城市轨道交通信号系统信息安全分析与对策

城市轨道交通信号系统信息安全分析与对策

发表时间：2019-04-28T09:57:31.593Z 来源：《基层建设》2019年第6期作者：田丰

[导读] 摘要：从网络安全法、工业控制信息安全和信息安全等级保护的角度，阐述了加强城市轨道交通信息安全建设的必要性。身份证号码：33070219861104XXXX 浙江金华 321000

摘要：从网络安全法、工业控制信息安全和信息安全等级保护的角度，阐述了加强城市轨道交通信息安全建设的必要性。分析了城市轨道交通信号系统安全风险评估的内容，提出了一种城市轨道交通信号系统安全风险评估方案，可以全面保护信号系统的信息安全。关键词：城市轨道交通；信号系统；信息安全

引言

目前，随着计算机、网络技术和无线通信技术的飞速发展，以及信息化和工业化的深度融合，城市轨道交通信号系统越来越多地采用通用协议、通用硬件和通用软件。因此，信息安全的风险对轨道交通系统尤其是信号系统提出了越来越严重的挑战。

1、信息安全定义

ISO/IEC27002《信息技术标准文件》对信息安全的定义是维护信息的机密性、完整性和可用性，即信息安全的三要素。国际电工委员会（International Electrotechnical Commission）定义的工业控制系统（ICS）信息安全标准IEC 62443中的信息安全定义如下：为保护系统而采取的措施；为建立和维护保护系统而采取的措施所获得的系统状态；以及避免未经授权的访问，系统资源和未经授权或意外的变更、损坏或损失，基于计算机系统的能力，可以保证未经授权的人员和系统既不能修改软件及其数据，也不能访问系统功能，但要保证被授权人员和系统不被阻塞；防止非法或有害的入侵工业控制系统，防止对工业控制系统的非法或有害入侵，或者干扰其正确和计划的操作］。在工业控制系统中，采用安全保证等级（SAL）的定量方法，从七个维度对区域或管道的信息安全进行处理和分析。对于城市轨道交通信号系统而言，信息安全的目标是为信号系统中的信息存储、传输和处理的生命周期提供一个“良好的自然”环境，信号系统本身应该从“邪恶的自然”的概念进行设计，以提高系统的鲁棒性。信号系统的信息安全目标不同于传统的通用信息技术系统。传统的通用信息技术系统遵循CIA原理，信号系统遵循AIC原理。

2、信号系统构成

CBTC（基于通信的列车控制）是一种连续的城市轨道交通自动控制系统。采用高精度的列车定位，独立于轨道电路，大容量，车地双向连续数据通信，实现车载和地面的安全功能处理。主要包括ATS子系统、ATP子系统、ATO子系统、DCS子系统、CI子系统和维护子系统。ATS子系统主要实现列车的自动识别、列车运行的自动跟踪和显示、运行计划或运行图的编制和管理、自动和人工进路安排、列车运行的自动调整、列车运行和信号设备状态的自动监控、列车运行的统计，数据、列车运行性能记录、运行和数据记录、输出和统计处理、列车运行。监控、仿真和培训、系统故障和恢复处理等。ATP子系统用于检测列车位置、实现列车间隔控制和正确的进路对中、监控列车运行速度、实现列车超速保护控制、记录司机操作和设备运行状态等，ATO 子系统用来启动列车并实现站间自动运行，控制列车实现车站定点停车、车站通过和折返作业，与行车指挥监控系统相结合实现列车运行自动调整等。DCS的主要功能是在信号系统各子系统之间传输数据。无线系统对于消息传输是完全透明的，需要采取保护措施来保证网络安全，分布式控制系统由骨干传输网和无线通信网组成，主干网由同步数字系统（SDH）传输设备和高端以太网交换机构成，传输设备的模块配置冗余，以确保单个模块故障不会影响设备，主干网采用双向环网拓扑结构，CI子系统设备是保证列车运行安全，实现轨道区段、道岔、信号机正确联锁的基本设备。其主要功能是保证上述设备的正确联锁关系，保护正常进路，监视轨旁设备的状态并下达命令，向ATS/ATP子系统提供CI子系统的设备状态。维护支持子系统的功能包括：采集和存储ATS和安全网的数据；集中监控系统管理；CBTC系统的维护和管理；故障报警和故障报警统计和报告。

3、城市轨道交通信号系统安全风险评价的内容

首先，被评价系统的管理层应提交自查报告，自查报告必须包含以下内容，如系统概述、技术规范、安全证书等。其次，提出了系统的评价指标，主要指标有两个：一个是信号系统的技术评价指标，另一个是信号系统的维护评价指标。前者可分为两个评价指标，即ATC 技术评价标准和安全防护评价指标；后者还可分为两个评价指标，即管理和维护评价指标和维护备件评价指标。最后，对于评价者来说，信号系统应该是现场调查的，信号系统的运行应该是现场检查的。本次调查的具体内容有三个方面：一是对自检报告中的故障进行调查分析，如站台屏蔽门定位精度不够、轨道电路掉码分析、影响联锁设备的主要因素识别等。开关，并寻找原因的底部失败。二是在自检报告中分析信号系统的性能，如轨道电路的可靠性、计算机联锁系统的可用性、停车场与正线接口转换区与标准的符合性、试车位置、要求等。对车辆和信号等进行分析，第三是对人员管理中的自查报告进行分析。

4、城市轨道交通信号系统安全风险评价方法

4.1 可靠性、可用性分析

一般来说，数学计算过程与技术数据和故障数据相结合，设备可靠性参数的计算一般包括三个部分：建立系统结构树和现场数据预处理、选择部件寿命分布模型和基于参数估计算法的部件可靠性计算。具体步骤如下：（1）根据技术数据，构建层次化的子系统结构树。并对其进行标准化；（2）根据使用时间将子系统组件分批次，根据结构树信息收集同一批标准化组件的现场故障数据；（3）确定待评估子系统组件的名称和当前运行情况，并对现场故障数据进行转换。根据设备维修记录的时间、运行信息，将以时间表示的特定部件现场故障数据转换为部件故障间隔数据；（4）计算部件样本的分布特征参数：均值、方差等参数（二阶矩、三阶矩、偏态等）；（5）通过对样本数据进行数学变换后计算平均失效率，得到平均失效率表；（6）考虑结构脂肪根据构件样品的分布特征参数和失效率趋势，综合考虑构件本身的老化损伤。选择相应的寿命分布计算模型（威布尔、甘贝尔等）；（7）通过点估计或区间估计（如极大似然变换）求解分布模型的参数，确定可靠性计算模型及其参数；（8）根据传感器绘制可靠性曲线。确定参数后的样本数据和数学模型的活动性。（9）评估计算：根据可靠性曲线和模型参数的趋势，判断产品的阶段和可能的失效原因，结合工程经验，提出是否能继续使用的建议。

4.2 可维修性分析过程

维修性计算过程依赖于评价分析规则的综合分析和专家经验。可维护性分析的一个示例过程如图1所示。