摘要：随着全自动运行系统技术和城市轨道服务器云技术在地铁工程项目中的应用，地铁信号系统的内部和外部接口持续增加。作为地铁工程项目重要组成部分的信号系统，其信息安全防御至关重要。本文通过分析地铁信号系统的架构，针对存在的安全隐患和防御现状，提出了地铁信号系统信息安全的主动和被动防御体系。结合主动和被动防御技术，首先构建了被动防御模型，然后从技术、安全和管理三个层面提出了主动防御模型。通过这一综合方法，实现了确保地铁信号系统信息安全的目标。

关键词：地铁；信号系统；主、被动防御模型

近年来，随着城市化建设的不断推进和交通需求的日益增长，地铁作为城市轨道交通的重要组成部分，正承担着日益加大的运输压力。地铁信号系统作为地铁运营中的核心技术之一，直接关系到列车的安全运行和乘客的出行体验。作为一个复杂的网络系统，地铁信号系统涉及众多关键设备和数据，一旦遭受攻击或发生故障，就可能导致列车运行中断、安全事故等严重后果。因此，加强地铁信号系统的信息安全防御技术研究对于保障地铁的安全运营和提升城市交通服务水平具有重要意义。

一、地铁信号系统相关概述

在通常情况下，地铁信号系统主要以列车自控系统ATC为主。地铁信号系统施工是一个涉及多个学科和技术领域的复杂过程，包括安全防护、材料选用、工程管理、地铁车站运营、控制中心调试，以及列车车载信号设备、通信设备和监视设备等[1]。因此，地铁信号系统施工需要多个学科和专业的协调合作，以确保整个系统的质量和安全。

二、地铁信号系统的安装与调试

ATP系统的施工与其他地铁信号系统的施工相互关联，需要与ATO和ATS等子系统进行协调，以确保整个地铁信号系统的正常运行。在地铁信号系统的施工过程中，专门的工程师和技术人员负责ATP系统的安装和调试，并与其他相关人员配合工作。ATO作为地铁信号系统的核心组成部分，负责列车的自动驾驶，包括自动离站、列车速度调节、列车目标制动以及车门、站台门的开关等关键功能。这些功能的实现不仅提高了地铁列车的运行效率和安全性，还降低了人为操作可能带来的误差和风险。对于ATS系统的功能，在地铁信号系统的施工过程中需要进行相关的安装、调试和测试工作，以确保系统的准确性和可靠性。同时，需要培训相关操作人员，使其能够熟练地操作ATS系统，确保地铁运营的安全和顺畅。ATS主要位于OCC控制中心，通过网络与列车通信，并指挥列车安全运行。各个信号集中站也具有一定的ATS功能，辅助中央ATS完成相关功能[2]。

三、地铁信号系统信息安全状况

（一）信号系统网络架构

信号系统在物理位置上包括了OCC控制中心、车辆段、停车场、设备集中站、非设备集中站等场景，具体组成如下：OCC作为地铁运营的指挥中心，对线路的安全运营起着重要作用，通过集中调度和控制，确保地铁的运行安全、高效和可靠；车辆段和停车场是列车车辆的集结地，负责日常运营调度，确保列车按既定时间表准时发车、到站；设备集中站是独立的业务大区，在信号系统中主要功能是供车站值班员控制车站信号设备；非设备集中站同属于关键的业务区，车站的调度监管人员通过非设备集中站调度业务系统可以观察信号系统的工作状态，但不能进行指令操作。在地铁信号系统中，数据通信系统（Data Communication System，简称DCS）作为各个子系统的信息传递纽带，其重要性不言而喻。DCS不仅负责将各个子系统互联互通，还构成了信号系统的网络架构，包括有线和无线网络两部分。地铁信号系统的网络架构复杂而精细，其中有线网络通过光缆连接了中心与车站、车站与车站、信号骨干网、维护支持系统（Maintenance Support System，简称MSS）网等关键部分。DCS骨干网则通过有线方式将控制中心设备、数据库、地面联锁设备、接入交换机等相互连接，实现了地面与地面、地面与车载之间的通信[3]。

（二）信号系统安全隐患

1.网络安全方面

（1）需要与外部系统进行互通互联：地铁信号系统需要与综合监控系统、站台门系统、通信系统等外部系统进行互通互联，以实现信息共享和协同工作。这种互联性也增加了系统面临的潜在安全威胁。（2）信息过滤和控制困难：对进入和离开信号系统内部的信息进行过滤和控制是一个具有挑战性的问题。由于信号系统内部的信息交互依赖于传统的通信协议和接口，直接控制应用层协议命令较难实现。（3）底层通信协议和接口限制：信号系统内部的信息流通通常依赖于特定的通信协议和接口，这些协议和接口通常较为底层，难以对应用层协议命令进行过滤和控制。（4）缺乏防御技术手段：地铁信号系统缺乏有效防止攻击的技术手段，容易受到病毒和木马攻击。（5）面临非授权设备接入风险：缺乏检查、定位和阻断非授权设备接入内部网络的能力，地铁信号系统可能面临机密数据泄露、系统被恶意操控等安全风险。（6）恶意代码威胁：地铁信号系统缺乏对恶意代码的检测能力，一旦系统被植入恶意代码，可能导致系统崩溃、数据损坏等严重后果，并且攻击者可能长时间操控系统造成严重影响。

2.主机安全方面

（1）缺乏基本的安全功能和审计功能，无法提供有效的安全保障和监控。（2）传统的预防病毒软件更新不及时，导致系统容易受到恶意病毒攻击。（3）无法对重要信息数据进行有效识别，即使检测到重要数据受到攻击，也缺乏修复的能力。

（三）信号系统安全现状

《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）规定地铁信号系统需按照三级标准执行，这一规定的出台在一定程度上提高了信号系统的稳定性。然而，现有的信号系统虽然通过设置多重屏障增强了安全性，但仍然存在功能不完整和缺乏主动防御能力的问题。

四、信号系统信息安全主、被动防御体系建模

（一）主、被动防御体系的提出

主动防御体系是针对地铁信号系统面临的网络安全威胁而设计的防御机制。该体系强调在入侵行为对信号系统造成恶劣影响之前，能够及时精准预警，并实时构建弹性防御体系，以避免、转移或降低信息系统面临的风险。主动防御体系旨在寻找并削弱入侵者的能力，或破坏他们的入侵行动。被动防御体系则是在遭受攻击或发生安全事件后，通过一系列措施来减轻损失、恢复系统，并收集分析攻击数据以改进未来的防御策略。这种防御体系强调事后处理、数据收集和系统恢复。根据国家相关部门对地铁信号系统信息安全防御系统安全等级保护的要求，可以建立地铁信号系统安全的主动防御系统和被动防御系统。

（二）主动防御体系模型

主动防御体系模型是一种综合性的安全框架，旨在通过预测、防护、检测和响应等阶段来主动应对网络安全威胁。这种模型强调在安全事件发生之前进行预防，以及在事件发生时快速响应，以最小化安全风险和损失。主动防御体系模型通常包括以下几个方面的内容：（1）安全策略（Policy）：定义组织的安全目标和要求，为整个防御体系提供指导和方向。（2）防护（Protection）：通过部署安全技术和措施，如防火墙、入侵检测系统、加密技术等，来阻止潜在的攻击和恶意行为。（3）检测（Detection）：利用安全监控和日志分析工具，实时监测网络流量和系统行为，发现异常和可疑活动，及时触发警报。通过主动防御体系模型的构建，可以及时发现和应对潜在的安全威胁和攻击，有助于保护系统和网络的安全，确保信息的机密性、完整性和可用性。主动防御体系模型的监测对象主要包括主干网、深灰网、浅灰网、交换机，通过对访问的数据信息包特征的论证和分析，能及时发现可疑病毒并进行阻断，进一步保证地铁信号系统信息的安全[4]。

（三）被动防御体系模型

被动防御体系模型主要侧重于在攻击发生后进行应对和恢复。它强调通过收集和分析攻击数据、恢复受损系统以及改进防御策略来减少未来的风险。被动防御体系模型主要由以下几个部分组成：（1）事件检测与识别：依赖安全监控工具和系统日志分析，以检测异常行为或安全事件。一旦发现潜在的安全事件，系统会触发警报。（2）事件响应与处置：在安全事件被检测到后，需要迅速进行响应，包括隔离受影响的系统、收集和分析证据、确定攻击者的身份和攻击手段等。同时，需要采取措施阻止攻击进一步扩散和损害。（3）损害评估与恢复：评估攻击对系统、数据和业务的影响，确定需要恢复的资源和时间。然后根据灾难恢复计划进行系统和数据的恢复工作。通过被动防御体系模型的实施，可以及时、有序地处理安全事件，减少损失，恢复系统正常运行，同时从中学习提升未来的安全防御。这种模型为地铁信号系统信息安全提供了重要的支持和保障。

五、地铁信号系统信息安全主、被动防御体系分析

主动性和立体性是地铁信号系统信息安全主、被动防御体系的两个主要优势。通过建立这两种体系模型，并明确它们的分工，实现相互合作，共同为地铁信号系统的安全运行提供保障。地铁信号系统信息安全被动防御体系与主动防御体系关系对照，具体如表1所示。

（一）信号系统安全域划分

地铁信号系统的安全域划分是为了保障系统的安全性、可靠性和高效性。这种划分通常基于不同的访问对象和系统功能，将系统划分为多个安全区域，通过物理和逻辑隔离限制对关键系统和数据的访问，以防止潜在的安全威胁。一般来说，地铁信号系统的安全域划分包括以下主要区域：（1）控制中心区域：这是地铁信号系统的核心，负责监控和控制整个地铁网络的运行。控制中心通常包括中央服务器、监控设备、网络设备和其他关键系统组件，需要具备高度的安全性以防止未经授权的访问和恶意攻击。（2）车站区域：包括各个地铁站的信号设备和系统，负责列车与车站之间的通信和控制。车站区域的安全域划分旨在确保列车安全和高效运营，同时避免恶意攻击或破坏。（3）车辆段区域：作为地铁列车的停放和维修地点，包含列车控制系统、维修设备和相关设施。此区域的安全域划分旨在确保列车维护和修理的安全，预防未经授权的访问和恶意攻击。通过这样的安全域划分，地铁信号系统能够更好地保障其各个区域的安全性和系统的整体可靠性。

（二）网络安全域划分

网络安全域的划分是基于网络安全需求和策略，将网络划分为不同的安全区域，以实现对网络流量的有效管理、控制和监控，提高网络的安全性和可靠性。一般而言，网络安全域可划分为以下几个方面：（1）核心交换区：作为网络的核心部分，负责高速数据交换和路由转发。该区域通常部署高性能的交换机和路由器，并采用高度安全性的配置策略，如访问控制列表（ACL）、防火墙等，以限制对核心设备的访问和防范攻击。（2）服务器区：存储和处理数据的重要区域，包括数据库服务器、应用服务器等。该区域需要高度的安全性和可靠性，通常采取严格的访问控制和安全审计措施，如入侵检测系统（IDS）、漏洞扫描系统等，以保护服务器和数据的安全。（3）用户接入区：是用户接入网络的地方，包括有线和无线接入方式。这一区域需要实现用户身份验证、访问控制和流量管理等功能，以预防未经授权的访问和恶意攻击。（4）DMZ区：即隔离区域，通常用于放置公共服务器（如Web服务器、邮件服务器等），接受来自外部网络的访问。DMZ区与内部网络隔离，并采取严格的安全策略和访问控制，以保护内部网络的安全。通过合理划分网络安全域，可以有效保护网络各个区域的安全性，增强整体网络的稳定性和安全性。

六、结束语

地铁信号系统信息安全防御技术对确保地铁网络的安全、稳定和高效运行至关重要。随着信息技术的快速发展和网络威胁的不断演变，对地铁信号系统的信息安全提出了更高的要求。因此，构建全面、有效的信息安全防御体系成为地铁行业的一项紧迫任务。在构建地铁信号系统信息安全防御体系时，需要综合考虑系统的安全性、可靠性和经济性，并采取主动防御和被动防御相结合的策略。引入先进的技术和措施，如加密技术、入侵检测与防御系统、安全审计和日志分析、漏洞管理和补丁更新等，可以显著提高系统的安全性和防护能力。尽管已经采取了一系列保护措施，但地铁信号系统信息安全防御体系的模型构建仍有待进一步完善。未来需从安全评估、防御利益等角度出发，合理部署地铁信号系统的安全防御体系，以不断提升系统的抵御能力和应对能力，确保地铁网络运行的安全、稳定和高效。

作者单位：王辉 中铁通信信号勘测设计院有限公司

参考文献

[1]张金红.地铁信号系统联锁故障时的行车安全保障措施[J].工程建设与设计，2017（10）：214-215.

[2]邱成.地铁信号系统联锁故障问题与行车安全保障初探[J].数码设计：下，2020（1）：260.

[3]杨阳.地铁信号系统车载故障的影响分析[J].工程建设与设计，2019（18）：100-101.

[4]佟雨镪.地铁信号系统信息安全防御技术研究[J].城市周刊，2022（43）：16-18.