徐彥飛

（昆明地鐵運(yùn)營(yíng)有限公司，云南 昆明 650000）

隨著城軌應(yīng)用能力的增強(qiáng)，建立軌道交通指揮與安全管理中心必須要提上日程，只有這樣，才能構(gòu)建安全感知平臺(tái)，從多角度完成安全防護(hù)體系的搭建，借此來(lái)實(shí)現(xiàn)事前防御、事后審計(jì)的具體目標(biāo)，在此基礎(chǔ)上進(jìn)行全生命周期全方位防護(hù)。信息安全等級(jí)防護(hù)涉及到多項(xiàng)內(nèi)容，對(duì)安全防護(hù)能力增強(qiáng)以及網(wǎng)絡(luò)、信息安全保障幫助較大，可以提升業(yè)務(wù)應(yīng)用的安全性，其應(yīng)用具有積極意義。

1 整體防護(hù)方案設(shè)計(jì)原則

關(guān)于安全等級(jí)整體防護(hù)的思考需要多角度和全面，整個(gè)系統(tǒng)信息安全是首先要考慮的因素，圍繞其打造安全防御體系，在防御體系設(shè)計(jì)時(shí)，要參考業(yè)務(wù)應(yīng)用安全需求，將實(shí)際需求作為設(shè)計(jì)的基礎(chǔ)，在此基礎(chǔ)上，結(jié)合國(guó)家政策法規(guī)，完成安全防護(hù)體系的立體構(gòu)建。在建設(shè)過(guò)程中，科學(xué)的理念一定要秉持，遵循統(tǒng)一規(guī)劃的原則，注重適度保護(hù)，并且強(qiáng)化分布控制集中管理的核心思想，具體設(shè)計(jì)原則如下：第一，最小影響原則。最小影響原則屬于基本原則，要求在安全防護(hù)建設(shè)階段要保持系統(tǒng)不變，在原有系統(tǒng)體系的基礎(chǔ)上新增安全防護(hù)設(shè)備，并且防護(hù)設(shè)備的新增要以不影響既有系統(tǒng)為前提，要始終保持理想的系統(tǒng)運(yùn)行效果。第二，符合性原則。整體防護(hù)方案的設(shè)計(jì)與建立要以政策法規(guī)為支撐，遵循行業(yè)管理?xiàng)l例，體現(xiàn)出與行業(yè)發(fā)展較高的匹配度。第三，整體性原則。整體性原則在安全體系的實(shí)際建設(shè)中不容忽視，屬于基本原則，信息安全的防護(hù)能力強(qiáng)弱往往是由最薄弱的環(huán)節(jié)決定的，因此不能孤立，整體性是必須要遵守的，決不能片面地思考相關(guān)問(wèn)題，而應(yīng)該具備大局觀，應(yīng)用系統(tǒng)工程的原理和方法來(lái)科學(xué)評(píng)判系統(tǒng)的安全指數(shù)，從而獲得指導(dǎo)性意見(jiàn)，推動(dòng)安全系統(tǒng)規(guī)劃的順利實(shí)施，不斷完善設(shè)計(jì)方案，將安全系數(shù)提高，為安全系統(tǒng)的搭建創(chuàng)造便利條件[1]?，F(xiàn)實(shí)應(yīng)用中，安全系統(tǒng)可以發(fā)揮作用的一項(xiàng)重要原則就是采取統(tǒng)一管理策略，站在整體的角度完成對(duì)行為主體和客體的管理，只有這樣，才能保證安全策略的可靠性，避免安全短板存在。與此同時(shí)，還要注重劃分管理角色，通常情況下，應(yīng)實(shí)現(xiàn)三權(quán)分立（系統(tǒng)、安全、審計(jì)），讓三者相互監(jiān)督，這樣一來(lái)，可以避免角色權(quán)限過(guò)大，有利于系統(tǒng)的穩(wěn)定。

2 整體防護(hù)方案

針對(duì)目前現(xiàn)有的情況，可以將城軌弱電系統(tǒng)保護(hù)等級(jí)進(jìn)行統(tǒng)計(jì)，具體情況如表1所示。

表1 系統(tǒng)安全等級(jí)統(tǒng)計(jì)

目前存在的問(wèn)題主要集中在常規(guī)軌道交通在保護(hù)等級(jí)建設(shè)中，沒(méi)有形成統(tǒng)一整體，各系統(tǒng)均處于獨(dú)立狀態(tài)，無(wú)論是建設(shè)，還是后期的維護(hù)與運(yùn)營(yíng)，都是分開(kāi)進(jìn)行的，安全管理中心沒(méi)有發(fā)揮作用，缺少合理的態(tài)勢(shì)感知平臺(tái)，這樣安全等級(jí)保護(hù)存在弊端。針對(duì)上述問(wèn)題，提出如下改進(jìn)建議。

2.1 借助結(jié)構(gòu)安全構(gòu)建的防護(hù)方案

作為獨(dú)立業(yè)務(wù)區(qū)域，在實(shí)際應(yīng)用中信號(hào)系統(tǒng)控制中心擁有非常重要的地位，作用舉足輕重，在安全防護(hù)中扮演重要的角色，主要負(fù)責(zé)調(diào)度交通，因此可以將信號(hào)系統(tǒng)控制中心看作是核心區(qū)域，直接關(guān)聯(lián)區(qū)域網(wǎng)關(guān)，需要采取重點(diǎn)防護(hù)措施，使之形成有效隔離。想要達(dá)到理想防護(hù)效果，可以借助各類(lèi)交換機(jī)，像比較常見(jiàn)的有ATS、ATC等，以此來(lái)提升系統(tǒng)的防御系數(shù)，幫助系統(tǒng)免遭侵襲，如果系統(tǒng)被入侵，則會(huì)在第一時(shí)間對(duì)入侵?jǐn)?shù)據(jù)進(jìn)行系統(tǒng)、全面的檢測(cè)與分析，在此基礎(chǔ)上完成對(duì)系統(tǒng)的監(jiān)護(hù)，憑借發(fā)出的警報(bào)指令，監(jiān)護(hù)人員可以作出準(zhǔn)確判斷，采取有效處理措施，避免各種病毒侵襲，防止木馬等形成的傷害。與此同時(shí)，采用先進(jìn)的ATS交換機(jī)，可以讓審計(jì)系統(tǒng)更加完善，可根據(jù)不同危險(xiǎn)信號(hào)發(fā)出警報(bào)，提高系統(tǒng)運(yùn)維可靠性[2]。也可以利用防護(hù)網(wǎng)關(guān)點(diǎn)，幫助維護(hù)人員完成對(duì)信號(hào)系統(tǒng)的審核工作，提高工作效率。

實(shí)踐表明，采用一體化防護(hù)方案可以達(dá)到預(yù)期的信息安全防護(hù)效果，應(yīng)用價(jià)值較高。一體化防護(hù)的核心思想是要設(shè)置管理中心，實(shí)現(xiàn)集中化管理。在實(shí)際應(yīng)用中，安全管理中心的地位非常凸顯，可以將信號(hào)系統(tǒng)等設(shè)備資源進(jìn)行整合，并將資源整合優(yōu)勢(shì)合理發(fā)揮，提高管理的效率，大大增強(qiáng)系統(tǒng)安全和穩(wěn)定性能，保障各項(xiàng)功能。另外，要對(duì)系統(tǒng)的安全策略以及審計(jì)日志等功能統(tǒng)一管理。在此基礎(chǔ)上將整體防護(hù)體系打造完成，將信息的集中與融合優(yōu)勢(shì)體現(xiàn)出來(lái)，以此來(lái)強(qiáng)化對(duì)安全態(tài)勢(shì)的感知能力以及溯源和應(yīng)急處理能力。為了確保統(tǒng)一安全管理中心可以發(fā)揮出理想的效果，需要設(shè)置交換機(jī)（三層），供信息安全專(zhuān)用，將安全防護(hù)網(wǎng)關(guān)和專(zhuān)用交換機(jī)連接，實(shí)現(xiàn)安全隔離。與此同時(shí)，將交換機(jī)接入不同的VLAN，這樣既可以保證通信隔離，又可以借助路由的配置獲取系統(tǒng)安全信息，應(yīng)用效果較為理想。在此基礎(chǔ)上，輔助云計(jì)算功能，可以讓城市軌道信息系統(tǒng)運(yùn)行更加高效、安全，通過(guò)一體化防護(hù)方案的實(shí)施，可以將信息安全等級(jí)提升。

圖1 云計(jì)算助力下的城市軌道信息系統(tǒng)

2.2 利用持續(xù)性安全構(gòu)建的防護(hù)方案

任何信息系統(tǒng)所采用的安全設(shè)備都需要高質(zhì)量地定期維護(hù)，只有這樣，才能保證各項(xiàng)性能良好，因此專(zhuān)業(yè)的維修隊(duì)伍必不可少。在現(xiàn)實(shí)工作中，維修團(tuán)隊(duì)的核心任務(wù)就是采取合理手段確保各種設(shè)備性能良好，可以持續(xù)發(fā)揮作用，以此來(lái)鞏固系統(tǒng)的安全運(yùn)行，提升運(yùn)行效率，這樣就可以及時(shí)發(fā)現(xiàn)并排除隱患。為了提升安全性，安全軟件要定期更新，防止各種病毒侵襲，將危害程度降到最低。值得注意的是，如有外界設(shè)備終端，應(yīng)該重視網(wǎng)關(guān)安全防護(hù)的設(shè)置，以此提升系統(tǒng)的運(yùn)行穩(wěn)定性，并且做好通信網(wǎng)絡(luò)安全的防護(hù)工作。

除了上述措施外，還要保證主機(jī)環(huán)境時(shí)刻處于安全的狀態(tài)，也就是信息處理過(guò)程的安全性，主機(jī)構(gòu)成相對(duì)復(fù)雜，包括終端、服務(wù)器等，還需要一些網(wǎng)絡(luò)設(shè)備的輔助，因此主機(jī)運(yùn)行環(huán)境是否安全是一項(xiàng)重要指標(biāo)，屬于城軌信息安全等級(jí)保護(hù)的核心內(nèi)容。另外，在實(shí)際工作中，還要強(qiáng)調(diào)數(shù)據(jù)安全的重要性。數(shù)據(jù)安全涉及較多內(nèi)容，在數(shù)據(jù)安全防護(hù)過(guò)程中，身份識(shí)別、安全審核、通信保密等都是數(shù)據(jù)安全的基礎(chǔ)。想要對(duì)數(shù)據(jù)的安全性進(jìn)行保障，就要發(fā)揮軟件保護(hù)功能，在主機(jī)環(huán)境安全的配合下，提升安全防護(hù)等級(jí)。

2.3 利用行為安全搭建的防護(hù)方案

實(shí)踐證明，在防護(hù)體系搭建完成的基礎(chǔ)上，還要做好通信網(wǎng)絡(luò)安全工作，確保信息的時(shí)效性。研究發(fā)現(xiàn)，通信網(wǎng)絡(luò)是實(shí)現(xiàn)信息安全等級(jí)提升的主要通道，因此重視通信網(wǎng)絡(luò)安全，是一項(xiàng)重要防護(hù)措施。想要達(dá)成理想目標(biāo)，就要對(duì)通信雙方可信度進(jìn)行甄別，完成安全通道的建立，借助安全通道，讓網(wǎng)絡(luò)數(shù)據(jù)得到全方位的保護(hù)，既要保證私密性，又要強(qiáng)調(diào)完整性，避免重要信息被竊取或者是惡意篡改[3]。由于正線設(shè)備相對(duì)集中，在現(xiàn)實(shí)應(yīng)用中，分布在主要區(qū)域，如果系統(tǒng)被入侵，此時(shí)想要提高防御能力，就要依靠ATS交換機(jī)來(lái)塑造完整的防御系統(tǒng)，以此來(lái)強(qiáng)化防御的功能，借助防御系統(tǒng)完成比對(duì)和分析工作，并及時(shí)發(fā)出警報(bào)，這樣的設(shè)計(jì)，可以為應(yīng)急方案的實(shí)施爭(zhēng)取時(shí)間，將危險(xiǎn)系數(shù)降低。

2.4 借助本體安全搭建的防護(hù)方案

前文已經(jīng)提到過(guò)，城市軌道交通信號(hào)屬于較為全面且科學(xué)的體系，應(yīng)用性較強(qiáng)，系統(tǒng)構(gòu)成相對(duì)復(fù)雜，主要配置核心內(nèi)容較多，例如：工作站、服務(wù)器等，這些都是不可或缺的，在應(yīng)用階段，這兩個(gè)設(shè)備的性能以及穩(wěn)定性非常關(guān)鍵，可以直接影響調(diào)度水平與風(fēng)險(xiǎn)防御能力，同時(shí)還會(huì)對(duì)信號(hào)系統(tǒng)的運(yùn)算能力造成影響，因此需要高度重視。為了發(fā)揮出工作站、服務(wù)器的作用，需要靈活制定防御方案，通過(guò)不同途徑來(lái)幫助設(shè)備完成風(fēng)險(xiǎn)防御能力的大幅度提升，最大限度提高防御水平，為達(dá)到自我防御的良好性能提供保障，避免各類(lèi)危害的侵襲。想要達(dá)到這一目標(biāo)，就需要結(jié)合現(xiàn)狀在各個(gè)終端安裝性能優(yōu)越的防護(hù)設(shè)備，構(gòu)建防護(hù)體系，保證相關(guān)設(shè)備性能有效。

3 結(jié)束語(yǔ)

綜上所述，針對(duì)城軌弱電系統(tǒng)的安全保護(hù)是一個(gè)持續(xù)性過(guò)程，安全保障體系的構(gòu)建對(duì)城市軌道的發(fā)展至關(guān)重要，可以直接影響信息系統(tǒng)的穩(wěn)定與安全?；诖耍趯?shí)際工作中，要了解整體防護(hù)方案設(shè)計(jì)的基本原則，結(jié)合現(xiàn)實(shí)需求，完善防護(hù)體系，運(yùn)用新技術(shù)、新設(shè)備，讓防護(hù)性能提升，為安全等級(jí)保護(hù)提供持久性的動(dòng)力。