城市軌道交通生產系統網絡安全設計方案研究

熊棟宇 黃 魏

(1.中鐵二院工程集團有限責任公司， 610031， 成都；2.浙江浙大中控信息技術有限公司， 310052， 杭州∥第一作者， 高級工程師)

1 城市軌道交通網絡安全的現狀分析

隨著信息化、人工智能、移動支付、大數據、全自動運行等技術在城市軌道交通領域內的不斷發展，弱電生產系統的信息資源共享與互通越來越多，接口關系越來越復雜，容易造成病毒入侵，對各弱電生產系統產生一定的威脅。一旦某個系統的信息安全出現漏洞，可能會對城市軌道交通的生產運行甚至國家安全造成很大的隱患。本文通過對城市軌道交通弱電生產系統中的乘客信息系統、信號系統、綜合監控系統和自動售檢票系統深入研究，發現城市軌道交通網絡安全存在以下幾個方面的隱患和風險。

1.1 邊界風險

城市軌道交通生產網的業務系統多，系統間接口也多，系統內沒有進行安全域劃分。隨著城市軌道交通業務信息化的發展，生產運營數據共享，勢必要打通傳統生產網絡封閉的現狀。若缺少相應的邊界防護措施，則不能有效控制運營控制中心(OCC)、停車場段和車站之間的數據訪問。一旦外部威脅進入，安全風險容易在城市軌道交通生產網全網內擴散。

以信號系統為例，其邊界風險主要包括：

1) 與相關系統互聯的風險。相關系統主要包括車輛、站臺門、防淹門、通信(乘客信息、無線通信、廣播、時鐘)、綜合監控的互聯通信安全(如惡意代碼、蠕蟲病毒、非預期的數據指令、非授權的訪問)等。

2) 區域邊界保密性和完整性。如信號系統與綜合監控系統采用標準Modbus協議進行通訊，采用明文傳輸方式容易造成信息被監聽或完整性被破壞。

3) 互聯風險。主要包括信號系統中OCC與線網指揮中心(TCC)等上層構架之間互聯(以下簡稱“上聯”)產生的邊界安全風險，以及OCC與車站、場段等下層架構之間互聯(以下簡稱“下聯”)產生的邊界安全風險。

4) 網絡風險。信號系統環網可能存在廣播風暴、病毒傳播等情況，如蠕蟲病毒堵塞網絡的風險。

1.2 終端風險

城市軌道交通各生產系統在OCC、場段、車站內均部署有一定的服務器和操作工作站，通常在線路開通運營前沒有關閉掉多余的系統服務，缺少對終端的安全管控和病毒防護措施，或在運營期間補丁修復不及時、漏洞隱患嚴重。

1) 病毒風險。指通過U盤、外部設備(如手持終端、高拍儀等)、電腦終端接入等操作帶入的病毒風險。

2) 漏洞風險。指操作系統存在漏洞，可被網絡病毒利用的風險。

3) 程序違規執行風險。指非預期的程序、進程的執行風險，如APT(定向威脅攻擊)程序、數據竊取程序、勒索程序等。

1.3 綜合風險

1) 系統運維風險。除了城市軌道交通線路運營單位內部的運維人員外，通常還包括第三方運維人員和系統供貨商，容易產生操作風險，并存在敏感信息外泄風險，需要有效控制這些人員在運維時的登錄認證、權限控制、操作審計等過程。目前，城市軌道交通系統的安全運維多呈被動狀態，發生安全事件后存在追查缺少證據、缺少關聯分析等問題，若要做到對安全事件的提前預警則難度更大。

2) 合法及合規風險。根據網絡安全法，安全日志至少留存6個月。運營單位應定期開展風險評估、完善應急預案、進行應急演練，并依據信息安全技術網絡安全等級保護(以下簡稱“等保”)2.0標準的要求[1-2]實施安全集中管控、新型威脅分析。

2 城市軌道交通網絡安全的建設標準

根據等保2.0標準的相關要求，城市軌道交通的弱電生產系統網絡應構建具備相應等級安全保護能力的網絡安全綜合縱深防御體系。城市軌道交通弱電生產系統應以分區、分域為基礎，以突出重點、主動防御、綜合防控為原則，建設“一個中心”管理下的“三重防護”網絡安全技術防護體系[3]。其中：“一個中心”為安全管理中心，“三重防護”為安全通信網絡、安全區域邊界、安全計算環境。

根據城市軌道交通行業的相關規范[4-5]，考慮到各生產系統的重要性，弱電生產系統安全保護等級分類如表1所示。

表1 城市軌道交通各生產系統安全保護等級分類

3 城市軌道交通網絡安全的系統設計方案

目前，城市軌道交通弱電系統各子系統機房的安全物理環境基本符合等保2.0標準的要求。本文重點討論在“一個中心”管理下的“三重防護”體系框架下如何構建城市軌道交通弱電生產系統的安全技術體系。弱電生產的各子系統應把橫向子系統劃分為獨立的安全域，對縱向子系統內的架構(TCC、OCC、車站、場段)做好安全分區，在滿足安全功能項的同時保證每個子系統的各項功能均可正常、可靠運行。

3.1 網絡安全防護方案

3.1.1 “一中心”的控制措施

為滿足安全管理中心的控制項，需要在OCC各業務系統中設置等保業務專區，劃分獨立的VLAN(虛擬局域網)，并分別建設安全審計、集中管控的控制項。落實到具體的實際生產業務，可以歸納為兩點：

1) 安全審計。為滿足等保2.0標準，OCC需部署運維審計、日志審計和數據庫審計。其中：運維審計的設備部署在管理平面上，用以實現和業務數據的隔離，對于重要的應用系統應統一通過運維審計接入平臺進行訪問，實現集中賬號、授權、認證、訪問控制等功能；日志審計和數據庫審計重點對各安全設備、業務系統、網絡設備、數據庫服務器等進行操作記錄、事件分析和安全審計，并設置獨立的審計管理員，對分布在生產系統各個組成部分的安全審計機制進行集中管理。

2) 集中管控。為滿足集中管控的控制項，OCC的集中管控可分為病毒防護、漏洞掃描、安全管理三個方面。其中：病毒防護和安全管理為安全保護等級二級的必配項，在安全保護等級三級通常會配置漏洞掃描設備。病毒防護可實現對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理。漏洞掃描通過對主機漏洞、Web(廣域網)漏洞、弱口令等方面的漏洞檢測，可幫助用戶及時發現系統風險并及時修復。安全管理可實現防火墻、探針、防病毒等安全設備的配置管理、訪問控制、內容安全檢查，以及設置匹配條件的管控，并可通過安全感知平臺對生產系統進行信息安全的識別、報警和分析。

3.1.2 “三重防護”的控制措施

本文圍繞弱電生產系統的安全通信網絡、安全計算環境、安全區域邊界三個主要防護類別，重點對其主要控制項的防護措施方案、通用安全產品進行深入分析，如表2所示。

表2 “三重防護”的主要控制措施

3.1.3 等級保護測評

等級保護測評由第三方專業測評機構進行綜合安全測評，一般管理得分與技術得分近乎對半[3]。在沒有高風險項的前提下，技術上若滿足對應的主要控制項目標，可達到35～40分及以上的分數；同時在管理上，若有合理的管理制度和管理機構,專職的安全人員,配套的系統交付管理,完善的運維管理體制和應急預案及其配置變更管理，正常測評能達到40分以上的成績。最終綜合得分若達到75分，則滿足等保的測評標準。

3.2 網絡安全系統的設計方案

由于城市軌道交通各生產系統具有不同的業務特點和不同的保護等級，建議各系統應采用不同的安全設備配置方案。為了清晰地界定權責，基于系統自保的設計原則，推薦各系統在安全管理中心獨立配置安全審計、集中管控的安全設備。從投資和安全管理角度，推薦各系統共建、共享安全態勢感知平臺的方案。根據上文列出的各重大控制項，本文制定了各系統滿足等保要求的技術落地方案。

3.2.1 乘客信息系統

1) 在OCC設置安全管理中心，部署堡壘機、日志審計、病毒查殺系統和安全管理模塊，同時與生產網其他系統共建共享一套安全態勢平臺。

2) 在OCC部署終端防病毒檢測軟件，OCC的交換機和服務器冗余配置。OCC交換機旁掛安全探針設備或入侵檢測設備，接口邊界部署下一代防火墻。OCC的縱向和橫向邊界部署下一代防火墻，做好區域邊界隔離。

3) 在停車場段、各車站部署終端防病毒檢測軟件，網絡交換機旁掛安全探針設備，接口邊界側部署下一代防火墻做邊界隔離。車站級的乘客信息系統與綜合監控系統間不必重復設置防火墻，可由綜合監控配置一道防火墻，并統一策略管理。乘客信息系統的安全設計方案如圖1所示。

注：AP——無線訪問接入點。

3.2.2 信號系統

考慮到ATS(列車自動監控)、ATC(列車自動控制)系統的可靠性和穩定性要求，任何數據或傳輸上的錯誤都可能造成嚴重的生產事故，因此在車站和停車場段信號系統內部的網絡防護主要以檢測為主。特別是ATC系統，不考慮任何串接設備，以保障信號系統網絡的穩定性。

1) 在OCC設置安全管理中心，部署堡壘機、日志審計、病毒查殺系統、安全管理模塊，增配數據庫審計、漏洞掃描、網絡準入。同時，與生產網其他系統共建共享一套安全態勢平臺，滿足安全保護等級三級要求。

2) 在OCC部署終端防病毒檢測軟件，中心交換機旁掛安全探針設備或入侵檢測設備，系統間接口邊界側部署下一代防火墻。OCC的上聯、下聯部署防火墻做好區域邊界隔離。

3) 在場段、各車站部署終端防病毒檢測軟件。ATS網絡交換機旁掛安全探針設備，FEP(前端處理器)前面部署下一代防火墻。信號系統的安全設計方案如圖2所示。

注：ATO——列車自動運行;BBU——基帶處理單元。

3.2.3 綜合監控系統

綜合監控系統的典型特點是采用“三級控制、兩級管理”架構，系統間接口多，因此網絡安全設計上應加強系統內的縱向區域防護和系統間的橫向區域防護。

1) 在OCC設置安全管理中心，在該中心滿足安全保護等級二級的基礎上，增配數據庫審計、漏洞掃描設備。與生產網其他系統共建共享一套安全態勢平臺，該平臺應滿足安全保護等級三級的要求。

2) 在OCC部署終端防病毒檢測軟件，OCC交換機旁掛安全探針設備或入侵檢測設備，系統間FEP前置機接口邊界部署下一代防火墻。OCC系統內部署下一代防火墻做好區域邊界隔離。

3) 在場段、各車站部署終端防病毒檢測軟件。網絡交換機旁掛安全探針設備，橫向系統間FEP前置機接口邊界部署下一代防火墻，縱向系統內互聯中心邊界部署下一代防火墻,以做好區域邊界隔離。綜合監控系統的安全設計方案如圖3所示。

3.2.4 自動售檢票系統的實施方案

1) 在OCC設置安全管理中心，部署堡壘機、日志審計、數據庫審計、病毒查殺、漏洞掃描和安全管理模塊。共享弱電生產網其他系統或ACC(自動售檢票清分中心)的安全態勢平臺，應滿足車站和線路中心安全保護等級三級的要求。

2) 在OCC部署終端防病毒檢測軟件，OCC的交換機旁掛安全探針設備或入侵檢測設備。OCC系統內部部署上聯、下聯防火墻,做好區域邊界隔離。

3) 在車站部署終端防病毒檢測軟件。系統內網絡交換機旁掛安全探針設備，上聯中心邊界旁掛防火墻,以做好區域邊界隔離。自動售檢票系統的安全設計方案如圖4所示。

4 結語

本文結合最新的等保2.0標準，著重對城市軌道交通四個生產系統(乘客信息系統、信號系統、綜合監控系統和自動售檢票系統)中存在的信息安全隱患進行了深入剖析，闡述了網絡安全綜合縱深防護技術系統的防護方案，最后給出了各系統的網絡安全落地設計方案。各地城市軌道交通生產系統的新技術和新方案在不斷發展，其網絡安全技術防護體系也應根據生產系統的特點和運維模式不斷予以完善。此外，除了做好網絡安全技術防護體系建設外，運營單位還應不斷完善安全運維和安全管理制度，最終形成城市軌道交通的安全防護體系。

注：IMS——視頻監視系統；ACS——門禁系統；PSD——站臺門；FAS——火災報警系統；BAS——環境與設備監控系統；

圖4 自動售檢票系統的網絡安全設計方案