陸人杰

摘 ? 要：隨著互聯(lián)網(wǎng)的飛速發(fā)展，多種網(wǎng)絡(luò)的互聯(lián)互通容易產(chǎn)生網(wǎng)絡(luò)安全威脅問(wèn)題，網(wǎng)絡(luò)與信息安全問(wèn)題在各個(gè)領(lǐng)域都備受重視，在軌道交通信號(hào)系統(tǒng)中也不例外。針對(duì)現(xiàn)階段軌道交通工作人員對(duì)日常工作運(yùn)維較熟悉而對(duì)網(wǎng)絡(luò)信息安全認(rèn)識(shí)不足的問(wèn)題，本文描述了信息安全技術(shù)的種類(lèi)以及信息安全技術(shù)在GSM-R和TDCS中的應(yīng)用，并提出相關(guān)信息安全管理措施的意見(jiàn)，以期增強(qiáng)鐵路職工對(duì)網(wǎng)絡(luò)信息安全的認(rèn)識(shí)。

關(guān)鍵詞：軌道交通信號(hào)系統(tǒng) ?信息安全技術(shù) ?TDCS ?GSM-R

中圖分類(lèi)號(hào)：TP393 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A ? ? ? ? ? ? ? ? ? ? ? ?文章編號(hào)：1674-098X（2020）06（a）-0140-02

當(dāng)前，各項(xiàng)完備的技術(shù)體系支撐了我國(guó)軌道交通大發(fā)展，信號(hào)系統(tǒng)作為支撐軌道交通運(yùn)營(yíng)控制的神經(jīng)中樞，其基本的運(yùn)行維護(hù)規(guī)律已然有章可循，但在軌道交通網(wǎng)絡(luò)與信息安全的研究方面，仍是一個(gè)較新的難題。所謂信息安全，指的是信息網(wǎng)絡(luò)的軟硬件及其系統(tǒng)中的數(shù)據(jù)不因故被破壞或泄露，信息能服務(wù)持續(xù)，系統(tǒng)能正?？煽窟\(yùn)行[1]。

忽視信息安全問(wèn)題，會(huì)對(duì)軌道交通安全運(yùn)營(yíng)造成很大的影響。例如，2009年某鐵路局中心網(wǎng)絡(luò)爆發(fā)W32.Downadup病毒，導(dǎo)致調(diào)度臺(tái)之間的數(shù)據(jù)共享調(diào)取失敗，TDCS/CTC程序不能正常運(yùn)行，嚴(yán)重影響行車(chē)調(diào)度2h[2]。因此，必須重視軌道交通信號(hào)系統(tǒng)中信息安全技術(shù)的運(yùn)用。

1 ?信息安全技術(shù)的種類(lèi)

1.1 加密技術(shù)

實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要手段之一是使用加密技術(shù)，通常用不同的加密技術(shù)在網(wǎng)絡(luò)中的不同層次完成用戶不同的安全需求。加密技術(shù)指通過(guò)以密鑰為參數(shù)的加密函數(shù)對(duì)需要加密的報(bào)文實(shí)施變換，變成毫無(wú)閱讀價(jià)值的密文后，接收方通過(guò)解密密鑰和解密函數(shù)將密文還原成明文[3]。如圖1為加密技術(shù)的基本步驟。加密技術(shù)不僅用于保證信息的準(zhǔn)確性，還能提高數(shù)據(jù)的保密性，防止信息泄露[4]。

1.2 防火墻技術(shù)

防火墻是一種能阻止或允許業(yè)務(wù)來(lái)往的網(wǎng)絡(luò)通信安全機(jī)制，保護(hù)網(wǎng)絡(luò)，避免遭受侵?jǐn)_[5]。如圖2所示，為防火墻在網(wǎng)絡(luò)中的位置，好比一個(gè)安全門(mén)，為門(mén)內(nèi)的部門(mén)提供安全。防火墻被當(dāng)作位于兩個(gè)網(wǎng)絡(luò)之間的防護(hù)欄，根據(jù)安全計(jì)劃策略來(lái)保障其后面的網(wǎng)絡(luò)安全。

2 ?信息安全技術(shù)應(yīng)用

2.1 GSM-R中的安全技術(shù)

GSM-R通信系統(tǒng)是我國(guó)高速鐵路列車(chē)的移動(dòng)通信系統(tǒng)。GSM-R系統(tǒng)擁有鑒權(quán)加密等一系列措施，使非法用戶不能接入GSM-R網(wǎng)絡(luò)。為確保數(shù)據(jù)可靠安全，將安全協(xié)議添至列控?cái)?shù)據(jù)傳輸協(xié)議中，安全功能包含了安全連接的建立、數(shù)據(jù)傳輸以及連接釋放等。GSM-R中的安全層如圖3所示。

（1）建立安全連接：為阻斷與非法用戶的連接，安全層得到建立連接的請(qǐng)求后，通過(guò)“對(duì)等實(shí)體認(rèn)證”過(guò)程，驗(yàn)證對(duì)等實(shí)體的身份是否合法。（2）安全數(shù)據(jù)傳輸：安全層通過(guò)“消息來(lái)源認(rèn)證”，保證用戶數(shù)據(jù)的完整性。通過(guò)該認(rèn)證，既要保證消息來(lái)源于它的對(duì)等實(shí)體，同時(shí)還要注意因遭受攻擊或傳輸信道上的隨機(jī)錯(cuò)誤而導(dǎo)致信息不完整的風(fēng)險(xiǎn)。（3）釋放安全連接：安全層能在任意時(shí)刻釋放安全連接，而且無(wú)需建立和安全連接同樣的特殊防護(hù)[6]。

2.2 TDCS中的網(wǎng)絡(luò)安全

列車(chē)調(diào)度指揮系統(tǒng)覆蓋全路，是鐵路正常生產(chǎn)組織和調(diào)度指揮的核心[7]。其危險(xiǎn)源因素主要體現(xiàn)在如下兩方面：（1）很多系統(tǒng)測(cè)試、維護(hù)和修改工作需在建立和使用TDCS的過(guò)程中進(jìn)行。由于工作人員有時(shí)會(huì)誤接設(shè)備或違章使用，系統(tǒng)易受網(wǎng)絡(luò)病毒影響而隨之癱瘓，從而危及行車(chē)調(diào)度指揮的安全。（2）TDCS網(wǎng)絡(luò)系統(tǒng)雖然處在一個(gè)相對(duì)封閉的專用網(wǎng)絡(luò)結(jié)構(gòu)中，但其技術(shù)實(shí)現(xiàn)的基礎(chǔ)卻是面向所有網(wǎng)絡(luò)用戶的，資源均可通過(guò)網(wǎng)絡(luò)得到共享。

在綜合考慮TDCS潛在的風(fēng)險(xiǎn)源因素后，調(diào)度中心、部中心間、車(chē)站之間，應(yīng)采用防火墻和入侵檢測(cè)系統(tǒng)，并且動(dòng)態(tài)身份認(rèn)證和漏洞評(píng)估子系統(tǒng)應(yīng)添加于系統(tǒng)中。要求既能實(shí)現(xiàn)對(duì)整個(gè)系統(tǒng)的權(quán)限和資源訪問(wèn)控制，又能起到病毒入侵檢測(cè)、防范等安全防護(hù)的作用。鐵路局TDCS中心網(wǎng)絡(luò)的安全防護(hù)方案的設(shè)計(jì)如圖4所示。

3 ?信息安全技術(shù)管理措施

（1）在人員方面，許多事故致因都來(lái)源于內(nèi)部工作人員，因此對(duì)于關(guān)鍵崗位必須建立嚴(yán)格的人員安全審查制度，人員的安全審查應(yīng)從法律意識(shí)、安全意識(shí)、安全技能等方面進(jìn)行。（2）在設(shè)備方面，各單位管理部門(mén)需整合和利用現(xiàn)有的計(jì)算機(jī)資源監(jiān)控系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志等監(jiān)控資源，加強(qiáng)對(duì)網(wǎng)絡(luò)、關(guān)鍵計(jì)算機(jī)系統(tǒng)等設(shè)施的安全運(yùn)行監(jiān)測(cè)。（3）在應(yīng)急措施方面，完善的應(yīng)急機(jī)制應(yīng)由各級(jí)軌道交通信號(hào)設(shè)備維護(hù)管理單位安排建立，并定期開(kāi)展人員培訓(xùn)，組織進(jìn)行應(yīng)急演練。（4）在安全評(píng)估方面，各單位管轄部門(mén)應(yīng)及時(shí)對(duì)本單位或轄內(nèi)信息系統(tǒng)進(jìn)行安全評(píng)估，且安全評(píng)估必須在不影響信息系統(tǒng)正常運(yùn)行的情況下進(jìn)行。（5）在管理制度方面，應(yīng)根據(jù)本單位的實(shí)際情況，編制出完整、全面的和有層次性的信息安全管理制度和規(guī)范。例如，建立嚴(yán)格的信息設(shè)備機(jī)房管理制度，進(jìn)入主機(jī)房時(shí)至少應(yīng)有二人在場(chǎng)，并登記“機(jī)房出入管理登記簿”，相關(guān)人員記錄好人員出入機(jī)房時(shí)間和具體操作內(nèi)容等。

4 ?結(jié)語(yǔ)

（1）本文描述了信息安全技術(shù)的主要兩種方式，以及信息安全技術(shù)在維護(hù)TDCS網(wǎng)絡(luò)安全和GSM-R系統(tǒng)中的應(yīng)用。信息安全技術(shù)是一個(gè)綜合信息傳送、信息使用和傳播等多方面的技術(shù)。（2）從管理制度、安全評(píng)估、應(yīng)急措施、設(shè)備、人員5個(gè)方面提出信息安全技術(shù)管理措施，通過(guò)科學(xué)有效的管理手段達(dá)到提升安全的目的，是保障我國(guó)軌道交通信號(hào)系統(tǒng)網(wǎng)絡(luò)安全的重要手段之一。

參考文獻(xiàn)

[1] 張寶全，黃祖源，周楓.智能電網(wǎng)信息安全威脅分析及防御研究[J].軟件導(dǎo)刊，2018，17（2）：189-191，194.

[2] 閆連山，陳建譯.鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)與信息安全[M].北京：中國(guó)鐵道出版社，2016.

[3] 王同軍.入侵檢測(cè)系統(tǒng)中模式匹配與協(xié)議分析的方法研究[D].鄭州大學(xué)，2019.

[4] 魏小霞.性能測(cè)試海量數(shù)據(jù)持續(xù)生成的解決辦法[J].科技信息，2018（18）：271-272.

[5] 張亞峰.IPv6網(wǎng)絡(luò)技術(shù)及安全隱患研究[J].湖北農(nóng)機(jī)化，2017（6）：46-47.

[6] 于宏博，鐘章隊(duì).ETCS中安全通信的研究與探討[J].鐵道通信信號(hào)，2005（1）：30-33.

[7] 王素倩.淺析TDCS與鐵路信息化的關(guān)系[J].科技創(chuàng)新導(dǎo)報(bào)，2018（16）：54.