地铁自动化系统信息安全防御策略
开篇:润墨网以专业的文秘视角,为您筛选了一篇地铁自动化系统信息安全防御策略范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【摘要】近年来,随着经济水平的提升和信息技术的普及,城市建设相对于以往也有了较大变化。其中地铁是城市经济发展最为显著的标志,也在建设中引入自动化系统,目的在于提高地铁运营效率。但不得不指出,如果没有妥善处理自动化系统信息安全问题,必然会在日后安全运营下埋下一系列隐患,甚至引发严重的突发事件,需要对其给予高度重视。本文以地铁自动化系统信息安全现状为切入点,从信号信息系统安全防护、通信系统信息安全防护、综合监控系统安全防护以及自动售票检票安全防护分析其具体防御策略,望给予地铁自动化工作人员提供参考。
【关键词】地铁;自动化系统;信息安全;防御策略
前言
经济水平的提升也促进地铁自动化系统建设发展,该系统技术装备也从传统的单一化逐渐过渡到互联和信息共享的大规模地铁系统。目前大部分地区地铁运营指挥系统都建立在通信网络、计算机网络和信息网络基础上,呈现出智能化、网络化和数字化特点,尤其IP和TCP技术的出现更好地促进网络融合,为地铁自动化系统实现智能化和集成化发展带下良好的基础。然而IP和TCP协议无法较好地保障网络通信安全,再加上不断增加的地铁运行线路信息点,其信息安全面临更大的挑战,也是当前地铁自动化系统急需解决的问题。
1地铁自动化系统信息安全现状
1.1地铁重点事件
2012年4月,某地区地铁某条线路多次出现暂时停运情况,对各种可能因素排除后将原因锁定于乘客携带的无线路由器有关,之后对其路由器进行打开和关闭状态下对比测试,结果显示,信号系统指令会在打开无线路由器后显示异常,造成列车紧急暂停;关闭路由器则信息系统正常,所以可判定信号系统被乘客携带的无线路由器所干扰。一般地铁信号系统使用24Ghz公用频段,不可避免会存在相应的安全隐患。由于CBTC系统车、地通信使用相同的无线网络设备和频率,其发射频率也只单单大于普通设备近1倍,因而如果乘客在乘车时携带无线路由器必然会干扰正常通信。近年来,随着移动通讯水平的提升和不断增加的移动终端,地铁信息传输常常会被乘客携带的手机和ipad等移动终端干扰,甚至会造成地铁追尾和停运等严重事故,再加上很多网络黑客也利用WLAN相关协议弱点对其发动攻击,同样会产生不可预知的后果。
1.2信息安全整体现状
对于地铁自动化系统信息安全需要从技术层面和管理层面分析其整体现状,其中技术层面,系统服务器和操作站配置相对薄弱,存在较多问题,只有防病毒和防火墙等单一防护设置,缺少异常防范措施。没有严格限制登陆源地址,十分容易造成非授权对核心网络设备进行访问,由于没有在系统设置审计手段,因而无法及时其实施相应的维护。此外在自动售检票系统方面,应用系统数据方面没有达到国家系统安全要求等级,存在默认使用系统人员登录操作行为,较易出现因过大权限而出现失误,默认账号没有设置相应的重命名,较易被猜到密码。
2强化地铁自动化系统信息安全防御思路
当前地铁自动化系统面临如区域没有设置相应访问控制措施,系统没有划分安全区域,第三方人员运营维护系统缺乏审计措施,系统安全配置相对薄弱等技术问题。对此根据城市地铁自动化系统防护等级要求可依次划分自动化系统防护等级,从网络上将系统自动分隔,这期处于不同安全区域之中。同时对于无线网络等实施准入控制和边界防护等措施,对此提出系统逻辑防护隔离,系统内风险控制和安全加护以及统一呈现信息安全问题等地铁自动化系统信息安全策略。针对自动化系统安全威胁则需尽快布置工业安全网关,由此保证不同系统产生数据安全性。通过在自动化系统中部署相应工业控制系统实现统一控制管理各个子系统和安全设备,从而实现集中展现安全风险和统一管理工程安全设备。针对组织结构人员存在职责缺乏完善和信息安全管理流程缺乏健全等问题还需在系统安全管理、组织机构安全、安全管理制度以及安全运营维护等方面不断加大力度。例如针对系统操作人员和维护人员制定相应的操作流程,针对安全管理工作建立管理制度,设置单独部门和工作人员定期监督和维护温湿度控制、空调、机房供配电,针对机房服务器开关机、机房出入等工作实施控制管理,定期监测重点通信线路、网络设备、主机、应用软件等运行情况,进一步更好地保护地铁自动化系统信息安全。
3地铁自动化系统的信息安全防御策略
3.1信号系统信息安全防护
地铁信号系统是保证列车准点、高密运行以及安全等重要技术设备,当前世界各大城市地铁信号设备运用列车自动控制系统,也称为ATC。该系统由列车自动防护子系统、列车自动监控子系统以及列车自动运行子系统。按照不同区域对信号系统信息安全实施相应的防护划分,在中央信号设备室部署工业防火墙、现场运维审计、工控异常监测系统、操作站安全系统等,同时在车辆段维护中心部署工控异常监测系统,在事故控制室内部署操作站安全系统以及在车辆段控制中心部署工业防火墙、异常监测系统以及操作站安全系统。
3.2通信系统信息安全防护
建立可独立扩展的通信网是保证城市地铁高效安全运营的前提并有效地传输地铁相关数据、语音、图像等各种信息。可以说地铁控制系统通信系统直接服务于地铁控制系统运营,也是保证列车快速安全高效运行等不可缺少的自动化系统。
3.3综合监控系统安全防护
综合监控系统是建立在地铁通信网络上的SCADA系统,具有分层式大型监控系统等显著优势。该系统能实时集中控制机电设备和保证各个系统之间联动协调,还可实现对车站环控、屏蔽门、门禁、照明、防淹门、火灾报警信息、电扶梯、自动售检票、乘客信息显示、广播和闭路电视等多个设备集中控制和监视等功能,再借助综合监控系统能实现在日间正常运营、晚间非运营情况下、重要设备故障以及紧急突况等各个系统间相互协调等高级功能。一般综合监控系统由车站级综合监控系统、中央级综合监控系统以及其他骨干网络组成,而针对信息安全防护则集中在车站级和中央级两方面。其中中央级综合监控系统多部署在工控异常监测、现场运维审计管理、工业控制信息安全管理、操作站安全等系统,通过对工业控制信息安全管理系统进行部署实现统一呈现和管理所有安全信息,还能过滤数据包,实现保护。通过部署现场运维审计管理实现对其现场管理以及通过部署操作站监控移动存储介质和流量。
3.4自动售票检票安全防护
地铁自动售检票系统的读卡器由RF板、主控板、天线板、SAM卡板组成,通过使用USB通信接口实现与RS232相互切换使用。读卡器使用的RFID技术部件则由电子标签(一卡通、单程票)、读写器(天线、读写器)等组件组成。工作原理为,天线会在读写器接通电源后形成磁场区域,电子标签进入磁场区域后会立即接受到其中得到读取信息,之后凭借感应电流获得相应的能量,最后将已经存储于芯片中的相关信息发送出去,当读卡器读取信息并对破译解码后则直接将其送往中央信息系统接受处理。一般地铁收费系统都为封闭式计程、计时系统,使用单程票、储值票、一卡通,同时采用验票、自动检售票满足乘客在地铁站内快速换票乘车需求。在中央信号设备室部署信息安全管理系统、防病毒系统、防火墙、工控漏洞扫描、入侵检测、数据库审计系统。在线路管理中心部署信息安全管理平台、终端安全系统、数据库审计系统、防病毒系统等。
4结语
总之,城市地铁线路管理和实际运营的自动化程度会随着高速发展的城市轨道交通而逐渐增高,一定程度也会十分依赖网络系统,大部分用户都开始关注地铁自动化信息系统的管理性、安全性和可靠性。所以地铁自动化系统部门应根据水平分区、内部监测、垂直分层等防护思路在不同方面设置相应的防御措施,从而保证地铁安全运行。
参考文献
[1]肖衍,刘新龙,唐沂伟.地铁自动化系统的信息安全防御策略研究[C].智慧城市与轨道交通学术会议暨智慧城市轨道交通学组年会,2015.
[2]肖衍,苏立勇,刘新龙.地铁综合监控系统的信息安全防护[C].智慧城市与轨道交通,2016.
[3]郑重.轨道交通自动化系统信息安全应用浅析[J].建筑工程技术与设计,2016(20).
作者:张博凯 单位:南宁轨道交通集团有限责任公司建设分公司