城市軌道交通信號(hào)系統(tǒng)從2015年前后陸續(xù)開(kāi)始在新建線路中按照信息系統(tǒng)安全等級(jí)保護(hù)（暫定3級(jí)）的要求推進(jìn)相應(yīng)等級(jí)保護(hù)工作，并在正式運(yùn)營(yíng)前通過(guò)等級(jí)保護(hù)測(cè)評(píng)。2017年《網(wǎng)絡(luò)安全法》頒布實(shí)施后，國(guó)內(nèi)城市軌道交通領(lǐng)域又迅速將目光轉(zhuǎn)向既有線信號(hào)系統(tǒng)信息安全等級(jí)保護(hù)，并進(jìn)行了廣泛的分析和探討。本文結(jié)合當(dāng)前國(guó)內(nèi)城市軌道交通線路建設(shè)和運(yùn)營(yíng)的實(shí)際情況，對(duì)軌道交通信號(hào)系統(tǒng)信息安全等級(jí)保護(hù)策略進(jìn)行分析和探討。

1.系統(tǒng)概述

城市軌道交通信號(hào)系統(tǒng)是保證列車運(yùn)行安全，控制列車運(yùn)營(yíng)間隔，提高列車運(yùn)行效率的先進(jìn)控制系統(tǒng)，一般由列車自動(dòng)控制系統(tǒng)（ATC）、計(jì)算機(jī)聯(lián)鎖系統(tǒng)（CI）、數(shù)據(jù)通信系統(tǒng)（DCS）以及外圍信號(hào)設(shè)備組成。

信號(hào)系統(tǒng)的網(wǎng)絡(luò)由有線網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)兩部分組成。有線網(wǎng)絡(luò)部分包括骨干網(wǎng)和接入網(wǎng)，骨干網(wǎng)主要由工業(yè)以太網(wǎng)交換機(jī)組成，接入網(wǎng)主要由交換機(jī)和光電轉(zhuǎn)換器組成；無(wú)線網(wǎng)絡(luò)部分包括軌旁無(wú)線網(wǎng)絡(luò)和車載無(wú)線網(wǎng)絡(luò)，軌旁無(wú)線網(wǎng)絡(luò)由軌旁無(wú)線接入點(diǎn)AP、功分器及定向天線等組成，車載無(wú)線網(wǎng)絡(luò)主要由車載調(diào)制解調(diào)器及天線組成。

2. 信息安全現(xiàn)狀分析

對(duì)于城市軌道交通信號(hào)系統(tǒng)來(lái)說(shuō)，其所面臨的信息安全威脅，主要集中在以下幾個(gè)方面：

（1）外部黑客攻擊：通信、信號(hào)、綜合監(jiān)控、AFC等軌道交通系統(tǒng)大多都是關(guān)系民生的重要工業(yè)控制系統(tǒng)，極容易成為黑客攻擊的目標(biāo)。其中，信號(hào)系統(tǒng)更是直接關(guān)系列車運(yùn)行安全的工業(yè)控制系統(tǒng)。雖然它一般不直接與互聯(lián)網(wǎng)相連，但其擁有網(wǎng)絡(luò)形式的外部接口，并與綜合監(jiān)控、通信等外部系統(tǒng)之間進(jìn)行數(shù)據(jù)交換，存在被黑客攻擊的可能，并且一旦成功就可能引發(fā)極為惡劣的社會(huì)影響。

（2）來(lái)自內(nèi)部員工的威脅：與信號(hào)系統(tǒng)有直接接觸的內(nèi)部人員包括控制中心調(diào)度員、車站值班員、車輛段/場(chǎng)調(diào)度員、計(jì)劃管理員、維護(hù)管理員、司機(jī)等。由于信號(hào)系統(tǒng)通常缺乏嚴(yán)格的網(wǎng)絡(luò)準(zhǔn)入和控制機(jī)制，內(nèi)部通訊時(shí)身份鑒別和認(rèn)證機(jī)制不夠嚴(yán)密，同時(shí)也缺乏對(duì)系統(tǒng)最高權(quán)限的限制，這使得內(nèi)部人員有意識(shí)的惡意行為成為系統(tǒng)重大的信息安全威脅。此外，在系統(tǒng)運(yùn)行過(guò)程中，通常存在多個(gè)用戶操作同一臺(tái)設(shè)備的情況，加上事后有效追查工具的缺乏，也讓責(zé)任劃分和威脅追蹤變得更加困難。

（3）來(lái)自外部單位人員的威脅：軌道交通建設(shè)過(guò)程中，信號(hào)系統(tǒng)設(shè)備一般由施工單位和設(shè)備廠家分別完成其安裝和調(diào)試；軌道交通運(yùn)營(yíng)過(guò)程中，運(yùn)營(yíng)單位可能將部分非核心維保業(yè)務(wù)外包給第三方。如何有效地管控施工單位、設(shè)備廠商和第三方運(yùn)維人員的操作行為，并進(jìn)行嚴(yán)格的審計(jì)，這也是信號(hào)系統(tǒng)必須面對(duì)的一個(gè)關(guān)鍵問(wèn)題。

（4）惡意代碼的廣泛傳播：以病毒為代表的惡意代碼，可通過(guò)移動(dòng)存儲(chǔ)設(shè)備、外來(lái)運(yùn)維的電腦、無(wú)線系統(tǒng)等進(jìn)入信號(hào)系統(tǒng)，當(dāng)病毒侵入網(wǎng)絡(luò)后，自動(dòng)收集有用信息，如關(guān)鍵業(yè)務(wù)指令、網(wǎng)絡(luò)中傳輸?shù)拿魑目诹畹?，或是探測(cè)網(wǎng)內(nèi)計(jì)算機(jī)的漏洞，向網(wǎng)內(nèi)計(jì)算機(jī)傳播。這也是當(dāng)前影響信號(hào)系統(tǒng)網(wǎng)絡(luò)安全的主要因素之一。

3. 等級(jí)保護(hù)策略

基于信號(hào)系統(tǒng)的特殊性，信號(hào)系統(tǒng)等級(jí)保護(hù)整體方案應(yīng)保持信號(hào)系統(tǒng)既有功能和架構(gòu)不受影響，采用的技術(shù)手段要考慮實(shí)施的可行性，并兼顧軌道交通建設(shè)、運(yùn)營(yíng)、維護(hù)等各方的需求，在增加安全防護(hù)措施的同時(shí)盡量減少新增故障點(diǎn)的可能。

此外，信息安全問(wèn)題從來(lái)都不是單純的技術(shù)問(wèn)題。如果把防范黑客入侵和病毒感染簡(jiǎn)單理解為信息安全問(wèn)題的全部，這也是片面且不準(zhǔn)確的。因此，信號(hào)系統(tǒng)等級(jí)保護(hù)整體方案必須把技術(shù)措施和管理措施結(jié)合起來(lái)，這樣才能更有效地保障和提升系統(tǒng)的整體安全性。

3.1 安全域劃分

安全域的劃分應(yīng)以業(yè)務(wù)角度為主，輔以安全角度，并充分參照信號(hào)系統(tǒng)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和管理現(xiàn)狀。由于信號(hào)系統(tǒng)是單獨(dú)的業(yè)務(wù)系統(tǒng)，因此，首先就要將整個(gè)信號(hào)系統(tǒng)作為一個(gè)安全域，從結(jié)構(gòu)上與綜合監(jiān)控系統(tǒng)、時(shí)鐘系統(tǒng)等外部系統(tǒng)劃分為不同的安全區(qū)域。

3.2 技術(shù)防護(hù)策略

從信息安全等級(jí)保護(hù)技術(shù)要求來(lái)講，一個(gè)信息系統(tǒng)的安全由物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)五個(gè)方面組成。

3.2.1 物理安全

信號(hào)系統(tǒng)的物理安全涉及到整個(gè)系統(tǒng)的配套部件、設(shè)備和設(shè)施的安全性能、所處環(huán)境安全以及整個(gè)系統(tǒng)可靠運(yùn)行等方面，是系統(tǒng)安全運(yùn)行的基本保障。信號(hào)系統(tǒng)的實(shí)際建設(shè)和運(yùn)行過(guò)程中，物理安全方面對(duì)系統(tǒng)設(shè)備的電磁兼容、電磁屏蔽及接地等方面的要求已經(jīng)有成熟的解決方案；同時(shí)，機(jī)房其他相關(guān)要求則由機(jī)房管理來(lái)覆蓋。

3.2.2 網(wǎng)絡(luò)安全

數(shù)據(jù)通信網(wǎng)絡(luò)是信號(hào)系統(tǒng)進(jìn)行信息交互的通道，通信網(wǎng)絡(luò)安全設(shè)計(jì)通過(guò)對(duì)通信雙方進(jìn)行可信鑒別驗(yàn)證，建立安全通道，對(duì)通信數(shù)據(jù)包的保密性和完整性實(shí)施保護(hù)，確保其在傳輸過(guò)程中不會(huì)被非授權(quán)竊聽(tīng)、篡改和破壞，使得數(shù)據(jù)在傳輸過(guò)程中的安全得到保障。在區(qū)域邊界對(duì)進(jìn)入和流出應(yīng)用環(huán)境的信息流進(jìn)行安全檢查和訪問(wèn)控制，確保不會(huì)有違背系統(tǒng)安全策略的信息流經(jīng)過(guò)邊界。

3.2.3 主機(jī)安全

主機(jī)計(jì)算環(huán)境，即信號(hào)系統(tǒng)的運(yùn)行環(huán)境，包括信號(hào)系統(tǒng)正常運(yùn)行所必須的終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備以及業(yè)務(wù)應(yīng)用系統(tǒng)等。主機(jī)計(jì)算環(huán)境安全是信號(hào)系統(tǒng)安全的根本。主機(jī)安全就是通過(guò)終端、服務(wù)器、操作系統(tǒng)、上層應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)的安全機(jī)制和策略，保障信號(hào)系統(tǒng)業(yè)務(wù)處理過(guò)程的安全。通過(guò)在操作系統(tǒng)核心層和系統(tǒng)層設(shè)置以強(qiáng)制訪問(wèn)控制為主體的系統(tǒng)安全機(jī)制和策略，建立可信、無(wú)隱蔽通道的安全保護(hù)環(huán)境，形成嚴(yán)密的安全保護(hù)環(huán)境，通過(guò)對(duì)用戶行為的控制，可以有效防止非授權(quán)用戶訪問(wèn)和授權(quán)用戶越權(quán)訪問(wèn)，確保信息和信息系統(tǒng)的保密性和完整性，從而為信號(hào)系統(tǒng)的正常運(yùn)行和免遭惡意破壞提供支撐和保障。

3.2.4 應(yīng)用安全和數(shù)據(jù)安全

在應(yīng)用和數(shù)據(jù)安全方面，應(yīng)從身份鑒別、訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制等方面進(jìn)行安全防護(hù)。以軟件自身功能實(shí)現(xiàn)為主，部署使用終端安全防護(hù)、主機(jī)監(jiān)控與審計(jì)為輔，完成達(dá)到信息系統(tǒng)安全等級(jí)保護(hù)三級(jí)的具體要求。同時(shí)，通過(guò)安全防護(hù)技術(shù)和管理體系建立信號(hào)系統(tǒng)數(shù)據(jù)保護(hù)基線，確保數(shù)據(jù)安全的完整性、保密性、可靠性。

3.2 系統(tǒng)安全管理

信號(hào)系統(tǒng)的安全管理是對(duì)信號(hào)系統(tǒng)生命周期全過(guò)程實(shí)施符合安全等級(jí)責(zé)任要求的科學(xué)管理，即從安全管理機(jī)構(gòu)建設(shè)、安全方針和安全管理制度的制定，以及對(duì)資產(chǎn)安全、人員安全、物理和環(huán)境安全、通信和操作安全、系統(tǒng)建設(shè)、信息安全事件、業(yè)務(wù)連續(xù)性等方面建立日常管理規(guī)程，從管理的角度確保信號(hào)系統(tǒng)的安全。該部分工作主要由軌道交通建設(shè)和運(yùn)營(yíng)管理單位結(jié)合軌道交通信息系統(tǒng)特點(diǎn)和信號(hào)系統(tǒng)獨(dú)有的特性具體推進(jìn)和落實(shí)。

3.3 安全運(yùn)維管理

信號(hào)系統(tǒng)的安全運(yùn)維體系是降低信號(hào)系統(tǒng)運(yùn)行風(fēng)險(xiǎn)、確保系統(tǒng)安全穩(wěn)定運(yùn)行的必要保障，即通過(guò)建設(shè)運(yùn)維支撐平臺(tái)為信號(hào)系統(tǒng)的日常運(yùn)行維護(hù)提供技術(shù)支持；通過(guò)確定安全運(yùn)維組織為信號(hào)系統(tǒng)的安全運(yùn)行維護(hù)提供相匹配的組織和人員保障；通過(guò)建立與信號(hào)系統(tǒng)相適應(yīng)的運(yùn)維制度、程序文件、操作規(guī)程為信號(hào)系統(tǒng)的安全運(yùn)行維護(hù)提供規(guī)范保障；通過(guò)進(jìn)行備份與恢復(fù)、定期安全評(píng)估、緊急應(yīng)急響應(yīng)、實(shí)時(shí)安全監(jiān)控以及日常運(yùn)行維護(hù)操作等安全運(yùn)維活動(dòng)為信號(hào)系統(tǒng)安全運(yùn)行提供可靠保障。該部分工作由軌道交通運(yùn)營(yíng)維護(hù)單位在系統(tǒng)廠商配合下完成。

4.結(jié)語(yǔ)

以上等級(jí)保護(hù)策略在尚未開(kāi)建和在建線路上實(shí)施相對(duì)容易，但是，如果要在已開(kāi)通運(yùn)營(yíng)的既有線路上實(shí)施上述策略則還應(yīng)充分考慮以下幾點(diǎn)：

（1）目前國(guó)內(nèi)鮮有相應(yīng)成功案例可供參考，方案實(shí)施存在一定的風(fēng)險(xiǎn)性；

（2）根據(jù)實(shí)際情況對(duì)既有系統(tǒng)方案進(jìn)行重新設(shè)計(jì)，且設(shè)計(jì)、安裝、調(diào)試等整體耗時(shí)相對(duì)較長(zhǎng)；

（3）所有現(xiàn)場(chǎng)安裝和調(diào)試工作只能在夜間非運(yùn)營(yíng)時(shí)段進(jìn)行，且須在次日運(yùn)營(yíng)開(kāi)始前退回原系統(tǒng)方案（包括軟件、硬件及其接口等）并完成相應(yīng)測(cè)試和驗(yàn)證，直至所有安裝和調(diào)試工作完成；

（4）信號(hào)系統(tǒng)接口較多，安裝和調(diào)試過(guò)程中，新老接口頻繁倒接、數(shù)據(jù)更新等可能導(dǎo)致PIS、PA等外部系統(tǒng)不可用；

（5）現(xiàn)場(chǎng)安裝和調(diào)試過(guò)程中，系統(tǒng)軟件、硬件需要在新舊版本之間來(lái)回更換，須加強(qiáng)版本管理和過(guò)程控制，否則極易影響次日正常運(yùn)營(yíng)。

參考文獻(xiàn)：

[1] 劉建.城市軌道交通信號(hào)系統(tǒng)信息安全設(shè)計(jì)方案[J].鐵道通信信號(hào),2017(5):85.

[2] GB/T 22239-2008.信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].

[3] GB/T 25058-2010.信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南[S].