城市轨道交通信号系统网络安全分析

陈登科

（北京全路通信信号研究设计院有限公司，北京 100073）

城市轨道交通作为大容量公共交通工具，其安全性直接关系到广大乘客的生命安全。作为城市轨道交通运行的神经中枢，信号系统在轨道交通中发挥着越来越重要的作用。近年来，随着计算机系统在信号系统中的应用日益广泛和深入，信号系统朝着网络化、智能化的方向发展。如何保证其网络及信息安全，使其符合安全完整性等级及信息安全等级保护要求，成为城市轨道交通系统迫切需要解决的问题。

1 信息安全

信息安全主要指数据和信息在通过计算机网络存储、处理、传输过程中完整性、保密性和有效性等的安全保证，例如防止信息窃取、信息篡改、冒充发送信息和发送者抵赖等。信息安全保障的核心技术是密码技术，通过密码技术实现数据加密、完整性校验、数字签名和身份确认等。信息安全和系统层安全具有很强的相互依赖关系[1]。

2 安全完整性等级

安全完整性等级是定性的表示安全完整性的离散等级。IEC61508定义了安全完整性等级表格，根据安全功能的平均要求时失效概率（PFDavg）划分为4个等级[2-3]，如表1所示。等级4具有最高安全完整性等级，等级1最低，不同的安全完整性等级对系统提出不同的技术要求。安全功能的安全完整性等级确定的太高，要求的技术条件就会很复杂，成本会很高；反之，如果确定的过低，系统安全水平就达不到系统的安全要求。因此，在安全相关系统的设计开发时，必须为各安全功能确定合适的安全完整性等级。

表1 高要求操作模式的安全完整性等级

对覆盖面广、网络设备复杂、操作系统较多，要求安全可靠不间断运行的城市轨道交通信号系统网络来说，网络安全涉及诸多方面的因素，已经成为网络建设中需要认真分析、综合考虑的关键问题。要进一步提高城市轨道交通行车的安全系数和运行效率，应该建立一个完整的综合网络安全解决方案，采用网段分离、用户口令加密存储与传输、分设操作员、增加网络信息员和密押员等方式，加强网络安全性。

3 信号系统网络安全的现状与解决方案

3.1 网络安全现状

近几年，我国城市轨道交通信号技术装备进入计算机时代，给信号系统的安全性带来新的挑战。城市轨道交通计算机网络是通过多级局域网络的互联，形成超大规模的企业内部网络。其中大型局域网采用叠加式结构，小型局域网采用平面式结构。从网络应用和安全方面考虑，城市轨道交通内部计算机网络逻辑上由3个网络层次组成：外部访问服务网、内部服务网和生产网。信号控制系统处于最内部的生产网中，网络规模庞大，需要高度的安全性和机密性。然而，现有的TCP/IP协议并不能很好地保障网络通信安全，给整个系统带来了安全隐患[4]。

对于计算机软件来说，系统安全性的证明非常困难。随着计算机网络的日益普及和广泛使用，各种安全威胁和计算机病毒也随之而来。而当前，城市轨道交通信号设备网络管理系统尚无可靠的解决网络安全管理类方案，不同网络管理体系的基本结构相同，当发生故障时，终端站点运行的软件可以报警，接到报警后，管理实体通过执行一个或一组动作迅速做出反应，包括提示操作者、登陆、关闭系统和自动修复系统。管理实体也可轮询终端点，以验证某些特定变量的值[5]。

目前，已有和正在进行的关于我国城市轨道交通行业指挥系统的研究都明确提出建立在计算机网络、通信网络和信息网络之上的智能指挥系统，应具有良好的开放性、扩展性和可维护性。同时，计算机网络的安全性已引起各级部门的重视。国际和国内相关组织就网络与信息安全问题已进行大量研究，相关的主要标准包括：ISO17799、ISO15408、ISO15446、ISO13335、ISO7498-2和SSE-CMM。

3.2 网络安全面临的威胁

城市轨道交通信号系统网络由大量开放系统组成，网络与信息安全问题比较突出。面临的具体威胁有以下几个方面。一是操作系统的安全威胁：微机监测服务器、站机、终端机都采用Windows操作系统。网络上针对Windows系统产生的攻击相对较多，受到破坏的可能性就大。二是应用软件的安全威胁：设备提供商提供的应用授权版本不可能做到尽善尽美，于是出现各种各样的后门、漏洞、BUG等。三是直接或间接来自于生产网的安全威胁，这类威胁以病毒和网络攻击的方式直接作用于内部网络。

系统改进的必要性随着网络安全攻、防技术的不断发展，任何一个网络管理者或使用者都非常清楚，所有计算机网络都必然存在着有意或无意攻击和破坏的风险。对于大多数网络黑客来说，都能够成功地侵入到某个网络系统中，窃取该系统的内部数据，甚至破坏其真实性和完整性。因此，建立完善的网络安全防护体系，就显得十分必要了。

3.3 解决方案

现有的系统设计对网络安全问题分析不足，只是在使用中发现问题时增加了一些安全措施。现有的网络安全防护系统，已经不能完全适应新技术与新应用带来的实际需求。在设计新的网络安全防护系统时，必须确保数据的机密性、完整性、可用性、可控性与可审查性，可以参考并遵循以下原则。

1）体系化设计原则；

2）全局性、均衡性、综合性设计原则；

3）可行性、可靠性、可审查性原则；

4）分步实施原则：分级管理，分步实施。

由于网络技术的飞速发展，传统的防护技术已经不能适应复杂多变的新型网络环境，必须采用安全有效的网络安全新技术才能防患于未然，提高整个网络的安全性。可采用的新型网络安全技术包括以下内容。

1）链路负载均衡技术： 链路是指两点之间具有规定性能的电信设施。链路通常以传输通道类型或容量来区分，例如无线电链路、同轴链路、宽频带链路。负载均衡建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。

2）IPS入侵防御系统：IPS是一种部署在网关位置的安全设备，利用攻击技术对网络数据和行为进行深层次检测，从而更有效地抵御应用层的攻击。IPS在线部署模式使其可以直接将危险的流量阻挡于所保护的网络之外。IPS可以部署在防火墙之后，保护关键服务器，并保证对外开放服务的安全如Web、DNS等。

3）上网行为管理系统：上网行为管理系统能够提供全面的互联网控制管理，并能实现基于用户和各种网络协议的带宽控制管理，实时监控整个网络使用情况。

4）网络带宽管理系统：对整个网络状况进行细致管理，提高网络使用效率，实现对关键人员使用网络的保障，对关键应用性能的保护，对非关键应用性能的控制。可根据业务需求和应用自身需求进行带宽分配。

5）防毒墙：传统的计算机病毒防范是在需要保护的计算机内部建立反病毒系统，随着网络病毒的日益严重和各种网络威胁的侵害，需要将病毒在通过服务器后至企业内部网关之前予以过滤，防毒墙就满足了这一需求。防毒墙是集成了强大的网络杀毒机制、网络层状态包过滤、敏感信息的加密传输和详尽灵活的日志审计等多种安全技术于一身的硬件平台。在毁灭性病毒和蠕虫病毒进入网络前进行全面扫描，适用于各种复杂的网络拓扑环境。

4 结束语

城市轨道交通信号系统网络的安全可靠直接关系着城市轨道交通运输的安全，关系着城市轨道交通电务部门故障检测、诊断的准确性。庞大的城市轨道交通信息网络系统，牵一发而动全身，所以，一定要强调在整个城市轨道交通信息系统树立网络安全意识，制定严格的信息安全制定，让信息技术和产品在实际应用中充分发挥其作用。随着网络安全技术的不断发展完善，城市轨道交通信号系统网络必将克服现有的种种缺陷和不足，最终走向成熟和完善。

[1]刘磊.浅谈铁路网络与信息安全技术[J].铁路计算机应用，2005,14（z1）：255-258.

[2] IEC61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems[S].1998.

[3] IEC61511 Functional Safety-Safety Instrumented Systems for the Process Industry Sector[S].2000.

[4]熊剑，孙朝生，李鹏.铁路信号网络安全分析[J].哈尔滨铁道科技，2006：13.

[5]夏平.铁路信号行车指挥系统计算机网络安全的探讨[J].中国铁路，2003（10）：36.