地鐵綜合監控系統的權限控制策略方案應用研究

蔡一磊，李佑文，褚紅健

(南京國電南自軌道交通工程有限公司，江蘇 南京 210032)

0 引言

地鐵線路綜合監控系統集成與互聯了線路中多個子系統，在一套統一人機界面(Human Machine Interface，HMI)上共享信息和監控，并實現系統間的聯動，在大大提高地鐵運營工作效率的同時也帶來了巨大的安全隱患。ISCS系統的用戶管理與權限分配可以歸納為如何將操作權限合理地分配給不同職責的受安全機制保護的用戶，并可動態變更權限范圍以適應不同應用場景。安全的核心對象是操作權限與用戶，以及為了實現完整的安全管理功能而衍生于核心對象之上的概念與對象，如安全等級、用戶組、互斥操作、權限移交等[1-2]。

1 系統安全管理機制

DSC-9000+系統的安全管理機制從過程角度可以分為配置與執行。配置過程即是安全管理策略定義的過程。系統的安全管理策略可通過用戶、權限、責任區、安全等級、會話，以及這些對象之間的聯系來定義。系統的安全管理模塊負責讀取這些信息，再按預定的流程執行完成系統的安全管理功能。

1.1 權限控制策略定義

在DSC-9000+系統中，安全相關的多個對象類型相互關聯從而形成了完整的安全策略結構鏈。構成完整權限策略的核心對象類型包括用戶、安全等級、權限、責任區，以及操作對象類型。

DSC-9000+系統中權限僅是一個標志。在執行操作前，系統安全模塊驗證用戶當前是否擁有請求執行操作的權限。每種操作均關聯一個或多個權限，用戶可以在自定義操作的同時，將操作關聯到一個或多個權限對象。系統中的權限可由用戶定義，但預置了一些系統固有操作關聯的權限對象，完整的ISCS功能所需權限包括瀏覽、遙控、人工置數、數據庫配置、確認報警、靜音等。

系統中的安全等級可理解為授權體系中的角色。一個安全等級對象通過權限列表屬性擁有一個或多個權限，不同安全等級之間以級別屬性來區別其等級高低。擁有高級別安全等級的用戶自動擁有小于級別的所有安全等級。需要指出的是，系統支持配置任一會話中可使用的最高安全等級，此功能可對用戶在特定會話上的權限進行限制，以便設定那些具有專用功能的工作站。系統中以角色方式分配權限，即系統中的權限不是直接分配到操作員，而是先分配到若干個角色，再將角色分配到操作員。系統中的操作角色相對固定，而操作員變化相對頻繁，這種方式通過降低權限與操作員之間的耦合度，將操作員變化時需對系統所做的修改降到最少，增強了系統的適應性。

責任區從邏輯區域上對操作權限進行了劃分，它實現了權限管理中用戶組的功能。與權限一樣，責任區對象也僅僅是一個標志。如果執行系統中某項操作需要特定責任區，而系統安全模塊在驗證后發現當前用戶不具備該責任區，則拒絕其請求。用戶被賦于安全等級與責任區，系統安全模塊通過密碼或其他方式對用戶進行身份驗證，驗證通過后，操作員便可通過登錄的用戶執行操作。

用戶等級劃分之前需要先依據調度人事狀況在系統中創建用戶對象，用戶對象創建完畢，即可為每一個用戶對象分配相應的安全等級。用戶可擁有一個或多個安全等級，在登錄系統后，可自由選擇當前安全等級，此種方式的設定可避免誤操作。

操作根據其執行方式的不同可以分為讀寫操作與會話命令兩種。讀寫操作包括瀏覽、遙控、人工置數等所有修改對象屬性值的操作；會話命令則是指那些運行一段系統命令的操作。

置值操作的操作界面由畫面組態產生，在組態時，可對操作需要關聯的權限與責任區進行配置；會話命令通過會話命令對象的權限鏈接屬性與責任區鏈接屬性進行安全配置。

1.2 執行流程

系統的安全模塊執行一套一致的流程來驗證用戶以及完成授權，操作員在系統中執行某項操作需經過的驗證流程如圖1所示。

圖1 用戶驗證執行流程

操作員需登錄后才可執行操作，請求操作時需執行密碼驗證、權限與責任區驗證，以及執行條件驗證，驗證通過方可執行操作。在上圖所示的步驟中，除登錄時的身份驗證是必需的之外，請求操作時的驗證均為可配置的，也就是可選的。

2 用戶管理與授權方案

2.1 用戶管理

DSC-9000+系統使用操作系統的用戶與密碼功能來管理用戶。系統對用戶密碼進行加密處理，在服務器上的用戶管理文件中。當用戶登錄、注銷、解除畫面鎖定、高級別用戶接替工作時，系統均需要對用戶類型、用戶名、密碼進行選擇、輸入和校驗。操作權限級別可分為三大類：系統管理級、運營操作級和瀏覽級。系統分配給每個級別，每個用戶類一定的權限，這些權限包括操作模式、控制權力、控制范圍等。系統管理員有權進行權限的定義，來管理用戶對象的工作。

2.2 操作互斥

DSC-9000+綜合監控系統采用兩級管理機制，操作互斥包括不同管理級別之間的互斥與同管理級不同用戶之間的互斥。對某一類操作的權限在同一時刻不可被中心級與車站級同時擁有。用戶請求操作后，系統會判斷該用戶所處管理級當前是否擁有該類操作的權限。管理級操作權限可以在管理級之間轉移。如用戶處于不同管理級，其互斥機制參照管理層級操作互斥。對于同管理級的情況，系統提供了會話級的操作互斥，也就是說在同一個管理層級中，同一個操作面板只允許在一個會話中打開。系統允許同一用戶在多個會話中登錄，這種方式雖然極大地方便了管理，但是也破壞了用戶操作互斥，會話級互斥完美地解決了這一問題。

2.3 操作權轉移

綜合監控系統采用兩級調度三級控制機制，根據操作互斥原則，任一類操作權同一時刻不能為多層同時擁有，但是考慮到一些特殊情況，操作權須能夠在各層之間轉移。從管理級別上看，遠方操作又可分為中心級與車站級；從操作方式上看，操作權可分為遠方與就地。

2.3.1 中心級與車站級

在中心級控制方式下，車站級不能對設備進行控制。若車站級需對設備進行控制，須等待中心級將控制權下放到車站級；此時，中心級失去控制權。中心級將控制權下放到車站級后，中心級不能主動收回控制權，須等待車站級將控制權交回后，中心級才能重新獲得控制權。中心和車站之間的權限移交，必須由雙方確認。中心級與車站級權限轉移有兩種方式。

(1)手動請求轉移：在綜合監控系統正常運行的時候，由權限原所在地向目標所在地發起權限移交命令，由目標所在地確認。正常情況下的轉移采用手動請求轉移的方式，當車站操作員轉移控制權限到控制中心時，系統可以根據“指揮權”所在地自動決定轉移可以到哪個地點。操作員觸發“轉移權限”按鈕時，系統自動向操作權目的地轉移權限。當在具有權限的地點發出轉移的請求時，接受地點的HMI上會產生提示性的報警信息。此報警經操作員確認后自動從報警列表中消失，然后點擊“權限轉移”按鈕打開相應的畫面，接受權限。如果操作員沒有先確認報警，但是在超時時間內接受了權限，轉移過程結束后，此提示性報警也會自動消失。

(2)強制轉移：在綜合監控系統運行正常和異常的時候使用，不需要對方確定，但在管理上需要電話人工確認。強制轉移在源所在地和目標所在地都可以發起。原則上，車站不可以強取權限，如果在通訊中斷時，IBP可以完成主要的通風設備控制，則可以取消車站的強制收回功能。ISCS的權限在控制中心與后備控制室之間可以互相“強制收回”權限，以便在緊急情況下(如控制中心的工作站全部斷電等)調度員可以臨時從后備控制室進行權限管理。在車站與控制中心的通訊中斷等情況時，如果權限在控制中心，車站的ISCS操作員需強制收回權限以便臨時管理本站的BAS設備，所以在這種情況下，系統為操作員特別配置了一個特殊的用戶類，當上述事故發生時，操作員可以切換至此特殊的用戶類，且可將權限“強制收回”到車站。

2.3.2 就地控制和遠方控制

現場設備就地控制與遠方控制通過硬件設備設置控制標志，實現控制權互斥。如電力監控系統在牽引降壓混合變電所的控制信號盤面板上設兩個(上、下行接觸軌電動隔離開關各設一個)帶鎖的當地/遠方轉換開關，當開關處于“就地”位置時，由變電所本地控制；當開關處于“遠方”位置時，由ISCS的控制中心電調調度員或車站變電所值班員控制。裝置屏柜上具有遠方/就地控制把手，實現裝置的控制閉鎖。該信號可采集到ISCS系統作為控制閉鎖的條件使用，從而達到安全控制的目的[3]。

3 結語

本文詳細介紹了綜合監控系統的基于權限控制策略的用戶管理方案，用戶管理和權限管理在地鐵各大控制系統中扮演著極其重要的角色，是設備控制和故障查詢定位的重要依據。