轨道交通弱电系统信息安全等级保护整体防护思考

徐彦飞

（昆明地铁运营有限公司，云南 昆明 650000）

随着城轨应用能力的增强，建立轨道交通指挥与安全管理中心必须要提上日程，只有这样，才能构建安全感知平台，从多角度完成安全防护体系的搭建，借此来实现事前防御、事后审计的具体目标，在此基础上进行全生命周期全方位防护。信息安全等级防护涉及到多项内容，对安全防护能力增强以及网络、信息安全保障帮助较大，可以提升业务应用的安全性，其应用具有积极意义。

1 整体防护方案设计原则

关于安全等级整体防护的思考需要多角度和全面，整个系统信息安全是首先要考虑的因素，围绕其打造安全防御体系，在防御体系设计时，要参考业务应用安全需求，将实际需求作为设计的基础，在此基础上，结合国家政策法规，完成安全防护体系的立体构建。在建设过程中，科学的理念一定要秉持，遵循统一规划的原则，注重适度保护，并且强化分布控制集中管理的核心思想，具体设计原则如下：第一，最小影响原则。最小影响原则属于基本原则，要求在安全防护建设阶段要保持系统不变，在原有系统体系的基础上新增安全防护设备，并且防护设备的新增要以不影响既有系统为前提，要始终保持理想的系统运行效果。第二，符合性原则。整体防护方案的设计与建立要以政策法规为支撑，遵循行业管理条例，体现出与行业发展较高的匹配度。第三，整体性原则。整体性原则在安全体系的实际建设中不容忽视，属于基本原则，信息安全的防护能力强弱往往是由最薄弱的环节决定的，因此不能孤立，整体性是必须要遵守的，决不能片面地思考相关问题，而应该具备大局观，应用系统工程的原理和方法来科学评判系统的安全指数，从而获得指导性意见，推动安全系统规划的顺利实施，不断完善设计方案，将安全系数提高，为安全系统的搭建创造便利条件[1]。现实应用中，安全系统可以发挥作用的一项重要原则就是采取统一管理策略，站在整体的角度完成对行为主体和客体的管理，只有这样，才能保证安全策略的可靠性，避免安全短板存在。与此同时，还要注重划分管理角色，通常情况下，应实现三权分立（系统、安全、审计），让三者相互监督，这样一来，可以避免角色权限过大，有利于系统的稳定。

2 整体防护方案

针对目前现有的情况，可以将城轨弱电系统保护等级进行统计，具体情况如表1所示。

表1 系统安全等级统计

目前存在的问题主要集中在常规轨道交通在保护等级建设中，没有形成统一整体，各系统均处于独立状态，无论是建设，还是后期的维护与运营，都是分开进行的，安全管理中心没有发挥作用，缺少合理的态势感知平台，这样安全等级保护存在弊端。针对上述问题，提出如下改进建议。

2.1 借助结构安全构建的防护方案

作为独立业务区域，在实际应用中信号系统控制中心拥有非常重要的地位，作用举足轻重，在安全防护中扮演重要的角色，主要负责调度交通，因此可以将信号系统控制中心看作是核心区域，直接关联区域网关，需要采取重点防护措施，使之形成有效隔离。想要达到理想防护效果，可以借助各类交换机，像比较常见的有ATS、ATC等，以此来提升系统的防御系数，帮助系统免遭侵袭，如果系统被入侵，则会在第一时间对入侵数据进行系统、全面的检测与分析，在此基础上完成对系统的监护，凭借发出的警报指令，监护人员可以作出准确判断，采取有效处理措施，避免各种病毒侵袭，防止木马等形成的伤害。与此同时，采用先进的ATS交换机，可以让审计系统更加完善，可根据不同危险信号发出警报，提高系统运维可靠性[2]。也可以利用防护网关点，帮助维护人员完成对信号系统的审核工作，提高工作效率。

实践表明，采用一体化防护方案可以达到预期的信息安全防护效果，应用价值较高。一体化防护的核心思想是要设置管理中心，实现集中化管理。在实际应用中，安全管理中心的地位非常凸显，可以将信号系统等设备资源进行整合，并将资源整合优势合理发挥，提高管理的效率，大大增强系统安全和稳定性能，保障各项功能。另外，要对系统的安全策略以及审计日志等功能统一管理。在此基础上将整体防护体系打造完成，将信息的集中与融合优势体现出来，以此来强化对安全态势的感知能力以及溯源和应急处理能力。为了确保统一安全管理中心可以发挥出理想的效果，需要设置交换机（三层），供信息安全专用，将安全防护网关和专用交换机连接，实现安全隔离。与此同时，将交换机接入不同的VLAN，这样既可以保证通信隔离，又可以借助路由的配置获取系统安全信息，应用效果较为理想。在此基础上，辅助云计算功能，可以让城市轨道信息系统运行更加高效、安全，通过一体化防护方案的实施，可以将信息安全等级提升。

图1 云计算助力下的城市轨道信息系统

2.2 利用持续性安全构建的防护方案

任何信息系统所采用的安全设备都需要高质量地定期维护，只有这样，才能保证各项性能良好，因此专业的维修队伍必不可少。在现实工作中，维修团队的核心任务就是采取合理手段确保各种设备性能良好，可以持续发挥作用，以此来巩固系统的安全运行，提升运行效率，这样就可以及时发现并排除隐患。为了提升安全性，安全软件要定期更新，防止各种病毒侵袭，将危害程度降到最低。值得注意的是，如有外界设备终端，应该重视网关安全防护的设置，以此提升系统的运行稳定性，并且做好通信网络安全的防护工作。

除了上述措施外，还要保证主机环境时刻处于安全的状态，也就是信息处理过程的安全性，主机构成相对复杂，包括终端、服务器等，还需要一些网络设备的辅助，因此主机运行环境是否安全是一项重要指标，属于城轨信息安全等级保护的核心内容。另外，在实际工作中，还要强调数据安全的重要性。数据安全涉及较多内容，在数据安全防护过程中，身份识别、安全审核、通信保密等都是数据安全的基础。想要对数据的安全性进行保障，就要发挥软件保护功能，在主机环境安全的配合下，提升安全防护等级。

2.3 利用行为安全搭建的防护方案

实践证明，在防护体系搭建完成的基础上，还要做好通信网络安全工作，确保信息的时效性。研究发现，通信网络是实现信息安全等级提升的主要通道，因此重视通信网络安全，是一项重要防护措施。想要达成理想目标，就要对通信双方可信度进行甄别，完成安全通道的建立，借助安全通道，让网络数据得到全方位的保护，既要保证私密性，又要强调完整性，避免重要信息被窃取或者是恶意篡改[3]。由于正线设备相对集中，在现实应用中，分布在主要区域，如果系统被入侵，此时想要提高防御能力，就要依靠ATS交换机来塑造完整的防御系统，以此来强化防御的功能，借助防御系统完成比对和分析工作，并及时发出警报，这样的设计，可以为应急方案的实施争取时间，将危险系数降低。

2.4 借助本体安全搭建的防护方案

前文已经提到过，城市轨道交通信号属于较为全面且科学的体系，应用性较强，系统构成相对复杂，主要配置核心内容较多，例如：工作站、服务器等，这些都是不可或缺的，在应用阶段，这两个设备的性能以及稳定性非常关键，可以直接影响调度水平与风险防御能力，同时还会对信号系统的运算能力造成影响，因此需要高度重视。为了发挥出工作站、服务器的作用，需要灵活制定防御方案，通过不同途径来帮助设备完成风险防御能力的大幅度提升，最大限度提高防御水平，为达到自我防御的良好性能提供保障，避免各类危害的侵袭。想要达到这一目标，就需要结合现状在各个终端安装性能优越的防护设备，构建防护体系，保证相关设备性能有效。

3 结束语

综上所述，针对城轨弱电系统的安全保护是一个持续性过程，安全保障体系的构建对城市轨道的发展至关重要，可以直接影响信息系统的稳定与安全。基于此，在实际工作中，要了解整体防护方案设计的基本原则，结合现实需求，完善防护体系，运用新技术、新设备，让防护性能提升，为安全等级保护提供持久性的动力。