城市軌道交通生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全設(shè)計方案研究

熊棟宇 黃 魏

(1.中鐵二院工程集團(tuán)有限責(zé)任公司， 610031， 成都；2.浙江浙大中控信息技術(shù)有限公司， 310052， 杭州∥第一作者， 高級工程師)

1 城市軌道交通網(wǎng)絡(luò)安全的現(xiàn)狀分析

隨著信息化、人工智能、移動支付、大數(shù)據(jù)、全自動運行等技術(shù)在城市軌道交通領(lǐng)域內(nèi)的不斷發(fā)展，弱電生產(chǎn)系統(tǒng)的信息資源共享與互通越來越多，接口關(guān)系越來越復(fù)雜，容易造成病毒入侵，對各弱電生產(chǎn)系統(tǒng)產(chǎn)生一定的威脅。一旦某個系統(tǒng)的信息安全出現(xiàn)漏洞，可能會對城市軌道交通的生產(chǎn)運行甚至國家安全造成很大的隱患。本文通過對城市軌道交通弱電生產(chǎn)系統(tǒng)中的乘客信息系統(tǒng)、信號系統(tǒng)、綜合監(jiān)控系統(tǒng)和自動售檢票系統(tǒng)深入研究，發(fā)現(xiàn)城市軌道交通網(wǎng)絡(luò)安全存在以下幾個方面的隱患和風(fēng)險。

1.1 邊界風(fēng)險

城市軌道交通生產(chǎn)網(wǎng)的業(yè)務(wù)系統(tǒng)多，系統(tǒng)間接口也多，系統(tǒng)內(nèi)沒有進(jìn)行安全域劃分。隨著城市軌道交通業(yè)務(wù)信息化的發(fā)展，生產(chǎn)運營數(shù)據(jù)共享，勢必要打通傳統(tǒng)生產(chǎn)網(wǎng)絡(luò)封閉的現(xiàn)狀。若缺少相應(yīng)的邊界防護(hù)措施，則不能有效控制運營控制中心(OCC)、停車場段和車站之間的數(shù)據(jù)訪問。一旦外部威脅進(jìn)入，安全風(fēng)險容易在城市軌道交通生產(chǎn)網(wǎng)全網(wǎng)內(nèi)擴(kuò)散。

以信號系統(tǒng)為例，其邊界風(fēng)險主要包括：

1) 與相關(guān)系統(tǒng)互聯(lián)的風(fēng)險。相關(guān)系統(tǒng)主要包括車輛、站臺門、防淹門、通信(乘客信息、無線通信、廣播、時鐘)、綜合監(jiān)控的互聯(lián)通信安全(如惡意代碼、蠕蟲病毒、非預(yù)期的數(shù)據(jù)指令、非授權(quán)的訪問)等。

2) 區(qū)域邊界保密性和完整性。如信號系統(tǒng)與綜合監(jiān)控系統(tǒng)采用標(biāo)準(zhǔn)Modbus協(xié)議進(jìn)行通訊，采用明文傳輸方式容易造成信息被監(jiān)聽或完整性被破壞。

3) 互聯(lián)風(fēng)險。主要包括信號系統(tǒng)中OCC與線網(wǎng)指揮中心(TCC)等上層構(gòu)架之間互聯(lián)(以下簡稱“上聯(lián)”)產(chǎn)生的邊界安全風(fēng)險，以及OCC與車站、場段等下層架構(gòu)之間互聯(lián)(以下簡稱“下聯(lián)”)產(chǎn)生的邊界安全風(fēng)險。

4) 網(wǎng)絡(luò)風(fēng)險。信號系統(tǒng)環(huán)網(wǎng)可能存在廣播風(fēng)暴、病毒傳播等情況，如蠕蟲病毒堵塞網(wǎng)絡(luò)的風(fēng)險。

1.2 終端風(fēng)險

城市軌道交通各生產(chǎn)系統(tǒng)在OCC、場段、車站內(nèi)均部署有一定的服務(wù)器和操作工作站，通常在線路開通運營前沒有關(guān)閉掉多余的系統(tǒng)服務(wù)，缺少對終端的安全管控和病毒防護(hù)措施，或在運營期間補(bǔ)丁修復(fù)不及時、漏洞隱患嚴(yán)重。

1) 病毒風(fēng)險。指通過U盤、外部設(shè)備(如手持終端、高拍儀等)、電腦終端接入等操作帶入的病毒風(fēng)險。

2) 漏洞風(fēng)險。指操作系統(tǒng)存在漏洞，可被網(wǎng)絡(luò)病毒利用的風(fēng)險。

3) 程序違規(guī)執(zhí)行風(fēng)險。指非預(yù)期的程序、進(jìn)程的執(zhí)行風(fēng)險，如APT(定向威脅攻擊)程序、數(shù)據(jù)竊取程序、勒索程序等。

1.3 綜合風(fēng)險

1) 系統(tǒng)運維風(fēng)險。除了城市軌道交通線路運營單位內(nèi)部的運維人員外，通常還包括第三方運維人員和系統(tǒng)供貨商，容易產(chǎn)生操作風(fēng)險，并存在敏感信息外泄風(fēng)險，需要有效控制這些人員在運維時的登錄認(rèn)證、權(quán)限控制、操作審計等過程。目前，城市軌道交通系統(tǒng)的安全運維多呈被動狀態(tài)，發(fā)生安全事件后存在追查缺少證據(jù)、缺少關(guān)聯(lián)分析等問題，若要做到對安全事件的提前預(yù)警則難度更大。

2) 合法及合規(guī)風(fēng)險。根據(jù)網(wǎng)絡(luò)安全法，安全日志至少留存6個月。運營單位應(yīng)定期開展風(fēng)險評估、完善應(yīng)急預(yù)案、進(jìn)行應(yīng)急演練，并依據(jù)信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)(以下簡稱“等保”)2.0標(biāo)準(zhǔn)的要求[1-2]實施安全集中管控、新型威脅分析。

2 城市軌道交通網(wǎng)絡(luò)安全的建設(shè)標(biāo)準(zhǔn)

根據(jù)等保2.0標(biāo)準(zhǔn)的相關(guān)要求，城市軌道交通的弱電生產(chǎn)系統(tǒng)網(wǎng)絡(luò)應(yīng)構(gòu)建具備相應(yīng)等級安全保護(hù)能力的網(wǎng)絡(luò)安全綜合縱深防御體系。城市軌道交通弱電生產(chǎn)系統(tǒng)應(yīng)以分區(qū)、分域為基礎(chǔ)，以突出重點、主動防御、綜合防控為原則，建設(shè)“一個中心”管理下的“三重防護(hù)”網(wǎng)絡(luò)安全技術(shù)防護(hù)體系[3]。其中：“一個中心”為安全管理中心，“三重防護(hù)”為安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境。

根據(jù)城市軌道交通行業(yè)的相關(guān)規(guī)范[4-5]，考慮到各生產(chǎn)系統(tǒng)的重要性，弱電生產(chǎn)系統(tǒng)安全保護(hù)等級分類如表1所示。

表1 城市軌道交通各生產(chǎn)系統(tǒng)安全保護(hù)等級分類

3 城市軌道交通網(wǎng)絡(luò)安全的系統(tǒng)設(shè)計方案

目前，城市軌道交通弱電系統(tǒng)各子系統(tǒng)機(jī)房的安全物理環(huán)境基本符合等保2.0標(biāo)準(zhǔn)的要求。本文重點討論在“一個中心”管理下的“三重防護(hù)”體系框架下如何構(gòu)建城市軌道交通弱電生產(chǎn)系統(tǒng)的安全技術(shù)體系。弱電生產(chǎn)的各子系統(tǒng)應(yīng)把橫向子系統(tǒng)劃分為獨立的安全域，對縱向子系統(tǒng)內(nèi)的架構(gòu)(TCC、OCC、車站、場段)做好安全分區(qū)，在滿足安全功能項的同時保證每個子系統(tǒng)的各項功能均可正常、可靠運行。

3.1 網(wǎng)絡(luò)安全防護(hù)方案

3.1.1 “一中心”的控制措施

為滿足安全管理中心的控制項，需要在OCC各業(yè)務(wù)系統(tǒng)中設(shè)置等保業(yè)務(wù)專區(qū)，劃分獨立的VLAN(虛擬局域網(wǎng))，并分別建設(shè)安全審計、集中管控的控制項。落實到具體的實際生產(chǎn)業(yè)務(wù)，可以歸納為兩點：

1) 安全審計。為滿足等保2.0標(biāo)準(zhǔn)，OCC需部署運維審計、日志審計和數(shù)據(jù)庫審計。其中：運維審計的設(shè)備部署在管理平面上，用以實現(xiàn)和業(yè)務(wù)數(shù)據(jù)的隔離，對于重要的應(yīng)用系統(tǒng)應(yīng)統(tǒng)一通過運維審計接入平臺進(jìn)行訪問，實現(xiàn)集中賬號、授權(quán)、認(rèn)證、訪問控制等功能；日志審計和數(shù)據(jù)庫審計重點對各安全設(shè)備、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫服務(wù)器等進(jìn)行操作記錄、事件分析和安全審計，并設(shè)置獨立的審計管理員，對分布在生產(chǎn)系統(tǒng)各個組成部分的安全審計機(jī)制進(jìn)行集中管理。

2) 集中管控。為滿足集中管控的控制項，OCC的集中管控可分為病毒防護(hù)、漏洞掃描、安全管理三個方面。其中：病毒防護(hù)和安全管理為安全保護(hù)等級二級的必配項，在安全保護(hù)等級三級通常會配置漏洞掃描設(shè)備。病毒防護(hù)可實現(xiàn)對安全策略、惡意代碼、補(bǔ)丁升級等安全相關(guān)事項進(jìn)行集中管理。漏洞掃描通過對主機(jī)漏洞、Web(廣域網(wǎng))漏洞、弱口令等方面的漏洞檢測，可幫助用戶及時發(fā)現(xiàn)系統(tǒng)風(fēng)險并及時修復(fù)。安全管理可實現(xiàn)防火墻、探針、防病毒等安全設(shè)備的配置管理、訪問控制、內(nèi)容安全檢查，以及設(shè)置匹配條件的管控，并可通過安全感知平臺對生產(chǎn)系統(tǒng)進(jìn)行信息安全的識別、報警和分析。

3.1.2 “三重防護(hù)”的控制措施

本文圍繞弱電生產(chǎn)系統(tǒng)的安全通信網(wǎng)絡(luò)、安全計算環(huán)境、安全區(qū)域邊界三個主要防護(hù)類別，重點對其主要控制項的防護(hù)措施方案、通用安全產(chǎn)品進(jìn)行深入分析，如表2所示。

表2 “三重防護(hù)”的主要控制措施

3.1.3 等級保護(hù)測評

等級保護(hù)測評由第三方專業(yè)測評機(jī)構(gòu)進(jìn)行綜合安全測評，一般管理得分與技術(shù)得分近乎對半[3]。在沒有高風(fēng)險項的前提下，技術(shù)上若滿足對應(yīng)的主要控制項目標(biāo)，可達(dá)到35～40分及以上的分?jǐn)?shù)；同時在管理上，若有合理的管理制度和管理機(jī)構(gòu),專職的安全人員,配套的系統(tǒng)交付管理,完善的運維管理體制和應(yīng)急預(yù)案及其配置變更管理，正常測評能達(dá)到40分以上的成績。最終綜合得分若達(dá)到75分，則滿足等保的測評標(biāo)準(zhǔn)。

3.2 網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計方案

由于城市軌道交通各生產(chǎn)系統(tǒng)具有不同的業(yè)務(wù)特點和不同的保護(hù)等級，建議各系統(tǒng)應(yīng)采用不同的安全設(shè)備配置方案。為了清晰地界定權(quán)責(zé)，基于系統(tǒng)自保的設(shè)計原則，推薦各系統(tǒng)在安全管理中心獨立配置安全審計、集中管控的安全設(shè)備。從投資和安全管理角度，推薦各系統(tǒng)共建、共享安全態(tài)勢感知平臺的方案。根據(jù)上文列出的各重大控制項，本文制定了各系統(tǒng)滿足等保要求的技術(shù)落地方案。

3.2.1 乘客信息系統(tǒng)

1) 在OCC設(shè)置安全管理中心，部署堡壘機(jī)、日志審計、病毒查殺系統(tǒng)和安全管理模塊，同時與生產(chǎn)網(wǎng)其他系統(tǒng)共建共享一套安全態(tài)勢平臺。

2) 在OCC部署終端防病毒檢測軟件，OCC的交換機(jī)和服務(wù)器冗余配置。OCC交換機(jī)旁掛安全探針設(shè)備或入侵檢測設(shè)備，接口邊界部署下一代防火墻。OCC的縱向和橫向邊界部署下一代防火墻，做好區(qū)域邊界隔離。

3) 在停車場段、各車站部署終端防病毒檢測軟件，網(wǎng)絡(luò)交換機(jī)旁掛安全探針設(shè)備，接口邊界側(cè)部署下一代防火墻做邊界隔離。車站級的乘客信息系統(tǒng)與綜合監(jiān)控系統(tǒng)間不必重復(fù)設(shè)置防火墻，可由綜合監(jiān)控配置一道防火墻，并統(tǒng)一策略管理。乘客信息系統(tǒng)的安全設(shè)計方案如圖1所示。

注：AP——無線訪問接入點。

3.2.2 信號系統(tǒng)

考慮到ATS(列車自動監(jiān)控)、ATC(列車自動控制)系統(tǒng)的可靠性和穩(wěn)定性要求，任何數(shù)據(jù)或傳輸上的錯誤都可能造成嚴(yán)重的生產(chǎn)事故，因此在車站和停車場段信號系統(tǒng)內(nèi)部的網(wǎng)絡(luò)防護(hù)主要以檢測為主。特別是ATC系統(tǒng)，不考慮任何串接設(shè)備，以保障信號系統(tǒng)網(wǎng)絡(luò)的穩(wěn)定性。

1) 在OCC設(shè)置安全管理中心，部署堡壘機(jī)、日志審計、病毒查殺系統(tǒng)、安全管理模塊，增配數(shù)據(jù)庫審計、漏洞掃描、網(wǎng)絡(luò)準(zhǔn)入。同時，與生產(chǎn)網(wǎng)其他系統(tǒng)共建共享一套安全態(tài)勢平臺，滿足安全保護(hù)等級三級要求。

2) 在OCC部署終端防病毒檢測軟件，中心交換機(jī)旁掛安全探針設(shè)備或入侵檢測設(shè)備，系統(tǒng)間接口邊界側(cè)部署下一代防火墻。OCC的上聯(lián)、下聯(lián)部署防火墻做好區(qū)域邊界隔離。

3) 在場段、各車站部署終端防病毒檢測軟件。ATS網(wǎng)絡(luò)交換機(jī)旁掛安全探針設(shè)備，F(xiàn)EP(前端處理器)前面部署下一代防火墻。信號系統(tǒng)的安全設(shè)計方案如圖2所示。

注：ATO——列車自動運行;BBU——基帶處理單元。

3.2.3 綜合監(jiān)控系統(tǒng)

綜合監(jiān)控系統(tǒng)的典型特點是采用“三級控制、兩級管理”架構(gòu)，系統(tǒng)間接口多，因此網(wǎng)絡(luò)安全設(shè)計上應(yīng)加強(qiáng)系統(tǒng)內(nèi)的縱向區(qū)域防護(hù)和系統(tǒng)間的橫向區(qū)域防護(hù)。

1) 在OCC設(shè)置安全管理中心，在該中心滿足安全保護(hù)等級二級的基礎(chǔ)上，增配數(shù)據(jù)庫審計、漏洞掃描設(shè)備。與生產(chǎn)網(wǎng)其他系統(tǒng)共建共享一套安全態(tài)勢平臺，該平臺應(yīng)滿足安全保護(hù)等級三級的要求。

2) 在OCC部署終端防病毒檢測軟件，OCC交換機(jī)旁掛安全探針設(shè)備或入侵檢測設(shè)備，系統(tǒng)間FEP前置機(jī)接口邊界部署下一代防火墻。OCC系統(tǒng)內(nèi)部署下一代防火墻做好區(qū)域邊界隔離。

3) 在場段、各車站部署終端防病毒檢測軟件。網(wǎng)絡(luò)交換機(jī)旁掛安全探針設(shè)備，橫向系統(tǒng)間FEP前置機(jī)接口邊界部署下一代防火墻，縱向系統(tǒng)內(nèi)互聯(lián)中心邊界部署下一代防火墻,以做好區(qū)域邊界隔離。綜合監(jiān)控系統(tǒng)的安全設(shè)計方案如圖3所示。

3.2.4 自動售檢票系統(tǒng)的實施方案

1) 在OCC設(shè)置安全管理中心，部署堡壘機(jī)、日志審計、數(shù)據(jù)庫審計、病毒查殺、漏洞掃描和安全管理模塊。共享弱電生產(chǎn)網(wǎng)其他系統(tǒng)或ACC(自動售檢票清分中心)的安全態(tài)勢平臺，應(yīng)滿足車站和線路中心安全保護(hù)等級三級的要求。

2) 在OCC部署終端防病毒檢測軟件，OCC的交換機(jī)旁掛安全探針設(shè)備或入侵檢測設(shè)備。OCC系統(tǒng)內(nèi)部部署上聯(lián)、下聯(lián)防火墻,做好區(qū)域邊界隔離。

3) 在車站部署終端防病毒檢測軟件。系統(tǒng)內(nèi)網(wǎng)絡(luò)交換機(jī)旁掛安全探針設(shè)備，上聯(lián)中心邊界旁掛防火墻,以做好區(qū)域邊界隔離。自動售檢票系統(tǒng)的安全設(shè)計方案如圖4所示。

4 結(jié)語

本文結(jié)合最新的等保2.0標(biāo)準(zhǔn)，著重對城市軌道交通四個生產(chǎn)系統(tǒng)(乘客信息系統(tǒng)、信號系統(tǒng)、綜合監(jiān)控系統(tǒng)和自動售檢票系統(tǒng))中存在的信息安全隱患進(jìn)行了深入剖析，闡述了網(wǎng)絡(luò)安全綜合縱深防護(hù)技術(shù)系統(tǒng)的防護(hù)方案，最后給出了各系統(tǒng)的網(wǎng)絡(luò)安全落地設(shè)計方案。各地城市軌道交通生產(chǎn)系統(tǒng)的新技術(shù)和新方案在不斷發(fā)展，其網(wǎng)絡(luò)安全技術(shù)防護(hù)體系也應(yīng)根據(jù)生產(chǎn)系統(tǒng)的特點和運維模式不斷予以完善。此外，除了做好網(wǎng)絡(luò)安全技術(shù)防護(hù)體系建設(shè)外，運營單位還應(yīng)不斷完善安全運維和安全管理制度，最終形成城市軌道交通的安全防護(hù)體系。

注：IMS——視頻監(jiān)視系統(tǒng)；ACS——門禁系統(tǒng)；PSD——站臺門；FAS——火災(zāi)報警系統(tǒng)；BAS——環(huán)境與設(shè)備監(jiān)控系統(tǒng)；

圖4 自動售檢票系統(tǒng)的網(wǎng)絡(luò)安全設(shè)計方案