城市軌道交通信號系統(tǒng)從2015年前后陸續(xù)開始在新建線路中按照信息系統(tǒng)安全等級保護（暫定3級）的要求推進相應等級保護工作，并在正式運營前通過等級保護測評。2017年《網(wǎng)絡安全法》頒布實施后，國內(nèi)城市軌道交通領域又迅速將目光轉向既有線信號系統(tǒng)信息安全等級保護，并進行了廣泛的分析和探討。本文結合當前國內(nèi)城市軌道交通線路建設和運營的實際情況，對軌道交通信號系統(tǒng)信息安全等級保護策略進行分析和探討。

1.系統(tǒng)概述

城市軌道交通信號系統(tǒng)是保證列車運行安全，控制列車運營間隔，提高列車運行效率的先進控制系統(tǒng)，一般由列車自動控制系統(tǒng)（ATC）、計算機聯(lián)鎖系統(tǒng)（CI）、數(shù)據(jù)通信系統(tǒng)（DCS）以及外圍信號設備組成。

信號系統(tǒng)的網(wǎng)絡由有線網(wǎng)絡、無線網(wǎng)絡兩部分組成。有線網(wǎng)絡部分包括骨干網(wǎng)和接入網(wǎng)，骨干網(wǎng)主要由工業(yè)以太網(wǎng)交換機組成，接入網(wǎng)主要由交換機和光電轉換器組成；無線網(wǎng)絡部分包括軌旁無線網(wǎng)絡和車載無線網(wǎng)絡，軌旁無線網(wǎng)絡由軌旁無線接入點AP、功分器及定向天線等組成，車載無線網(wǎng)絡主要由車載調(diào)制解調(diào)器及天線組成。

2. 信息安全現(xiàn)狀分析

對于城市軌道交通信號系統(tǒng)來說，其所面臨的信息安全威脅，主要集中在以下幾個方面：

（1）外部黑客攻擊：通信、信號、綜合監(jiān)控、AFC等軌道交通系統(tǒng)大多都是關系民生的重要工業(yè)控制系統(tǒng)，極容易成為黑客攻擊的目標。其中，信號系統(tǒng)更是直接關系列車運行安全的工業(yè)控制系統(tǒng)。雖然它一般不直接與互聯(lián)網(wǎng)相連，但其擁有網(wǎng)絡形式的外部接口，并與綜合監(jiān)控、通信等外部系統(tǒng)之間進行數(shù)據(jù)交換，存在被黑客攻擊的可能，并且一旦成功就可能引發(fā)極為惡劣的社會影響。

（2）來自內(nèi)部員工的威脅：與信號系統(tǒng)有直接接觸的內(nèi)部人員包括控制中心調(diào)度員、車站值班員、車輛段/場調(diào)度員、計劃管理員、維護管理員、司機等。由于信號系統(tǒng)通常缺乏嚴格的網(wǎng)絡準入和控制機制，內(nèi)部通訊時身份鑒別和認證機制不夠嚴密，同時也缺乏對系統(tǒng)最高權限的限制，這使得內(nèi)部人員有意識的惡意行為成為系統(tǒng)重大的信息安全威脅。此外，在系統(tǒng)運行過程中，通常存在多個用戶操作同一臺設備的情況，加上事后有效追查工具的缺乏，也讓責任劃分和威脅追蹤變得更加困難。

（3）來自外部單位人員的威脅：軌道交通建設過程中，信號系統(tǒng)設備一般由施工單位和設備廠家分別完成其安裝和調(diào)試；軌道交通運營過程中，運營單位可能將部分非核心維保業(yè)務外包給第三方。如何有效地管控施工單位、設備廠商和第三方運維人員的操作行為，并進行嚴格的審計，這也是信號系統(tǒng)必須面對的一個關鍵問題。

（4）惡意代碼的廣泛傳播：以病毒為代表的惡意代碼，可通過移動存儲設備、外來運維的電腦、無線系統(tǒng)等進入信號系統(tǒng)，當病毒侵入網(wǎng)絡后，自動收集有用信息，如關鍵業(yè)務指令、網(wǎng)絡中傳輸?shù)拿魑目诹畹?，或是探測網(wǎng)內(nèi)計算機的漏洞，向網(wǎng)內(nèi)計算機傳播。這也是當前影響信號系統(tǒng)網(wǎng)絡安全的主要因素之一。

3. 等級保護策略

基于信號系統(tǒng)的特殊性，信號系統(tǒng)等級保護整體方案應保持信號系統(tǒng)既有功能和架構不受影響，采用的技術手段要考慮實施的可行性，并兼顧軌道交通建設、運營、維護等各方的需求，在增加安全防護措施的同時盡量減少新增故障點的可能。

此外，信息安全問題從來都不是單純的技術問題。如果把防范黑客入侵和病毒感染簡單理解為信息安全問題的全部，這也是片面且不準確的。因此，信號系統(tǒng)等級保護整體方案必須把技術措施和管理措施結合起來，這樣才能更有效地保障和提升系統(tǒng)的整體安全性。

3.1 安全域劃分

安全域的劃分應以業(yè)務角度為主，輔以安全角度，并充分參照信號系統(tǒng)現(xiàn)有網(wǎng)絡結構和管理現(xiàn)狀。由于信號系統(tǒng)是單獨的業(yè)務系統(tǒng)，因此，首先就要將整個信號系統(tǒng)作為一個安全域，從結構上與綜合監(jiān)控系統(tǒng)、時鐘系統(tǒng)等外部系統(tǒng)劃分為不同的安全區(qū)域。

3.2 技術防護策略

從信息安全等級保護技術要求來講，一個信息系統(tǒng)的安全由物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全與備份恢復五個方面組成。

3.2.1 物理安全

信號系統(tǒng)的物理安全涉及到整個系統(tǒng)的配套部件、設備和設施的安全性能、所處環(huán)境安全以及整個系統(tǒng)可靠運行等方面，是系統(tǒng)安全運行的基本保障。信號系統(tǒng)的實際建設和運行過程中，物理安全方面對系統(tǒng)設備的電磁兼容、電磁屏蔽及接地等方面的要求已經(jīng)有成熟的解決方案；同時，機房其他相關要求則由機房管理來覆蓋。

3.2.2 網(wǎng)絡安全

數(shù)據(jù)通信網(wǎng)絡是信號系統(tǒng)進行信息交互的通道，通信網(wǎng)絡安全設計通過對通信雙方進行可信鑒別驗證，建立安全通道，對通信數(shù)據(jù)包的保密性和完整性實施保護，確保其在傳輸過程中不會被非授權竊聽、篡改和破壞，使得數(shù)據(jù)在傳輸過程中的安全得到保障。在區(qū)域邊界對進入和流出應用環(huán)境的信息流進行安全檢查和訪問控制，確保不會有違背系統(tǒng)安全策略的信息流經(jīng)過邊界。

3.2.3 主機安全

主機計算環(huán)境，即信號系統(tǒng)的運行環(huán)境，包括信號系統(tǒng)正常運行所必須的終端、服務器、網(wǎng)絡設備以及業(yè)務應用系統(tǒng)等。主機計算環(huán)境安全是信號系統(tǒng)安全的根本。主機安全就是通過終端、服務器、操作系統(tǒng)、上層應用系統(tǒng)和數(shù)據(jù)庫的安全機制和策略，保障信號系統(tǒng)業(yè)務處理過程的安全。通過在操作系統(tǒng)核心層和系統(tǒng)層設置以強制訪問控制為主體的系統(tǒng)安全機制和策略，建立可信、無隱蔽通道的安全保護環(huán)境，形成嚴密的安全保護環(huán)境，通過對用戶行為的控制，可以有效防止非授權用戶訪問和授權用戶越權訪問，確保信息和信息系統(tǒng)的保密性和完整性，從而為信號系統(tǒng)的正常運行和免遭惡意破壞提供支撐和保障。

3.2.4 應用安全和數(shù)據(jù)安全

在應用和數(shù)據(jù)安全方面，應從身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等方面進行安全防護。以軟件自身功能實現(xiàn)為主，部署使用終端安全防護、主機監(jiān)控與審計為輔，完成達到信息系統(tǒng)安全等級保護三級的具體要求。同時，通過安全防護技術和管理體系建立信號系統(tǒng)數(shù)據(jù)保護基線，確保數(shù)據(jù)安全的完整性、保密性、可靠性。

3.2 系統(tǒng)安全管理

信號系統(tǒng)的安全管理是對信號系統(tǒng)生命周期全過程實施符合安全等級責任要求的科學管理，即從安全管理機構建設、安全方針和安全管理制度的制定，以及對資產(chǎn)安全、人員安全、物理和環(huán)境安全、通信和操作安全、系統(tǒng)建設、信息安全事件、業(yè)務連續(xù)性等方面建立日常管理規(guī)程，從管理的角度確保信號系統(tǒng)的安全。該部分工作主要由軌道交通建設和運營管理單位結合軌道交通信息系統(tǒng)特點和信號系統(tǒng)獨有的特性具體推進和落實。

3.3 安全運維管理

信號系統(tǒng)的安全運維體系是降低信號系統(tǒng)運行風險、確保系統(tǒng)安全穩(wěn)定運行的必要保障，即通過建設運維支撐平臺為信號系統(tǒng)的日常運行維護提供技術支持；通過確定安全運維組織為信號系統(tǒng)的安全運行維護提供相匹配的組織和人員保障；通過建立與信號系統(tǒng)相適應的運維制度、程序文件、操作規(guī)程為信號系統(tǒng)的安全運行維護提供規(guī)范保障；通過進行備份與恢復、定期安全評估、緊急應急響應、實時安全監(jiān)控以及日常運行維護操作等安全運維活動為信號系統(tǒng)安全運行提供可靠保障。該部分工作由軌道交通運營維護單位在系統(tǒng)廠商配合下完成。

4.結語

以上等級保護策略在尚未開建和在建線路上實施相對容易，但是，如果要在已開通運營的既有線路上實施上述策略則還應充分考慮以下幾點：

（1）目前國內(nèi)鮮有相應成功案例可供參考，方案實施存在一定的風險性；

（2）根據(jù)實際情況對既有系統(tǒng)方案進行重新設計，且設計、安裝、調(diào)試等整體耗時相對較長；

（3）所有現(xiàn)場安裝和調(diào)試工作只能在夜間非運營時段進行，且須在次日運營開始前退回原系統(tǒng)方案（包括軟件、硬件及其接口等）并完成相應測試和驗證，直至所有安裝和調(diào)試工作完成；

（4）信號系統(tǒng)接口較多，安裝和調(diào)試過程中，新老接口頻繁倒接、數(shù)據(jù)更新等可能導致PIS、PA等外部系統(tǒng)不可用；

（5）現(xiàn)場安裝和調(diào)試過程中，系統(tǒng)軟件、硬件需要在新舊版本之間來回更換，須加強版本管理和過程控制，否則極易影響次日正常運營。

參考文獻：

[1] 劉建.城市軌道交通信號系統(tǒng)信息安全設計方案[J].鐵道通信信號,2017(5):85.

[2] GB/T 22239-2008.信息安全技術信息系統(tǒng)安全等級保護基本要求[S].

[3] GB/T 25058-2010.信息安全技術信息系統(tǒng)安全等級保護實施指南[S].