综合联调中的ATS软件安全.docVIP

综合联调中的ATS软件安全 　　【摘要】 综合联调是信号系统投入正式运营前的一个关键时期，在该时期保证系统软件安全，确保联调顺利进行，软件安全管理具有重要的意义。 　　【关键词】 综合联调 ATS子系统 软件安全 　　一、研究背景及意义 　　西安地铁一号线ATS专业负责ATS子系统、数据通信子系统及轨旁无线子系统的调试、维护、故障处理等工作。这些子系统均主要由工作站、服务器、交换机等搭建而成，为地铁运营提供行车指挥系统。作为地铁运营重要组成部分，其安全性至关重要，不仅需要常规性检修维护，还需要将安全管理也应纳入日常管理工作中，以确保软件数据、网络数据等安全。特别是在综合联调期间，各子系统面对着设备分散、操作人员复杂等情况，使得安全管理难度加大。本文将结合西安地铁一号线综合联调期间安全管理情况进行讨论，为后续线路软件安全管理提供参考，相关内容也适用于正式运营后。 　　二、综合联调中的数据安全管理 　　1、设备接口管理。ATS专业各子系统设备分布分散，每一台设备均能提供系统接入点（例如USB口、网口、光驱等），且联调期间各设备室进入人员复杂，仅靠ATS专业人员巡视很难有效实现对设备管理。故对设备不常用接口进行了贴封，但该做法不能提前扼制事件发生，建议后续通过修改驱动配置、硬件插拔等关闭。 　　2、软件数据备份。综合联调期间对于软件所采的小问题，一般采取即发现即整改，对于较大问题，采取集中后通过软件升级解决，所以在整个联调周期内软件数据变动较多、版本存在较多，需要更加明细的管理，以把控软件数据。一号线进行综合联调期间，对于每次软件修改或升级都进行了记录及对数据进行备份，数据应包括ATS软件、CRT、VPN等常用软件，保证在恢复时不需安装其他软件便可正常使用，减小外面软件安装造成的风险。 　　3、操作权限管理。ATS服务器系统采用Linux操作系统，相关操作均需使用专用命令，故对维护人员的技能水平要求高。在综合联调期间，维护人员组成以少量老员工及大量新员工组成，技能相对薄弱，因此需要该期间进行培训，但难免就存在由于培训造成误删或误改数据的情况，影响设备使用，耽误联调进度。一号线系统配置原因至今在该方面仅能通过管理手段限制人员的删除、修改，故建议在后续线路中将系统用户分为两级，一级为超级用户级，具备系统操作的最大权限，用于软件的安装、删除等；一级为一般用户级，仅具备系统操作的部分功能，例如系统信息查看、软件日志查看等查询、复制类等功能。例如设置一具备所有操作权限的root账户；设置一仅具部分权限的维护账户，限制其相关操作。通过这样账户分设手段，可以有效地减少人为误操作而造成系统的出错的几率。 　　4、设备操作密钥管理。维护子系统作为信号系统中的一部分，部分设备安装于正线车站中，联调期间由于厂家有时会利用车站维护工作站远程登录其他设备或打开监控功能进行列车调试。若非本专业维护人员知晓设备密钥，则可以顺利登入系统进行操作，严重时影响列车运行安全。故在对相关密钥保存时，需要严格执行保密制度，同时对于工作站中的远程登录原件应严格控制。 　　5、人员管理。一号线综合联调期间各子系统设备已投入使用，相关设备操作已交由各部门操作人员完成（包括调度、客运、其他信号专业人员等），但普遍操作人员初接触软件操作生疏，且对软件好奇心重，导致存在任意乱操作软件、更改软件配置等问题。同时该时期厂家仍在对各子系统设备进行配置及软件修改完善，有时为方便远程进入系统修改其它位置数据配置，存在一定的安全隐患。在该情况下，ATS专业加强了各操作人员的实操培训，对于常用功能进行现场考核，同时严格要求厂家，在未授权的情况下禁止远程登陆超出作业区域。通过这些手段，有效的控制了减小了操作人员对系统的影响。 　　6、非必要系统的离线。控制中心ATS培训仿真子系统与试车线子系统是信号系统中两个能够离线工作的子系统。在日常使用中该两个系统操作人员多、身份复杂，所以在系统功能具备后应及时断开与正线系统的物理连接，以减小系统受损的风险。 　　三、后期线路建议 　　为后续线路能够更加合理、有效的开展软件安全管理工作，结合一号线经验，将软件安全划分为5层：物理层安全、系统层安全、网络层安全、应用层安全以及安全管理，如图1，后续线路建议按照该五层开展软件安全工作。 　　3.1物理层安全 　　物理层安全主要体现在通信线路、工作设备的可靠性，例如封闭线路中交换机多余端口、线缆的有序标识等；工作设备的端口物理层的封闭，替换设备、拆卸设备的安全，接入的移动设备环境干净，无病毒等。该层次需要注意在联调前关闭不必要的各类设备端口，包括交换机、工作站、服务器的USB、网口、光驱等各类闲置端口，仅需保留数量有限的必要端口，例如设备集中站保留1个USB口、1个光驱、2-3个网口