符合等級保護三級要求的城市軌道交通綜合監控系統信息安全設計

徐啟祿 高月鑫

(1.青島地鐵集團有限公司，266061，青島； 2.同方股份有限公司，100083，北京 ∥ 第一作者，高級工程師)

《交通運輸信息化“十三五”發展規劃》提出：推進交通運輸“互聯網+”，要求充分利用信息技術改造傳統交通運輸業[1]。《中華人民共和國網絡安全法》明確規定，對于涉及公共通信、金融、交通等的關鍵基礎設施行業，需在其等級保護(以下簡稱“等保”)制度的基礎上，實施重點保護。2019年12月1日，與等保2.0相關的GB/T 22239—2019《信息安全技術網絡安全等級保護基本要求》等國家標準正式實施。等保2.0相比等保1.0更加注重全方面主動防御、感知預警、動態防護、安全檢測、應急響應等，且定級對象擴展至基礎信息網絡、工業控制系統、云計算平臺以及大數據等平臺系統[2]。

城市軌道交通綜合監控系統(ISCS)深度集成了電力監控系統(PSCADA)、環境與設備監控系統(BAS)等系統，互聯信號、通信、自動售檢票等系統，對城市軌道交通的多個專業、系統進行集中監控和聯動，是支撐城市軌道交通可靠、安全運行的關鍵系統之一，一旦被入侵干擾將造成災難性后果。新形勢、新政策也對ISCS的信息安全提出了更高的要求，必須構建一個完善的安全體系架構。

1 ISCS的信息安全級別

根據國家標準的相關要求“綜合監控系統的信息安全應符合現行國家標準《工業控制系統信息安全》規定”“且宜按信息系統安全等級保護標準第三級進行設計、工程實施和驗收”[3]。等保2.0新規要求“應在工業控制系統與企業其他系統之間部署訪問控制設備，配置訪問控制策略”[4]。

雖然上述標準中并未強制要求ISCS必須滿足等保三級標準，但是，考慮到ISCS的集成度越來越高，對城市軌道交通的安全穩定運行已經不可或缺。建設、設計、集成、運營等相關各方已經基本形成一致的認識，即ISCS信息安全應滿足等保三級的標準。

2 ISCS信息安全建設現狀及安全問題分析

等保三級對系統安全保護環境提出了很多具體明確的要求，但是現階段ISCS信息安全建設還存在諸多問題。

1) 沒有正確的信息安全觀。ISCS從業人員存有ISCS處于內部局域網環境、信息安全與我無關的態度，導致ISCS信息安全建設從設計、工程實施乃至運營管理都得不到重視，并且缺乏管理制度的約束。理念決定行動，如果沒有樹立正確的信息安全理念，就會導致缺乏相關信息安全預防措施。

2) 缺乏集中安全管理與審計。由于缺乏信息安全觀，因此也沒有在技術層面上對設備、應用系統等賬號認證方式進行限制，存在大量弱口令。存在一個賬號多人使用的情況，因此不知道何人何時做了何操作；尤其是在對第三方運維人員管理方面，因為沒有一個集中管理平臺對工作人員、用戶的賬號、認證、授權、審計等進行管理，因此難以實現統一的信息安全管理。由于缺乏有效的網絡準入和資源訪問控制機制，在ISCS網絡任意節點都可訪問全線系統資源，因此無法對ISCS內的網絡行為進行識別與監測。

3) 互聯接口網絡無隔離。ISCS的互聯網絡環境復雜，互聯接口之間沒有有效的安全隔離措施，ISCS與互聯專業接口直接由終端到終端互聯，網絡協議、端口任意開放。

ISCS集成的子系統(PSCADA、BAS等)為傳統工業控制系統，一方面這些系統的設計目的在于實現各種實時控制功能，基本不考慮信息安全問題；另一方面這些系統相對比較封閉，一般被認為受到外界入侵的風險較小。但ISCS互聯的子系統(ATS(列車自動監控)、PIS(乘客信息系統)、AFC(自動售檢票)等)為不同種類的IT系統，使得ISCS的開放性大為提高。在PSCADA、BAS系統與ISCS控制層縱向間無隔離的情況下，這些子系統會完全暴漏在來自ISCS病毒、木馬、網絡攻擊的威脅下。

4) 終端主機無防護。為了保證系統穩定，ISCS各種主機(服務器、工作站、前置機(FEP)等)在投運后，操作系統一般不進行漏洞補丁修補。漏洞會被入侵者用以獲取系統的完全訪問權限；外接設備、移動存儲設備等介質攜帶的病毒也會利用漏洞進行二次傳播，造成網絡內的主機成片感染，甚至造成寄生、蠕蟲、勒索等危害嚴重的病毒泛濫。國內的ISCS及相關系統已經出現過多起病毒入侵等信息安全事故。

3 ISCS信息安全方案設計

ISCS存在的信息安全問題涉及到制度約束、管理與審計、網絡通信安全、工控系統、主機安全等多個方面，因此，進行ISCS信息安全方案設計時，需通過梳理ISCS業務流程，分析以上關鍵保護點，然后分層分域設計安全機制及策略。要確保ISCS信息安全方案技術與管理有機結合，相互支撐，實現技管并重。

3.1 ISCS信息安全設計要點

在管理層面應制定管理、檢查制度和信息安全事件應急響應制度，通過制度的學習和執行強化信息安全觀念，通過規章制度和定期監督檢查約束信息安全行為，保障信息安全保護能力不斷提高。

在技術層面，依據等保2.0新標準的三級防護規范要求：“通過第三級的安全計算環境、安全區域邊界、安全通信網絡以及安全管理中心的設計加以實現”[5]，即“一個中心”管理下的“計算環境、區域邊界、通信網絡的三重防護”體系框架，實施多層隔離和保護，防止某薄弱環節影響整體安全；重點對操作人員使用的終端、業務服務器等計算節點進行安全防護，控制操作人員行為，把住攻擊發起源頭，防止發生攻擊行為；同時分析ISCS應用系統業務流程，制訂訪問控制安全策略，并由安全網關依據安全策略自動執行，扎牢網絡漏洞。

ISCS信息安全設計遵循“分層分域、邊界控制，內部監測、集中管控”的原則。

“分層分域、邊界控制”即劃分安全管理中心、ISCS中央級/車站級、車站級PSCADA、車站級BAS等安全區域，區域邊界部署防火墻，實現協議層、細粒度的訪問控制。

“內部監測、集中管控”即在中心級構建安全管理中心子系統，結合審計設備、終端管理、4A(Authentication身份驗證、Account賬號管理、Authorization授權控制、Audit安全設計)堡壘機等，實現網絡內設備狀態的集中監測，并能夠進行全局日志分析、安全策略統一下發。

基于上述技防原則的ISCS信息安全構架如圖1所示。

圖1 城市軌道交通ISCS信息安全構架

3.2 建設安全管理中心

安全管理中心是ISCS安全管理的核心。等保三級明確要求：安全管理中心實現系統管理、審計管理、安全管理、集中管控，且劃分特定的管理區域。因此，在ISCS控制中心需建設安全管理中心，從技術層面提供系統安全的監察和管理手段。安全管理中心可利用ISCS的網管中心設備進行適當擴容后構建，使其兼具網管和信息安全管理的功能。

安全管理中心系統包括4A堡壘機、安全審計與監測、工控異常檢測、動態態勢感知等子系統。

1) 4A堡壘機：通過4A堡壘機對被授權人員(運維人員)在系統內的維護行為進行解析、分析、記錄、匯報[6]；監督管控運維人員對設備IP地址、用戶名、口令等信息的記錄，控制運維人員能運維哪些設備、執行哪些操作命令，避免運維人員非法或無意執行高危操作，并對運維人員的操作進行實時監控和事后審計，解決管理運維人員操作難、亂、不可追溯等問題。

2) 安全審計與監測：需要對ISCS內的網絡行為的安全性進行感知及預警。通過對網絡流量、數據庫訪問等進行分析、記錄并挖掘展示，對ISCS網絡行為進行審計、管控，一方面是審計系統內部發起的行為操作是否合規，包括系統內中央級與車站級、與控制層等方向；二是系統外部對ISCS發起的訪問是否具有威脅。

審計設備對ISCS內網絡、數據庫提供全面的行為監控，對網絡、數據庫訪問進行合規性管理；對ISCS業務網絡進行安全審計，采集、分析和識別網絡數據流，監視網絡系統的運行狀態，記錄網絡事件，發現安全隱患。

安全管理中心還可以集中監視全線網絡設備和主機設備的健康狀態，同時收集全線主機設備、操作系統、應用平臺、數據庫等的日志信息，實現對各設備審計數據集中匯總和分析的功能。全面掌控系統狀態，滿足等保對集中管控的要求。

3) 工控異常檢測：ISCS平臺作為PSCADA、BAS系統控制命令的來源，在ISCS網絡內對該類工控指令的合規性檢測是非常重要的。通過工控異常檢測系統可檢測工業指令操控行為、異常報文、工控漏洞攻擊、工控協議入侵等行為，監測工控網絡中的敏感操控，預警ISCS網絡內對PSCADA、BAS系統存在威脅的網絡故障與異常行為，保護PSCADA、BAS等工控系統的安全運行。

4) 動態態勢感知：動態態勢感知平臺從主機端、網絡層、流量審計等獲取ISCS的安全日志、流量分析、漏洞信息、資產狀態、僵木蠕數據，完成安全事件信息的采集、聚合、過濾、關聯，實現對ISCS安全態勢的動態感知。通過大數據分析及可視化展示等手段，展示安全威脅實時預警、監控數據實時匯總、報表統計等信息，對網絡風險和系統健康態勢集中呈現、分析、預測、處理。

3.3 建設安全的區域邊界

根據ISCS與互聯、集成子系統的網絡結構邏輯的不同，劃分不同安全區，將ISCS作為一個整體安全域，從外部系統接入(水平方向)到內部集成子系統(垂直方向)部署邊界防護體系，實現對系統內外間的隔離防護：部署中央級與互聯系統邊界防火墻；部署中央級與其他信息系統邊界防火墻；部署車站級與互聯系統邊界防火墻；部署車站級與集成子系統邊界防火墻。

防火墻可以過濾進出網絡的數據、管理進出訪問網絡的行為、封堵高危端口、記錄通過防火墻的信息內容和活動、對網絡攻擊進行檢測和告警[7]；通過強制性訪問控制機制實現對源及目標計算節點的身份、地址、端口和應用協議等的可信驗證。邊界防護是ISCS信息安全的界墻，建設和加強入侵防護是ISCS網絡安全防護的關鍵工作，同樣也是等保三級對于訪問控制和邊界完整性檢查的基本要求。

在水平方向，與外部的互聯系統間設置防火墻，對接口通信協議的內容進行分析檢測，實現協議層、端口細粒度的訪問控制，拒絕外部非法連接，隔離來自外部的安全威脅；在垂直方向，與集成子系統間部署工業防火墻，用來隔離來自ISCS控制層的安全威脅。工業防火墻可以對工業協議(Modbus/TCP、Ethernet/IP、IEC104等)內容、指令進行深度解析檢測和非法阻斷，滿足等保2.0標準對工業控制系統安全通信網絡技術隔離手段的基本要求。

3.4 加固計算環境安全

主機安全涉及系統內部所有主機設備及系統用戶。ISCS主機主要涉及工作站、服務器等，它們直接參與監視、控制各互聯、集成子系統的終端設備。安全的計算環境是ISCS信息安全的基礎。終端也是安全威脅發起的源頭，惡意代碼防范、非法外聯管理、訪問控制、安全日志、漏洞信息、資產狀態、合規檢查等都是終端設備的基礎防護。

為主機配置的用戶安全策略，包括登陸失敗、超時退出、口令復雜度等策略，設置限制登陸訪問地址并結合4A堡壘機安全審計系統實現統一的信息安全策略；部署終端安全管理軟件，實現對全線主機準入控制、非法外聯控制、外設及移動存儲介質的集中管理，尤其對不可信的移動存儲介質，保證進不來、數據拷貝不走，還可對主機設備的漏洞補丁進行統一更新；部署網絡防病毒軟件，對ISCS全線主機實現防惡意代碼的統一管理，有效防范來自U盤、網絡共享等各種途徑的惡意代碼入侵，并且終端的相關安全信息會及時反饋給系統中心，管理員能夠及時了解網絡內安全狀態、分析安全事件，并能夠遠程操控設置終端安全策略。

3.5 安全的通信網絡

在網絡構架方面，規劃設計網絡時需做好網絡帶寬用量分析、IP分配及預留、核心網絡設備性能選擇，以及通信鏈路、關鍵硬件設備(服務器、FEP、交換機等)冗余部署，保證系統可靠性。對于業務數據、安全管理，需為其在網絡交換傳輸中單獨劃分通信通道。

ISCS平臺在車站與控制中心間的通信傳輸采用私有協議，在保證平臺數據實時性傳輸的前提下，實現可控范圍的數據完整性校驗及加密；工業控制通信協議(Modbus TCP、IEC 104等)多采用明文傳輸，采用SSL(安全套接字協議)安全協議在傳輸層對網絡連接進行加密，在保持現有通信協議功能、效率、可靠性基礎上，實現通信加密和雙向認證[8]，滿足通信傳輸中完整性、保密性的要求。

4 ISCS等保的測評認證

ISCS信息安全方案實施完成后，需要經過信息安全等級保護的測評認證。等保測評涵蓋了定級、備案、建設整改、等級測評等流程，是對ISCS安全保護狀況的綜合評價。

根據測評認證的要求，在ISCS的安全設計上，應注意以下幾點：

1) 重點加固：應針對ISCS等保建設的原則方向，結合ISCS業務特點，針對性地進行安全加固，而不是一味堆砌安全設備和安全軟件。

2) 適度安全：信息安全防護是為業務生產系統服務的，要基于ISCS的安全需求進行整改。不顧安全成本、違背業務需求一味進行信息安全建設，反而會導致ISCS業務運行更加復雜，影響業務平臺的可靠性、實效性，會起相反的作用。

3) 問題整改：測評認證是在技術與管理共用情況下的一個綜合安全評定。問題整改是落實等級保護工作的關鍵，適合業務系統的整改策略，要充分利用各安全組件，嚴格按照網絡安全等級保護標準要求、測評要求及時、規范地進行問題整改。

5 結語

根據等保2.0三級防護規范和實施指南要求，通過部署安全管理中心、加固計算環境安全、增強邊界安全隔離、進行安全審計等措施，可以顯著提升ISCS信息安全防護能力，滿足等保三級要求。本文介紹的方案已在ISCS信息安全建設項目中進行實施，并通過了第三方機構的信息安全三級評測及CNAS的認證。當然，ISCS的等保三級安全設計還是較新的課題，等級保護也只是現代信息系統安全應達到的底線，還需要根據后續的實際運行情況不斷進行改進。