轨道交通信号安全

概述

城市轨道交通系统是城市公共交通的骨干，其安全运行关系到广大乘客的生命财产安全。轨道交通信号系统是保障列车安全运行的核心控制系统，负责列车的自动控制、运行调度和安全防护。随着轨道交通智能化水平的提升，信号系统越来越多地依赖通信网络和计算机系统，网络安全已成为轨道交通行业面临的重要课题。

轨道交通行业的信息系统主要包括信号系统（包含CBTC、联锁系统等）、综合监控系统（ISCS）、自动售检票系统（AFC）、乘客信息系统（PIS）和视频监控系统（CCTV）等。这些系统分布在线路控制中心、车辆段和各个车站，通过专用通信网络互联，构成了复杂的信息系统架构。

关键信息系统架构

信号系统是轨道交通最核心的安全系统，通常基于CBTC（基于通信的列车运行控制）技术。CBTC系统由自动列车监控（ATS）、区域控制器（ZC）、车载控制器（VOBC）、计算机联锁（CBI）和车地无线通信系统等子系统组成。ATS负责列车运行调度和管理，ZC负责计算列车移动授权，VOBC负责执行列车速度控制和防护，CBI负责道岔和信号机的联锁控制。

综合监控系统（ISCS）是轨道交通的运营管理平台，集成了电力监控（PSCADA）、环境与设备监控（BAS）、火灾自动报警（FAS）等子系统，对全线设备和环境进行集中监控和管理。

自动售检票系统（AFC）负责乘客购票、进站检票和出站扣费，涉及票卡管理、终端设备和清分结算等环节，处理大量交易数据和个人信息。

信号系统安全风险

CBTC系统的安全风险主要集中在车地无线通信环节。列车与地面设备之间通过无线方式传输控制数据和状态信息，无线通信信道可能受到干扰、窃听和欺骗攻击。攻击者若能伪造或篡改车地通信数据，可能导致列车误判位置、接收错误的移动授权或执行错误的控制指令。

信号系统内部网络也面临安全威胁。ATS工作站、维护终端和诊断终端若未进行严格的访问控制和终端安全防护，可能成为攻击者进入信号系统网络的入口。联锁系统和区域控制器通常采用专用通信协议，协议自身的安全机制有限，一旦攻击者接入网络可能发起协议层面的攻击。

信号系统设备的远程维护通道是另一个重要风险点。维护人员通过远程接入方式对信号设备进行调试和维护，若远程访问通道缺乏完善的身份认证和加密保护，可能被攻击者利用作为未授权访问路径。

安全防护方案

信号系统的安全防护应遵循纵深防御原则。在边界防护层面，信号系统网络应与其他系统网络（如ISCS、AFC）物理隔离或通过防火墙实现强隔离。信号系统内部按照安全等级划分安全域，CBTC核心控制网络与ATS维护网络之间部署工控防火墙。

在车地通信安全层面，应对车地无线通信实施加密和认证保护，确保列车与地面设备之间的通信数据不被窃听、篡改或重放。对于采用LTE-M等无线技术的线路，应加强无线接入的安全管控。

在终端安全层面，对ATS工作站、维护终端和诊断终端实施终端安全防护，包括外设管控、进程白名单和补丁管理。远程维护通道应建立加密VPN隧道，实施多因素认证和访问授权管理。

ISCS系统的安全防护重点包括与信号系统接口的安全隔离、PSCADA协议的访问控制以及运维终端的安全管理。AFC系统的安全防护重点包括交易数据的完整性保护、票卡系统的防伪和终端设备的物理安全。

等保合规与行业要求

轨道交通信号系统和ISCS通常需要满足等保2.0第三级或第四级的安全要求，AFC系统通常满足第二级或第三级要求。等保测评范围涵盖安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面。

在行业标准方面，轨道交通信号系统还需满足EN 50159（铁路应用——通信、信号和处理系统——安全相关通信）和IEC 62278（RAMS规范）等国际标准的要求。EN 50159规定了信号系统通信安全的防御策略，包括防范伪造、重放、篡改和延迟等攻击类型的要求。

交通运输部发布的城市轨道交通运营管理相关文件也对信号系统的安全运行提出了具体要求。各地方交通运输主管部门可能制定更加细化的安全管理规范。轨道交通运营单位应将网络安全建设与运营安全管理统筹规划，建立覆盖设计、建设、运营和维护全生命周期的安全管理体系。

常见问题