城市軌道交通ACLC 系統信息安全研究

周品榮

(紹興市軌道交通集團有限公司，浙江 紹興 312000)

0 引言

城市軌道交通是城市公共交通系統的骨干，是城市綜合交通體系的重要組成部分[1]。作為關鍵信息基礎設施，其安全運行對保障人民群眾生命財產安全、維護社會安全穩定具有重要意義。城市軌道交通中信號系統、通信系統、綜合監控系統、清分中心系統和自動售檢票系統等弱電系統是支撐城市軌道交通安全、穩定運行的關鍵控制系統和信息系統，如果這些系統一旦突發安全事故，將嚴重影響區域內人們的生活和工作，造成嚴重的經濟損失，甚至可能造成人員傷亡，因此如何保障這些系統的網絡安全是當前亟需研究并解決的重大問題。

近年來，全國各地鐵公司都在大力加強城市軌道交通信息安全特別是弱電系統信息安全的建設，但是地鐵公司弱電系統信息安全在系統項目招標中，各系統業務項目獨立招標，業務系統的網絡安全建設納入所在業務項目中，導致各業務系統選擇各自獨立的安全廠商、產品、防護方案，缺少總體防護和深度防護的思想。由于安全廠商的設備功能、設備、接口的差異，導致安全信息無法共享和集中管控，從而形成安全防護體系的漏洞。信息安全防護不僅需要技術保障，同時也需要管理及制度的保障，合理的安全管理機構設置，制定和執行完善的信息安全建設、運營等管理制度，是保障城市軌道交通關鍵信息基礎設施信息安全的必需手段[2]。

清分及多線路中心(ACLC)作為負責城市軌道交通全線資金清算管理的重要系統，其重要性不言而喻，因此必須結合《網絡安全法》等相關要求，以城市軌道交通相關政策為基礎，進行ACLC 系統網絡安全的一體化頂層設計，通過建立集一體化設計、建設和管理為一體的ACLC 系統網絡安全等級保護解決方案，實現全天候協同持續監控、防御、檢測、響應、預測和分析等功能。基于安全管理中心的ACLC 系統信息安全防護方案可以有效避免各線路自動售檢票系統(Automatic Fare Collection System，AFC)信息安全等級保護建設不同期、安全防護分設無關聯、防護范圍受局限、廠商執行標準不統一、安全責任不明確等實施風險，較傳統等保方案優勢明顯。

1 ACLC 系統構成

ACLC 系統主要由多線路清分中心和各線路AFC 系統組成。系統包含五個層次的設備：清分及多線路中心(ACLC)、車站中心、終端設備、讀卡器、票卡，如圖1 所示。

圖1 ACLC 系統設備層次結構圖

清分及多線路中心(ACLC)是整個網絡的資金清算管理中心，負責地鐵系統內部各條線路及與其他商業實體之間的財務清算和運營管理，由數據處理服務器、前置通信服務器、歷史數據服務器、文檔管理服務器、網絡管理服務器、運營管理服務器及附屬設備共同構成，實現對各線路系統中所有設備進行監視，對全部數據進行收集和處理，對運營、票務、財務、維修進行集中管理。

車站中心由車站服務器及監控工作站、票務工作站和打印機及各種車站終端設備、緊急按鈕構成，實現對本車站內部所有設備的實時監控，對車站AFC 系統運營、票務、收益及維修的集中管理功能。

終端設備主要包括自動售票機、自動檢票機、半自動售票機、自動查詢機及手持設備等，是整個AFC 系統中重要的組成部分。AFC 系統中終端設備收集乘客在其上的每筆交易數據并上傳給車站中心進行統計分析；終端設備接收車站中心下傳的各類參數，根據參數進行不同的業務處理。

2 ACLC 系統安全現狀與隱患分析

近年來城市軌道交通建設保持高速增長，ACLC系統作為負責資金清算的核心系統，屬于關鍵信息基礎設施，但其信息安全整體防護薄弱，不能為安全運營提供有力保障。ACLC 系統的終端設備也面臨著高危漏洞和后門、工業網絡病毒、高級持續性威脅以及無線技術應用帶來的風險，使ACLC 系統面臨著日益嚴峻的威脅。

目前城市軌道交通ACLC 系統的安全措施僅限于安裝防火墻和部署殺毒軟件等初級保護措施，無法避免信息被泄露、系統被攻擊等事件的發生，即使發現了也無法對事件進行事故反演。同時，在軌道交通建設過程中，每條線路的系統都是被分別建設和管理的，缺乏頂層設計，形成了一個個信息安全孤島。

3 ACLC 系統信息安全防護方案

針對目前國內城市軌道交通ACLC領域尚無對網絡設備進行統一管理的現狀，本方案從全局出發，從頂層設計，提出了以計算環境安全為基礎，以邊界安全、通信網絡安全為保障，以安全管理中心為核心的“一個中心，三重防護”信息安全整體防護方案，能夠有效保障ACLC 系統的網絡安全、主機安全、應用安全和數據安全，實現整體安全態勢的感知、溯源和應急處理，防止業務數據被非法訪問和篡改[3]。本防護方案包括以下三個方面。

3.1 ACLC 安全管理中心設計方案

在ACLC 中心建設網絡安全管理中心，實現對網絡鏈路、安全設備、網絡設備和主機設備的運行狀況進行集中管控，實現對各線車站的主機設備、網絡設備上的審計數據的收集匯總和集中分析，實現對業務系統網絡發生的各類安全事件的識別、報警和分析。ACLC 安全管理中心的設計方案包含如下 3 部分：

(1)安全管理中心設計方案

本方案在ACLC 中心設計一個管轄各線車站系統的全線網絡安全管理中心。各線路ACLC 系統直接通過網絡邊界的工控防火墻連接到安全管理中心，利用安全管理中心實現ACLC 系統中心與各站段安全防護設備和軟件的集中管理。

(2)安全態勢感知平臺設計方案

在安全管理中心設計安全態勢感知平臺，實現對所有安全設備的安全事件的統一收集、關聯分析，達到安全態勢感知，宏觀展現系統的安全態勢[4]。通過對業務系統的安全信息進行統一、持續的監測，對采集到的各系統數據進行深度分析和信息挖掘，發現面臨的網絡安全威脅態勢，對正在發生的以及將來的威脅進行集中展示和告警，為安全風險威脅提供分析手段，為安全保障措施提供客觀的決策依據[5]，保障線路中各業務系統網絡安全、高效、有序運行。

(3)信息安全數據傳輸方案

在ACLC 安全管理中心和各站段中心、車站、車輛段、停車場之間建設信息安全專網，建立一條安全的信息傳輸路徑，實現對分散的各車站系統及安全設備的統一管理。安全設備的設備監測、安全日志等信息通過信息安全專網發送至ACLC 安全管理中心，ACLC 安全管理中心通過信息安全專網向各線車站的安全設備下發安全策略。

3.2 ACLC 中心防護方案

ACLC 安全管理中心防護示意圖如圖2 所示。ACLC 系統信息安全防護技術從網絡安全、主機安全、應用安全、數據安全、漏洞掃描、數據庫審計、運維審計等方面采取安全措施，實現ACLC 系統業務應用的可用性、完整性和保密性保護，同時考慮各種技術的組合和功能的互補性，提升多重安全措施的綜合防護能力，形成從外到內、從高層到底層的縱深安全防御體系，確保信息系統整體安全。中心防護方案包括如下6 部分：

(1)邊界隔離方案

在ACLC 系統與其他外部系統的網絡邊界部署工控防火墻來隔離非法訪問，拒絕非法入侵，實現邊界完整性檢查，實現隔離與訪問控制，保證ACLC管理中心的自身安全。

(2)入侵檢測方案

在ACLC 管理中心核心交換機業務節點處旁路部署入侵檢測系統，接收鏡像的網絡流量，并分析網絡內是否存在異常流量、操作等行為，保證安全管理中心的自身安全，一旦發現攻擊及時上報至安全管理中心。

(3)數據庫審計方案

在中心ACLC 系統中部署數據庫審計系統，針對數據庫操作行為進行細粒度審計的合規性管理，實現對數據庫系統的數據訪問審計、數據變更審計、權限操作審計以及數據庫的安全審計。

(4)主機防護方案

在ACLC 系統的工作站上安裝主機安全防護軟件，加強惡意代碼防范和對主機的入侵防范。主機安全防護軟件由ACLC 安全管理中心統一管理，進行權限推送，在受控情況下完成日常軟件和配置變更操作，防止木馬、病毒等未授權軟件的運行。

圖2 ACLC 安全管理中心防護示意圖

(5)安全運維方案

在ACLC 安全管理中心部署綜合運維安全審計系統，實現對運維人員的統一認證管理、權限劃分，實現對資源的統一授權，同時對授權人員的運維操作進行記錄、分析、展現，實現集中審計和管理[6]。

(6)漏洞掃描方案

在安全管理中心部署漏洞掃描管理系統，定期對業務系統進行漏洞掃描，快速發現并識別網絡資產屬性，全面掃描安全漏洞，定性安全風險，提出修復建議，采取預防措施，實施修復方案。

3.3 ACLC 站段防護方案

ACLC 站段系統包括車站、車輛段和停車場，站段防護從網絡安全、主機安全、應用安全、數據安全等方面采取安全措施，只部署邊界隔離功能和入侵檢測功能，其他功能復用安全管理中心功能。圖3所示為站段安全防護示意圖。站段防護方案包括以下兩部分：

(1)邊界隔離方案

在站段級ACLC 系統與其他外部系統(PA、CCTV等)的邊界部署工控防火墻來實現隔離和邊界完整性檢查，實現邊界入侵檢測和防范，實現安全的訪問控制。

(2)入侵檢測方案

在站段ACLC 交換機業務節點旁路部署入侵檢測系統，接收鏡像的網絡流量，并分析網絡內是否存在異常流量、操作等行為，一旦發現攻擊及時上報至ACLC 安全管理中心。

圖3 AFC 安全防護示意圖

4 結束語

ACLC 系統作為城市軌道交通關鍵信息基礎設施，其安全的重要性不言而喻。我國已經初步形成了以《中國人民共和國網絡安全法》為法律基礎、以《信息安全技術網絡安全等級保護基本要求》為依據、以中國城市軌道交通協會行業政策發文為推力的城市軌道交通ACLC 系統信息安全防護工作辦法，為信息安全系統的實施提供了法律保障。

本方案通過頂層設計，建立起統一的ACLC 系統信息安全保護體系，對各線、各站段系統進行集中管理，從邊界防護、入侵防御、運維審計、漏洞掃描、白名單主動防御、集中監管等幾個方面進行考慮，實施集中的安全審計與運維，實現信息的集中與融合，從技術層面提升防護能力。另一方面要強化ACLC 系統的信息安全管理意識，從管理角度去杜絕各種潛在的安全隱患，完善各種規章制度，從人、設備、制度，建立起針對 ACLC 系統的安全管理體系，避免各種可能的攻擊與破壞。只有這樣，才能全面提升ACLC 系統的安全防護水平。本文提出的方案對后續線路或其他項目的建設具很好的參考價值。