城市軌道交通整體網絡安全風險分析及應對策略

趙慶安 戴克平 唐龍

1 安全問題

目前，城軌網絡安全環境和需求錯綜復雜，網絡安全防護對象呈現多樣性，需要進行信息安全防護的環節比較多，眾多的城軌信息化智能設備不可避免的存在信息和數據安全薄弱環節，而且網絡信息安全防護手段和措施缺乏整體規劃。

近期，對某城軌現有網絡進行了一次實地測試。被滲透穿越（攻擊失陷）的系統包括集團移動辦公網、集團內網、集團郵箱系統、VPN系統、人力資源系統、文件管理后臺、數據庫服務器、UMC統一管理系統、內網系統等。分析數據發現了各類安全事件，例如，通過未授權訪問進入移動辦公系統，通過獲取VPN登錄賬戶進入信息內網，通過內網掃描及橫向滲透獲取企業價值信息。其中，信息安全漏洞利用的細節包括弱口令、Structs 2遠程代碼執行、Weblogic反序列化、SQL注入漏洞、數據庫配置信息泄露、PhpInfo泄露、XSS網站腳本、Webshell等。這些威脅和安全缺陷帶來的影響和后果令人震驚，比如，可以獲取重要部門的通信信息、手機號碼、郵箱、個人檔案、工資信息等，可以從辦公OA系統中獲取部分文件及處理意見，可以獲取部分數據庫的所有數據，獲取部分服務器的所有文件。總結各類安全事件，其共性的問題如下。

1）缺乏行業自身標準，以及相關工程建設中網絡層面上的信息安全體系結構整體規劃；已有的信息系統安全設計無規劃指導，實施相互獨立，所采用的安全保障技術和措施屬于局部性建設，定位于補充完善，作用單一且范圍有限。

2）缺乏信息安全保障機制和相應的測評技術，以及評估模型和工具、評測項目選擇及分析優化的方法。

3）缺乏完善的信息安全管理體系，全國建成和在建的工程僅具備一些簡單的日常網絡信息安全管理制度和方法，細節缺陷較多。

面對以上問題，需要從全行業范圍綜合考慮信息安全規劃和建設的體系問題。

2 安全設計

作為保障城軌主要運行業務安全有序運轉的機構，城軌管理和運營的信息化部門應從頂層視角規劃和建設網絡安全，立足于安全和信息化的“全面覆蓋、深度融合”定位，以“內生安全”的思想，推進安全和IT的融合，制定城軌相關企業級網絡安全全景作戰地圖和演進路線，監督落實“三同步”，構建面向實戰的網絡安全體系。

2.1 安全策略

自動化系統信息安全策略，應根據等級保護要求對城軌業務信息化系統進行防護設計，重點實現“垂直分層、水平分區、邊界控制、內部監測”，包括網絡間、業務平臺（云平臺）、業務子系統的安全加固和風險監控，系統和應用間進行邏輯隔離和防護［1］，確保應用、數據、系統、設備及人員的信息安全集中管理和統一呈現。

其中，垂直分層是對各類業務生產網垂直方向劃分層次；水平分區是水平方向劃分安全管理區域，平臺之間、系統之間等應該從網絡上隔離，并處于不同安全策略管控的安全區中；邊界控制，需要有效實施在系統邊界，即各操作終端站、遠端維護站、互聯互通級干線網絡上的系統連接處、站房外延無線網絡等基礎邊界進行身份識別、訪問控制；內部監測，通過工業控制生產網的信息安全保障體系，以及相應的安全管理工具，對整個行車、站房、線路運行管理系統內各個子系統和安全設備，進行統一管理、實時監測［2］，發現網絡異常立即報警。

2.2 設計要求

根據城軌各個業務系統的實際情況及等級保護2.0要求，按照業務系統實際定級（例如二級系統和三級系統），有針對性地進行等級保護安全設計，建議考慮以下7個方面。

1）業務系統定級。首先了解主要業務系統的基本構成、運行管理的類型、含有數據和信息類別、服務對象和范圍，包括對IT支撐系統的依賴程度，分析系統狀況、系統業務流程和數據應用模塊的關聯性，以及通過安全事件影響范圍和大小來確定系統的等級。

2）安全控制項現狀評估。根據國家相關風險評估方法，首先要確定主要業務系統和相關子系統所對應的各等級必須滿足的安全控制項評估內容［3－4］，再對系統各層次的安全管理域逐項進行等級風險評估。從而可以明確安全控制項做了哪些有效工作，哪些還需要完善，哪些還有高風險的場景存在，由此找到各層次安全域相應等級的安全差距，為后續合規工作和安全規劃指明方向。

3）設計合理的安全管理域［1］。結合業務系統運行及管理流程、數據訪問模式和相應IT功能組件，設計合理的安全域劃分原則，將業務系統分解為多個可管理層次，完善系統安全管理域框架。

4）明確安全管理域指標。依照安全管理域適用的安全等級要求，選擇合適的方法確定業務系統各區域不同的等級（例如二級和三級等）。同時，參照國家相關等級保護安全要求和指南，參考設計系統應具備的相應等級的安全指標庫，來確定各安全管理域所需采用的安全指標項。

5）設計安全保障體系的適用框架。依據安全管理域框架，設計系統各個層次的安全框架，包括安全策略、安全組織、安全制度［5］、安全流程、安全技術和安全運營［5］等，并最終形成適用于城軌系統整體的安全保障體系框架。

6）設計安全措施及控制項技術方案。針對評估安全差距要求，設計并建立面向城軌業務系統的安全風險和技術措施庫。通過等級風險評估，設計系統安全技術和工具解決方案。

7）優化安全管理體系。針對評估安全差距要求，設計并建立面向業務的管理風險和管理措施庫。通過等級風險評估，進行城軌相關企業集團和業務生產網的安全管理組織、制度和流程建設。

一個城軌業務系統的網絡信息系統，應整體形成合理、有效、適用的安全保障體系［2］，根據安全組織、安全制度、安全流程、安全技術及工具的建設，實現生產業務系統良好運行的安全保障。

2.3 工程設計

針對新基建大環境和創新技術的廣泛應用，建議信息安全專項工程設計如下。

1）新一代身份安全。大數據、物聯網、云計算改變了各個業務系統以往身份管理和使用模式，“身份管理”從面向人員管理演進為對設備、程序等數字身份的管理。新一代身份安全應立足于信息化和網絡安全雙基礎設施的定位，采用基于零信任架構的技術路線，建設新一代身份安全體系。

2）重構企業級網絡縱深防御。混合云、物聯網、工業生產網等的技術應用產生更多類型的外部網絡出口，接入風險日趨嚴峻，應構建多層級網絡，采用集約化模式，設計標準化、模塊化靈活部署的網絡安全防護組件，在實際業務生產網中適配各層級網絡節點，統一策略管理，形成以城軌運營數據為防護核心的網絡縱深防御體系。

3）數字化終端環境安全。安全管理的復雜性隨著數字化時代的快速發展而急劇上升，終端類別和創新應用快速增加，終端資產安全屬性也在發生變化，終端信息化安全的事件處理和防范需求不斷擴大。從良好的用戶體驗視角出發，充分考慮城軌相關企業內部和外部組織的管理模式，建設涵蓋生產網、辦公網、遠程維護、智慧數據共享平臺等多場景數字化終端，全面覆蓋統一的安全管理保障體系。

4）建設云數據中心的安全防護。隨著云計算的深入應用，云數據中心將取代傳統數據中心，其混合了公有云、專有云及企業自建云等復雜場景。來自內部用戶、互聯網用戶、公有云的資源訪問等行為，與云平臺管理、云交付管理業務混合在一起，導致了云內網絡風險的高發。應立足于混合云模式，適應于IaaS、PaaS、SaaS云服務類型，在云數據中心各個業務和網絡縱深中部署相應的安全能力。

5）建設面向大數據應用的安全防護。數據是驅動業務發展的核心動力，數據集中導致風險集中，數據流轉產生更多攻擊面。應基于數據生命周期及數據應用場景，開展數據安全防護工作，保障大數據采集、存儲、傳輸、處理、使用、共享開放、銷毀等的安全，做到大數據場景下的數據不失控、不被盜用、不被誤用、不被濫用。

6）建設面向實戰化全局態勢感知體系［5］。態勢感知是網絡安全防護體系的“中樞”，全天候全方位感知網絡安全態勢。應構建面向安全實戰化的全局態勢感知體系，要覆蓋城軌相關企業所有信息資產，包括設備、系統、應用和數據，具備實時采集安全數據和分析監測的能力，能動態識別安全威脅并及時處置相關安全風險，還要具備實現安全態勢全面分析、逐級鉆取事件調查分析、安全溯源和取證能力。

7）面向資產/漏洞/配置/補丁的系統安全。大多數城軌相關企業都存在信息化資產不清、漏洞分布不知、系統未按合規要求進行加固、漏洞修復不及時、基礎安全運行流程不閉環、缺乏一體化平臺工具支撐等問題，無法滿足實戰化的需求，應將合規要求中系統安全控制的執行落地，從定期檢查模式轉變為可持續驗證模式，提高安全漏洞修復工作的確定性。通過聚合IT資產、配置、漏洞、補丁等數據，從依靠自發自覺模式提升到體系化支撐模式，建設數據驅動的系統安全運行體系，達到及時實現、分析準確、響應可持續的業務系統網絡信息安全防護。

8）建設工業控制生產業務網安全防護。由于數字化升級，使工業生產網絡從封閉走向開放，工業控制生產網與多個數據源區、控制管理域、甚至與外網互聯互通，這將面臨很大的潛在信息和數據安全威脅。工業控制生產網在建設網絡信息安全防護體系時，須考慮涵蓋業務系統中的多個數據使用控制和交換場景，例如面向工業控制生產網絡的內部，工控安全管理的有線和無線網絡邊界［6］，生產數據的采集、通信、遠程維護管理，城軌相關企業的數據中心與分支業務部門，以及系統集成商和服務商之間，構建多層次安全措施，全面有效地掌握工業控制生產網的全局安全態勢，確保重要工業控制生產網絡和數據的安全。

9）建設面向內部威脅的綜合防控體系。基于新基建的需求，多數業務向云遷移，大數據集中化、數據共享增多，導致內部威脅已成為信息安全事件的重要原因，造成的后果愈發嚴重。因此，應構建內部威脅安全管控體系，采集相關的業務操作和管理日志、業務子系統中的數據、訪問流量、重要及敏感數據，結合各個生產網和安全管理域的管控制度，以及基層員工的綜合網絡信息安全意識培訓，加強主動防范和防護內部威脅的能力。

10）密碼應用相關的建設任務。密碼技術與信息系統、數據和業務應用緊密結合，密碼法的實施也為密碼技術應用和評估提供了法律依據，城軌相關企業應從密碼基礎設施、密碼應用中間件、密碼業務應用、密碼應用管理、密碼應用測評等方面開展密碼體系建設。

2.4 運營管理

實戰化的安全運行體系是保障各個主要城軌業務安全穩定運行的基礎［5］，通過信息安全運行活動將靜態的信息安全產品變為動態的信息安全防護體系并持續改進，如圖1所示。由于信息安全態勢瞬息萬變，這就要求持續檢測信息系統的安全狀態，發現問題及時處理。因此，安全產品需要人工持續管理、維護和優化，安全告警需要實時分析和處理，安全情報要及時分析和適配，才能發揮安全產品和服務的最大作用。

圖1 信息安全防護階段和持續改進示意圖

2.4.1 整體建設要求

為保障業務安全有序運轉，城軌作為公共交通服務機構必須建立實戰化的信息安全運行體系，涵蓋信息安全運行團隊、信息安全運行流程、信息安全操作規程、信息安全運行支撐平臺和安全工具等方面。

1）安服響應團隊。作為安全運行活動的執行者，設立城軌相關企業的信息安全運行團隊或外包安全服務資源，應該充分考慮應急響應和日常安全運營，并需要持續提升信息安全技能；同時，要發揮人防與技防融合提升的效果，保持與先進的網絡信息安全技術相匹配。

2）操作流程。制定安全運行流程和安全操作規程，作為安全運行人員合規、快速、準確執行閉環安全運行活動的依據和指導。

3）身份主線。確保以人員身份為主線的身份、憑證、權限管理，和以資產為主線的資產、配置、漏洞、補丁管理。

4）安全策略。確保以安全策略和訪問關系為主線的縱深防御安全策略管理，確保以威脅和安全事件為主線的安全事件處理，通過威脅獵殺、攻擊模擬、策略優化來提升安全防護水平。

5）情報數據。確保以情報數據為主線的威脅情報運營和適配，來提升響應速度和安全預防能力。安全運行團隊依照既定的操作規程快速有效地處理安全事務。

6）安全平臺。安全運行支撐平臺和安全工具的建設，需要結合整個安全運行體系的運行狀態，進行定期的、必要的、持續化的評估，不斷總結和優化，同時也需要與實戰化的安全運行能力相匹配，不斷完善網路信息安全運行管理體系水平。

2.4.2 日常管理要求

1）完善安全運行體系。安全運行服務團隊，充分運用系統安全資產管理平臺、數據安全生命周期管理平臺，以及綜合態勢感知和相關安全分析工具，完善安全運行和服務響應流程，以及安全操作指南和崗位規程，構建城軌相關企業和服務線路網絡環境實戰化的安全運行管理體系。

2）滿足安全合規性要求［7-8］。依據安全戰略目標和安全合規性要求，梳理涵蓋基礎架構安全、縱深防御、積極防御、威脅情報等的安全運行流程，采用持續性的模式定義每項安全運行工作的閉環流程，為安全運行常態化打下基礎，平時能夠保持整體良好的安全狀況，在面對大型實戰演練時也能從容應對。

3）加強基礎架構安全。以資產為主線的資產運維、漏洞管理、配置基線管理及補丁管理等日常安全運行活動，接受來自積極防御運行活動中的安全加固指令，并依據威脅情報運行活動中的加固方法對相關資產進行加固；以身份為主線的身份、憑證的生命周期管理及權限管理，接受積極防御運行活動中臨時禁用賬號的指令。

4）堅持縱深防御策略［9］。以安全策略為主線，結合安全工程的建設以及網絡互訪關系，對安全防護策略進行全生命周期管理，接受積極防御運行活動中的指令臨時調整策略或者優化策略，依據威脅情報運行活動的防護特征和黑名單情報調整安全策略。

5）持續積極防御。以事件或者威脅為主線，利用安全大數據結合威脅情報，采用交互式分析方法，發現、分析安全事件或者威脅，制定緩解和處置措施，并下發給基礎架構和縱深防御安全運行活動去執行。

6）定義安全運行的各個崗位職責。各個崗位包括安全運維工程師、安全分析師、滲透工程師、威脅獵殺專家、情報分析師、安全策略優化專家、安全流程優化專家，組建安全運行團隊，使得安全運行工作能夠有效執行。

7）明確標準操作規程。根據每個安全運行崗位的職責拆解安全運行流程，面向崗位形成明確的標準操作規程，將所有安全運行工作要求分解落實到具體的操作項目中。

8）設計安全運行工作流程。在各項安全工程和任務的平臺或系統建設交付項目過程中，同步設計相應的安全運行工作流程。隨著項目的試點和推廣，建立并完善安全運行機制，并隨著項目投產納入實戰化安全運行體系。

9）建立安全運行成熟度評估機制。評估項目包括安全運行流程評估、專業技術人員能力評估、技術運行平臺能力評估等，找出差距，制定提升計劃，促使安全運行體系成熟。

3 工作規劃

網絡信息安全的規劃，如圖2所示，應完善各項重要業務信息化，支持系統的近遠期的技術、運營、管理體系的發展規劃，落實從基礎網絡安全、業務應用安全和日常運營管理安全3個層面出發。

圖2 網絡信息安全的規劃全景圖（示意）

3.1 具體項目

1）開展相關信息安全關鍵技術和重點產品安全攻關工程。針對制約信息化網絡安全發展的關鍵技術和重點產品進行技術攻關。

2）設立網絡安全應用試點示范工程［10］。建立完善統一的實時在線安全監測和預警系統、跨網跨專業信息安全交換管理平臺、敏感信息防泄漏系統、核心生產運行系統仿真平臺，制定網絡信息安全相關標準規范。

3）建立統一的網絡與信息安全管理平臺［11］。實現網絡與信息安全監管電子化，各項管理工作流程化和統一化。

根據城市建設中實際工程的需求，基于本地建設和安全運營的基礎調研，有針對性地提出運營管理系統的信息安全需求，制定網絡信息安全相關規范，參照國內外網絡安全實踐和相關標準，建立包括信息系統安全框架、信息安全保障管理體系等信息安全體系結構，并基于可持續優化的原則，提出相應的信息安全保障措施清單和綜合測評工具［12］。

3.2 建議和意見

3.2.1 加強信息安全頂層設計

成立信息安全工作領導小組，設立信息安全專家咨詢委員會，跟蹤分析行業發展和工程建設狀況，定期研究工程建設的信息安全保障工作的重大事項，為科學決策提供咨詢意見建議。各企事業單位成立相應信息安全保障工作組織，領導本單位信息安全工作，加強對信息安全工作的組織領導和內部管理，將信息安全納入各單位年度重點工作，完善信息安全保障體系。

加強多方戰略合作，統籌銜接與國家部委、地方政府的網絡和信息安全的發展規劃。深入實施行業信息安全工程，保障重要科研、建設、運營平臺的持續服務能力。通過培育并逐步建立支撐行業的網絡信息安全的公共戰略聯盟，有計劃的建立以企業為主導的行業網絡信息安全技術相關的創新體系。加強并協調好業務系統及平臺與網絡信息安全規劃的實施落實。健全信息安全規劃的任務分解、監測評估和動態調整的工作機制，對重大任務的執行情況進行制度化、規范化的檢查評估，為信息安全規劃的動態調整提供依據，確保各項任務落到實處。

3.2.2 建立信息安全資源投入體系

保證信息安全資源投入持續穩定，建立多層次、多渠道信息安全資源投入體系。面向國家信息安全戰略重大需求，積極運用信息安全科技前沿技術，爭取國家支持，加大信息安全資源投入力度，吸引社會資本參與，激勵各企業加大信息安全科研投入，持續提升企業自主創新能力。設立信息安全應用科技成果轉化專項資金，促進適合工程建設和安全運營的信息安全技術成果轉化。設立網絡和信息安全科學普及專項資金，普及信息安全科學知識，為重點實驗室（如網絡信息安全工程技術中心）建設提供資金支持。

3.2.3 建立科學評估評價體系

建設由行業內外部高水平信息安全專家構成的多層級專家庫，在信息安全保障規劃項目征集、評估、評審過程中，充分發揮信息安全領域的專家作用，提高企業代表在評估、評審、決策、咨詢中的作用。改進信息安全建設的評價方式，完善以可靠、創新和質量為導向的體系評價辦法，建立以信息安全技術創新績效為導向的資源配置模式。支持、鼓勵行業協會、第三方專業機構信息安全保障及規劃服務能力建設，逐步將信息安全技術和工程評估、安全保障獎勵等工作整體或部分交由相關協會或第三方專業機構承擔，探索決策、執行、評價相對分開的運行機制，加強政府對行業信息安全活動的政策引導和監督管理。

3.2.4 完善信息安全管理制度

完善行業的建設和運營企業報告制度，加強信息安全管理信息系統建設。加強行業重點實驗室（例如網絡信息安全工程技術中心）、信息安全保障人才與團隊、信息安全技術科技成果轉化等制度建設，加快行業信息安全保障科技成果使用、處置和收益管理改革。完善有關網絡和信息安全新技術實驗驗證和新產品開發、應用的法規、規章和標準，為科技創新活動創造良好的制度環境。

4 結語

通過實測和分析總結，針對城軌相關企業和行業層面，從網信安全的計劃和實施方法提出了思考方向，給出建議；列舉了網絡信息安全立項、規劃、建設和行業頂層設計的方法，希望對有關部門能有所啟發。