摘要：隨著全自動運行系統(tǒng)技術(shù)和城市軌道服務(wù)器云技術(shù)在地鐵工程項目中的應(yīng)用，地鐵信號系統(tǒng)的內(nèi)部和外部接口持續(xù)增加。作為地鐵工程項目重要組成部分的信號系統(tǒng)，其信息安全防御至關(guān)重要。本文通過分析地鐵信號系統(tǒng)的架構(gòu)，針對存在的安全隱患和防御現(xiàn)狀，提出了地鐵信號系統(tǒng)信息安全的主動和被動防御體系。結(jié)合主動和被動防御技術(shù)，首先構(gòu)建了被動防御模型，然后從技術(shù)、安全和管理三個層面提出了主動防御模型。通過這一綜合方法，實現(xiàn)了確保地鐵信號系統(tǒng)信息安全的目標(biāo)。

關(guān)鍵詞：地鐵；信號系統(tǒng)；主、被動防御模型

近年來，隨著城市化建設(shè)的不斷推進和交通需求的日益增長，地鐵作為城市軌道交通的重要組成部分，正承擔(dān)著日益加大的運輸壓力。地鐵信號系統(tǒng)作為地鐵運營中的核心技術(shù)之一，直接關(guān)系到列車的安全運行和乘客的出行體驗。作為一個復(fù)雜的網(wǎng)絡(luò)系統(tǒng)，地鐵信號系統(tǒng)涉及眾多關(guān)鍵設(shè)備和數(shù)據(jù)，一旦遭受攻擊或發(fā)生故障，就可能導(dǎo)致列車運行中斷、安全事故等嚴(yán)重后果。因此，加強地鐵信號系統(tǒng)的信息安全防御技術(shù)研究對于保障地鐵的安全運營和提升城市交通服務(wù)水平具有重要意義。

一、地鐵信號系統(tǒng)相關(guān)概述

在通常情況下，地鐵信號系統(tǒng)主要以列車自控系統(tǒng)ATC為主。地鐵信號系統(tǒng)施工是一個涉及多個學(xué)科和技術(shù)領(lǐng)域的復(fù)雜過程，包括安全防護、材料選用、工程管理、地鐵車站運營、控制中心調(diào)試，以及列車車載信號設(shè)備、通信設(shè)備和監(jiān)視設(shè)備等[1]。因此，地鐵信號系統(tǒng)施工需要多個學(xué)科和專業(yè)的協(xié)調(diào)合作，以確保整個系統(tǒng)的質(zhì)量和安全。

二、地鐵信號系統(tǒng)的安裝與調(diào)試

ATP系統(tǒng)的施工與其他地鐵信號系統(tǒng)的施工相互關(guān)聯(lián)，需要與ATO和ATS等子系統(tǒng)進行協(xié)調(diào)，以確保整個地鐵信號系統(tǒng)的正常運行。在地鐵信號系統(tǒng)的施工過程中，專門的工程師和技術(shù)人員負(fù)責(zé)ATP系統(tǒng)的安裝和調(diào)試，并與其他相關(guān)人員配合工作。ATO作為地鐵信號系統(tǒng)的核心組成部分，負(fù)責(zé)列車的自動駕駛，包括自動離站、列車速度調(diào)節(jié)、列車目標(biāo)制動以及車門、站臺門的開關(guān)等關(guān)鍵功能。這些功能的實現(xiàn)不僅提高了地鐵列車的運行效率和安全性，還降低了人為操作可能帶來的誤差和風(fēng)險。對于ATS系統(tǒng)的功能，在地鐵信號系統(tǒng)的施工過程中需要進行相關(guān)的安裝、調(diào)試和測試工作，以確保系統(tǒng)的準(zhǔn)確性和可靠性。同時，需要培訓(xùn)相關(guān)操作人員，使其能夠熟練地操作ATS系統(tǒng)，確保地鐵運營的安全和順暢。ATS主要位于OCC控制中心，通過網(wǎng)絡(luò)與列車通信，并指揮列車安全運行。各個信號集中站也具有一定的ATS功能，輔助中央ATS完成相關(guān)功能[2]。

三、地鐵信號系統(tǒng)信息安全狀況

（一）信號系統(tǒng)網(wǎng)絡(luò)架構(gòu)

信號系統(tǒng)在物理位置上包括了OCC控制中心、車輛段、停車場、設(shè)備集中站、非設(shè)備集中站等場景，具體組成如下：OCC作為地鐵運營的指揮中心，對線路的安全運營起著重要作用，通過集中調(diào)度和控制，確保地鐵的運行安全、高效和可靠；車輛段和停車場是列車車輛的集結(jié)地，負(fù)責(zé)日常運營調(diào)度，確保列車按既定時間表準(zhǔn)時發(fā)車、到站；設(shè)備集中站是獨立的業(yè)務(wù)大區(qū)，在信號系統(tǒng)中主要功能是供車站值班員控制車站信號設(shè)備；非設(shè)備集中站同屬于關(guān)鍵的業(yè)務(wù)區(qū)，車站的調(diào)度監(jiān)管人員通過非設(shè)備集中站調(diào)度業(yè)務(wù)系統(tǒng)可以觀察信號系統(tǒng)的工作狀態(tài)，但不能進行指令操作。在地鐵信號系統(tǒng)中，數(shù)據(jù)通信系統(tǒng)（Data Communication System，簡稱DCS）作為各個子系統(tǒng)的信息傳遞紐帶，其重要性不言而喻。DCS不僅負(fù)責(zé)將各個子系統(tǒng)互聯(lián)互通，還構(gòu)成了信號系統(tǒng)的網(wǎng)絡(luò)架構(gòu)，包括有線和無線網(wǎng)絡(luò)兩部分。地鐵信號系統(tǒng)的網(wǎng)絡(luò)架構(gòu)復(fù)雜而精細(xì)，其中有線網(wǎng)絡(luò)通過光纜連接了中心與車站、車站與車站、信號骨干網(wǎng)、維護支持系統(tǒng)（Maintenance Support System，簡稱MSS）網(wǎng)等關(guān)鍵部分。DCS骨干網(wǎng)則通過有線方式將控制中心設(shè)備、數(shù)據(jù)庫、地面聯(lián)鎖設(shè)備、接入交換機等相互連接，實現(xiàn)了地面與地面、地面與車載之間的通信[3]。

（二）信號系統(tǒng)安全隱患

1.網(wǎng)絡(luò)安全方面

（1）需要與外部系統(tǒng)進行互通互聯(lián)：地鐵信號系統(tǒng)需要與綜合監(jiān)控系統(tǒng)、站臺門系統(tǒng)、通信系統(tǒng)等外部系統(tǒng)進行互通互聯(lián)，以實現(xiàn)信息共享和協(xié)同工作。這種互聯(lián)性也增加了系統(tǒng)面臨的潛在安全威脅。（2）信息過濾和控制困難：對進入和離開信號系統(tǒng)內(nèi)部的信息進行過濾和控制是一個具有挑戰(zhàn)性的問題。由于信號系統(tǒng)內(nèi)部的信息交互依賴于傳統(tǒng)的通信協(xié)議和接口，直接控制應(yīng)用層協(xié)議命令較難實現(xiàn)。（3）底層通信協(xié)議和接口限制：信號系統(tǒng)內(nèi)部的信息流通通常依賴于特定的通信協(xié)議和接口，這些協(xié)議和接口通常較為底層，難以對應(yīng)用層協(xié)議命令進行過濾和控制。（4）缺乏防御技術(shù)手段：地鐵信號系統(tǒng)缺乏有效防止攻擊的技術(shù)手段，容易受到病毒和木馬攻擊。（5）面臨非授權(quán)設(shè)備接入風(fēng)險：缺乏檢查、定位和阻斷非授權(quán)設(shè)備接入內(nèi)部網(wǎng)絡(luò)的能力，地鐵信號系統(tǒng)可能面臨機密數(shù)據(jù)泄露、系統(tǒng)被惡意操控等安全風(fēng)險。（6）惡意代碼威脅：地鐵信號系統(tǒng)缺乏對惡意代碼的檢測能力，一旦系統(tǒng)被植入惡意代碼，可能導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)損壞等嚴(yán)重后果，并且攻擊者可能長時間操控系統(tǒng)造成嚴(yán)重影響。

2.主機安全方面

（1）缺乏基本的安全功能和審計功能，無法提供有效的安全保障和監(jiān)控。（2）傳統(tǒng)的預(yù)防病毒軟件更新不及時，導(dǎo)致系統(tǒng)容易受到惡意病毒攻擊。（3）無法對重要信息數(shù)據(jù)進行有效識別，即使檢測到重要數(shù)據(jù)受到攻擊，也缺乏修復(fù)的能力。

（三）信號系統(tǒng)安全現(xiàn)狀

《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務(wù)院147號令）規(guī)定地鐵信號系統(tǒng)需按照三級標(biāo)準(zhǔn)執(zhí)行，這一規(guī)定的出臺在一定程度上提高了信號系統(tǒng)的穩(wěn)定性。然而，現(xiàn)有的信號系統(tǒng)雖然通過設(shè)置多重屏障增強了安全性，但仍然存在功能不完整和缺乏主動防御能力的問題。

四、信號系統(tǒng)信息安全主、被動防御體系建模

（一）主、被動防御體系的提出

主動防御體系是針對地鐵信號系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅而設(shè)計的防御機制。該體系強調(diào)在入侵行為對信號系統(tǒng)造成惡劣影響之前，能夠及時精準(zhǔn)預(yù)警，并實時構(gòu)建彈性防御體系，以避免、轉(zhuǎn)移或降低信息系統(tǒng)面臨的風(fēng)險。主動防御體系旨在尋找并削弱入侵者的能力，或破壞他們的入侵行動。被動防御體系則是在遭受攻擊或發(fā)生安全事件后，通過一系列措施來減輕損失、恢復(fù)系統(tǒng)，并收集分析攻擊數(shù)據(jù)以改進未來的防御策略。這種防御體系強調(diào)事后處理、數(shù)據(jù)收集和系統(tǒng)恢復(fù)。根據(jù)國家相關(guān)部門對地鐵信號系統(tǒng)信息安全防御系統(tǒng)安全等級保護的要求，可以建立地鐵信號系統(tǒng)安全的主動防御系統(tǒng)和被動防御系統(tǒng)。

（二）主動防御體系模型

主動防御體系模型是一種綜合性的安全框架，旨在通過預(yù)測、防護、檢測和響應(yīng)等階段來主動應(yīng)對網(wǎng)絡(luò)安全威脅。這種模型強調(diào)在安全事件發(fā)生之前進行預(yù)防，以及在事件發(fā)生時快速響應(yīng)，以最小化安全風(fēng)險和損失。主動防御體系模型通常包括以下幾個方面的內(nèi)容：（1）安全策略（Policy）：定義組織的安全目標(biāo)和要求，為整個防御體系提供指導(dǎo)和方向。（2）防護（Protection）：通過部署安全技術(shù)和措施，如防火墻、入侵檢測系統(tǒng)、加密技術(shù)等，來阻止?jié)撛诘墓艉蛺阂庑袨?。?）檢測（Detection）：利用安全監(jiān)控和日志分析工具，實時監(jiān)測網(wǎng)絡(luò)流量和系統(tǒng)行為，發(fā)現(xiàn)異常和可疑活動，及時觸發(fā)警報。通過主動防御體系模型的構(gòu)建，可以及時發(fā)現(xiàn)和應(yīng)對潛在的安全威脅和攻擊，有助于保護系統(tǒng)和網(wǎng)絡(luò)的安全，確保信息的機密性、完整性和可用性。主動防御體系模型的監(jiān)測對象主要包括主干網(wǎng)、深灰網(wǎng)、淺灰網(wǎng)、交換機，通過對訪問的數(shù)據(jù)信息包特征的論證和分析，能及時發(fā)現(xiàn)可疑病毒并進行阻斷，進一步保證地鐵信號系統(tǒng)信息的安全[4]。

（三）被動防御體系模型

被動防御體系模型主要側(cè)重于在攻擊發(fā)生后進行應(yīng)對和恢復(fù)。它強調(diào)通過收集和分析攻擊數(shù)據(jù)、恢復(fù)受損系統(tǒng)以及改進防御策略來減少未來的風(fēng)險。被動防御體系模型主要由以下幾個部分組成：（1）事件檢測與識別：依賴安全監(jiān)控工具和系統(tǒng)日志分析，以檢測異常行為或安全事件。一旦發(fā)現(xiàn)潛在的安全事件，系統(tǒng)會觸發(fā)警報。（2）事件響應(yīng)與處置：在安全事件被檢測到后，需要迅速進行響應(yīng)，包括隔離受影響的系統(tǒng)、收集和分析證據(jù)、確定攻擊者的身份和攻擊手段等。同時，需要采取措施阻止攻擊進一步擴散和損害。（3）損害評估與恢復(fù)：評估攻擊對系統(tǒng)、數(shù)據(jù)和業(yè)務(wù)的影響，確定需要恢復(fù)的資源和時間。然后根據(jù)災(zāi)難恢復(fù)計劃進行系統(tǒng)和數(shù)據(jù)的恢復(fù)工作。通過被動防御體系模型的實施，可以及時、有序地處理安全事件，減少損失，恢復(fù)系統(tǒng)正常運行，同時從中學(xué)習(xí)提升未來的安全防御。這種模型為地鐵信號系統(tǒng)信息安全提供了重要的支持和保障。

五、地鐵信號系統(tǒng)信息安全主、被動防御體系分析

主動性和立體性是地鐵信號系統(tǒng)信息安全主、被動防御體系的兩個主要優(yōu)勢。通過建立這兩種體系模型，并明確它們的分工，實現(xiàn)相互合作，共同為地鐵信號系統(tǒng)的安全運行提供保障。地鐵信號系統(tǒng)信息安全被動防御體系與主動防御體系關(guān)系對照，具體如表1所示。

（一）信號系統(tǒng)安全域劃分

地鐵信號系統(tǒng)的安全域劃分是為了保障系統(tǒng)的安全性、可靠性和高效性。這種劃分通常基于不同的訪問對象和系統(tǒng)功能，將系統(tǒng)劃分為多個安全區(qū)域，通過物理和邏輯隔離限制對關(guān)鍵系統(tǒng)和數(shù)據(jù)的訪問，以防止?jié)撛诘陌踩{。一般來說，地鐵信號系統(tǒng)的安全域劃分包括以下主要區(qū)域：（1）控制中心區(qū)域：這是地鐵信號系統(tǒng)的核心，負(fù)責(zé)監(jiān)控和控制整個地鐵網(wǎng)絡(luò)的運行?？刂浦行耐ǔ０ㄖ醒敕?wù)器、監(jiān)控設(shè)備、網(wǎng)絡(luò)設(shè)備和其他關(guān)鍵系統(tǒng)組件，需要具備高度的安全性以防止未經(jīng)授權(quán)的訪問和惡意攻擊。（2）車站區(qū)域：包括各個地鐵站的信號設(shè)備和系統(tǒng)，負(fù)責(zé)列車與車站之間的通信和控制。車站區(qū)域的安全域劃分旨在確保列車安全和高效運營，同時避免惡意攻擊或破壞。（3）車輛段區(qū)域：作為地鐵列車的停放和維修地點，包含列車控制系統(tǒng)、維修設(shè)備和相關(guān)設(shè)施。此區(qū)域的安全域劃分旨在確保列車維護和修理的安全，預(yù)防未經(jīng)授權(quán)的訪問和惡意攻擊。通過這樣的安全域劃分，地鐵信號系統(tǒng)能夠更好地保障其各個區(qū)域的安全性和系統(tǒng)的整體可靠性。

（二）網(wǎng)絡(luò)安全域劃分

網(wǎng)絡(luò)安全域的劃分是基于網(wǎng)絡(luò)安全需求和策略，將網(wǎng)絡(luò)劃分為不同的安全區(qū)域，以實現(xiàn)對網(wǎng)絡(luò)流量的有效管理、控制和監(jiān)控，提高網(wǎng)絡(luò)的安全性和可靠性。一般而言，網(wǎng)絡(luò)安全域可劃分為以下幾個方面：（1）核心交換區(qū)：作為網(wǎng)絡(luò)的核心部分，負(fù)責(zé)高速數(shù)據(jù)交換和路由轉(zhuǎn)發(fā)。該區(qū)域通常部署高性能的交換機和路由器，并采用高度安全性的配置策略，如訪問控制列表（ACL）、防火墻等，以限制對核心設(shè)備的訪問和防范攻擊。（2）服務(wù)器區(qū)：存儲和處理數(shù)據(jù)的重要區(qū)域，包括數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器等。該區(qū)域需要高度的安全性和可靠性，通常采取嚴(yán)格的訪問控制和安全審計措施，如入侵檢測系統(tǒng)（IDS）、漏洞掃描系統(tǒng)等，以保護服務(wù)器和數(shù)據(jù)的安全。（3）用戶接入?yún)^(qū)：是用戶接入網(wǎng)絡(luò)的地方，包括有線和無線接入方式。這一區(qū)域需要實現(xiàn)用戶身份驗證、訪問控制和流量管理等功能，以預(yù)防未經(jīng)授權(quán)的訪問和惡意攻擊。（4）DMZ區(qū)：即隔離區(qū)域，通常用于放置公共服務(wù)器（如Web服務(wù)器、郵件服務(wù)器等），接受來自外部網(wǎng)絡(luò)的訪問。DMZ區(qū)與內(nèi)部網(wǎng)絡(luò)隔離，并采取嚴(yán)格的安全策略和訪問控制，以保護內(nèi)部網(wǎng)絡(luò)的安全。通過合理劃分網(wǎng)絡(luò)安全域，可以有效保護網(wǎng)絡(luò)各個區(qū)域的安全性，增強整體網(wǎng)絡(luò)的穩(wěn)定性和安全性。

六、結(jié)束語

地鐵信號系統(tǒng)信息安全防御技術(shù)對確保地鐵網(wǎng)絡(luò)的安全、穩(wěn)定和高效運行至關(guān)重要。隨著信息技術(shù)的快速發(fā)展和網(wǎng)絡(luò)威脅的不斷演變，對地鐵信號系統(tǒng)的信息安全提出了更高的要求。因此，構(gòu)建全面、有效的信息安全防御體系成為地鐵行業(yè)的一項緊迫任務(wù)。在構(gòu)建地鐵信號系統(tǒng)信息安全防御體系時，需要綜合考慮系統(tǒng)的安全性、可靠性和經(jīng)濟性，并采取主動防御和被動防御相結(jié)合的策略。引入先進的技術(shù)和措施，如加密技術(shù)、入侵檢測與防御系統(tǒng)、安全審計和日志分析、漏洞管理和補丁更新等，可以顯著提高系統(tǒng)的安全性和防護能力。盡管已經(jīng)采取了一系列保護措施，但地鐵信號系統(tǒng)信息安全防御體系的模型構(gòu)建仍有待進一步完善。未來需從安全評估、防御利益等角度出發(fā)，合理部署地鐵信號系統(tǒng)的安全防御體系，以不斷提升系統(tǒng)的抵御能力和應(yīng)對能力，確保地鐵網(wǎng)絡(luò)運行的安全、穩(wěn)定和高效。

作者單位：王輝 中鐵通信信號勘測設(shè)計院有限公司

參考文獻

[1]張金紅.地鐵信號系統(tǒng)聯(lián)鎖故障時的行車安全保障措施[J].工程建設(shè)與設(shè)計，2017（10）：214-215.

[2]邱成.地鐵信號系統(tǒng)聯(lián)鎖故障問題與行車安全保障初探[J].數(shù)碼設(shè)計：下，2020（1）：260.

[3]楊陽.地鐵信號系統(tǒng)車載故障的影響分析[J].工程建設(shè)與設(shè)計，2019（18）：100-101.

[4]佟雨鏹.地鐵信號系統(tǒng)信息安全防御技術(shù)研究[J].城市周刊，2022（43）：16-18.