城市軌道交通線網指揮中心信息安全設計與研究

婁永梅 馬申瑞

(1.北京全路通信信號研究設計院集團有限公司，北京 100070 2．北京市高速鐵路運行控制系統工程技術研究中心，北京 100070)

1 概述

隨著近些年城市軌道交通建設投資規模的逐步擴大和運營線路數量的快速增長，國內各大城市軌道交通均實現由單線路型向線網型的轉變，北京、上海、深圳、廣州、南京等地軌道交通線網均已具規模。線路成網運行、建設投資和運營的多元化等因素，均對軌道交通路網綜合調度形成迫切的需求。因此，北京、廣州已經建設了城市軌道交通線網指揮中心，其他很多城市也在建或籌備建設城市軌道交通線網指揮中心，以提高綜合協調能力，合理有效利用資源。

線網指揮中心作為地鐵調度的中樞系統，承載了線網運營協調調度、應急指揮、信息發布等多項重要功能，對保障地鐵安全運營的重要性毋庸置疑，并且線網指揮中心匯集了線網大量的核心運營生產數據，因此，建立一個安全、穩定的系統，對防御泛濫地網絡病毒攻擊、黑客的惡意入侵威脅和應用軟件自身的漏洞隱患都有重要的意義。另外，作為地鐵集團重要的對外窗口、生產平臺，其內部重要、核心的行車和客流數據一旦被人非法竊取，將對地鐵的日常運營造成巨大的安全隱患，甚至可能對乘客人身安全造成威脅。

2 線網指揮中心通用系統架構

綜合考慮北京市軌道交通指揮中心（TCC）、深圳市軌道交通網絡運營控制中心（NOCC）和廣州軌道交通線網運營管理指揮中心（COCC）3個城市線網指揮中心的系統功能和系統構成，總結出線網指揮中心系統由數據采集系統、數據接入系統、核心數據處理系統、異地數據備份系統、安全管理系統、開發測試系統、信息發布系統、大屏幕系統、培訓系統、人機交互系統和參觀演示系統等構成，如圖1所示。

圖1 線網指揮中心通用系統架構圖

3 信息安全總體設計方案

3.1 標準規范

依據《信息安全技術信息系統安全等級保護基本要求》（GB/T 22239-2008）、《信息安全技術信息系統安全等級保護定級指南》（GB/T 22240-2008）、《信息安全技術信息系統等級保護安全設計技術要求》（GB/T 25070-2010）等國家標準[1-3],線網指揮中心信息安全建設需要綜合考慮物理層面（環境安全、設備安全、介質安全）、系統層面（操作系統安全、數據庫管理系統安全）、網絡層面（網絡運行安全、網絡數據傳輸安全）、應用層面（辦公系統、業務系統、服務系統安全）和運營管理層面（安全策略、組織管理、技術管理）的實際安全需求，對線網指揮中心的信息安全保障體系進行全面、深入地規劃和設計，符合其對應的相關信息安全等級保護級別安全標準，確保線網指揮中心系統安全，保障體系的廣度和深度，如圖2所示。

圖2 線網指揮中心安全保障體系模型圖

3.2 信息安全建設思路

3.2.1 安全等級保護定級

依照標準規范的要求，線網指揮中心的信息系統安全保護等級主要由系統所屬類型、業務信息類別、系統服務范圍和業務依賴程度4個主要因素來決定。通俗來說，就是線網指揮中心受到破壞時侵害了什么（客體）以及侵害的程度如何（對客體的侵害程度），其中具體對應如表1所示。

表1 定級要素與信息安全保護等級的關系

基于線網指揮中心系統的受侵害客體和對客體的侵害程度兩方面要素，建議線網指揮中心系統應該至少滿足三級的安全等級保護要求，應當按照三級安全等級保護要求進行系統設計。確保系統在安全產品選型、安全策略篩選、軟件開發和項目實施過程都符合安全等級保護的技術和管理要求，并最終達到相應的安全等級保護建設要求，如表2所示。

表2 信息安全保護等級與監督強度的關系

3.2.2 結構性安全

隨著信息化的發展，地鐵信息安全建設逐步從脆弱性安全向結構性安全過渡，因為在信息安全體系中，脆弱性是永遠存在的，誰也無法建立一堵永遠不被攻破的“防護墻”，突破任何防御只是時間問題，所以建立一個注重結構安全的動態信息安全模型（P.D.R）是至關重要的，模型公式如下：

Pt ＞ Dt + Rt（防護的時間 ＞ 檢測的時間＋響應的時間）

因此，建議線網指揮中心系統建立動態的結構性安全系統，綜合分析各個安全域防范的薄弱環節，針對容易受到黑客攻擊的區域或者鏈路進行相應的安全防護措施，有效提升系統安全性，做到防患于未然。

3.2.3 風險控制

根據動態反饋的結構性安全系統和地鐵運營管理的實際情況，可以將風險控制歸結為管理和技術2個層面。

管理層面：安全策略、組織管理和技術管理。技術層面：系統安全、網絡安全、應用安全和物理安全。

通過管理驅動技術，通過技術實現管理，構建合理的風險管理機制，建立以“風險”為核心的安全模型，實現對線網指揮中心安全保障的目的，如圖3所示。

3.2.4 兼容性

圖3 以“風險”為核心的安全模型

安全設備應采用先進成熟并具有發展前景的產品，并且具有良好的兼容性。應支持符合國際標準和工業標準的相關接口，能夠與其他相關系統實現可靠的互聯，部署在線網指揮中心架構內不對原有的網絡拓撲造成任何影響。

3.2.5 易維護性

安全設備應便于維修和管理，提供方案的維護手段，運營人員可通過工作站實時對相關設備的運行狀態進行管理與監視。

應用系統設計要充分考慮方便運營人員，簡化運營人員操作，提供友好的人機界面和豐富的實用軟件，最大限度地滿足運營人員需求。

3.2.6 可擴展性

根據目前城市在建線路的建設周期及開通運營計劃，充分考慮未來軌道交通的建設發展，使線網指揮中心系統的信息安全體系建設具有可持續性和可擴展性，保證老舊線路和新建線路的安全措施和安全策略保持同步。

在信息安全系統結構部署和設備的選擇方面，應具有良好的可擴展能力，可以根據需要對信息安全系統進行必要的調整、擴充，在全面升級的情況下，能夠最大限度利用已投資建設內容，避免浪費。

3.3 設計要點

3.3.1 安全域的劃分

針對NCC系統網絡特點，可分為數據接入區域、數據處理區域、內網管理區域、開發測試區、信息服務區、系統展示區等安全區域，針對不同的安全區域及邊界的劃分，確定不同的安全策略。

數據接入區域：本區域包括數據采集系統和數據接入系統，通過數據接入系統交換機和線網指揮中心系統核心交換機相連；該區域負責線網指揮中心系統與各線路系統（SIG、ISCS等）和各線網系統（ACC、PCC等）之間的數據采集或業務接入。

數據處理區域：本區域包含核心數據處理系統和異地數據備份系統，通過核心數據處理系統匯聚交換機與異地數據備份系統匯聚交換機及線網指揮中心系統核心交換機相連；內網生產區域是安全保護要求最高的區域，非授權的連接及訪問必須嚴格禁止，以確保數據的完整性、真實性、保密性。

內網管理區域：本區域位于安全管理系統交換機處，主要部署對全網進行全程管理監控的服務器和終端，如管理服務器、防病毒服務器等。

開發測試區域：本區域位于開發測試系統交換機處，其部署的設備供系統管理人員或系統集成商進行系統開發測試工作，該區域的設備須嚴格控制訪問內網設備，并對接入本區域的終端實行嚴格的病毒防護。

信息服務區：本區域位于信息發布系統交換機處，為線網指揮中心系統與運營公司或地鐵集團的其他信息系統提供信息交互的渠道，并提供移動決策系統和遠程辦公系統；因此在該區域要采用嚴格訪問控制措施，該區域的用戶和內網生產系統完全隔離。

系統展示區：本區域包含大屏幕系統、人機交互系統、參觀演示系統、培訓系統等，為線網指揮中心系統主要的業務平臺；該區域的設備須嚴格控制訪問內網設備，并對接入本區域的終端實行嚴格病毒防護。

針對上述安全區域的劃分，各個安全區域的安全策略如下。

1）基本原則

在核心交換機和內網其他子系統的匯聚交換機邊界處，部署防火墻，用于NCC系統內網各個子系統間的網絡隔離。

2）數據接入區域

數據接入區域主要風險是線路、線網系統側的非法連接和網絡病毒。

在數據采集系統與各線路系統（SIG、ISCS等）和各線網系統（ACC、PCC等）之間部署防火墻，進行系統邊界的隔離與防護，防止非授權訪問和非法外聯。

在數據接入系統交換機與線網指揮中心系統核心交換機之間部署防火墻和入侵防御系統（IPS），進行訪問控制和網絡隔離。

3）數據處理區域

數據處理區域主要風險是黑客對核心數據的惡意入侵和內部人員的非法操作。

在線網指揮中心系統核心交換機處旁路部署入侵檢測系統，發現識別黑客常用入侵與攻擊手段、監控網絡異常通信、鑒別對系統漏洞及后門的利用、完善網絡安全管理。使安全管理人員可以實時發現網絡攻擊和網絡異常行為，并及時處理，保障系統正常運轉。

在數據處理系統交換機處旁路部署數據庫審計引擎，通過對調度人員的網絡行為進行解析、分析、記錄，幫助安全管理人員事前規劃預防、事中實時監視、事后合規報告、事故追蹤溯源，加強內外部網絡行為監管。

內網關鍵設備如核心交換機等采用雙鏈路、雙設備，確保連接的可靠性。

4）開發測試區和系統展示區

在上述各區的匯聚層交換機與線網指揮中心系統核心層交換機之間部署防火墻，進行訪問控制和網絡隔離。

5）內網管理區域

內網管理區域主要風險是其被惡意入侵后，將喪失對線網指揮中心的掌控。

在內網管理區域的匯聚層交換機與線網指揮中心系統核心層交換機之間部署防火墻，進行訪問控制和網絡隔離。

在內網管理區域部署安全管理平臺，實現安全設備、網絡設備等的統一管理以及安全事件的發現、收集、分析、統計等功能。

在內網管理區域部署堡壘機，用于實現單點登錄、多種認證服務等功能。

在內網管理區域部署漏洞掃描，定期對系統內外網進行系統漏洞掃描及加固，清晰定性安全風險，給出修復建議和預防措施，使安全管理人員可以實現安全自主掌控。

在內網管理區域部署數據庫審計服務器、終端防病毒服務器和管理服務器。

由于國外品牌的大多數殺毒軟件在碰到無法殺掉的感染文件時，采取保守策略，僅僅是警告用戶或者將感染文件移至隔離區，國內的殺毒軟件通常又采取刪除文件的操作策略，在某些特殊環境下，這兩種方法都有可能給用戶帶來問題。因此在內網管理區選用終端防病毒軟件和終端管理軟件相結合的部署方式，保證感染文件能通過網絡移動到預先設定的病毒服務器的對應目錄下，便于運營人員進行下一步處理。

6）信息發布區域

信息發布區域主要風險是其面臨外部互聯網的直接威脅，破壞地鐵內網的純凈。

在信息發布區域匯聚層交換機與線網指揮中心系統核心交換機之間部署防火墻，實現該分區對內網設備的訪問控制和網絡隔離。部署數據網閘實現數據業務準物理隔離。部署防病毒網關實現網絡病毒的過濾。

在信息服務區域外網邊界處部署防火墻、入侵防御設備（IPS）、VPN網關等；其中，VPN網關負責管理人員的外網單點登陸；防火墻、入侵防御設備（IPS）實現信息服務區與外圍隔離。

4 結束語

本文基于線網指揮中心的通用系統架構，提出滿足安全等級保護三級要求的信息安全設計方案，可以為今后的城市線網指揮中心的建設和維護提供參考，并不斷對方案進行優化，使系統具有在統一安全策略管控下，保護地鐵集團核心數據資源的能力。

[1]中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB/T22239-2008 信息安全技術信息系統安全等級保護基本要求[S].北京：中國計劃出版社，2008.

[2]中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 22240-2008 信息安全技術信息系統安全等級保護定級指南[S].北京：中國計劃出版社，2008.

[3]中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 25070-2010 信息安全技術信息系統等級保護安全設計技術要求[S].北京：中國計劃出版社，2010.

[4]中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB/Z 20986-2007 信息安全技術信息安全事件分類分級指南[S].北京：中國標準出版社，2007.

[5]中華人民共和國國家質量監督檢驗檢疫總局,中國國家標準化管理委員會.GB/T 20984-2007 信息安全技術信息安全風險評估規范[S].北京：中國標準出版社，2007.

[6]尹嶸，石琦玉，張寧.城市軌道交通綜合通信網的可靠性分析[J].鐵路通信信號工程技術，2017，14（1）：40-44.

[7]劉靖，鄒東，張劭，等.城市規道交通線線網運營指揮系統工程[M].北京:電子工業出版社，2017.

[8]李飛，吳春旺，王敏,等.信息安全理論與技術[M].西安: 西安電子科技大學出版社，2016.