徐彥飛

（昆明地鐵運營有限公司，云南 昆明 650000）

隨著城軌應用能力的增強，建立軌道交通指揮與安全管理中心必須要提上日程，只有這樣，才能構建安全感知平臺，從多角度完成安全防護體系的搭建，借此來實現(xiàn)事前防御、事后審計的具體目標，在此基礎上進行全生命周期全方位防護。信息安全等級防護涉及到多項內(nèi)容，對安全防護能力增強以及網(wǎng)絡、信息安全保障幫助較大，可以提升業(yè)務應用的安全性，其應用具有積極意義。

1 整體防護方案設計原則

關于安全等級整體防護的思考需要多角度和全面，整個系統(tǒng)信息安全是首先要考慮的因素，圍繞其打造安全防御體系，在防御體系設計時，要參考業(yè)務應用安全需求，將實際需求作為設計的基礎，在此基礎上，結合國家政策法規(guī)，完成安全防護體系的立體構建。在建設過程中，科學的理念一定要秉持，遵循統(tǒng)一規(guī)劃的原則，注重適度保護，并且強化分布控制集中管理的核心思想，具體設計原則如下：第一，最小影響原則。最小影響原則屬于基本原則，要求在安全防護建設階段要保持系統(tǒng)不變，在原有系統(tǒng)體系的基礎上新增安全防護設備，并且防護設備的新增要以不影響既有系統(tǒng)為前提，要始終保持理想的系統(tǒng)運行效果。第二，符合性原則。整體防護方案的設計與建立要以政策法規(guī)為支撐，遵循行業(yè)管理條例，體現(xiàn)出與行業(yè)發(fā)展較高的匹配度。第三，整體性原則。整體性原則在安全體系的實際建設中不容忽視，屬于基本原則，信息安全的防護能力強弱往往是由最薄弱的環(huán)節(jié)決定的，因此不能孤立，整體性是必須要遵守的，決不能片面地思考相關問題，而應該具備大局觀，應用系統(tǒng)工程的原理和方法來科學評判系統(tǒng)的安全指數(shù)，從而獲得指導性意見，推動安全系統(tǒng)規(guī)劃的順利實施，不斷完善設計方案，將安全系數(shù)提高，為安全系統(tǒng)的搭建創(chuàng)造便利條件[1]。現(xiàn)實應用中，安全系統(tǒng)可以發(fā)揮作用的一項重要原則就是采取統(tǒng)一管理策略，站在整體的角度完成對行為主體和客體的管理，只有這樣，才能保證安全策略的可靠性，避免安全短板存在。與此同時，還要注重劃分管理角色，通常情況下，應實現(xiàn)三權分立（系統(tǒng)、安全、審計），讓三者相互監(jiān)督，這樣一來，可以避免角色權限過大，有利于系統(tǒng)的穩(wěn)定。

2 整體防護方案

針對目前現(xiàn)有的情況，可以將城軌弱電系統(tǒng)保護等級進行統(tǒng)計，具體情況如表1所示。

表1 系統(tǒng)安全等級統(tǒng)計

目前存在的問題主要集中在常規(guī)軌道交通在保護等級建設中，沒有形成統(tǒng)一整體，各系統(tǒng)均處于獨立狀態(tài)，無論是建設，還是后期的維護與運營，都是分開進行的，安全管理中心沒有發(fā)揮作用，缺少合理的態(tài)勢感知平臺，這樣安全等級保護存在弊端。針對上述問題，提出如下改進建議。

2.1 借助結構安全構建的防護方案

作為獨立業(yè)務區(qū)域，在實際應用中信號系統(tǒng)控制中心擁有非常重要的地位，作用舉足輕重，在安全防護中扮演重要的角色，主要負責調度交通，因此可以將信號系統(tǒng)控制中心看作是核心區(qū)域，直接關聯(lián)區(qū)域網(wǎng)關，需要采取重點防護措施，使之形成有效隔離。想要達到理想防護效果，可以借助各類交換機，像比較常見的有ATS、ATC等，以此來提升系統(tǒng)的防御系數(shù)，幫助系統(tǒng)免遭侵襲，如果系統(tǒng)被入侵，則會在第一時間對入侵數(shù)據(jù)進行系統(tǒng)、全面的檢測與分析，在此基礎上完成對系統(tǒng)的監(jiān)護，憑借發(fā)出的警報指令，監(jiān)護人員可以作出準確判斷，采取有效處理措施，避免各種病毒侵襲，防止木馬等形成的傷害。與此同時，采用先進的ATS交換機，可以讓審計系統(tǒng)更加完善，可根據(jù)不同危險信號發(fā)出警報，提高系統(tǒng)運維可靠性[2]。也可以利用防護網(wǎng)關點，幫助維護人員完成對信號系統(tǒng)的審核工作，提高工作效率。

實踐表明，采用一體化防護方案可以達到預期的信息安全防護效果，應用價值較高。一體化防護的核心思想是要設置管理中心，實現(xiàn)集中化管理。在實際應用中，安全管理中心的地位非常凸顯，可以將信號系統(tǒng)等設備資源進行整合，并將資源整合優(yōu)勢合理發(fā)揮，提高管理的效率，大大增強系統(tǒng)安全和穩(wěn)定性能，保障各項功能。另外，要對系統(tǒng)的安全策略以及審計日志等功能統(tǒng)一管理。在此基礎上將整體防護體系打造完成，將信息的集中與融合優(yōu)勢體現(xiàn)出來，以此來強化對安全態(tài)勢的感知能力以及溯源和應急處理能力。為了確保統(tǒng)一安全管理中心可以發(fā)揮出理想的效果，需要設置交換機（三層），供信息安全專用，將安全防護網(wǎng)關和專用交換機連接，實現(xiàn)安全隔離。與此同時，將交換機接入不同的VLAN，這樣既可以保證通信隔離，又可以借助路由的配置獲取系統(tǒng)安全信息，應用效果較為理想。在此基礎上，輔助云計算功能，可以讓城市軌道信息系統(tǒng)運行更加高效、安全，通過一體化防護方案的實施，可以將信息安全等級提升。

圖1 云計算助力下的城市軌道信息系統(tǒng)

2.2 利用持續(xù)性安全構建的防護方案

任何信息系統(tǒng)所采用的安全設備都需要高質量地定期維護，只有這樣，才能保證各項性能良好，因此專業(yè)的維修隊伍必不可少。在現(xiàn)實工作中，維修團隊的核心任務就是采取合理手段確保各種設備性能良好，可以持續(xù)發(fā)揮作用，以此來鞏固系統(tǒng)的安全運行，提升運行效率，這樣就可以及時發(fā)現(xiàn)并排除隱患。為了提升安全性，安全軟件要定期更新，防止各種病毒侵襲，將危害程度降到最低。值得注意的是，如有外界設備終端，應該重視網(wǎng)關安全防護的設置，以此提升系統(tǒng)的運行穩(wěn)定性，并且做好通信網(wǎng)絡安全的防護工作。

除了上述措施外，還要保證主機環(huán)境時刻處于安全的狀態(tài)，也就是信息處理過程的安全性，主機構成相對復雜，包括終端、服務器等，還需要一些網(wǎng)絡設備的輔助，因此主機運行環(huán)境是否安全是一項重要指標，屬于城軌信息安全等級保護的核心內(nèi)容。另外，在實際工作中，還要強調數(shù)據(jù)安全的重要性。數(shù)據(jù)安全涉及較多內(nèi)容，在數(shù)據(jù)安全防護過程中，身份識別、安全審核、通信保密等都是數(shù)據(jù)安全的基礎。想要對數(shù)據(jù)的安全性進行保障，就要發(fā)揮軟件保護功能，在主機環(huán)境安全的配合下，提升安全防護等級。

2.3 利用行為安全搭建的防護方案

實踐證明，在防護體系搭建完成的基礎上，還要做好通信網(wǎng)絡安全工作，確保信息的時效性。研究發(fā)現(xiàn)，通信網(wǎng)絡是實現(xiàn)信息安全等級提升的主要通道，因此重視通信網(wǎng)絡安全，是一項重要防護措施。想要達成理想目標，就要對通信雙方可信度進行甄別，完成安全通道的建立，借助安全通道，讓網(wǎng)絡數(shù)據(jù)得到全方位的保護，既要保證私密性，又要強調完整性，避免重要信息被竊取或者是惡意篡改[3]。由于正線設備相對集中，在現(xiàn)實應用中，分布在主要區(qū)域，如果系統(tǒng)被入侵，此時想要提高防御能力，就要依靠ATS交換機來塑造完整的防御系統(tǒng)，以此來強化防御的功能，借助防御系統(tǒng)完成比對和分析工作，并及時發(fā)出警報，這樣的設計，可以為應急方案的實施爭取時間，將危險系數(shù)降低。

2.4 借助本體安全搭建的防護方案

前文已經(jīng)提到過，城市軌道交通信號屬于較為全面且科學的體系，應用性較強，系統(tǒng)構成相對復雜，主要配置核心內(nèi)容較多，例如：工作站、服務器等，這些都是不可或缺的，在應用階段，這兩個設備的性能以及穩(wěn)定性非常關鍵，可以直接影響調度水平與風險防御能力，同時還會對信號系統(tǒng)的運算能力造成影響，因此需要高度重視。為了發(fā)揮出工作站、服務器的作用，需要靈活制定防御方案，通過不同途徑來幫助設備完成風險防御能力的大幅度提升，最大限度提高防御水平，為達到自我防御的良好性能提供保障，避免各類危害的侵襲。想要達到這一目標，就需要結合現(xiàn)狀在各個終端安裝性能優(yōu)越的防護設備，構建防護體系，保證相關設備性能有效。

3 結束語

綜上所述，針對城軌弱電系統(tǒng)的安全保護是一個持續(xù)性過程，安全保障體系的構建對城市軌道的發(fā)展至關重要，可以直接影響信息系統(tǒng)的穩(wěn)定與安全?；诖?，在實際工作中，要了解整體防護方案設計的基本原則，結合現(xiàn)實需求，完善防護體系，運用新技術、新設備，讓防護性能提升，為安全等級保護提供持久性的動力。