张军涛

摘 要：城市轨道交通的安全运行对国家安全、社会稳定有着重大的影响，安全事件的频繁出现，使得安全问题引起了人们的广泛关注，急需解决。国家、行业和建设运营单位应加大这方面的研究，制定新政策、新规范，加大专项资金投入，解决城市轨道交通安全问题，保障运行安全。

关键词：轨道交通；信号系统；安全问题；对策

1轨道交通信号系统概述

轨道交通信号系统一般是由连锁装置和列车自动控制系统（ATC）两大结构组成。ATC又分为列车自动监控系统（ATS）、列车自动防护子系统（ATP）和列车自动运行系统（ATO）三个部分。它们利用信息交换网络构成闭环系统的方法，实现地面控制与车上控制相结合、现地控制与中央控制相结合。组成一个列车自动控制系统，包含集行车指挥、运行调整以及列车驾驶自动化等功能，它是一个安全基础设备。ATS是ATC的核心功能，是由OCC（控制中心）内的设备实现，自动和人工都可以进行监督与控制，从而给外部系统提供真实有效的信息。ATP具有列车检测的功能，可保障列车运行的安全。ATO利用分析地面情况来进行控制，不管列车加速还是减速，都能保证舒适、节能。这三个系统相互作用才能提高列车的安全运行，各式各样的科技化产物造就了轨道交通系统，具有成本低、效率高的特点。总体来说，速度提高、效率变快、安全性更有保障。

2轨道交通脆弱性分析

2.1平台脆弱性

平台脆弱性包括平台硬件脆弱性、平台软件脆弱性和平台配置漏洞。其中，平台硬件脆弱性是指硬件设备由国外提供，有恶意植入问题。平台软件脆弱性主要有运维依赖国外，软件恶意后门，为了满足远程数据调试、信息收集的常规技术后门3个方面。平台配置问题包括访问控制策略不合理、口令策略不恰当、补丁更新不及时、使用默认配置、开启不必要的服务、未安装恶意防护软件和更新不及时等。

2.2网络的脆弱性

网络的脆弱性主要体现在以下几个方面。

a）信号系统网络架构不合理，未划分安全域。生产系统所处网络未划分安全域，缺乏安全隔离和防护设备。例如：各种生产系统之间仅通过VLAN的划分形式，未采用防火墙等安全设备进行逻辑隔离。一旦某台终端违规外联、感染病毒，或者发起网络攻击，将会造成网络大面积服务中断，并且无法快速地定位攻击源和感染源，从而引起地铁长时间无法正常运营。

b）网络传输采用标准协议，对数据、用户和设备的验证不充分。在系统设计初期，缺少网络安全防护设计，大量使用明码传输，极易被破译和伪造。虽然目前安全意识已提高，但仍存在客户端与接入点之间的验证不充分、数据保护不够等问题。2012年4月对某市地铁10号线的扫描检测发现，轨旁AP隐蔽性差，安全性低，例如：广播SSID未采用任何加密机制和任何接入认证机制，对接入终端未做限制，攻击者可通过利用这些安全性较低的AP，直接接入到无线网络中，对其进行恶意攻击；而对某市地铁4号线的检测发现，其机车驾驶室车顶信号AP使用了WEP的加密方式，该加密方式极易被破解。攻击者可利用破解后的WEP密钥接入到无线系统中，对4号线机车正常运营构成严重的安全威胁。

c）无线通信易被物理干扰。CBTC模式下的轨旁AP信标及点式固定闭塞模式下的LEU应答器在与列车通信时均采用开放的无线通讯方式，所以传输的信号很容易被干扰。假如遭到干扰就会导致ATP轨旁系统无法获得列车传递的信息，ATP系统将无法正常工作，最终影响地铁正常运营。

d）工业领域的通信设备为非自主可控产品。工业领域的交换机、路由器多数为国外品牌，存在较大的安全隐患。此外，持续外包国外服务的可靠性、安全性也难以保证。

2.3管理脆弱性

管理脆弱性主要体现在以下几个方面。

a）安全政策规范欠缺，安全意识薄弱。城市轨道交通领域安全管理有待提高。通过访谈了解到，大部分地铁在信息安全管理方面，体系架构尚未考虑信息安全问题，同时也缺乏从设计、开发、运营和维护等各个环节的信息安全规范准则。员工对安全的理解还主要停留在传统的行车安全方面，针对信息安全风险防范、安全意识等方面有待进一步地加强。

b）生产系统服务器未及时更新升级补丁。部分服务器已发现存在远程认证绕过、缓冲区溢出和conficker蠕虫等高危漏洞，没有及时更新，存在恶意人员利用这些已有的高危漏洞访问、甚至破坏系统的危险。

c）生产系统终端管理不完善。部分终端未安装杀毒软件或者未及时升级，未对USB接口进行封锁，发现USB违规使用的痕迹。若USB设备带入病毒，则可能大面积感染整个系统设备，导致整个系统无法正常运营。其次，还存在终端安装了非正常工作需要的软件，用户名和口令张贴于显示器等问题。

3轨道交通信息安全对策建议

3.1采用故障树分析法对故障进行分析

故障树分析法是分析系统安全性与可靠性最常用的方法，从一个可能的故障开始，由上至下，一步一步寻找导致这一故障发生的可能原因，直到原因不能够被分析為止，并将这些事件的逻辑关系以树形图的方式表达出来。根据信号系统的组成将ATP、ATO、ATS和车辆基地信号控制系统作为顶事件；找到引起各子系统发生故障的直接原因及原因组合；分析所有能够引发子系统故障的事件，如果该事件依然能够被分解，则将其作为下一级的输出事件；逐级向下、层层分解，直到输入事件不能再分解或者不必再分解为止；对故障树进行定性分析，即找出引发系统故障的所有可能性。在对故障树进行定量分析过程中，判断引发故障的各底事件发生故障时引发信号系统故障的概率，即底事件概率重要度，从而找出容易触发信号系统故障的原因，作为重点监控对象。

3.2利用故障诊断系统进行动态监测

故障诊断系统是一种智能诊断系统。故障诊断系统一般由信号设备故障推理机、数据库、解答机以及图形显示等构成。图形显示的主要作用是让该故障诊断系统能够和外部进行数据信息的交换，数据库是用来存放信号设备可能出现的问题的集合，它包含了以往信号设备出现的种种问题。故障推理机能够利用数据库当中的存有的资料信息，结合现在信号设备的运行现状，进行故障原因的推理，找到引发故障的原因。解答机是根据系统内部所具有的数据库资料，用来解答用户的问题团。故障诊断系统除了能够完成故障的发现、故障问题的分析、故障原因分析和提出故障解决方案，它还能够在故障解决以后对整个信号设备进行监测和二次诊断，防止同样的故障再次发生。

3.3建立状态评价及风险监测模型

及时检测信号设备的运行状态，用健康指数进行表示，用信号设备发生故障的概率为依据对健康指数进行校正，对信号设备未来故障率进行评估和计算，明确信号设备故障的严重程度，建构风险监测模型。通过对信号设备运行状态的评估及时发现不良情况，并进行风险评定，根据评定结果确定安全隐患。

结束语

近几年来安全事件的频繁发生，使得城市轨道交通安全问题备受关注，其信息系统所面临的安全问题也日益突现。依据城市轨道交通的运行现状，结合信号系统的特性，对国家基础设施城市轨道交通信号系统的脆弱性、安全威胁和风险点进行了分析，最后提出了相应的对策建议。

参考文献：

[1]侯多林.浅析轨道交通信号系统可靠性与安全性[J].城市建设理论研究（电子版），2017（32）：18+28.

[2]刘龙.城市轨道交通信号系统安全的三级等级保护[J].城市轨道交通研究，2017，20（S1）：20-21.