綜合聯調中的ATS軟件安全

王超

【摘要】 綜合聯調是信號系統投入正式運營前的一個關鍵時期，在該時期保證系統軟件安全，確保聯調順利進行，軟件安全管理具有重要的意義。

【關鍵詞】 綜合聯調 ATS子系統 軟件安全

一、研究背景及意義

西安地鐵一號線ATS專業負責ATS子系統、數據通信子系統及軌旁無線子系統的調試、維護、故障處理等工作。這些子系統均主要由工作站、服務器、交換機等搭建而成，為地鐵運營提供行車指揮系統。作為地鐵運營重要組成部分，其安全性至關重要，不僅需要常規性檢修維護，還需要將安全管理也應納入日常管理工作中，以確保軟件數據、網絡數據等安全。特別是在綜合聯調期間，各子系統面對著設備分散、操作人員復雜等情況，使得安全管理難度加大。本文將結合西安地鐵一號線綜合聯調期間安全管理情況進行討論，為后續線路軟件安全管理提供參考，相關內容也適用于正式運營后。

二、綜合聯調中的數據安全管理

1、設備接口管理。ATS專業各子系統設備分布分散，每一臺設備均能提供系統接入點（例如USB口、網口、光驅等），且聯調期間各設備室進入人員復雜，僅靠ATS專業人員巡視很難有效實現對設備管理。故對設備不常用接口進行了貼封，但該做法不能提前扼制事件發生，建議后續通過修改驅動配置、硬件插拔等關閉。

2、軟件數據備份。綜合聯調期間對于軟件所采的小問題，一般采取即發現即整改，對于較大問題，采取集中后通過軟件升級解決，所以在整個聯調周期內軟件數據變動較多、版本存在較多，需要更加明細的管理，以把控軟件數據。一號線進行綜合聯調期間，對于每次軟件修改或升級都進行了記錄及對數據進行備份，數據應包括ATS軟件、CRT、VPN等常用軟件，保證在恢復時不需安裝其他軟件便可正常使用，減小外面軟件安裝造成的風險。

3、操作權限管理。ATS服務器系統采用Linux操作系統，相關操作均需使用專用命令，故對維護人員的技能水平要求高。在綜合聯調期間，維護人員組成以少量老員工及大量新員工組成，技能相對薄弱，因此需要該期間進行培訓，但難免就存在由于培訓造成誤刪或誤改數據的情況，影響設備使用，耽誤聯調進度。一號線系統配置原因至今在該方面僅能通過管理手段限制人員的刪除、修改，故建議在后續線路中將系統用戶分為兩級，一級為超級用戶級，具備系統操作的最大權限，用于軟件的安裝、刪除等；一級為一般用戶級，僅具備系統操作的部分功能，例如系統信息查看、軟件日志查看等查詢、復制類等功能。例如設置一具備所有操作權限的root賬戶；設置一僅具部分權限的維護賬戶，限制其相關操作。通過這樣賬戶分設手段，可以有效地減少人為誤操作而造成系統的出錯的幾率。

4、設備操作密鑰管理。維護子系統作為信號系統中的一部分，部分設備安裝于正線車站中，聯調期間由于廠家有時會利用車站維護工作站遠程登錄其他設備或打開監控功能進行列車調試。若非本專業維護人員知曉設備密鑰，則可以順利登入系統進行操作，嚴重時影響列車運行安全。故在對相關密鑰保存時，需要嚴格執行保密制度，同時對于工作站中的遠程登錄原件應嚴格控制。

5、人員管理。一號線綜合聯調期間各子系統設備已投入使用，相關設備操作已交由各部門操作人員完成（包括調度、客運、其他信號專業人員等），但普遍操作人員初接觸軟件操作生疏，且對軟件好奇心重，導致存在任意亂操作軟件、更改軟件配置等問題。同時該時期廠家仍在對各子系統設備進行配置及軟件修改完善，有時為方便遠程進入系統修改其它位置數據配置，存在一定的安全隱患。在該情況下，ATS專業加強了各操作人員的實操培訓，對于常用功能進行現場考核，同時嚴格要求廠家，在未授權的情況下禁止遠程登陸超出作業區域。通過這些手段，有效的控制了減小了操作人員對系統的影響。

6、非必要系統的離線。控制中心ATS培訓仿真子系統與試車線子系統是信號系統中兩個能夠離線工作的子系統。在日常使用中該兩個系統操作人員多、身份復雜，所以在系統功能具備后應及時斷開與正線系統的物理連接，以減小系統受損的風險。

三、后期線路建議

為后續線路能夠更加合理、有效的開展軟件安全管理工作，結合一號線經驗，將軟件安全劃分為5層：物理層安全、系統層安全、網絡層安全、應用層安全以及安全管理，如圖1，后續線路建議按照該五層開展軟件安全工作。

3.1物理層安全

物理層安全主要體現在通信線路、工作設備的可靠性，例如封閉線路中交換機多余端口、線纜的有序標識等；工作設備的端口物理層的封閉，替換設備、拆卸設備的安全，接入的移動設備環境干凈，無病毒等。該層次需要注意在聯調前關閉不必要的各類設備端口，包括交換機、工作站、服務器的USB、網口、光驅等各類閑置端口，僅需保留數量有限的必要端口，例如設備集中站保留1個USB口、1個光驅、2-3個網口，一般站僅交換機需保留2-3個網口。

3.2系統層安全

系統層安全問題來自于服務器、工作站使用的操作系統：linux、Windows。安全性問題表現在4個方面：1）操作系統本身的缺陷帶來的不安全因素，主要包括身份認證、訪問控制、系統漏洞和多余端口的開啟等； 2）操作系統與硬件的兼容性而造成的穩定性問題； 3）人為性誤改、誤刪系統文件；4）病毒對操作系統的威脅。該層次需注意分散設備的管理，關閉掉多余的接入端口驅動，與端口硬件關閉形成雙保險；對較為干凈系統提前進行備份；記錄設備不間斷運行的穩定性，對影響穩定性問題進行統計（例如死機、藍屏、自動重啟等）；嚴格控制設備接入，保證無外來病毒。

3.3網絡層安全

網絡層安全問題主要體現在網絡信息的安全性。包括網絡隔離（培訓室、試車線與正線系統分離）、網絡資源的訪問控制、遠程接入的安全，入侵檢測的手段，網絡設施防病毒等。該層次需注意培訓系統、試車線提前與正線系統分離、關閉部分非常用設備的遠程登錄權限（不包括關閉被登陸權限）、外部系統設備（非信號）必須通過防火墻接入網絡等。

3.4應用層安全

應用層安全問題主要體現在必要的軟件上，例如ATS人機軟件、CRT、VPN軟件等。在該層次應注意軟件安裝前后的備份、軟件版本的控制、其他軟件的使用權限等問題。

3.5管理層安全

安全管理包括安全技術和設備的管理、安全管理制度、人員的組織規則等。管理的制度化程度極大地影響著整個系統的軟件安全，嚴格的安全管理制度、明確的人員角色定義都可以在很大程度上降低其他層次的安全漏洞。該層次中需要對安全密鑰、維護人員權限進行明確劃分，避免因誤操作影響系統的完整性。同時應加強對其他部門使用人員的培訓工作，強調那個些功能不能用，哪些按鈕不能點，避免因好奇亂點亂操作設備。

四、結語

綜合聯調期間由于設備初步接管，面對設備分散且處于磨合期，使用人員數量多位置分散且掌握不夠，維護人員了解和熟悉設備性能不足、技能水平掌握程度不深等問題，因此，為保證系統軟件安全，確保聯調順利進行，做好綜合聯調中的軟件安全管理具有重要的意義。

參 考 文 獻

[1]李雪梅.工業系統信息安全管理體系的構建[J].微計算機信息，2007（3）.

[2]蔡曉蕾.朱勝利.陳玉峰.王浩.北京地鐵5號線乘客信息系統安全體系的設計與實現.鐵路計算機應用，第17卷第1期.

[3]龐章生.淺談計算機通信網絡的安全及防護措施.科技向導，2013（31）.