何印

(蘇州市軌道交通集團(tuán)有限公司，江蘇蘇州 215008)

0 引言

2004年，國家公安機(jī)關(guān)依據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院147號(hào)令)和《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)【2003】27號(hào))的相關(guān)要求，制定了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字【2004】66號(hào))，并于2004年正式頒布了《信息安全等級(jí)保護(hù)管理辦法》(公通字【2007】43號(hào))，文件要求一旦受到侵害，會(huì)對公民法人合法權(quán)益、公共利益、社會(huì)秩序、國家安全產(chǎn)生不同程度影響的信息系統(tǒng)，要根據(jù)業(yè)務(wù)重要程度及實(shí)際安全需求，實(shí)行分類、分級(jí)、分階段的保護(hù)措施。

信息系統(tǒng)等級(jí)保護(hù)管理辦法自頒布以來，一直是國家層面推動(dòng)網(wǎng)絡(luò)安全工作的重要抓手，特別是2017年6月1日《網(wǎng)絡(luò)安全法》頒布以來，網(wǎng)絡(luò)安全已上升到國家戰(zhàn)略層面的高度，等級(jí)保護(hù)也逐漸成為一項(xiàng)強(qiáng)制要求在全國范圍內(nèi)推行[1]。

《網(wǎng)絡(luò)安全法》明確要求國家關(guān)鍵基礎(chǔ)設(shè)施信息系統(tǒng)采用網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，并且要求在系統(tǒng)設(shè)計(jì)階段見過信息安全，做到安全和業(yè)務(wù)同步進(jìn)行[2]。

2019年5月13日，公安部門正式發(fā)布了《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T 22239-2019》標(biāo)準(zhǔn)，信息安全等級(jí)保護(hù)也正式進(jìn)入了2.0時(shí)代[3]。

1 存在的問題

軌道交通行業(yè)內(nèi)沒有統(tǒng)一的安全規(guī)范供參考，因此我國的綜合監(jiān)控系統(tǒng)(ISCS)系統(tǒng)運(yùn)營過程中，網(wǎng)絡(luò)整體安全體系建設(shè)情況較差。僅部署了基本的安全防護(hù)措施，如訪問控制、入侵檢測等，針對服務(wù)器、終端等資產(chǎn)缺乏有效的管控措施，弱口令、漏洞等各種問題層出，邊界平臺(tái)建設(shè)不合規(guī)。

主要問題如下：

(1)目前部分線路綜合監(jiān)控系統(tǒng)邊界防護(hù)采用了防火墻和網(wǎng)閘，大部分線路無邊界防護(hù)措施。

(2)ISCS系統(tǒng)內(nèi)外部區(qū)域邊界采用FEP前置機(jī)進(jìn)行安全隔離，但是由于FEP通訊還是基于現(xiàn)有網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)中傳播的惡意代碼能夠在穿透FEP，無法起到安全隔離的作用。

(3)地鐵ISCS系統(tǒng)各工作站、服務(wù)器上線后基本不做補(bǔ)丁升級(jí)，不安裝殺毒軟件等，基本處于“裸奔”運(yùn)行狀態(tài)，存在大量安全隱患。

(4)ISCS系統(tǒng)的內(nèi)部設(shè)備、軟件等運(yùn)維中存在不嚴(yán)格的操作行為及管理措施，如隨意使用不經(jīng)授權(quán)及管理的接入底層系統(tǒng)等，容易造成ISCS系統(tǒng)內(nèi)遭受地址解析協(xié)議攻擊(ARP攻擊)、拒絕式服務(wù)攻擊(Dos和DDos)、網(wǎng)絡(luò)風(fēng)暴等，導(dǎo)致系統(tǒng)資源被消耗，系統(tǒng)無法正常工作。

(5)ISCS系統(tǒng)的設(shè)備運(yùn)維、軟件升級(jí)等需運(yùn)維人員接入不經(jīng)檢測及授權(quán)的U盤等，容易造成ISCS設(shè)備干擾病毒，從而使得ISCS指令不準(zhǔn)確，存在較大的安全隱患。

(6)ISCS系統(tǒng)平時(shí)在車站未部署安全審計(jì)，未采取數(shù)據(jù)加密或其他措施實(shí)現(xiàn)ISCS系統(tǒng)鑒別業(yè)務(wù)數(shù)據(jù)、管理數(shù)據(jù)。

為滿足軌道交通業(yè)務(wù)的快速發(fā)展的需要，響應(yīng)國家網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)的相關(guān)規(guī)范要求，應(yīng)完善現(xiàn)有綜合監(jiān)控系統(tǒng)(ISCS)系統(tǒng)安全技術(shù)體系，為業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行以及未來持續(xù)發(fā)展提供保障[4]。

2 綜合監(jiān)控系統(tǒng)信息安全方案研究

根據(jù)公安部正式發(fā)布《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T 22239-2019》的標(biāo)準(zhǔn)，本文從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心等層面進(jìn)行方案研究[5]。

2.1 總體規(guī)劃

城市軌道交通綜合監(jiān)控系統(tǒng)(ISCS)中集成和互聯(lián)的對象包括：環(huán)境與設(shè)備監(jiān)控系統(tǒng)(BAS)、火災(zāi)自動(dòng)報(bào)警系統(tǒng)(FAS(含區(qū)間隧道感溫光纖))、電力監(jiān)控(SCADA)、站臺(tái)門(PSD)、防淹門(FG)、電氣火災(zāi)報(bào)警系統(tǒng)、消防電源監(jiān)視系統(tǒng)、防火門監(jiān)控系統(tǒng)、乘客信息顯示系統(tǒng)(PIS)、廣播系統(tǒng)(PA)、信號(hào)系統(tǒng)(SIG)、視頻監(jiān)控(CCTV)、自動(dòng)售檢票系統(tǒng)(AFC)、門禁系統(tǒng)(ACS)、時(shí)鐘系統(tǒng)(CLK)、可視化接地系統(tǒng)、列車車載監(jiān)視系統(tǒng)、通信集中告警系統(tǒng)、線網(wǎng)指揮系統(tǒng)(TCC)、信息管理系統(tǒng)(OA)、市火災(zāi)監(jiān)控中心等[6]。

由于ISCS接口眾多，在車站、車輛段、停車場ISCS交換機(jī)出口部署工業(yè)防火墻，隔離與各接口系統(tǒng)，ISCS站級(jí)系統(tǒng)內(nèi)部署工控網(wǎng)絡(luò)安全監(jiān)測與審計(jì)系統(tǒng)。在中央級(jí)ISCS交換機(jī)出口處部署工業(yè)防火墻，ISCS中央級(jí)部署安全管理區(qū)，區(qū)內(nèi)部署主機(jī)防護(hù)系統(tǒng)集中監(jiān)管平臺(tái)、風(fēng)險(xiǎn)評(píng)估系統(tǒng)、工控安全管理中心系統(tǒng)、工控安全運(yùn)維管理系統(tǒng)、工控網(wǎng)絡(luò)安全監(jiān)測與審計(jì)系統(tǒng)、信息安全管理工作站等。

2.2 安全物理環(huán)境

嚴(yán)格貫徹安全物理環(huán)境需求，建立專有的電子門禁，配備防盜竊和防破壞，設(shè)置視頻監(jiān)控和電子門禁，配備專門存放光盤資料等介質(zhì)的檔案柜，有防盜報(bào)警系統(tǒng)，線路隱蔽鋪設(shè)。設(shè)置避雷裝置及自動(dòng)消防系統(tǒng)，如溫感、煙感探頭、氣體滅火系統(tǒng)等。采取防水和防潮措施，可鋪設(shè)方靜電瓷磚或防靜電地板，機(jī)房配置精密空調(diào)機(jī)組，能根據(jù)溫度、濕度的預(yù)設(shè)值自動(dòng)調(diào)節(jié)溫度與濕度，系統(tǒng)雙路供電，具有UPS穩(wěn)壓過壓保護(hù)，機(jī)房急設(shè)備均采用單獨(dú)接地，防止外界電磁干擾。

2.3 安全通信網(wǎng)絡(luò)

系統(tǒng)內(nèi)根據(jù)信息的性質(zhì)、目標(biāo)、策略和使用者等元素的不同來劃分的不同邏輯網(wǎng)絡(luò)，每一個(gè)邏輯網(wǎng)絡(luò)區(qū)域內(nèi)部有相同的安全保護(hù)策略、使用等要求。相同的邊界控制策略和安全訪問控制的區(qū)域之間被認(rèn)定為信任關(guān)系，在相同的網(wǎng)絡(luò)安全區(qū)域之間設(shè)置相同的安全策略。

2.4 安全區(qū)域邊界

2.4.1 中央級(jí)ISCS

多數(shù)城市的軌道交通控制中心ISCS系統(tǒng)會(huì)設(shè)置冗余的中央通信前端處理器FEP，接收和發(fā)送控制中心(OCC)各相關(guān)集成互聯(lián)子系統(tǒng)的信息。一般每套FEP配置會(huì)2個(gè)互為備份的千兆以太網(wǎng)電接口分別與中心以太網(wǎng)冗余交換機(jī)連接。在每套前置處理機(jī)(FEP)的前端部署工業(yè)防火墻，實(shí)現(xiàn)子系統(tǒng)與ISCS之間的隔離與訪問控制。根據(jù)數(shù)據(jù)包的傳輸層協(xié)議、應(yīng)用層協(xié)議、源地址、目的地址、端口等信息執(zhí)行訪問控制規(guī)則，并同時(shí)對數(shù)據(jù)包進(jìn)行過濾。嚴(yán)格貫徹并執(zhí)行白名單機(jī)制，僅允許正常業(yè)務(wù)數(shù)據(jù)穿過該平臺(tái)，禁止其他應(yīng)用的連接請求，以保障綜合監(jiān)控系統(tǒng)(ISCS)的網(wǎng)絡(luò)安全。部署架構(gòu)圖如圖1所示。

2.4.2 車站級(jí)(含段場)ISCS

車站ISCS系統(tǒng)通過FEP，接收和發(fā)送車站集成和互連系統(tǒng)的信息。FEP冗余配置，每套FEP配置2個(gè)互為備份的100Mbps以太網(wǎng)電接口分別與車站以太網(wǎng)冗余交換機(jī)連接。在每個(gè)車站的FEP前端串聯(lián)部署工業(yè)防火墻，實(shí)現(xiàn)保障車站ISCS系統(tǒng)的安全性。部署架構(gòu)圖如圖2所示。

2.4.3 安全審計(jì)

在中央級(jí)綜合監(jiān)控系統(tǒng)、車站級(jí)綜合監(jiān)控系統(tǒng)、車輛段綜合監(jiān)控系統(tǒng)和停車場綜合監(jiān)控系統(tǒng)核心交換機(jī)旁路部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，實(shí)現(xiàn)對系統(tǒng)內(nèi)運(yùn)維人員網(wǎng)絡(luò)訪問行為和相關(guān)內(nèi)容的記錄、分析和還原。

2.4.4 入侵檢測

在中央級(jí)綜合監(jiān)控系統(tǒng)、車站級(jí)綜合監(jiān)控系統(tǒng)、車輛段綜合監(jiān)控系統(tǒng)和停車場綜合監(jiān)控系統(tǒng)中核心交換機(jī)部署入侵檢測系統(tǒng)，實(shí)現(xiàn)對內(nèi)部、外部各類攻擊威脅的實(shí)時(shí)檢測、記錄、告警，滿足網(wǎng)絡(luò)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)要求。

2.5 安全計(jì)算環(huán)境

在地鐵綜合監(jiān)控系統(tǒng)中各Windows操作系統(tǒng)的工作站和服務(wù)器上部署主機(jī)安全防護(hù)軟件。同時(shí)在控制中心部署一臺(tái)主機(jī)防護(hù)系統(tǒng)集中監(jiān)管平臺(tái)，實(shí)現(xiàn)對部署在各主機(jī)上的主機(jī)安全防護(hù)軟件的統(tǒng)一管理。

圖1 中央級(jí)綜合監(jiān)控系統(tǒng)信息安全部署網(wǎng)絡(luò)架構(gòu)圖

圖2 車站綜合監(jiān)控系統(tǒng)信息安全部署網(wǎng)絡(luò)架構(gòu)圖

2.6 安全管理中心

2.6.1 安全管理平臺(tái)

地鐵綜合監(jiān)控系統(tǒng)安全管理平臺(tái)，并規(guī)劃部署于安全管理區(qū)內(nèi)部進(jìn)行部署，以實(shí)現(xiàn)對工業(yè)控制生產(chǎn)網(wǎng)中部署的工控安全設(shè)備和系統(tǒng)進(jìn)行管理、配置和運(yùn)維，實(shí)現(xiàn)對工業(yè)控制全網(wǎng)中每個(gè)節(jié)點(diǎn)的安全設(shè)備進(jìn)行策略配置下發(fā)、網(wǎng)絡(luò)流量分析，實(shí)時(shí)掌握工業(yè)控制網(wǎng)絡(luò)運(yùn)行情況，以便出現(xiàn)問題時(shí)及時(shí)定位發(fā)生位置和原因。

2.6.2 運(yùn)維審計(jì)系統(tǒng)

需在中央級(jí)ISCS中部署1套工控安全運(yùn)維管理系統(tǒng)，可對地鐵公司內(nèi)部網(wǎng)絡(luò)設(shè)備和服務(wù)器等進(jìn)行保護(hù)，對此類設(shè)備及系統(tǒng)進(jìn)行審計(jì)，實(shí)現(xiàn)對用戶行為的控制、追蹤、判定，同時(shí)對管理和運(yùn)維人員賬號(hào)使用情況進(jìn)行記錄和畫面監(jiān)視。

2.6.3 風(fēng)險(xiǎn)評(píng)估系統(tǒng)

中央級(jí)部署1臺(tái)風(fēng)險(xiǎn)評(píng)估系統(tǒng)，定期對綜合監(jiān)控系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估及漏洞掃描。風(fēng)險(xiǎn)評(píng)估系統(tǒng)在網(wǎng)絡(luò)中并不是一個(gè)實(shí)時(shí)啟動(dòng)的系統(tǒng)，只需要定期掛接到網(wǎng)絡(luò)中，對網(wǎng)段上的重點(diǎn)服務(wù)器以及主要的網(wǎng)絡(luò)設(shè)備和桌面機(jī)進(jìn)行掃描，即可評(píng)估當(dāng)前系統(tǒng)中存在的各種安全漏洞，由此可針對性地對系統(tǒng)采取補(bǔ)救措施，則即可在相當(dāng)一段時(shí)間內(nèi)保證系統(tǒng)的安全。

計(jì)劃將漏洞掃描系統(tǒng)旁路部署于安全管理區(qū)的交換機(jī)上。