陸人杰

摘 ? 要：隨著互聯(lián)網(wǎng)的飛速發(fā)展，多種網(wǎng)絡的互聯(lián)互通容易產生網(wǎng)絡安全威脅問題，網(wǎng)絡與信息安全問題在各個領域都備受重視，在軌道交通信號系統(tǒng)中也不例外。針對現(xiàn)階段軌道交通工作人員對日常工作運維較熟悉而對網(wǎng)絡信息安全認識不足的問題，本文描述了信息安全技術的種類以及信息安全技術在GSM-R和TDCS中的應用，并提出相關信息安全管理措施的意見，以期增強鐵路職工對網(wǎng)絡信息安全的認識。

關鍵詞：軌道交通信號系統(tǒng) ?信息安全技術 ?TDCS ?GSM-R

中圖分類號：TP393 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A ? ? ? ? ? ? ? ? ? ? ? ?文章編號：1674-098X（2020）06（a）-0140-02

當前，各項完備的技術體系支撐了我國軌道交通大發(fā)展，信號系統(tǒng)作為支撐軌道交通運營控制的神經(jīng)中樞，其基本的運行維護規(guī)律已然有章可循，但在軌道交通網(wǎng)絡與信息安全的研究方面，仍是一個較新的難題。所謂信息安全，指的是信息網(wǎng)絡的軟硬件及其系統(tǒng)中的數(shù)據(jù)不因故被破壞或泄露，信息能服務持續(xù)，系統(tǒng)能正常可靠運行[1]。

忽視信息安全問題，會對軌道交通安全運營造成很大的影響。例如，2009年某鐵路局中心網(wǎng)絡爆發(fā)W32.Downadup病毒，導致調度臺之間的數(shù)據(jù)共享調取失敗，TDCS/CTC程序不能正常運行，嚴重影響行車調度2h[2]。因此，必須重視軌道交通信號系統(tǒng)中信息安全技術的運用。

1 ?信息安全技術的種類

1.1 加密技術

實現(xiàn)網(wǎng)絡安全的重要手段之一是使用加密技術，通常用不同的加密技術在網(wǎng)絡中的不同層次完成用戶不同的安全需求。加密技術指通過以密鑰為參數(shù)的加密函數(shù)對需要加密的報文實施變換，變成毫無閱讀價值的密文后，接收方通過解密密鑰和解密函數(shù)將密文還原成明文[3]。如圖1為加密技術的基本步驟。加密技術不僅用于保證信息的準確性，還能提高數(shù)據(jù)的保密性，防止信息泄露[4]。

1.2 防火墻技術

防火墻是一種能阻止或允許業(yè)務來往的網(wǎng)絡通信安全機制，保護網(wǎng)絡，避免遭受侵擾[5]。如圖2所示，為防火墻在網(wǎng)絡中的位置，好比一個安全門，為門內的部門提供安全。防火墻被當作位于兩個網(wǎng)絡之間的防護欄，根據(jù)安全計劃策略來保障其后面的網(wǎng)絡安全。

2 ?信息安全技術應用

2.1 GSM-R中的安全技術

GSM-R通信系統(tǒng)是我國高速鐵路列車的移動通信系統(tǒng)。GSM-R系統(tǒng)擁有鑒權加密等一系列措施，使非法用戶不能接入GSM-R網(wǎng)絡。為確保數(shù)據(jù)可靠安全，將安全協(xié)議添至列控數(shù)據(jù)傳輸協(xié)議中，安全功能包含了安全連接的建立、數(shù)據(jù)傳輸以及連接釋放等。GSM-R中的安全層如圖3所示。

（1）建立安全連接：為阻斷與非法用戶的連接，安全層得到建立連接的請求后，通過“對等實體認證”過程，驗證對等實體的身份是否合法。（2）安全數(shù)據(jù)傳輸：安全層通過“消息來源認證”，保證用戶數(shù)據(jù)的完整性。通過該認證，既要保證消息來源于它的對等實體，同時還要注意因遭受攻擊或傳輸信道上的隨機錯誤而導致信息不完整的風險。（3）釋放安全連接：安全層能在任意時刻釋放安全連接，而且無需建立和安全連接同樣的特殊防護[6]。

2.2 TDCS中的網(wǎng)絡安全

列車調度指揮系統(tǒng)覆蓋全路，是鐵路正常生產組織和調度指揮的核心[7]。其危險源因素主要體現(xiàn)在如下兩方面：（1）很多系統(tǒng)測試、維護和修改工作需在建立和使用TDCS的過程中進行。由于工作人員有時會誤接設備或違章使用，系統(tǒng)易受網(wǎng)絡病毒影響而隨之癱瘓，從而危及行車調度指揮的安全。（2）TDCS網(wǎng)絡系統(tǒng)雖然處在一個相對封閉的專用網(wǎng)絡結構中，但其技術實現(xiàn)的基礎卻是面向所有網(wǎng)絡用戶的，資源均可通過網(wǎng)絡得到共享。

在綜合考慮TDCS潛在的風險源因素后，調度中心、部中心間、車站之間，應采用防火墻和入侵檢測系統(tǒng)，并且動態(tài)身份認證和漏洞評估子系統(tǒng)應添加于系統(tǒng)中。要求既能實現(xiàn)對整個系統(tǒng)的權限和資源訪問控制，又能起到病毒入侵檢測、防范等安全防護的作用。鐵路局TDCS中心網(wǎng)絡的安全防護方案的設計如圖4所示。

3 ?信息安全技術管理措施

（1）在人員方面，許多事故致因都來源于內部工作人員，因此對于關鍵崗位必須建立嚴格的人員安全審查制度，人員的安全審查應從法律意識、安全意識、安全技能等方面進行。（2）在設備方面，各單位管理部門需整合和利用現(xiàn)有的計算機資源監(jiān)控系統(tǒng)、網(wǎng)絡管理系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關設備與系統(tǒng)的運行日志等監(jiān)控資源，加強對網(wǎng)絡、關鍵計算機系統(tǒng)等設施的安全運行監(jiān)測。（3）在應急措施方面，完善的應急機制應由各級軌道交通信號設備維護管理單位安排建立，并定期開展人員培訓，組織進行應急演練。（4）在安全評估方面，各單位管轄部門應及時對本單位或轄內信息系統(tǒng)進行安全評估，且安全評估必須在不影響信息系統(tǒng)正常運行的情況下進行。（5）在管理制度方面，應根據(jù)本單位的實際情況，編制出完整、全面的和有層次性的信息安全管理制度和規(guī)范。例如，建立嚴格的信息設備機房管理制度，進入主機房時至少應有二人在場，并登記“機房出入管理登記簿”，相關人員記錄好人員出入機房時間和具體操作內容等。

4 ?結語

（1）本文描述了信息安全技術的主要兩種方式，以及信息安全技術在維護TDCS網(wǎng)絡安全和GSM-R系統(tǒng)中的應用。信息安全技術是一個綜合信息傳送、信息使用和傳播等多方面的技術。（2）從管理制度、安全評估、應急措施、設備、人員5個方面提出信息安全技術管理措施，通過科學有效的管理手段達到提升安全的目的，是保障我國軌道交通信號系統(tǒng)網(wǎng)絡安全的重要手段之一。

參考文獻

[1] 張寶全，黃祖源，周楓.智能電網(wǎng)信息安全威脅分析及防御研究[J].軟件導刊，2018，17（2）：189-191，194.

[2] 閆連山，陳建譯.鐵路信號系統(tǒng)網(wǎng)絡與信息安全[M].北京：中國鐵道出版社，2016.

[3] 王同軍.入侵檢測系統(tǒng)中模式匹配與協(xié)議分析的方法研究[D].鄭州大學，2019.

[4] 魏小霞.性能測試海量數(shù)據(jù)持續(xù)生成的解決辦法[J].科技信息，2018（18）：271-272.

[5] 張亞峰.IPv6網(wǎng)絡技術及安全隱患研究[J].湖北農機化，2017（6）：46-47.

[6] 于宏博，鐘章隊.ETCS中安全通信的研究與探討[J].鐵道通信信號，2005（1）：30-33.

[7] 王素倩.淺析TDCS與鐵路信息化的關系[J].科技創(chuàng)新導報，2018（16）：54.