刘苗苗
合肥城市轨道交通有限公司运营分公司 安徽合肥 230000
摘要:城市轨道交通的安全运行对国家安全、社会稳定具有重大的影响。近几年来安全事件的频繁发生,使得城市轨道交通安全问题备受关注,其信息系统所面临的安全问题也日益突现。本文介绍了信号系统的构成,并分析了信号系统安全现状与隐患,进而探讨了城市轨道交通信号系统信息安全防护措施,以供参考。
关键词:城市轨道交通;信号系统;安全问题
1 信号系统构成
城市轨道交通信号系统 CBTC(基于通信的列车控制)是一种连续自动控制系统,利用高精度的列车定位以及大容量、双向连续的车地数据通信,实现车载、地面的安全功能处理。其主要包括列车自动监控(ATS)子系统、列车自动防护(ATP)子系统、列车自动驾驶(ATO)子系统、数据通信子系统(DCS)、联锁(CI)子系统、维护支持子系统等多个子系统。
ATS 子系统是一个分布式的计算机监控系统,主要分布于控制中心、正线设备集中站、正线非设备集中站和车辆段。主要是在ATP、ATO子系统的支持下完成对全线列车运行的自动管理和监控,包括实现站场显示、列车运行控制和监视、进路操作、列车运行描述、列车运用计划及车辆管理、列车运行查询和调整、系统自诊断和故障报警、时刻表/运行图的编辑和管理、运营事件记录与统计报表、故障情况下的降级处理、运营控制权管理、临时限速的设置及取消、ATS模拟培训功能、车辆段/停车场派班工作等。
ATP 子系统用来检测列车位置,实现列车间隔控制和进路的正确排列,监督列车运行速度,实现列车超速防护控制,记录司机操作和设备运行状况等。
ATO 子系统是自动控制列车运行的设备。在ATP的保护下,根据ATS的指令实现对列车的自动驾驶,自动完成对列车的站台精确停车、开启和关闭车门及屏蔽门、离站启动、牵引、巡航、惰行以及制动的合理控制,并确保达到设计间隔及旅行速度。
DCS 是一个专用通信系统,能为整个信号系统提供各设备间安全、可靠、冗余的有效通信,并能提供与其他系统设备间通信的网络接口,DCS系统由有线数据传输网络和车-地无线传输网络构成。DCS子系统的骨干网采用双网冗余的高可靠性工业级网络,为联锁和ATP等安全系统设备间提供安全信息传输通道。无线通信采用2.4G开放频段的专用车地无线传输网络,为车载设备和轨旁设备间提供双向、连续、安全可靠的无线通信。
CI 子系统设备是保证列车运行安全,实现轨道区段、道岔、信号机之间正确联锁的基础设备。其主要功能是保障上述设备的联锁关系正确,对正常的进路进行防护,对轨旁设备状态进行监控并下达命令,同时向 ATS/ATP 子系统提供 CI 子系统的设备状态。维护支持子系统的功能包括:采集 ATS 及安全网的数据并存储,集中监测系统管理,对 CBTC 系统的维护管理,故障报警及故障报警统计和报表等。
期刊文章分类查询,尽在期刊图书馆
2信号系统安全现状与隐患分析
近年来城市轨道交通建设保持高速增长,但其基础设备的关键信息安全整体防护薄弱,不能为安全运营提供有力保障,尤其是一直以来被认为相对封闭、专业和安全的城市轨道交通控制系统,已不再是一座安全的“孤岛”。控制系统设备高危漏洞、工业网络病毒、高级持续性威胁(APT)以及无线技术应用带来的风险,使城市轨道交通控制系统面临着日益严峻的威胁。
目前,城市轨道交通信号系统的安全措施仅限于安装防火墙和部署杀毒软件等初级的保护措施,无法有效地防止信息安全事件的发生。根据国家信息安全等级保护基本要求的规定,并结合城市轨道交通运营公司面临的实际安全问题,城市轨道交通信号系统主要存在的安全风险有以下几个方面:一是信号系统没有可靠的隔离技术手段对系统的重要网段和其他网段进行隔离,无法实现有效的区域隔离,各个安全域的网络边界也缺少相应的防护设备,导致对安全域的访问缺少安全控制,同时缺乏对进出网络的信息内容进行过滤功能,因此应用层协议命令级的控制也就无法实现;二是没有有效的措施检查网络中的非法接入和安全威胁,当系统中发生攻击行为时也无法及时的采取控制措施,因此安全风险较大;三是系统运维人员对信号系统的随意接入,容易造成网络风暴、ARP(地址解析协议)攻击、拒绝式服务攻击等,现有的安全策略(只有用户名和弱口令)也不能管控人员的登陆;四是不合规的外部设备所携带的病毒容易造成信号系统终端设备被攻击,使得信号系统中的控制设备所下达的某些指令发生改变,容易导致列车发生严重的安全事故;五是城市轨道交通系统中的一些核心系统虽然已国产化,但是核心控制模块或核心硬件芯片仍从国外引进,有可能存在漏洞,甚至留有后门。
3城市轨道交通信号系统信息安全防护措施
3.1可靠的边界防护
工控系统安全防护网关是实现信号系统网络边界隔离的首选。工控系统安全防护网关部署在网络边界,可防止非法用户访问信号系统网络上的资源和非法由内向外传递内部信息,防止非法和恶意的网络行为破坏信号系统中心网络。在城市轨道交通信号系统网络中,工控系统安全防护网关主要部署在信号系统同外部系统之间,可开启如下安全防御措施:不同安全域之间的工控协议访问控制,阻止安全级别较低网络的非法工控数据进入安全级别较高的网络,阻断安全级别较低网络内发起的对安全级别较高网络的非法工控系统访问。
3.2实时网络攻击行为捕获
针对工控系统网络病毒、蠕虫、黑客攻击行为的增多,入侵防御系统在监测网络流量的基础上,集成对这些信息的控制和实时响应功能,为用户提供安全检测、流量分析、修正分析和及时准确的告警功能,帮助安全管理员更好地进行风险分析、风险信息预警、系统和网络脆弱性分析,构建安全可靠的信息网络。在城市轨道交通信号系统网络中,入侵防御系统主要旁路可以部署在信号系统网络核心交换机上,对各场景工控网络内的通信流量做实时入侵攻击的检测和攻击报警;也可以直路部署在信号系统关键业务服务器区域前,对访问信号系统关键业务的通信流量做实时入侵攻击的阻断和攻击报警。
3.3详细的运维审计
通过规范运维权限管理、严密运维过程控制、透明化运维操作过程等手段,对运维工作中的人为风险进行防范、规避。从管理角度来看,综合运维安全审计系统是企业内部运维管理制度和规范的技术化落实平台。通过统一运维入口、统一身份认证、统一资源管理、统一权限管理和统一过程审计等一系列手段,将制度落于实处;通过技术手段硬性规范运维操作的流程,控制人为风险,提高系统整体可用性。综合运维安全审计系统以逻辑网关或旁路部署的方式部署在核心区,所有的运维操作都不能绕过综合运维安全审计系统。所有运维操作都必须在信息中心运维区连接到综合运维安全审计系统中进行,且通过网络控制只有在信息中心运维区才能访问综合运维安全审计系统。
4结语
城市轨道交通信号系统作为列车运行的控制系统,网络安全直接影响和危及列车的运行安全,在城市轨道交通信号系统信息安全防护的过程中,一方面应重点分析面临的安全隐患,从技术方面提升安全防护能力,另一方面要强调信号系统信息安全管理意识,从管理入手去杜绝安全隐患,建立起针对信号系统的工控安全管理体系,全面提升信号系统的安全防护水平。
参考文献:
[1]高锐,魏光辉,赵弘洋.城市轨道交通车地无线通信安全风险研究[J].电子产品可靠性与环境试验,2014,32(5):43-48.
[2]青岚昊.城市轨道交通信息网络安全设计[J].铁路通信信号工程技术,2011(2):53-55;64.
论文作者:刘苗苗
论文发表刊物:《防护工程》2018年第30期
论文发表时间:2019/1/10
标签:系统论文; 信号论文; 子系统论文; 列车论文; 网络论文; 设备论文; 城市轨道论文; 《防护工程》2018年第30期论文;