王超

【摘要】 综合联调是信号系统投入正式运营前的一个关键时期，在该时期保证系统软件安全，确保联调顺利进行，软件安全管理具有重要的意义。

【关键词】 综合联调 ATS子系统 软件安全

一、研究背景及意义

西安地铁一号线ATS专业负责ATS子系统、数据通信子系统及轨旁无线子系统的调试、维护、故障处理等工作。这些子系统均主要由工作站、服务器、交换机等搭建而成，为地铁运营提供行车指挥系统。作为地铁运营重要组成部分，其安全性至关重要，不仅需要常规性检修维护，还需要将安全管理也应纳入日常管理工作中，以确保软件数据、网络数据等安全。特别是在综合联调期间，各子系统面对着设备分散、操作人员复杂等情况，使得安全管理难度加大。本文将结合西安地铁一号线综合联调期间安全管理情况进行讨论，为后续线路软件安全管理提供参考，相关内容也适用于正式运营后。

二、综合联调中的数据安全管理

1、设备接口管理。ATS专业各子系统设备分布分散，每一台设备均能提供系统接入点（例如USB口、网口、光驱等），且联调期间各设备室进入人员复杂，仅靠ATS专业人员巡视很难有效实现对设备管理。故对设备不常用接口进行了贴封，但该做法不能提前扼制事件发生，建议后续通过修改驱动配置、硬件插拔等关闭。

2、软件数据备份。综合联调期间对于软件所采的小问题，一般采取即发现即整改，对于较大问题，采取集中后通过软件升级解决，所以在整个联调周期内软件数据变动较多、版本存在较多，需要更加明细的管理，以把控软件数据。一号线进行综合联调期间，对于每次软件修改或升级都进行了记录及对数据进行备份，数据应包括ATS软件、CRT、VPN等常用软件，保证在恢复时不需安装其他软件便可正常使用，减小外面软件安装造成的风险。

3、操作权限管理。ATS服务器系统采用Linux操作系统，相关操作均需使用专用命令，故对维护人员的技能水平要求高。在综合联调期间，维护人员组成以少量老员工及大量新员工组成，技能相对薄弱，因此需要该期间进行培训，但难免就存在由于培训造成误删或误改数据的情况，影响设备使用，耽误联调进度。一号线系统配置原因至今在该方面仅能通过管理手段限制人员的删除、修改，故建议在后续线路中将系统用户分为两级，一级为超级用户级，具备系统操作的最大权限，用于软件的安装、删除等；一级为一般用户级，仅具备系统操作的部分功能，例如系统信息查看、软件日志查看等查询、复制类等功能。例如设置一具备所有操作权限的root账户；设置一仅具部分权限的维护账户，限制其相关操作。通过这样账户分设手段，可以有效地减少人为误操作而造成系统的出错的几率。

4、设备操作密钥管理。维护子系统作为信号系统中的一部分，部分设备安装于正线车站中，联调期间由于厂家有时会利用车站维护工作站远程登录其他设备或打开监控功能进行列车调试。若非本专业维护人员知晓设备密钥，则可以顺利登入系统进行操作，严重时影响列车运行安全。故在对相关密钥保存时，需要严格执行保密制度，同时对于工作站中的远程登录原件应严格控制。

5、人员管理。一号线综合联调期间各子系统设备已投入使用，相关设备操作已交由各部门操作人员完成（包括调度、客运、其他信号专业人员等），但普遍操作人员初接触软件操作生疏，且对软件好奇心重，导致存在任意乱操作软件、更改软件配置等问题。同时该时期厂家仍在对各子系统设备进行配置及软件修改完善，有时为方便远程进入系统修改其它位置数据配置，存在一定的安全隐患。在该情况下，ATS专业加强了各操作人员的实操培训，对于常用功能进行现场考核，同时严格要求厂家，在未授权的情况下禁止远程登陆超出作业区域。通过这些手段，有效的控制了减小了操作人员对系统的影响。

6、非必要系统的离线。控制中心ATS培训仿真子系统与试车线子系统是信号系统中两个能够离线工作的子系统。在日常使用中该两个系统操作人员多、身份复杂，所以在系统功能具备后应及时断开与正线系统的物理连接，以减小系统受损的风险。

三、后期线路建议

为后续线路能够更加合理、有效的开展软件安全管理工作，结合一号线经验，将软件安全划分为5层：物理层安全、系统层安全、网络层安全、应用层安全以及安全管理，如图1，后续线路建议按照该五层开展软件安全工作。

3.1物理层安全

物理层安全主要体现在通信线路、工作设备的可靠性，例如封闭线路中交换机多余端口、线缆的有序标识等；工作设备的端口物理层的封闭，替换设备、拆卸设备的安全，接入的移动设备环境干净，无病毒等。该层次需要注意在联调前关闭不必要的各类设备端口，包括交换机、工作站、服务器的USB、网口、光驱等各类闲置端口，仅需保留数量有限的必要端口，例如设备集中站保留1个USB口、1个光驱、2-3个网口，一般站仅交换机需保留2-3个网口。

3.2系统层安全

系统层安全问题来自于服务器、工作站使用的操作系统：linux、Windows。安全性问题表现在4个方面：1）操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞和多余端口的开启等； 2）操作系统与硬件的兼容性而造成的稳定性问题； 3）人为性误改、误删系统文件；4）病毒对操作系统的威胁。该层次需注意分散设备的管理，关闭掉多余的接入端口驱动，与端口硬件关闭形成双保险；对较为干净系统提前进行备份；记录设备不间断运行的稳定性，对影响稳定性问题进行统计（例如死机、蓝屏、自动重启等）；严格控制设备接入，保证无外来病毒。

3.3网络层安全

网络层安全问题主要体现在网络信息的安全性。包括网络隔离（培训室、试车线与正线系统分离）、网络资源的访问控制、远程接入的安全，入侵检测的手段，网络设施防病毒等。该层次需注意培训系统、试车线提前与正线系统分离、关闭部分非常用设备的远程登录权限（不包括关闭被登陆权限）、外部系统设备（非信号）必须通过防火墙接入网络等。

3.4应用层安全

应用层安全问题主要体现在必要的软件上，例如ATS人机软件、CRT、VPN软件等。在该层次应注意软件安装前后的备份、软件版本的控制、其他软件的使用权限等问题。

3.5管理层安全

安全管理包括安全技术和设备的管理、安全管理制度、人员的组织规则等。管理的制度化程度极大地影响着整个系统的软件安全，严格的安全管理制度、明确的人员角色定义都可以在很大程度上降低其他層次的安全漏洞。该层次中需要对安全密钥、维护人员权限进行明确划分，避免因误操作影响系统的完整性。同时应加强对其他部门使用人员的培训工作，强调那个些功能不能用，哪些按钮不能点，避免因好奇乱点乱操作设备。

四、结语

综合联调期间由于设备初步接管，面对设备分散且处于磨合期，使用人员数量多位置分散且掌握不够，维护人员了解和熟悉设备性能不足、技能水平掌握程度不深等问题，因此，为保证系统软件安全，确保联调顺利进行，做好综合联调中的软件安全管理具有重要的意义。

参 考 文 献

[1]李雪梅.工业系统信息安全管理体系的构建[J].微计算机信息，2007（3）.

[2]蔡晓蕾.朱胜利.陈玉峰.王浩.北京地铁5号线乘客信息系统安全体系的设计与实现.铁路计算机应用，第17卷第1期.

[3]庞章生.浅谈计算机通信网络的安全及防护措施.科技向导，2013（31）.