張軍濤

摘 要：城市軌道交通的安全運行對國家安全、社會穩(wěn)定有著重大的影響，安全事件的頻繁出現(xiàn)，使得安全問題引起了人們的廣泛關注，急需解決。國家、行業(yè)和建設運營單位應加大這方面的研究，制定新政策、新規(guī)范，加大專項資金投入，解決城市軌道交通安全問題，保障運行安全。

關鍵詞：軌道交通；信號系統(tǒng)；安全問題；對策

1軌道交通信號系統(tǒng)概述

軌道交通信號系統(tǒng)一般是由連鎖裝置和列車自動控制系統(tǒng)（ATC）兩大結構組成。ATC又分為列車自動監(jiān)控系統(tǒng)（ATS）、列車自動防護子系統(tǒng)（ATP）和列車自動運行系統(tǒng)（ATO）三個部分。它們利用信息交換網(wǎng)絡構成閉環(huán)系統(tǒng)的方法，實現(xiàn)地面控制與車上控制相結合、現(xiàn)地控制與中央控制相結合。組成一個列車自動控制系統(tǒng)，包含集行車指揮、運行調(diào)整以及列車駕駛自動化等功能，它是一個安全基礎設備。ATS是ATC的核心功能，是由OCC（控制中心）內(nèi)的設備實現(xiàn)，自動和人工都可以進行監(jiān)督與控制，從而給外部系統(tǒng)提供真實有效的信息。ATP具有列車檢測的功能，可保障列車運行的安全。ATO利用分析地面情況來進行控制，不管列車加速還是減速，都能保證舒適、節(jié)能。這三個系統(tǒng)相互作用才能提高列車的安全運行，各式各樣的科技化產(chǎn)物造就了軌道交通系統(tǒng)，具有成本低、效率高的特點?？傮w來說，速度提高、效率變快、安全性更有保障。

2軌道交通脆弱性分析

2.1平臺脆弱性

平臺脆弱性包括平臺硬件脆弱性、平臺軟件脆弱性和平臺配置漏洞。其中，平臺硬件脆弱性是指硬件設備由國外提供，有惡意植入問題。平臺軟件脆弱性主要有運維依賴國外，軟件惡意后門，為了滿足遠程數(shù)據(jù)調(diào)試、信息收集的常規(guī)技術后門3個方面。平臺配置問題包括訪問控制策略不合理、口令策略不恰當、補丁更新不及時、使用默認配置、開啟不必要的服務、未安裝惡意防護軟件和更新不及時等。

2.2網(wǎng)絡的脆弱性

網(wǎng)絡的脆弱性主要體現(xiàn)在以下幾個方面。

a）信號系統(tǒng)網(wǎng)絡架構不合理，未劃分安全域。生產(chǎn)系統(tǒng)所處網(wǎng)絡未劃分安全域，缺乏安全隔離和防護設備。例如：各種生產(chǎn)系統(tǒng)之間僅通過VLAN的劃分形式，未采用防火墻等安全設備進行邏輯隔離。一旦某臺終端違規(guī)外聯(lián)、感染病毒，或者發(fā)起網(wǎng)絡攻擊，將會造成網(wǎng)絡大面積服務中斷，并且無法快速地定位攻擊源和感染源，從而引起地鐵長時間無法正常運營。

b）網(wǎng)絡傳輸采用標準協(xié)議，對數(shù)據(jù)、用戶和設備的驗證不充分。在系統(tǒng)設計初期，缺少網(wǎng)絡安全防護設計，大量使用明碼傳輸，極易被破譯和偽造。雖然目前安全意識已提高，但仍存在客戶端與接入點之間的驗證不充分、數(shù)據(jù)保護不夠等問題。2012年4月對某市地鐵10號線的掃描檢測發(fā)現(xiàn)，軌旁AP隱蔽性差，安全性低，例如：廣播SSID未采用任何加密機制和任何接入認證機制，對接入終端未做限制，攻擊者可通過利用這些安全性較低的AP，直接接入到無線網(wǎng)絡中，對其進行惡意攻擊；而對某市地鐵4號線的檢測發(fā)現(xiàn)，其機車駕駛室車頂信號AP使用了WEP的加密方式，該加密方式極易被破解。攻擊者可利用破解后的WEP密鑰接入到無線系統(tǒng)中，對4號線機車正常運營構成嚴重的安全威脅。

c）無線通信易被物理干擾。CBTC模式下的軌旁AP信標及點式固定閉塞模式下的LEU應答器在與列車通信時均采用開放的無線通訊方式，所以傳輸?shù)男盘柡苋菀妆桓蓴_。假如遭到干擾就會導致ATP軌旁系統(tǒng)無法獲得列車傳遞的信息，ATP系統(tǒng)將無法正常工作，最終影響地鐵正常運營。

d）工業(yè)領域的通信設備為非自主可控產(chǎn)品。工業(yè)領域的交換機、路由器多數(shù)為國外品牌，存在較大的安全隱患。此外，持續(xù)外包國外服務的可靠性、安全性也難以保證。

2.3管理脆弱性

管理脆弱性主要體現(xiàn)在以下幾個方面。

a）安全政策規(guī)范欠缺，安全意識薄弱。城市軌道交通領域安全管理有待提高。通過訪談了解到，大部分地鐵在信息安全管理方面，體系架構尚未考慮信息安全問題，同時也缺乏從設計、開發(fā)、運營和維護等各個環(huán)節(jié)的信息安全規(guī)范準則。員工對安全的理解還主要停留在傳統(tǒng)的行車安全方面，針對信息安全風險防范、安全意識等方面有待進一步地加強。

b）生產(chǎn)系統(tǒng)服務器未及時更新升級補丁。部分服務器已發(fā)現(xiàn)存在遠程認證繞過、緩沖區(qū)溢出和conficker蠕蟲等高危漏洞，沒有及時更新，存在惡意人員利用這些已有的高危漏洞訪問、甚至破壞系統(tǒng)的危險。

c）生產(chǎn)系統(tǒng)終端管理不完善。部分終端未安裝殺毒軟件或者未及時升級，未對USB接口進行封鎖，發(fā)現(xiàn)USB違規(guī)使用的痕跡。若USB設備帶入病毒，則可能大面積感染整個系統(tǒng)設備，導致整個系統(tǒng)無法正常運營。其次，還存在終端安裝了非正常工作需要的軟件，用戶名和口令張貼于顯示器等問題。

3軌道交通信息安全對策建議

3.1采用故障樹分析法對故障進行分析

故障樹分析法是分析系統(tǒng)安全性與可靠性最常用的方法，從一個可能的故障開始，由上至下，一步一步尋找導致這一故障發(fā)生的可能原因，直到原因不能夠被分析為止，并將這些事件的邏輯關系以樹形圖的方式表達出來。根據(jù)信號系統(tǒng)的組成將ATP、ATO、ATS和車輛基地信號控制系統(tǒng)作為頂事件；找到引起各子系統(tǒng)發(fā)生故障的直接原因及原因組合；分析所有能夠引發(fā)子系統(tǒng)故障的事件，如果該事件依然能夠被分解，則將其作為下一級的輸出事件；逐級向下、層層分解，直到輸入事件不能再分解或者不必再分解為止；對故障樹進行定性分析，即找出引發(fā)系統(tǒng)故障的所有可能性。在對故障樹進行定量分析過程中，判斷引發(fā)故障的各底事件發(fā)生故障時引發(fā)信號系統(tǒng)故障的概率，即底事件概率重要度，從而找出容易觸發(fā)信號系統(tǒng)故障的原因，作為重點監(jiān)控對象。

3.2利用故障診斷系統(tǒng)進行動態(tài)監(jiān)測

故障診斷系統(tǒng)是一種智能診斷系統(tǒng)。故障診斷系統(tǒng)一般由信號設備故障推理機、數(shù)據(jù)庫、解答機以及圖形顯示等構成。圖形顯示的主要作用是讓該故障診斷系統(tǒng)能夠和外部進行數(shù)據(jù)信息的交換，數(shù)據(jù)庫是用來存放信號設備可能出現(xiàn)的問題的集合，它包含了以往信號設備出現(xiàn)的種種問題。故障推理機能夠利用數(shù)據(jù)庫當中的存有的資料信息，結合現(xiàn)在信號設備的運行現(xiàn)狀，進行故障原因的推理，找到引發(fā)故障的原因。解答機是根據(jù)系統(tǒng)內(nèi)部所具有的數(shù)據(jù)庫資料，用來解答用戶的問題團。故障診斷系統(tǒng)除了能夠完成故障的發(fā)現(xiàn)、故障問題的分析、故障原因分析和提出故障解決方案，它還能夠在故障解決以后對整個信號設備進行監(jiān)測和二次診斷，防止同樣的故障再次發(fā)生。

3.3建立狀態(tài)評價及風險監(jiān)測模型

及時檢測信號設備的運行狀態(tài)，用健康指數(shù)進行表示，用信號設備發(fā)生故障的概率為依據(jù)對健康指數(shù)進行校正，對信號設備未來故障率進行評估和計算，明確信號設備故障的嚴重程度，建構風險監(jiān)測模型。通過對信號設備運行狀態(tài)的評估及時發(fā)現(xiàn)不良情況，并進行風險評定，根據(jù)評定結果確定安全隱患。

結束語

近幾年來安全事件的頻繁發(fā)生，使得城市軌道交通安全問題備受關注，其信息系統(tǒng)所面臨的安全問題也日益突現(xiàn)。依據(jù)城市軌道交通的運行現(xiàn)狀，結合信號系統(tǒng)的特性，對國家基礎設施城市軌道交通信號系統(tǒng)的脆弱性、安全威脅和風險點進行了分析，最后提出了相應的對策建議。

參考文獻：

[1]侯多林.淺析軌道交通信號系統(tǒng)可靠性與安全性[J].城市建設理論研究（電子版），2017（32）：18+28.

[2]劉龍.城市軌道交通信號系統(tǒng)安全的三級等級保護[J].城市軌道交通研究，2017，20（S1）：20-21.