中，網絡規模龐大，需要高度的安全性和機密性。然而，現有的TCP/IP協議并不能很好地保障網絡通信安全，給整個系統帶來了安全隱患[4]。

對于計算機軟件來說，系統安全性的證明非常困難。隨著計算機網絡的日益普及和廣泛使用，各種安全威脅和計算機病毒也隨之而來。而當前，城市軌道交通信號設備網絡管理系統尚無可靠的解決網絡安全管理類方案，不同網絡管理體系的基本結構相同，當發生故障時，終端站點運行的軟件可以報警，接到報警后，管理實體通過執行一個或一組動作迅速做出反應，包括提示操作者、登陸、關閉系統和自動修復系統。管理實體也可輪詢終端點，以驗證某些特定變量的值[5]。

目前，已有和正在進行的關于我國城市軌道交通行業指揮系統的研究都明確提出建立在計算機網絡、通信網絡和信息網絡之上的智能指揮系統，應具有良好的開放性、擴展性和可維護性。同時，計算機網絡的安全性已引起各級部門的重視。國際和國內相關組織就網絡與信息安全問題已進行大量研究，相關的主要標準包括：ISO17799、ISO15408、ISO15446、ISO13335、ISO7498-2和SSE-CMM。

3.2 網絡安全面臨的威脅

城市軌道交通信號系統網絡由大量開放系統組成，網絡與信息安全問題比較突出。面臨的具體威脅有以下幾個方面。一是操作系統的安全威脅：微機監測服務器、站機、終端機都采用Windows操作系統。網絡上針對Windows系統產生的攻擊相對較多，受到破壞的可能性就大。二是應用軟件的安全威脅：設備提供商提供的應用授權版本不可能做到盡善盡美，于是出現各種各樣的后門、漏洞、BUG等。三是直接或間接來自于生產網的安全威脅，這類威脅以病毒和網絡攻擊的方式直接作用于內部網絡。

系統改進的必要性隨著網絡安全攻、防技術的不斷發展，任何一個網絡管理者或使用者都非常清楚，所有計算機網絡都必然存在著有意或無意攻擊和破壞的風險。對于大多數網絡黑客來說，都能夠成功地侵入到某個網絡系統中，竊取該系統的內部數據，甚至破壞其真實性和完整性。因此，建立完善的網絡安全防護體系，就顯得十分必要了。

3.3 解決方案

現有的系統設計對網絡安全問題分析不足，只是在使用中發現問題時增加了一些安全措施。現有的網絡安全防護系統，已經不能完全適應新技術與新應用帶來的實際需求。在設計新的網絡安全防護系統時，必須確保數據的機密性、完整性、可用性、可控性與可審查性，可以參考并遵循以下原則。

1）體系化設計原則；

2）全局性、均衡性、綜合性設計原則；

3）可行性、可靠性、可審查性原則；

4）分步實施原則：分級管理，分步實施。

由于網絡技術的飛速發展，傳統的防護技術已經不能適應復雜多變的新型網絡環境，必須采用安全有效的網絡安全新技術才能防患于未然，提高整個網絡的安全性。可采用的新型網絡安全技術包括以下內容。

1）鏈路負載均衡技術：?鏈路是指兩點之間具有規定性能的電信設施。鏈路通常以傳輸通道類型或容量來區分，例如無線電鏈路、同軸鏈路、寬頻帶鏈路。負載均衡建立在現有網絡結構之上，它提供了一種廉價有效透明的方法擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力、提高網絡的靈活性和可用性。

2）IPS入侵防御系統：IPS是一種部署在網關位置的安全設備，利用攻擊技術對網絡數據和行為進行深層次檢測，從而更有效地抵御應用層的攻擊。IPS在線部署模式使其可以直接將危險的流量阻擋于所保護的網絡之外。IPS可以部署在防火墻之后，保護關鍵服務器，并保證對外開放服務的安全如Web、DNS等。

3）上網行為管理系統：上網行為管理系統能夠提供全面的互聯網控制管理，并能實現基于用戶和各種網絡協議的帶寬控制管理，實時監控整個網絡使用情況。

4）網絡帶寬管理系統：對整個網絡狀況進行細致管理，提高網絡使用效率，實現對關鍵人員使用網絡的保障，對關鍵應用性能的保護，對非關鍵應用性能的控制。可根據業務需求和應用自身需求進行帶寬分配。

5）防毒墻：傳統的計算機病毒防范是在需要保護的計算機內部建立反病毒系統，隨著網絡病毒的日益嚴重和各種網絡威脅的侵害，需要將病毒在通過服務器后至企業內部網關之前予以過濾，防毒墻就滿足了這一需求。防毒墻是集成了強大的網絡殺毒機制、網絡層狀態包過濾、敏感信息的加密傳輸和詳盡靈活的日志審計等多種安全技術于一身的硬件平臺。在毀滅性病毒和蠕蟲病毒進入網絡前進行全面掃描，適用于各種復雜的網絡拓撲環境。

4 結束語

城市軌道交通信號系統網絡的安全可靠直接關系著城市軌道交通運輸的安全，關系著城市軌道交通電務部門故障檢測、診斷的準確性。龐大的城市軌道交通信息網絡系統，牽一發而動全身，所以，一定要強調在整個城市軌道交通信息系統樹立網絡安全意識，制定嚴格的信息安全制定，讓信息技術和產品在實際應用中充分發揮其作用。隨著網絡安全技術的不斷發展完善，城市軌道交通信號系統網絡必將克服現有的種種缺陷和不足，最終走向成熟和完善。

[1]劉磊.淺談鐵路網絡與信息安全技術[J].鐵路計算機應用，2005,14（z1）：255-258.

[2] IEC61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems[S].1998.

[3] IEC61511 Functional Safety-Safety Instrumented Systems for the Process Industry Sector[S].2000.

[4]熊劍，孫朝生，李鵬.鐵路信號網絡安全分析[J].哈爾濱鐵道科技，2006：13.

[5]夏平.鐵路信號行車指揮系統計算機網絡安全的探討[J].中國鐵路，2003（10）：36.