乘客信息系統(tǒng)安全體系的建構(gòu)及其實現(xiàn)策略

（中車株洲電力機車有限公司，株洲 421001）

1 乘客信息系統(tǒng)安全體系建構(gòu)

以某地鐵2號線乘客信息系統(tǒng)為例，對乘客信息系統(tǒng)安全體系進(jìn)行建構(gòu)，確定網(wǎng)絡(luò)安全的需求，對安全體系進(jìn)行分層，不同的層次反應(yīng)的系統(tǒng)中存在的安全問題。根據(jù)2號線乘客信息系統(tǒng)的實際運行情況，對安全體系進(jìn)行劃分。

1.1 物理層安全

物理層安全包括通信線路和機房的安全，主要體現(xiàn)在通信線路是否可靠方面，傳輸介質(zhì)是否符合要去；軟硬件設(shè)備的安全性以及設(shè)備的備份和恢復(fù)能力，還要具有較強的抗干擾功能，設(shè)備的運行環(huán)境中，需要保證溫度和濕度都保持在標(biāo)準(zhǔn)范圍內(nèi)，有不間斷電源作為保障。

1.2 系統(tǒng)層安全

網(wǎng)絡(luò)層的安全問題主要體現(xiàn)在操作系統(tǒng)本身的缺陷，比如身份認(rèn)證以及系統(tǒng)的漏洞等；還有就是關(guān)于操作系統(tǒng)的安全配置問題，同時還有病毒對網(wǎng)絡(luò)系統(tǒng)存在的威脅。

1.3 網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)層的安全問題主要體現(xiàn)在網(wǎng)絡(luò)信息的傳播方面，數(shù)據(jù)傳輸是否可靠與完整，遠(yuǎn)程接入是否安全等，對入侵檢測的手段進(jìn)行完善，防止病毒入侵。

1.4 應(yīng)用層安全

對應(yīng)用軟件和數(shù)據(jù)的安全性考慮，同時還預(yù)防病毒的入侵。

1.5 管理層安全

對安全技術(shù)和設(shè)備的管理進(jìn)行完善，安全管理制度要明確，因為管理制度化關(guān)系到網(wǎng)絡(luò)的安全，嚴(yán)格的管理制度能夠在很大程度上降低安全漏洞。

2 乘客信息系統(tǒng)安全體系實現(xiàn)路徑

對乘客信息系統(tǒng)安全體系建構(gòu)完成之后，要對安全體系中的視頻監(jiān)控、網(wǎng)絡(luò)部署以及客流信息等進(jìn)行分析。

2.1 視頻監(jiān)控系統(tǒng)

視頻監(jiān)控系統(tǒng)就是通過列車上的攝像頭，對客室信息進(jìn)行采集，通過交換機將采集到的客室信息傳輸?shù)搅硗庖慌_交換機中。使用車載LCD播放控制器對采集到的信息進(jìn)行解碼，解碼完成后，司機可以對監(jiān)控視頻進(jìn)行查看，車載控制器接收到視頻信息后，會通過IP數(shù)據(jù)包的形式將信息發(fā)送到傳輸網(wǎng)中，OCC會通過PIS對監(jiān)控視頻進(jìn)行調(diào)用。視頻監(jiān)控系統(tǒng)可以對列車實際運行的情況進(jìn)行全方位的監(jiān)控，保證列車行車的安全。列車在實際的運行過程中如果出現(xiàn)車門緊急解鎖或者乘客緊急報警的情況，都可以通過視頻監(jiān)控系統(tǒng)將這些信息進(jìn)行傳輸，通過無線寬帶網(wǎng)絡(luò)將異常信息傳輸?shù)絆CC，讓工作人員可以對故障立即采取解決措施，以保證乘客的安全。

2.2 實時客流信息

地鐵安全運行中，客流信息的實時顯示是保證乘客安全的重要因素，地鐵客流信息系統(tǒng)會與列車、檢票站、視頻監(jiān)控相連接，通過監(jiān)控視頻獲取乘客最原始的信息，并對這些原始的信息進(jìn)行加權(quán)處理，得到最精準(zhǔn)的數(shù)據(jù)信息。乘客信息系統(tǒng)重，各個子系統(tǒng)之間可以進(jìn)行數(shù)據(jù)共享和信息交互，可以完成對列車運行狀態(tài)以及客流量的統(tǒng)計，對列車運行的實際情況進(jìn)行掌控，一旦發(fā)生故障將會立即提醒乘客解決方案，以保證乘客的人身安全。

2.3 網(wǎng)絡(luò)安全部署

（1）外部網(wǎng)絡(luò)

控制中心使用2臺服務(wù)器運行模式，其中一臺服務(wù)器會以串口的形式與外部線路和2臺不同的交換機連接，其目的就是為了防止主機出現(xiàn)單點故障。服務(wù)器中要安裝殺毒軟件，并對軟件進(jìn)行及時的更新，避免系統(tǒng)受到病毒入侵；外部接口連接防火墻，防火墻連接服務(wù)器，與其他接口進(jìn)行連接時都需要通過防火墻進(jìn)行過濾，以減少因外部網(wǎng)絡(luò)而造成的網(wǎng)絡(luò)威脅。

（2）內(nèi)部網(wǎng)絡(luò)

SSID設(shè)置為禁止WLAN向外廣播，防止惡意用戶對系統(tǒng)進(jìn)行攻擊；啟動防火墻，過濾惡意攻擊；設(shè)置WPA-TKIP，使用動態(tài)密鑰保證數(shù)據(jù)傳輸?shù)陌踩?；對MAC地址進(jìn)行綁定，防止其他設(shè)備對網(wǎng)絡(luò)進(jìn)行訪問。

在對乘客信息安全系統(tǒng)進(jìn)行部署時，選擇性能較好的交換機，拒絕Dos攻擊防御，強化設(shè)備的安全等級；通過該交換機進(jìn)行訪問認(rèn)證，保證設(shè)備管理的安全性；對該交換機的網(wǎng)絡(luò)訪問屬性進(jìn)行棒性；在控制中心安裝入侵檢測系統(tǒng)，可以第一時間發(fā)現(xiàn)網(wǎng)絡(luò)攻擊；布置漏洞掃描系統(tǒng)，對網(wǎng)絡(luò)中存在的漏洞進(jìn)行掃描，以保證系統(tǒng)運行的安全。

2.4 安全事件處理

對網(wǎng)絡(luò)進(jìn)行安全分析，明確資源的現(xiàn)狀以及資源運行中存在的弱點，對可能會發(fā)生的事件進(jìn)行預(yù)測，把評估事件所帶來的經(jīng)濟(jì)損失，對系統(tǒng)完成一系列的安全管理工作，在進(jìn)行安全事件處理時，要明確安全事件報告中的內(nèi)容。對安全事件進(jìn)行遠(yuǎn)距離收集，并跟蹤調(diào)查安全事件，形成安全審計報告，防止安全審計報告被惡意破壞。

3 結(jié)束語

地鐵乘客信息安全體系的建構(gòu)，需要應(yīng)用到多種信息技術(shù)，比如數(shù)字監(jiān)控該技術(shù)、多媒體技術(shù)、網(wǎng)絡(luò)數(shù)據(jù)傳輸技術(shù)等，將多種技術(shù)集成在一起，為地下軌道交通運輸提供一個信息處理平臺，同時也能夠為列車的安全提供技術(shù)支撐。