城市軌道交通信號系統(tǒng)網(wǎng)絡安全分析

陳登科

（北京全路通信信號研究設計院有限公司，北京 100073）

城市軌道交通作為大容量公共交通工具，其安全性直接關系到廣大乘客的生命安全。作為城市軌道交通運行的神經中樞，信號系統(tǒng)在軌道交通中發(fā)揮著越來越重要的作用。近年來，隨著計算機系統(tǒng)在信號系統(tǒng)中的應用日益廣泛和深入，信號系統(tǒng)朝著網(wǎng)絡化、智能化的方向發(fā)展。如何保證其網(wǎng)絡及信息安全，使其符合安全完整性等級及信息安全等級保護要求，成為城市軌道交通系統(tǒng)迫切需要解決的問題。

1 信息安全

信息安全主要指數(shù)據(jù)和信息在通過計算機網(wǎng)絡存儲、處理、傳輸過程中完整性、保密性和有效性等的安全保證，例如防止信息竊取、信息篡改、冒充發(fā)送信息和發(fā)送者抵賴等。信息安全保障的核心技術是密碼技術，通過密碼技術實現(xiàn)數(shù)據(jù)加密、完整性校驗、數(shù)字簽名和身份確認等。信息安全和系統(tǒng)層安全具有很強的相互依賴關系[1]。

2 安全完整性等級

安全完整性等級是定性的表示安全完整性的離散等級。IEC61508定義了安全完整性等級表格，根據(jù)安全功能的平均要求時失效概率（PFDavg）劃分為4個等級[2-3]，如表1所示。等級4具有最高安全完整性等級，等級1最低，不同的安全完整性等級對系統(tǒng)提出不同的技術要求。安全功能的安全完整性等級確定的太高，要求的技術條件就會很復雜，成本會很高；反之，如果確定的過低，系統(tǒng)安全水平就達不到系統(tǒng)的安全要求。因此，在安全相關系統(tǒng)的設計開發(fā)時，必須為各安全功能確定合適的安全完整性等級。

表1 高要求操作模式的安全完整性等級

對覆蓋面廣、網(wǎng)絡設備復雜、操作系統(tǒng)較多，要求安全可靠不間斷運行的城市軌道交通信號系統(tǒng)網(wǎng)絡來說，網(wǎng)絡安全涉及諸多方面的因素，已經成為網(wǎng)絡建設中需要認真分析、綜合考慮的關鍵問題。要進一步提高城市軌道交通行車的安全系數(shù)和運行效率，應該建立一個完整的綜合網(wǎng)絡安全解決方案，采用網(wǎng)段分離、用戶口令加密存儲與傳輸、分設操作員、增加網(wǎng)絡信息員和密押員等方式，加強網(wǎng)絡安全性。

3 信號系統(tǒng)網(wǎng)絡安全的現(xiàn)狀與解決方案

3.1 網(wǎng)絡安全現(xiàn)狀

近幾年，我國城市軌道交通信號技術裝備進入計算機時代，給信號系統(tǒng)的安全性帶來新的挑戰(zhàn)。城市軌道交通計算機網(wǎng)絡是通過多級局域網(wǎng)絡的互聯(lián)，形成超大規(guī)模的企業(yè)內部網(wǎng)絡。其中大型局域網(wǎng)采用疊加式結構，小型局域網(wǎng)采用平面式結構。從網(wǎng)絡應用和安全方面考慮，城市軌道交通內部計算機網(wǎng)絡邏輯上由3個網(wǎng)絡層次組成：外部訪問服務網(wǎng)、內部服務網(wǎng)和生產網(wǎng)。信號控制系統(tǒng)處于最內部的生產網(wǎng)中，網(wǎng)絡規(guī)模龐大，需要高度的安全性和機密性。然而，現(xiàn)有的TCP/IP協(xié)議并不能很好地保障網(wǎng)絡通信安全，給整個系統(tǒng)帶來了安全隱患[4]。

對于計算機軟件來說，系統(tǒng)安全性的證明非常困難。隨著計算機網(wǎng)絡的日益普及和廣泛使用，各種安全威脅和計算機病毒也隨之而來。而當前，城市軌道交通信號設備網(wǎng)絡管理系統(tǒng)尚無可靠的解決網(wǎng)絡安全管理類方案，不同網(wǎng)絡管理體系的基本結構相同，當發(fā)生故障時，終端站點運行的軟件可以報警，接到報警后，管理實體通過執(zhí)行一個或一組動作迅速做出反應，包括提示操作者、登陸、關閉系統(tǒng)和自動修復系統(tǒng)。管理實體也可輪詢終端點，以驗證某些特定變量的值[5]。

目前，已有和正在進行的關于我國城市軌道交通行業(yè)指揮系統(tǒng)的研究都明確提出建立在計算機網(wǎng)絡、通信網(wǎng)絡和信息網(wǎng)絡之上的智能指揮系統(tǒng)，應具有良好的開放性、擴展性和可維護性。同時，計算機網(wǎng)絡的安全性已引起各級部門的重視。國際和國內相關組織就網(wǎng)絡與信息安全問題已進行大量研究，相關的主要標準包括：ISO17799、ISO15408、ISO15446、ISO13335、ISO7498-2和SSE-CMM。

3.2 網(wǎng)絡安全面臨的威脅

城市軌道交通信號系統(tǒng)網(wǎng)絡由大量開放系統(tǒng)組成，網(wǎng)絡與信息安全問題比較突出。面臨的具體威脅有以下幾個方面。一是操作系統(tǒng)的安全威脅：微機監(jiān)測服務器、站機、終端機都采用Windows操作系統(tǒng)。網(wǎng)絡上針對Windows系統(tǒng)產生的攻擊相對較多，受到破壞的可能性就大。二是應用軟件的安全威脅：設備提供商提供的應用授權版本不可能做到盡善盡美，于是出現(xiàn)各種各樣的后門、漏洞、BUG等。三是直接或間接來自于生產網(wǎng)的安全威脅，這類威脅以病毒和網(wǎng)絡攻擊的方式直接作用于內部網(wǎng)絡。

系統(tǒng)改進的必要性隨著網(wǎng)絡安全攻、防技術的不斷發(fā)展，任何一個網(wǎng)絡管理者或使用者都非常清楚，所有計算機網(wǎng)絡都必然存在著有意或無意攻擊和破壞的風險。對于大多數(shù)網(wǎng)絡黑客來說，都能夠成功地侵入到某個網(wǎng)絡系統(tǒng)中，竊取該系統(tǒng)的內部數(shù)據(jù)，甚至破壞其真實性和完整性。因此，建立完善的網(wǎng)絡安全防護體系，就顯得十分必要了。

3.3 解決方案

現(xiàn)有的系統(tǒng)設計對網(wǎng)絡安全問題分析不足，只是在使用中發(fā)現(xiàn)問題時增加了一些安全措施。現(xiàn)有的網(wǎng)絡安全防護系統(tǒng)，已經不能完全適應新技術與新應用帶來的實際需求。在設計新的網(wǎng)絡安全防護系統(tǒng)時，必須確保數(shù)據(jù)的機密性、完整性、可用性、可控性與可審查性，可以參考并遵循以下原則。

1）體系化設計原則；

2）全局性、均衡性、綜合性設計原則；

3）可行性、可靠性、可審查性原則；

4）分步實施原則：分級管理，分步實施。

由于網(wǎng)絡技術的飛速發(fā)展，傳統(tǒng)的防護技術已經不能適應復雜多變的新型網(wǎng)絡環(huán)境，必須采用安全有效的網(wǎng)絡安全新技術才能防患于未然，提高整個網(wǎng)絡的安全性。可采用的新型網(wǎng)絡安全技術包括以下內容。

1）鏈路負載均衡技術：?鏈路是指兩點之間具有規(guī)定性能的電信設施。鏈路通常以傳輸通道類型或容量來區(qū)分，例如無線電鏈路、同軸鏈路、寬頻帶鏈路。負載均衡建立在現(xiàn)有網(wǎng)絡結構之上，它提供了一種廉價有效透明的方法擴展網(wǎng)絡設備和服務器的帶寬、增加吞吐量、加強網(wǎng)絡數(shù)據(jù)處理能力、提高網(wǎng)絡的靈活性和可用性。

2）IPS入侵防御系統(tǒng)：IPS是一種部署在網(wǎng)關位置的安全設備，利用攻擊技術對網(wǎng)絡數(shù)據(jù)和行為進行深層次檢測，從而更有效地抵御應用層的攻擊。IPS在線部署模式使其可以直接將危險的流量阻擋于所保護的網(wǎng)絡之外。IPS可以部署在防火墻之后，保護關鍵服務器，并保證對外開放服務的安全如Web、DNS等。

3）上網(wǎng)行為管理系統(tǒng)：上網(wǎng)行為管理系統(tǒng)能夠提供全面的互聯(lián)網(wǎng)控制管理，并能實現(xiàn)基于用戶和各種網(wǎng)絡協(xié)議的帶寬控制管理，實時監(jiān)控整個網(wǎng)絡使用情況。

4）網(wǎng)絡帶寬管理系統(tǒng)：對整個網(wǎng)絡狀況進行細致管理，提高網(wǎng)絡使用效率，實現(xiàn)對關鍵人員使用網(wǎng)絡的保障，對關鍵應用性能的保護，對非關鍵應用性能的控制。可根據(jù)業(yè)務需求和應用自身需求進行帶寬分配。

5）防毒墻：傳統(tǒng)的計算機病毒防范是在需要保護的計算機內部建立反病毒系統(tǒng)，隨著網(wǎng)絡病毒的日益嚴重和各種網(wǎng)絡威脅的侵害，需要將病毒在通過服務器后至企業(yè)內部網(wǎng)關之前予以過濾，防毒墻就滿足了這一需求。防毒墻是集成了強大的網(wǎng)絡殺毒機制、網(wǎng)絡層狀態(tài)包過濾、敏感信息的加密傳輸和詳盡靈活的日志審計等多種安全技術于一身的硬件平臺。在毀滅性病毒和蠕蟲病毒進入網(wǎng)絡前進行全面掃描，適用于各種復雜的網(wǎng)絡拓撲環(huán)境。

4 結束語

城市軌道交通信號系統(tǒng)網(wǎng)絡的安全可靠直接關系著城市軌道交通運輸?shù)陌踩P系著城市軌道交通電務部門故障檢測、診斷的準確性。龐大的城市軌道交通信息網(wǎng)絡系統(tǒng)，牽一發(fā)而動全身，所以，一定要強調在整個城市軌道交通信息系統(tǒng)樹立網(wǎng)絡安全意識，制定嚴格的信息安全制定，讓信息技術和產品在實際應用中充分發(fā)揮其作用。隨著網(wǎng)絡安全技術的不斷發(fā)展完善，城市軌道交通信號系統(tǒng)網(wǎng)絡必將克服現(xiàn)有的種種缺陷和不足，最終走向成熟和完善。

[1]劉磊.淺談鐵路網(wǎng)絡與信息安全技術[J].鐵路計算機應用，2005,14（z1）：255-258.

[2] IEC61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems[S].1998.

[3] IEC61511 Functional Safety-Safety Instrumented Systems for the Process Industry Sector[S].2000.

[4]熊劍，孫朝生，李鵬.鐵路信號網(wǎng)絡安全分析[J].哈爾濱鐵道科技，2006：13.

[5]夏平.鐵路信號行車指揮系統(tǒng)計算機網(wǎng)絡安全的探討[J].中國鐵路，2003（10）：36.