地鐵信號系統信息安全防御技術

摘要：隨著全自動運行系統技術和城市軌道服務器云技術在地鐵工程項目中的應用，地鐵信號系統的內部和外部接口持續增加。作為地鐵工程項目重要組成部分的信號系統，其信息安全防御至關重要。本文通過分析地鐵信號系統的架構，針對存在的安全隱患和防御現狀，提出了地鐵信號系統信息安全的主動和被動防御體系。結合主動和被動防御技術，首先構建了被動防御模型，然后從技術、安全和管理三個層面提出了主動防御模型。通過這一綜合方法，實現了確保地鐵信號系統信息安全的目標。

關鍵詞：地鐵；信號系統；主、被動防御模型

近年來，隨著城市化建設的不斷推進和交通需求的日益增長，地鐵作為城市軌道交通的重要組成部分，正承擔著日益加大的運輸壓力。地鐵信號系統作為地鐵運營中的核心技術之一，直接關系到列車的安全運行和乘客的出行體驗。作為一個復雜的網絡系統，地鐵信號系統涉及眾多關鍵設備和數據，一旦遭受攻擊或發生故障，就可能導致列車運行中斷、安全事故等嚴重后果。因此，加強地鐵信號系統的信息安全防御技術研究對于保障地鐵的安全運營和提升城市交通服務水平具有重要意義。

一、地鐵信號系統相關概述

在通常情況下，地鐵信號系統主要以列車自控系統ATC為主。地鐵信號系統施工是一個涉及多個學科和技術領域的復雜過程，包括安全防護、材料選用、工程管理、地鐵車站運營、控制中心調試，以及列車車載信號設備、通信設備和監視設備等[1]。因此，地鐵信號系統施工需要多個學科和專業的協調合作，以確保整個系統的質量和安全。

二、地鐵信號系統的安裝與調試

ATP系統的施工與其他地鐵信號系統的施工相互關聯，需要與ATO和ATS等子系統進行協調，以確保整個地鐵信號系統的正常運行。在地鐵信號系統的施工過程中，專門的工程師和技術人員負責ATP系統的安裝和調試，并與其他相關人員配合工作。ATO作為地鐵信號系統的核心組成部分，負責列車的自動駕駛，包括自動離站、列車速度調節、列車目標制動以及車門、站臺門的開關等關鍵功能。這些功能的實現不僅提高了地鐵列車的運行效率和安全性，還降低了人為操作可能帶來的誤差和風險。對于ATS系統的功能，在地鐵信號系統的施工過程中需要進行相關的安裝、調試和測試工作，以確保系統的準確性和可靠性。同時，需要培訓相關操作人員，使其能夠熟練地操作ATS系統，確保地鐵運營的安全和順暢。ATS主要位于OCC控制中心，通過網絡與列車通信，并指揮列車安全運行。各個信號集中站也具有一定的ATS功能，輔助中央ATS完成相關功能[2]。

三、地鐵信號系統信息安全狀況

（一）信號系統網絡架構

信號系統在物理位置上包括了OCC控制中心、車輛段、停車場、設備集中站、非設備集中站等場景，具體組成如下：OCC作為地鐵運營的指揮中心，對線路的安全運營起著重要作用，通過集中調度和控制，確保地鐵的運行安全、高效和可靠；車輛段和停車場是列車車輛的集結地，負責日常運營調度，確保列車按既定時間表準時發車、到站；設備集中站是獨立的業務大區，在信號系統中主要功能是供車站值班員控制車站信號設備；非設備集中站同屬于關鍵的業務區，車站的調度監管人員通過非設備集中站調度業務系統可以觀察信號系統的工作狀態，但不能進行指令操作。在地鐵信號系統中，數據通信系統（Data Communication System，簡稱DCS）作為各個子系統的信息傳遞紐帶，其重要性不言而喻。DCS不僅負責將各個子系統互聯互通，還構成了信號系統的網絡架構，包括有線和無線網絡兩部分。地鐵信號系統的網絡架構復雜而精細，其中有線網絡通過光纜連接了中心與車站、車站與車站、信號骨干網、維護支持系統（Maintenance Support System，簡稱MSS）網等關鍵部分。DCS骨干網則通過有線方式將控制中心設備、數據庫、地面聯鎖設備、接入交換機等相互連接，實現了地面與地面、地面與車載之間的通信[3]。

（二）信號系統安全隱患

1.網絡安全方面

（1）需要與外部系統進行互通互聯：地鐵信號系統需要與綜合監控系統、站臺門系統、通信系統等外部系統進行互通互聯，以實現信息共享和協同工作。這種互聯性也增加了系統面臨的潛在安全威脅。（2）信息過濾和控制困難：對進入和離開信號系統內部的信息進行過濾和控制是一個具有挑戰性的問題。由于信號系統內部的信息交互依賴于傳統的通信協議和接口，直接控制應用層協議命令較難實現。（3）底層通信協議和接口限制：信號系統內部的信息流通通常依賴于特定的通信協議和接口，這些協議和接口通常較為底層，難以對應用層協議命令進行過濾和控制。（4）缺乏防御技術手段：地鐵信號系統缺乏有效防止攻擊的技術手段，容易受到病毒和木馬攻擊。（5）面臨非授權設備接入風險：缺乏檢查、定位和阻斷非授權設備接入內部網絡的能力，地鐵信號系統可能面臨機密數據泄露、系統被惡意操控等安全風險。（6）惡意代碼威脅：地鐵信號系統缺乏對惡意代碼的檢測能力，一旦系統被植入惡意代碼，可能導致系統崩潰、數據損壞等嚴重后果，并且攻擊者可能長時間操控系統造成嚴重影響。

2.主機安全方面

（1）缺乏基本的安全功能和審計功能，無法提供有效的安全保障和監控。（2）傳統的預防病毒軟件更新不及時，導致系統容易受到惡意病毒攻擊。（3）無法對重要信息數據進行有效識別，即使檢測到重要數據受到攻擊，也缺乏修復的能力。

（三）信號系統安全現狀

《中華人民共和國計算機信息系統安全保護條例》（國務院147號令）規定地鐵信號系統需按照三級標準執行，這一規定的出臺在一定程度上提高了信號系統的穩定性。然而，現有的信號系統雖然通過設置多重屏障增強了安全性，但仍然存在功能不完整和缺乏主動防御能力的問題。

四、信號系統信息安全主、被動防御體系建模

（一）主、被動防御體系的提出

主動防御體系是針對地鐵信號系統面臨的網絡安全威脅而設計的防御機制。該體系強調在入侵行為對信號系統造成惡劣影響之前，能夠及時精準預警，并實時構建彈性防御體系，以避免、轉移或降低信息系統面臨的風險。主動防御體系旨在尋找并削弱入侵者的能力，或破壞他們的入侵行動。被動防御體系則是在遭受攻擊或發生安全事件后，通過一系列措施來減輕損失、恢復系統，并收集分析攻擊數據以改進未來的防御策略。這種防御體系強調事后處理、數據收集和系統恢復。根據國家相關部門對地鐵信號系統信息安全防御系統安全等級保護的要求，可以建立地鐵信號系統安全的主動防御系統和被動防御系統。

（二）主動防御體系模型

主動防御體系模型是一種綜合性的安全框架，旨在通過預測、防護、檢測和響應等階段來主動應對網絡安全威脅。這種模型強調在安全事件發生之前進行預防，以及在事件發生時快速響應，以最小化安全風險和損失。主動防御體系模型通常包括以下幾個方面的內容：（1）安全策略（Policy）：定義組織的安全目標和要求，為整個防御體系提供指導和方向。（2）防護（Protection）：通過部署安全技術和措施，如防火墻、入侵檢測系統、加密技術等，來阻止潛在的攻擊和惡意行為。（3）檢測（Detection）：利用安全監控和日志分析工具，實時監測網絡流量和系統行為，發現異常和可疑活動，及時觸發警報。通過主動防御體系模型的構建，可以及時發現和應對潛在的安全威脅和攻擊，有助于保護系統和網絡的安全，確保信息的機密性、完整性和可用性。主動防御體系模型的監測對象主要包括主干網、深灰網、淺灰網、交換機，通過對訪問的數據信息包特征的論證和分析，能及時發現可疑病毒并進行阻斷，進一步保證地鐵信號系統信息的安全[4]。

（三）被動防御體系模型

被動防御體系模型主要側重于在攻擊發生后進行應對和恢復。它強調通過收集和分析攻擊數據、恢復受損系統以及改進防御策略來減少未來的風險。被動防御體系模型主要由以下幾個部分組成：（1）事件檢測與識別：依賴安全監控工具和系統日志分析，以檢測異常行為或安全事件。一旦發現潛在的安全事件，系統會觸發警報。（2）事件響應與處置：在安全事件被檢測到后，需要迅速進行響應，包括隔離受影響的系統、收集和分析證據、確定攻擊者的身份和攻擊手段等。同時，需要采取措施阻止攻擊進一步擴散和損害。（3）損害評估與恢復：評估攻擊對系統、數據和業務的影響，確定需要恢復的資源和時間。然后根據災難恢復計劃進行系統和數據的恢復工作。通過被動防御體系模型的實施，可以及時、有序地處理安全事件，減少損失，恢復系統正常運行，同時從中學習提升未來的安全防御。這種模型為地鐵信號系統信息安全提供了重要的支持和保障。

五、地鐵信號系統信息安全主、被動防御體系分析

主動性和立體性是地鐵信號系統信息安全主、被動防御體系的兩個主要優勢。通過建立這兩種體系模型，并明確它們的分工，實現相互合作，共同為地鐵信號系統的安全運行提供保障。地鐵信號系統信息安全被動防御體系與主動防御體系關系對照，具體如表1所示。

（一）信號系統安全域劃分

地鐵信號系統的安全域劃分是為了保障系統的安全性、可靠性和高效性。這種劃分通常基于不同的訪問對象和系統功能，將系統劃分為多個安全區域，通過物理和邏輯隔離限制對關鍵系統和數據的訪問，以防止潛在的安全威脅。一般來說，地鐵信號系統的安全域劃分包括以下主要區域：（1）控制中心區域：這是地鐵信號系統的核心，負責監控和控制整個地鐵網絡的運行。控制中心通常包括中央服務器、監控設備、網絡設備和其他關鍵系統組件，需要具備高度的安全性以防止未經授權的訪問和惡意攻擊。（2）車站區域：包括各個地鐵站的信號設備和系統，負責列車與車站之間的通信和控制。車站區域的安全域劃分旨在確保列車安全和高效運營，同時避免惡意攻擊或破壞。（3）車輛段區域：作為地鐵列車的停放和維修地點，包含列車控制系統、維修設備和相關設施。此區域的安全域劃分旨在確保列車維護和修理的安全，預防未經授權的訪問和惡意攻擊。通過這樣的安全域劃分，地鐵信號系統能夠更好地保障其各個區域的安全性和系統的整體可靠性。

（二）網絡安全域劃分

網絡安全域的劃分是基于網絡安全需求和策略，將網絡劃分為不同的安全區域，以實現對網絡流量的有效管理、控制和監控，提高網絡的安全性和可靠性。一般而言，網絡安全域可劃分為以下幾個方面：（1）核心交換區：作為網絡的核心部分，負責高速數據交換和路由轉發。該區域通常部署高性能的交換機和路由器，并采用高度安全性的配置策略，如訪問控制列表（ACL）、防火墻等，以限制對核心設備的訪問和防范攻擊。（2）服務器區：存儲和處理數據的重要區域，包括數據庫服務器、應用服務器等。該區域需要高度的安全性和可靠性，通常采取嚴格的訪問控制和安全審計措施，如入侵檢測系統（IDS）、漏洞掃描系統等，以保護服務器和數據的安全。（3）用戶接入區：是用戶接入網絡的地方，包括有線和無線接入方式。這一區域需要實現用戶身份驗證、訪問控制和流量管理等功能，以預防未經授權的訪問和惡意攻擊。（4）DMZ區：即隔離區域，通常用于放置公共服務器（如Web服務器、郵件服務器等），接受來自外部網絡的訪問。DMZ區與內部網絡隔離，并采取嚴格的安全策略和訪問控制，以保護內部網絡的安全。通過合理劃分網絡安全域，可以有效保護網絡各個區域的安全性，增強整體網絡的穩定性和安全性。

六、結束語

地鐵信號系統信息安全防御技術對確保地鐵網絡的安全、穩定和高效運行至關重要。隨著信息技術的快速發展和網絡威脅的不斷演變，對地鐵信號系統的信息安全提出了更高的要求。因此，構建全面、有效的信息安全防御體系成為地鐵行業的一項緊迫任務。在構建地鐵信號系統信息安全防御體系時，需要綜合考慮系統的安全性、可靠性和經濟性，并采取主動防御和被動防御相結合的策略。引入先進的技術和措施，如加密技術、入侵檢測與防御系統、安全審計和日志分析、漏洞管理和補丁更新等，可以顯著提高系統的安全性和防護能力。盡管已經采取了一系列保護措施，但地鐵信號系統信息安全防御體系的模型構建仍有待進一步完善。未來需從安全評估、防御利益等角度出發，合理部署地鐵信號系統的安全防御體系，以不斷提升系統的抵御能力和應對能力，確保地鐵網絡運行的安全、穩定和高效。

作者單位：王輝 中鐵通信信號勘測設計院有限公司

參考文獻

[1]張金紅.地鐵信號系統聯鎖故障時的行車安全保障措施[J].工程建設與設計，2017（10）：214-215.

[2]邱成.地鐵信號系統聯鎖故障問題與行車安全保障初探[J].數碼設計：下，2020（1）：260.

[3]楊陽.地鐵信號系統車載故障的影響分析[J].工程建設與設計，2019（18）：100-101.

[4]佟雨鏹.地鐵信號系統信息安全防御技術研究[J].城市周刊，2022（43）：16-18.