鐵路通信系統中信息安全隱患與防范策略

周松

（中鐵第四勘察設計院集團有限公司，湖北 武漢 430000）

1 鐵路通信系統信息安全問題

1.1 攻擊手段

鐵路通信系統可能會面臨各種攻擊，攻擊類型主要如下。

（1）DDoS 攻擊。通過向目標服務器發送大量的請求流量，使其超負荷運行而無法響應合法用戶的請求。

（2）僵尸網絡攻擊。黑客通過植入病毒或惡意軟件，將一些計算機設備變成僵尸網絡，用于發起攻擊或傳播病毒。

（3）惡意軟件和病毒感染。黑客通過植入病毒或惡意軟件，竊取信息、破壞系統或進行勒索等活動[1]。

（4）社交工程攻擊。黑客偽裝成信任的人或組織，誘騙目標用戶提供敏感信息或執行惡意操作。

（5）內部攻擊。員工、合作伙伴等內部人員利用特權或漏洞，對系統進行攻擊、竊取數據等。

（6）其他攻擊手段。如拒絕服務攻擊、跨站點腳本攻擊、SQL 注入攻擊等。

1.2 潛在攻擊目標

鐵路通信系統中包含大量敏感數據，如乘客個人信息、車票信息、調度信息、列車運行信息等。如果黑客獲取這些數據，會對鐵路運營和乘客的安全造成嚴重影響。例如，黑客可能利用這些數據實施釣魚攻擊、勒索勒貸等惡意行為，會給鐵路公司造成重大損失。同時，黑客也可能利用這些數據獲取乘客的身份信息和行蹤，進行更為嚴重的身份盜竊和詐騙活動，這會對乘客的財產和個人安全造成威脅。鐵路通信系統中的物理設備包含各種關鍵設備和網絡設備[2]。這些設備可能存在漏洞和安全隱患，成為黑客攻擊的目標。例如，黑客可以利用軟件漏洞，通過物理攻擊的方式，入侵服務器、路由器等設備，獲取系統管理員權限，進而控制整個系統，嚴重情況下可能造成服務癱瘓或數據泄露等問題。此外，黑客也可能利用設備間的通信漏洞進行內部網絡滲透，竊取敏感信息或攻擊其他設備。

2 常用鐵路通信技術

2.1 鐵路業務方面

在列車通信系統可以實時監測列車運行情況，實現列車運行情況和運行數據的高效傳遞，為列車工作人員提供語音服務，為乘客提供便利的出行方式，提升交通行業的發展水平和現代化程度。在列車行車過程中，鐵路通信系統可以為列車運行控制、車輛調度、安全防護等鐵路業務提供通信服務；在鐵路運營和維護過程中，鐵路通信系統為車輛行駛、設備監測檢測、車輛運輸、車輛養護等提供數據傳輸服務；在為乘客服務過程中，鐵路通信系統為乘客提供信息查詢服務和安全保障，提高乘客滿意度和鐵路系統服務水平。

2.2 電波和信息傳輸方面

在鐵路電波和信息傳輸時，鐵路通信系統的高頻率信號傳輸具有資源豐富、承載信號多、傳輸效率高的突出特點。但低頻率信號傳輸路徑損耗較低、承載能力較差，在傳輸距離遠時可能發生寬帶資源緊張的情況。應結合鐵路實際的業務要求和業務特點，確定電波和信息傳輸頻率?；陔姴▊鬏斃碚?，一般情況下選擇1000Hz 以下的電波傳輸頻率適合目前鐵路系統的通信網絡，在工作實踐中可以越區轉換以確保鐵路通信系統的服務質量。建設基站時，控制基站和火車站距離約7m，確?；竞透哞F距離約3m。隨著通信技術的不斷進步，在5G 時代鐵路通信系統將不斷采用更高的傳輸頻率，電波和信息傳輸距離將逐漸變小，同時基站密度會不斷大。但是在鐵路線路的隧道部分，地理環境特殊，高頻波使用效果較差。根據電波傳播特性，合理選擇電波頻率，有效控制傳輸路徑的損耗[3]。

2.3 網絡方面

鐵路調度中心應結合列車行車要求、通信頻率、鐵路業務等方面，進行統一的工作規劃，促進鐵路通信網絡的規范化管理，實現鐵路系統網絡的互聯互通，為各種車載通信設備提供有效的網絡支持，實現列車跨局指揮和通信網絡服務。由于無線電頻率資源有限，難以同時滿足鐵路各部門的無線通信需求，為有效預防鐵路通信網絡安全問題，可以采用公眾通信網絡，以彌補鐵路通信網絡的不足。

2.4 技術方面

我國通信技術發展迅速、技術成熟，網絡速度峰值可達1000Mbit/s。5G 技術加強和延伸了4G 技術，并提高了網絡傳輸速度，加強了列車各部門聯系。5G 技術不僅提高了信號接收速度，還提升了通信系統的容量和效率，但需要增加天線數量。高效利用密集的無線基站，可以提升資源利用效果。通過高頻和低頻信號的混合，在增加低頻覆蓋率的同時，充分發揮高頻優勢，實現列車、乘客、線路的聯網互通。在應用過程中，通信技術加強了鐵路不同系統的數據傳輸效果，注重用戶通信體驗，實現鐵路系統智能化通信[4]。該技術不僅擴大了鐵路通信的覆蓋區域，還可為熱點區域和用戶提供更高效便捷的數據傳輸服務，具有高效的傳播速度和流量。

3 鐵路通信系統信息安全隱患防范措施

3.1 通信網密碼技術應用

3.1.1 傳輸和存儲

對數據進行加密后再進行傳輸和存儲，是密碼技術的最基本應用。傳輸加密和存儲加密都能有效地使有價值數據在開放空間或是意外泄露后仍能受到保護，避免發生數據泄露造成損失。數據傳輸和存儲的加密必須能夠進行完整解密，可以使用對稱密碼、非對稱密碼和序列密碼。

3.1.2 認證

密碼技術常見應用之一就是用于預分配密鑰作為可信標識的身份認證場景。在認證過程中，通過密鑰的唯一性和認證雙方密鑰的一致性確保認證可靠。為提高主密鑰的安全性，主密鑰通常不會被暴露出來，而是使用主密鑰生成的初級密鑰或是二級密鑰進行比對。同時，密鑰在認證雙方本地都是加密存儲。認證通過后，使用初級密鑰或二級密鑰對后續通信內容進行加密也是常見的措施。

3.1.3 數字簽名和數字證書

數字簽名是一種特殊的身份認證技術，通過使用非對稱密碼對中的私鑰對數據進行簽名，驗證者以公鑰對數據進行檢驗，確認完整性和來源，同時具有發送者的不可抵賴性。常見的數字簽名算有RSA、數字簽名算法（DSA）等。

數字證書是用于對公鑰進行驗證和身份認證的一種機制，是由證書頒發機構（CA）頒發的加密文件。數字證書包含了公鑰、所有者的身份信息以及由CA 機構簽名的數字簽名。數字證書確保了公鑰的真實性和有效性，同時也提供了身份驗證的信任鏈。

3.1.4 數字水印

數字水印是一種將特定信息嵌入數字媒體（如圖像、音頻、視頻）中的技術。數字水印并不改變原始數據的內容，而是在其中嵌入一些隱藏的標識信息，這些信息可以用來識別和驗證媒體的來源、版權信息等。數字水印通常用于防止盜版、確保版權歸屬等目的。

3.1.5 綜合視頻監控系統

綜合視頻監控系統是鐵路通信系統中比較特殊的系統，體現在各專業在使用該系統時所產生的大量業務數據即視頻圖像數據存儲在系統內，而視頻圖像數據往往有一定敏感性，在存儲、調用、圖像溯源等方面存在管理需求。因此，綜合視頻監控系統在圖像數據存取權限、數字水印等方面有較強需要，但在既有系統中還存在一定薄弱環節，需要更有力的密碼技術來加強數據安全。綜合視頻監控系統用戶分布較廣，不限于通信專業范圍。為方便使用和密鑰管理，宜使用SM2 非對稱密鑰算法。若要進一步簡化密鑰管理，還可使用SM9的標識密鑰算法。對于需要允許外部調用的圖像視頻文件，還需要研究數字水印技術以保障信息安全。

3.2 鐵路數據分類分級保護

3.2.1 以國家要求為基礎

嚴格遵守國家數據安全相關法律法規及國家標準強制性要求，將對不同級別數據全生命周期的安全保護要求作為鐵路數據安全保護的前提和基礎，深化鐵路數據安全治理體系，形成從數據管理到數據運營全流程的安全框架，確保鐵路數據安全“合規”而行。

3.2.2 以行業標準為參考

（1）研究分析鐵路與其他行業在同類數據級別上的對應關系。各行業在生產、經營、管理的過程中產生的數據類別既有重合也有不同，對比研究行業特色及數據分級保護規范，從數據分級要素的定義、級別劃分的規則，或數據內容本身2 個角度尋找鐵路與其他行業同類數據在級別上的對應關系。

（2）在數據級別對應關系的基礎上，參考其他行業數據安全分級保護規范。整合各類數據所有可參考的行業數據生命周期分級保護要求，對每一級別的數據選擇大部分行業都規定的要求作為本行業數據應滿足的要求。

參考行業標準舉例：從數據定級方法出發，鐵路對S1～S4 級數據的保護可參考金融行業1～4 級數據、通信行業1～4 級數據的保護規范。從數據內容本身出發，鐵路對個人信息、企業發展戰略及規劃等數據的保護，可參考金融、通信等行業對這些數據的分類分級保護要求。按此思路，找到鐵路數據與各行業數據在等級或類別上存在的對應關系，并參考相應的數據保護規范，在各級數據保護規范的參考結果中取交集。

3.2.3 以自身需求為導向

結合鐵路業務特征、數據應用場景等，補充符合本行業發展需求的個性化安全要求。鐵路相較其他行業，不僅產生和積累了大量旅客出行、貨運物流等相關數據，還涉及調度指揮、生產作業等相關數據，因此，需要在參考行業實踐的基礎上，有針對性地增加其他保護措施。另外，跨國鐵路聯運業務打破了相關國家之間的信息交互壁壘，同時面臨著數據跨境傳輸的安全問題，需監控跨境數據流轉路徑和動態流向。在整個數據流轉過程中，制定相應的安全策略，定期進行風險評估，識別數據安全風險隱患并消除，確保鐵路數據的保密性、完整性和可用性。最后，需在長期實踐中持續修正、動態調整數據生命周期安全分級保護規范，優化數據安全防護策略，以滿足國家要求及業務場景需求[5]。

3.3 加強通信網光纖傳輸保護

3.3.1 提升抗干擾能力

在鐵路通信網建設中，需要保證光纖通信建設的安全性，不斷提升網絡系統的抗干擾能力。在具體工作中，應當全面分析干擾光纖通信傳輸的因素，從內外兩個方面著手，不斷提升光纖通信抗擊惡劣環境的能力。首先，要使用性能良好的材料，切實提升抗擊外界干擾的能力，工作人員在實際工作中一般會使用BT 聚對苯二甲酸丁二酯，另外借助紫外固化油墨等材料。如今，在科學技術快速發展過程中，人們正不斷改善光纖制作材料，加大材料研發力度。其次，全面控制傳輸風險?？刂苽鬏旓L險可以從軟、硬件著手。就軟件而言，要及時升級、優化所使用的軟件。不斷拓展安全控制工作的內涵，擴大安全工作的范圍，采用安全操作的方式，按照安全監控的實際需求，防止各種非法入侵行為。相關部門要結合具體的工作要求，設置對應的訪問權限，在沒有取得權限的情況下，不能夠開展具體的工作，還要制定出風險防控措施，防止風險蔓延，切實保護光纖通信的安全。就硬件而言，要做好更新和完善工作，結合相關輔助設備，做好維護和管理工作。當出現故障時，要對通信設備和網絡設備做好檢查；當發現設備中的異常時，要盡快進行更換。另外還要加大采購資金的投入，及時更換陳舊的設備，提升設備運行的效率，保障通信系統能夠穩定運轉。

3.3.2 做好網絡通信管理

為了確保鐵路通信網光纖傳輸，需要制定出切實可行的通信管理措施，特別是在通信網建設過程中，要制定科學的措施來解決信號干擾的問題。通過專家研討制定出科學的規劃和設計方案，深入明確建設目標，以科學的方法來管理光纖通信傳輸，對各個環節做好監控，及時解決光纖通信傳輸中遇到的阻礙，讓信號能夠有效傳輸。另外，要加大對光纖傳輸的監控力度，防止它受到內外各種因素的干擾。對于鐵路通信傳輸設備，安排電務部門的技術人員進行專業維修，把鐵路、工程部門的設備納入鐵道通信系統，遵循對應的工作標準，做到統一聯動管理。

3.3.3 做好光纖通信網絡的巡查工作

在運行光纖通信網絡時，工作人員要做好光纖通信網絡的巡查工作，不僅要查看是否出現光纜被盜的問題，還要檢查光纖在自然環境下是否出現損壞。當發現問題時，要及時向上級領導做好匯報，及時解決問題。如果不能及時進行解決，相關人員要制定出科學的安全措施，在問題光纖附近設置警示牌，防止問題光纖誤傷到別人，避免出現安全事故。

4 結語

總而言之，在未來的研究中，需要進一步加強對鐵路通信系統信息安全的研究，進而建立更加完善的信息安全管理機制和防范體系，以提高系統信息安全水平，更好地促進鐵路安全運營。