Q4: 轨道交通信号系统怎么保护？

Q4: 轨道交通信号系统怎么保护？

A: 轨道交通信号系统直接关系行车安全，防护方案需兼顾信息安全与功能安全：

1. 信号系统安全分区：将信号系统网络划分为安全关键区和非安全关键区。安全关键区包含 CBTC 核心（如 ATP 列车自动防护、计算机联锁等），非安全关键区包含维护诊断、数据记录等辅助系统。区间之间部署防火墙进行隔离。
2. DCS 通信安全：CBTC 系统的数据通信子系统（DCS）采用独立的通信网络，在 DCS 边界部署工控防火墙，控制对信号系统网络的访问。对车地无线通信实施加密和认证保护。
3. 边界防护：信号系统与综合监控（ISCS）、乘客信息系统（PIS）、办公网络等其他系统之间部署防火墙，严格限制跨系统通信，仅允许必要的数据交换。
4. 入侵检测与审计：在信号系统网络中部署旁路入侵检测系统，监测异常通信行为。部署安全审计系统，记录信号系统中的操作行为和通信事件，支持安全事件追溯。
5. 终端安全加固：对信号系统工作站和维护终端进行安全加固，关闭不必要的端口和服务。部署终端白名单软件，控制可执行程序的运行。
6. 维护安全管控：信号系统的维护操作需通过专用维护通道进行，所有维护操作记录日志。维护终端需经过安全检查后方可接入系统。

轨道交通信号系统安全建设需同时满足等保三级和 SIL 4 安全等级要求。