地鐵信號系統(tǒng)信息安全防御技術

摘要：隨著全自動運行系統(tǒng)技術和城市軌道服務器云技術在地鐵工程項目中的應用，地鐵信號系統(tǒng)的內(nèi)部和外部接口持續(xù)增加。作為地鐵工程項目重要組成部分的信號系統(tǒng)，其信息安全防御至關重要。本文通過分析地鐵信號系統(tǒng)的架構，針對存在的安全隱患和防御現(xiàn)狀，提出了地鐵信號系統(tǒng)信息安全的主動和被動防御體系。結合主動和被動防御技術，首先構建了被動防御模型，然后從技術、安全和管理三個層面提出了主動防御模型。通過這一綜合方法，實現(xiàn)了確保地鐵信號系統(tǒng)信息安全的目標。

關鍵詞：地鐵；信號系統(tǒng)；主、被動防御模型

近年來，隨著城市化建設的不斷推進和交通需求的日益增長，地鐵作為城市軌道交通的重要組成部分，正承擔著日益加大的運輸壓力。地鐵信號系統(tǒng)作為地鐵運營中的核心技術之一，直接關系到列車的安全運行和乘客的出行體驗。作為一個復雜的網(wǎng)絡系統(tǒng)，地鐵信號系統(tǒng)涉及眾多關鍵設備和數(shù)據(jù)，一旦遭受攻擊或發(fā)生故障，就可能導致列車運行中斷、安全事故等嚴重后果。因此，加強地鐵信號系統(tǒng)的信息安全防御技術研究對于保障地鐵的安全運營和提升城市交通服務水平具有重要意義。

一、地鐵信號系統(tǒng)相關概述

在通常情況下，地鐵信號系統(tǒng)主要以列車自控系統(tǒng)ATC為主。地鐵信號系統(tǒng)施工是一個涉及多個學科和技術領域的復雜過程，包括安全防護、材料選用、工程管理、地鐵車站運營、控制中心調(diào)試，以及列車車載信號設備、通信設備和監(jiān)視設備等[1]。因此，地鐵信號系統(tǒng)施工需要多個學科和專業(yè)的協(xié)調(diào)合作，以確保整個系統(tǒng)的質(zhì)量和安全。

二、地鐵信號系統(tǒng)的安裝與調(diào)試

ATP系統(tǒng)的施工與其他地鐵信號系統(tǒng)的施工相互關聯(lián)，需要與ATO和ATS等子系統(tǒng)進行協(xié)調(diào)，以確保整個地鐵信號系統(tǒng)的正常運行。在地鐵信號系統(tǒng)的施工過程中，專門的工程師和技術人員負責ATP系統(tǒng)的安裝和調(diào)試，并與其他相關人員配合工作。ATO作為地鐵信號系統(tǒng)的核心組成部分，負責列車的自動駕駛，包括自動離站、列車速度調(diào)節(jié)、列車目標制動以及車門、站臺門的開關等關鍵功能。這些功能的實現(xiàn)不僅提高了地鐵列車的運行效率和安全性，還降低了人為操作可能帶來的誤差和風險。對于ATS系統(tǒng)的功能，在地鐵信號系統(tǒng)的施工過程中需要進行相關的安裝、調(diào)試和測試工作，以確保系統(tǒng)的準確性和可靠性。同時，需要培訓相關操作人員，使其能夠熟練地操作ATS系統(tǒng)，確保地鐵運營的安全和順暢。ATS主要位于OCC控制中心，通過網(wǎng)絡與列車通信，并指揮列車安全運行。各個信號集中站也具有一定的ATS功能，輔助中央ATS完成相關功能[2]。

三、地鐵信號系統(tǒng)信息安全狀況

（一）信號系統(tǒng)網(wǎng)絡架構

信號系統(tǒng)在物理位置上包括了OCC控制中心、車輛段、停車場、設備集中站、非設備集中站等場景，具體組成如下：OCC作為地鐵運營的指揮中心，對線路的安全運營起著重要作用，通過集中調(diào)度和控制，確保地鐵的運行安全、高效和可靠；車輛段和停車場是列車車輛的集結地，負責日常運營調(diào)度，確保列車按既定時間表準時發(fā)車、到站；設備集中站是獨立的業(yè)務大區(qū)，在信號系統(tǒng)中主要功能是供車站值班員控制車站信號設備；非設備集中站同屬于關鍵的業(yè)務區(qū)，車站的調(diào)度監(jiān)管人員通過非設備集中站調(diào)度業(yè)務系統(tǒng)可以觀察信號系統(tǒng)的工作狀態(tài)，但不能進行指令操作。在地鐵信號系統(tǒng)中，數(shù)據(jù)通信系統(tǒng)（Data Communication System，簡稱DCS）作為各個子系統(tǒng)的信息傳遞紐帶，其重要性不言而喻。DCS不僅負責將各個子系統(tǒng)互聯(lián)互通，還構成了信號系統(tǒng)的網(wǎng)絡架構，包括有線和無線網(wǎng)絡兩部分。地鐵信號系統(tǒng)的網(wǎng)絡架構復雜而精細，其中有線網(wǎng)絡通過光纜連接了中心與車站、車站與車站、信號骨干網(wǎng)、維護支持系統(tǒng)（Maintenance Support System，簡稱MSS）網(wǎng)等關鍵部分。DCS骨干網(wǎng)則通過有線方式將控制中心設備、數(shù)據(jù)庫、地面聯(lián)鎖設備、接入交換機等相互連接，實現(xiàn)了地面與地面、地面與車載之間的通信[3]。

（二）信號系統(tǒng)安全隱患

1.網(wǎng)絡安全方面

（1）需要與外部系統(tǒng)進行互通互聯(lián)：地鐵信號系統(tǒng)需要與綜合監(jiān)控系統(tǒng)、站臺門系統(tǒng)、通信系統(tǒng)等外部系統(tǒng)進行互通互聯(lián)，以實現(xiàn)信息共享和協(xié)同工作。這種互聯(lián)性也增加了系統(tǒng)面臨的潛在安全威脅。（2）信息過濾和控制困難：對進入和離開信號系統(tǒng)內(nèi)部的信息進行過濾和控制是一個具有挑戰(zhàn)性的問題。由于信號系統(tǒng)內(nèi)部的信息交互依賴于傳統(tǒng)的通信協(xié)議和接口，直接控制應用層協(xié)議命令較難實現(xiàn)。（3）底層通信協(xié)議和接口限制：信號系統(tǒng)內(nèi)部的信息流通通常依賴于特定的通信協(xié)議和接口，這些協(xié)議和接口通常較為底層，難以對應用層協(xié)議命令進行過濾和控制。（4）缺乏防御技術手段：地鐵信號系統(tǒng)缺乏有效防止攻擊的技術手段，容易受到病毒和木馬攻擊。（5）面臨非授權設備接入風險：缺乏檢查、定位和阻斷非授權設備接入內(nèi)部網(wǎng)絡的能力，地鐵信號系統(tǒng)可能面臨機密數(shù)據(jù)泄露、系統(tǒng)被惡意操控等安全風險。（6）惡意代碼威脅：地鐵信號系統(tǒng)缺乏對惡意代碼的檢測能力，一旦系統(tǒng)被植入惡意代碼，可能導致系統(tǒng)崩潰、數(shù)據(jù)損壞等嚴重后果，并且攻擊者可能長時間操控系統(tǒng)造成嚴重影響。

2.主機安全方面

（1）缺乏基本的安全功能和審計功能，無法提供有效的安全保障和監(jiān)控。（2）傳統(tǒng)的預防病毒軟件更新不及時，導致系統(tǒng)容易受到惡意病毒攻擊。（3）無法對重要信息數(shù)據(jù)進行有效識別，即使檢測到重要數(shù)據(jù)受到攻擊，也缺乏修復的能力。

（三）信號系統(tǒng)安全現(xiàn)狀

《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院147號令）規(guī)定地鐵信號系統(tǒng)需按照三級標準執(zhí)行，這一規(guī)定的出臺在一定程度上提高了信號系統(tǒng)的穩(wěn)定性。然而，現(xiàn)有的信號系統(tǒng)雖然通過設置多重屏障增強了安全性，但仍然存在功能不完整和缺乏主動防御能力的問題。

四、信號系統(tǒng)信息安全主、被動防御體系建模

（一）主、被動防御體系的提出

主動防御體系是針對地鐵信號系統(tǒng)面臨的網(wǎng)絡安全威脅而設計的防御機制。該體系強調(diào)在入侵行為對信號系統(tǒng)造成惡劣影響之前，能夠及時精準預警，并實時構建彈性防御體系，以避免、轉移或降低信息系統(tǒng)面臨的風險。主動防御體系旨在尋找并削弱入侵者的能力，或破壞他們的入侵行動。被動防御體系則是在遭受攻擊或發(fā)生安全事件后，通過一系列措施來減輕損失、恢復系統(tǒng)，并收集分析攻擊數(shù)據(jù)以改進未來的防御策略。這種防御體系強調(diào)事后處理、數(shù)據(jù)收集和系統(tǒng)恢復。根據(jù)國家相關部門對地鐵信號系統(tǒng)信息安全防御系統(tǒng)安全等級保護的要求，可以建立地鐵信號系統(tǒng)安全的主動防御系統(tǒng)和被動防御系統(tǒng)。

（二）主動防御體系模型

主動防御體系模型是一種綜合性的安全框架，旨在通過預測、防護、檢測和響應等階段來主動應對網(wǎng)絡安全威脅。這種模型強調(diào)在安全事件發(fā)生之前進行預防，以及在事件發(fā)生時快速響應，以最小化安全風險和損失。主動防御體系模型通常包括以下幾個方面的內(nèi)容：（1）安全策略（Policy）：定義組織的安全目標和要求，為整個防御體系提供指導和方向。（2）防護（Protection）：通過部署安全技術和措施，如防火墻、入侵檢測系統(tǒng)、加密技術等，來阻止?jié)撛诘墓艉蛺阂庑袨椤＃?）檢測（Detection）：利用安全監(jiān)控和日志分析工具，實時監(jiān)測網(wǎng)絡流量和系統(tǒng)行為，發(fā)現(xiàn)異常和可疑活動，及時觸發(fā)警報。通過主動防御體系模型的構建，可以及時發(fā)現(xiàn)和應對潛在的安全威脅和攻擊，有助于保護系統(tǒng)和網(wǎng)絡的安全，確保信息的機密性、完整性和可用性。主動防御體系模型的監(jiān)測對象主要包括主干網(wǎng)、深灰網(wǎng)、淺灰網(wǎng)、交換機，通過對訪問的數(shù)據(jù)信息包特征的論證和分析，能及時發(fā)現(xiàn)可疑病毒并進行阻斷，進一步保證地鐵信號系統(tǒng)信息的安全[4]。

（三）被動防御體系模型

被動防御體系模型主要側重于在攻擊發(fā)生后進行應對和恢復。它強調(diào)通過收集和分析攻擊數(shù)據(jù)、恢復受損系統(tǒng)以及改進防御策略來減少未來的風險。被動防御體系模型主要由以下幾個部分組成：（1）事件檢測與識別：依賴安全監(jiān)控工具和系統(tǒng)日志分析，以檢測異常行為或安全事件。一旦發(fā)現(xiàn)潛在的安全事件，系統(tǒng)會觸發(fā)警報。（2）事件響應與處置：在安全事件被檢測到后，需要迅速進行響應，包括隔離受影響的系統(tǒng)、收集和分析證據(jù)、確定攻擊者的身份和攻擊手段等。同時，需要采取措施阻止攻擊進一步擴散和損害。（3）損害評估與恢復：評估攻擊對系統(tǒng)、數(shù)據(jù)和業(yè)務的影響，確定需要恢復的資源和時間。然后根據(jù)災難恢復計劃進行系統(tǒng)和數(shù)據(jù)的恢復工作。通過被動防御體系模型的實施，可以及時、有序地處理安全事件，減少損失，恢復系統(tǒng)正常運行，同時從中學習提升未來的安全防御。這種模型為地鐵信號系統(tǒng)信息安全提供了重要的支持和保障。

五、地鐵信號系統(tǒng)信息安全主、被動防御體系分析

主動性和立體性是地鐵信號系統(tǒng)信息安全主、被動防御體系的兩個主要優(yōu)勢。通過建立這兩種體系模型，并明確它們的分工，實現(xiàn)相互合作，共同為地鐵信號系統(tǒng)的安全運行提供保障。地鐵信號系統(tǒng)信息安全被動防御體系與主動防御體系關系對照，具體如表1所示。

（一）信號系統(tǒng)安全域劃分

地鐵信號系統(tǒng)的安全域劃分是為了保障系統(tǒng)的安全性、可靠性和高效性。這種劃分通常基于不同的訪問對象和系統(tǒng)功能，將系統(tǒng)劃分為多個安全區(qū)域，通過物理和邏輯隔離限制對關鍵系統(tǒng)和數(shù)據(jù)的訪問，以防止?jié)撛诘陌踩{。一般來說，地鐵信號系統(tǒng)的安全域劃分包括以下主要區(qū)域：（1）控制中心區(qū)域：這是地鐵信號系統(tǒng)的核心，負責監(jiān)控和控制整個地鐵網(wǎng)絡的運行。控制中心通常包括中央服務器、監(jiān)控設備、網(wǎng)絡設備和其他關鍵系統(tǒng)組件，需要具備高度的安全性以防止未經(jīng)授權的訪問和惡意攻擊。（2）車站區(qū)域：包括各個地鐵站的信號設備和系統(tǒng)，負責列車與車站之間的通信和控制。車站區(qū)域的安全域劃分旨在確保列車安全和高效運營，同時避免惡意攻擊或破壞。（3）車輛段區(qū)域：作為地鐵列車的停放和維修地點，包含列車控制系統(tǒng)、維修設備和相關設施。此區(qū)域的安全域劃分旨在確保列車維護和修理的安全，預防未經(jīng)授權的訪問和惡意攻擊。通過這樣的安全域劃分，地鐵信號系統(tǒng)能夠更好地保障其各個區(qū)域的安全性和系統(tǒng)的整體可靠性。

（二）網(wǎng)絡安全域劃分

網(wǎng)絡安全域的劃分是基于網(wǎng)絡安全需求和策略，將網(wǎng)絡劃分為不同的安全區(qū)域，以實現(xiàn)對網(wǎng)絡流量的有效管理、控制和監(jiān)控，提高網(wǎng)絡的安全性和可靠性。一般而言，網(wǎng)絡安全域可劃分為以下幾個方面：（1）核心交換區(qū)：作為網(wǎng)絡的核心部分，負責高速數(shù)據(jù)交換和路由轉發(fā)。該區(qū)域通常部署高性能的交換機和路由器，并采用高度安全性的配置策略，如訪問控制列表（ACL）、防火墻等，以限制對核心設備的訪問和防范攻擊。（2）服務器區(qū)：存儲和處理數(shù)據(jù)的重要區(qū)域，包括數(shù)據(jù)庫服務器、應用服務器等。該區(qū)域需要高度的安全性和可靠性，通常采取嚴格的訪問控制和安全審計措施，如入侵檢測系統(tǒng)（IDS）、漏洞掃描系統(tǒng)等，以保護服務器和數(shù)據(jù)的安全。（3）用戶接入?yún)^(qū)：是用戶接入網(wǎng)絡的地方，包括有線和無線接入方式。這一區(qū)域需要實現(xiàn)用戶身份驗證、訪問控制和流量管理等功能，以預防未經(jīng)授權的訪問和惡意攻擊。（4）DMZ區(qū)：即隔離區(qū)域，通常用于放置公共服務器（如Web服務器、郵件服務器等），接受來自外部網(wǎng)絡的訪問。DMZ區(qū)與內(nèi)部網(wǎng)絡隔離，并采取嚴格的安全策略和訪問控制，以保護內(nèi)部網(wǎng)絡的安全。通過合理劃分網(wǎng)絡安全域，可以有效保護網(wǎng)絡各個區(qū)域的安全性，增強整體網(wǎng)絡的穩(wěn)定性和安全性。

六、結束語

地鐵信號系統(tǒng)信息安全防御技術對確保地鐵網(wǎng)絡的安全、穩(wěn)定和高效運行至關重要。隨著信息技術的快速發(fā)展和網(wǎng)絡威脅的不斷演變，對地鐵信號系統(tǒng)的信息安全提出了更高的要求。因此，構建全面、有效的信息安全防御體系成為地鐵行業(yè)的一項緊迫任務。在構建地鐵信號系統(tǒng)信息安全防御體系時，需要綜合考慮系統(tǒng)的安全性、可靠性和經(jīng)濟性，并采取主動防御和被動防御相結合的策略。引入先進的技術和措施，如加密技術、入侵檢測與防御系統(tǒng)、安全審計和日志分析、漏洞管理和補丁更新等，可以顯著提高系統(tǒng)的安全性和防護能力。盡管已經(jīng)采取了一系列保護措施，但地鐵信號系統(tǒng)信息安全防御體系的模型構建仍有待進一步完善。未來需從安全評估、防御利益等角度出發(fā)，合理部署地鐵信號系統(tǒng)的安全防御體系，以不斷提升系統(tǒng)的抵御能力和應對能力，確保地鐵網(wǎng)絡運行的安全、穩(wěn)定和高效。

作者單位：王輝 中鐵通信信號勘測設計院有限公司

參考文獻

[1]張金紅.地鐵信號系統(tǒng)聯(lián)鎖故障時的行車安全保障措施[J].工程建設與設計，2017（10）：214-215.

[2]邱成.地鐵信號系統(tǒng)聯(lián)鎖故障問題與行車安全保障初探[J].數(shù)碼設計：下，2020（1）：260.

[3]楊陽.地鐵信號系統(tǒng)車載故障的影響分析[J].工程建設與設計，2019（18）：100-101.

[4]佟雨鏹.地鐵信號系統(tǒng)信息安全防御技術研究[J].城市周刊，2022（43）：16-18.