熊棟宇 黃 魏

(1.中鐵二院工程集團(tuán)有限責(zé)任公司， 610031， 成都；2.浙江浙大中控信息技術(shù)有限公司， 310052， 杭州∥第一作者， 高級(jí)工程師)

1 城市軌道交通網(wǎng)絡(luò)安全的現(xiàn)狀分析

隨著信息化、人工智能、移動(dòng)支付、大數(shù)據(jù)、全自動(dòng)運(yùn)行等技術(shù)在城市軌道交通領(lǐng)域內(nèi)的不斷發(fā)展，弱電生產(chǎn)系統(tǒng)的信息資源共享與互通越來越多，接口關(guān)系越來越復(fù)雜，容易造成病毒入侵，對(duì)各弱電生產(chǎn)系統(tǒng)產(chǎn)生一定的威脅。一旦某個(gè)系統(tǒng)的信息安全出現(xiàn)漏洞，可能會(huì)對(duì)城市軌道交通的生產(chǎn)運(yùn)行甚至國(guó)家安全造成很大的隱患。本文通過對(duì)城市軌道交通弱電生產(chǎn)系統(tǒng)中的乘客信息系統(tǒng)、信號(hào)系統(tǒng)、綜合監(jiān)控系統(tǒng)和自動(dòng)售檢票系統(tǒng)深入研究，發(fā)現(xiàn)城市軌道交通網(wǎng)絡(luò)安全存在以下幾個(gè)方面的隱患和風(fēng)險(xiǎn)。

1.1 邊界風(fēng)險(xiǎn)

城市軌道交通生產(chǎn)網(wǎng)的業(yè)務(wù)系統(tǒng)多，系統(tǒng)間接口也多，系統(tǒng)內(nèi)沒有進(jìn)行安全域劃分。隨著城市軌道交通業(yè)務(wù)信息化的發(fā)展，生產(chǎn)運(yùn)營(yíng)數(shù)據(jù)共享，勢(shì)必要打通傳統(tǒng)生產(chǎn)網(wǎng)絡(luò)封閉的現(xiàn)狀。若缺少相應(yīng)的邊界防護(hù)措施，則不能有效控制運(yùn)營(yíng)控制中心(OCC)、停車場(chǎng)段和車站之間的數(shù)據(jù)訪問。一旦外部威脅進(jìn)入，安全風(fēng)險(xiǎn)容易在城市軌道交通生產(chǎn)網(wǎng)全網(wǎng)內(nèi)擴(kuò)散。

以信號(hào)系統(tǒng)為例，其邊界風(fēng)險(xiǎn)主要包括：

1) 與相關(guān)系統(tǒng)互聯(lián)的風(fēng)險(xiǎn)。相關(guān)系統(tǒng)主要包括車輛、站臺(tái)門、防淹門、通信(乘客信息、無(wú)線通信、廣播、時(shí)鐘)、綜合監(jiān)控的互聯(lián)通信安全(如惡意代碼、蠕蟲病毒、非預(yù)期的數(shù)據(jù)指令、非授權(quán)的訪問)等。

2) 區(qū)域邊界保密性和完整性。如信號(hào)系統(tǒng)與綜合監(jiān)控系統(tǒng)采用標(biāo)準(zhǔn)Modbus協(xié)議進(jìn)行通訊，采用明文傳輸方式容易造成信息被監(jiān)聽或完整性被破壞。

3) 互聯(lián)風(fēng)險(xiǎn)。主要包括信號(hào)系統(tǒng)中OCC與線網(wǎng)指揮中心(TCC)等上層構(gòu)架之間互聯(lián)(以下簡(jiǎn)稱“上聯(lián)”)產(chǎn)生的邊界安全風(fēng)險(xiǎn)，以及OCC與車站、場(chǎng)段等下層架構(gòu)之間互聯(lián)(以下簡(jiǎn)稱“下聯(lián)”)產(chǎn)生的邊界安全風(fēng)險(xiǎn)。

4) 網(wǎng)絡(luò)風(fēng)險(xiǎn)。信號(hào)系統(tǒng)環(huán)網(wǎng)可能存在廣播風(fēng)暴、病毒傳播等情況，如蠕蟲病毒堵塞網(wǎng)絡(luò)的風(fēng)險(xiǎn)。

1.2 終端風(fēng)險(xiǎn)

城市軌道交通各生產(chǎn)系統(tǒng)在OCC、場(chǎng)段、車站內(nèi)均部署有一定的服務(wù)器和操作工作站，通常在線路開通運(yùn)營(yíng)前沒有關(guān)閉掉多余的系統(tǒng)服務(wù)，缺少對(duì)終端的安全管控和病毒防護(hù)措施，或在運(yùn)營(yíng)期間補(bǔ)丁修復(fù)不及時(shí)、漏洞隱患嚴(yán)重。

1) 病毒風(fēng)險(xiǎn)。指通過U盤、外部設(shè)備(如手持終端、高拍儀等)、電腦終端接入等操作帶入的病毒風(fēng)險(xiǎn)。

2) 漏洞風(fēng)險(xiǎn)。指操作系統(tǒng)存在漏洞，可被網(wǎng)絡(luò)病毒利用的風(fēng)險(xiǎn)。

3) 程序違規(guī)執(zhí)行風(fēng)險(xiǎn)。指非預(yù)期的程序、進(jìn)程的執(zhí)行風(fēng)險(xiǎn)，如APT(定向威脅攻擊)程序、數(shù)據(jù)竊取程序、勒索程序等。

1.3 綜合風(fēng)險(xiǎn)

1) 系統(tǒng)運(yùn)維風(fēng)險(xiǎn)。除了城市軌道交通線路運(yùn)營(yíng)單位內(nèi)部的運(yùn)維人員外，通常還包括第三方運(yùn)維人員和系統(tǒng)供貨商，容易產(chǎn)生操作風(fēng)險(xiǎn)，并存在敏感信息外泄風(fēng)險(xiǎn)，需要有效控制這些人員在運(yùn)維時(shí)的登錄認(rèn)證、權(quán)限控制、操作審計(jì)等過程。目前，城市軌道交通系統(tǒng)的安全運(yùn)維多呈被動(dòng)狀態(tài)，發(fā)生安全事件后存在追查缺少證據(jù)、缺少關(guān)聯(lián)分析等問題，若要做到對(duì)安全事件的提前預(yù)警則難度更大。

2) 合法及合規(guī)風(fēng)險(xiǎn)。根據(jù)網(wǎng)絡(luò)安全法，安全日志至少留存6個(gè)月。運(yùn)營(yíng)單位應(yīng)定期開展風(fēng)險(xiǎn)評(píng)估、完善應(yīng)急預(yù)案、進(jìn)行應(yīng)急演練，并依據(jù)信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)(以下簡(jiǎn)稱“等?！?2.0標(biāo)準(zhǔn)的要求[1-2]實(shí)施安全集中管控、新型威脅分析。

2 城市軌道交通網(wǎng)絡(luò)安全的建設(shè)標(biāo)準(zhǔn)

根據(jù)等保2.0標(biāo)準(zhǔn)的相關(guān)要求，城市軌道交通的弱電生產(chǎn)系統(tǒng)網(wǎng)絡(luò)應(yīng)構(gòu)建具備相應(yīng)等級(jí)安全保護(hù)能力的網(wǎng)絡(luò)安全綜合縱深防御體系。城市軌道交通弱電生產(chǎn)系統(tǒng)應(yīng)以分區(qū)、分域?yàn)榛A(chǔ)，以突出重點(diǎn)、主動(dòng)防御、綜合防控為原則，建設(shè)“一個(gè)中心”管理下的“三重防護(hù)”網(wǎng)絡(luò)安全技術(shù)防護(hù)體系[3]。其中：“一個(gè)中心”為安全管理中心，“三重防護(hù)”為安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境。

根據(jù)城市軌道交通行業(yè)的相關(guān)規(guī)范[4-5]，考慮到各生產(chǎn)系統(tǒng)的重要性，弱電生產(chǎn)系統(tǒng)安全保護(hù)等級(jí)分類如表1所示。

表1 城市軌道交通各生產(chǎn)系統(tǒng)安全保護(hù)等級(jí)分類

3 城市軌道交通網(wǎng)絡(luò)安全的系統(tǒng)設(shè)計(jì)方案

目前，城市軌道交通弱電系統(tǒng)各子系統(tǒng)機(jī)房的安全物理環(huán)境基本符合等保2.0標(biāo)準(zhǔn)的要求。本文重點(diǎn)討論在“一個(gè)中心”管理下的“三重防護(hù)”體系框架下如何構(gòu)建城市軌道交通弱電生產(chǎn)系統(tǒng)的安全技術(shù)體系。弱電生產(chǎn)的各子系統(tǒng)應(yīng)把橫向子系統(tǒng)劃分為獨(dú)立的安全域，對(duì)縱向子系統(tǒng)內(nèi)的架構(gòu)(TCC、OCC、車站、場(chǎng)段)做好安全分區(qū)，在滿足安全功能項(xiàng)的同時(shí)保證每個(gè)子系統(tǒng)的各項(xiàng)功能均可正常、可靠運(yùn)行。

3.1 網(wǎng)絡(luò)安全防護(hù)方案

3.1.1 “一中心”的控制措施

為滿足安全管理中心的控制項(xiàng)，需要在OCC各業(yè)務(wù)系統(tǒng)中設(shè)置等保業(yè)務(wù)專區(qū)，劃分獨(dú)立的VLAN(虛擬局域網(wǎng))，并分別建設(shè)安全審計(jì)、集中管控的控制項(xiàng)。落實(shí)到具體的實(shí)際生產(chǎn)業(yè)務(wù)，可以歸納為兩點(diǎn)：

1) 安全審計(jì)。為滿足等保2.0標(biāo)準(zhǔn)，OCC需部署運(yùn)維審計(jì)、日志審計(jì)和數(shù)據(jù)庫(kù)審計(jì)。其中：運(yùn)維審計(jì)的設(shè)備部署在管理平面上，用以實(shí)現(xiàn)和業(yè)務(wù)數(shù)據(jù)的隔離，對(duì)于重要的應(yīng)用系統(tǒng)應(yīng)統(tǒng)一通過運(yùn)維審計(jì)接入平臺(tái)進(jìn)行訪問，實(shí)現(xiàn)集中賬號(hào)、授權(quán)、認(rèn)證、訪問控制等功能；日志審計(jì)和數(shù)據(jù)庫(kù)審計(jì)重點(diǎn)對(duì)各安全設(shè)備、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)服務(wù)器等進(jìn)行操作記錄、事件分析和安全審計(jì)，并設(shè)置獨(dú)立的審計(jì)管理員，對(duì)分布在生產(chǎn)系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理。

2) 集中管控。為滿足集中管控的控制項(xiàng)，OCC的集中管控可分為病毒防護(hù)、漏洞掃描、安全管理三個(gè)方面。其中：病毒防護(hù)和安全管理為安全保護(hù)等級(jí)二級(jí)的必配項(xiàng)，在安全保護(hù)等級(jí)三級(jí)通常會(huì)配置漏洞掃描設(shè)備。病毒防護(hù)可實(shí)現(xiàn)對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理。漏洞掃描通過對(duì)主機(jī)漏洞、Web(廣域網(wǎng))漏洞、弱口令等方面的漏洞檢測(cè)，可幫助用戶及時(shí)發(fā)現(xiàn)系統(tǒng)風(fēng)險(xiǎn)并及時(shí)修復(fù)。安全管理可實(shí)現(xiàn)防火墻、探針、防病毒等安全設(shè)備的配置管理、訪問控制、內(nèi)容安全檢查，以及設(shè)置匹配條件的管控，并可通過安全感知平臺(tái)對(duì)生產(chǎn)系統(tǒng)進(jìn)行信息安全的識(shí)別、報(bào)警和分析。

3.1.2 “三重防護(hù)”的控制措施

本文圍繞弱電生產(chǎn)系統(tǒng)的安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境、安全區(qū)域邊界三個(gè)主要防護(hù)類別，重點(diǎn)對(duì)其主要控制項(xiàng)的防護(hù)措施方案、通用安全產(chǎn)品進(jìn)行深入分析，如表2所示。

表2 “三重防護(hù)”的主要控制措施

3.1.3 等級(jí)保護(hù)測(cè)評(píng)

等級(jí)保護(hù)測(cè)評(píng)由第三方專業(yè)測(cè)評(píng)機(jī)構(gòu)進(jìn)行綜合安全測(cè)評(píng)，一般管理得分與技術(shù)得分近乎對(duì)半[3]。在沒有高風(fēng)險(xiǎn)項(xiàng)的前提下，技術(shù)上若滿足對(duì)應(yīng)的主要控制項(xiàng)目標(biāo)，可達(dá)到35～40分及以上的分?jǐn)?shù)；同時(shí)在管理上，若有合理的管理制度和管理機(jī)構(gòu),專職的安全人員,配套的系統(tǒng)交付管理,完善的運(yùn)維管理體制和應(yīng)急預(yù)案及其配置變更管理，正常測(cè)評(píng)能達(dá)到40分以上的成績(jī)。最終綜合得分若達(dá)到75分，則滿足等保的測(cè)評(píng)標(biāo)準(zhǔn)。

3.2 網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)方案

由于城市軌道交通各生產(chǎn)系統(tǒng)具有不同的業(yè)務(wù)特點(diǎn)和不同的保護(hù)等級(jí)，建議各系統(tǒng)應(yīng)采用不同的安全設(shè)備配置方案。為了清晰地界定權(quán)責(zé)，基于系統(tǒng)自保的設(shè)計(jì)原則，推薦各系統(tǒng)在安全管理中心獨(dú)立配置安全審計(jì)、集中管控的安全設(shè)備。從投資和安全管理角度，推薦各系統(tǒng)共建、共享安全態(tài)勢(shì)感知平臺(tái)的方案。根據(jù)上文列出的各重大控制項(xiàng)，本文制定了各系統(tǒng)滿足等保要求的技術(shù)落地方案。

3.2.1 乘客信息系統(tǒng)

1) 在OCC設(shè)置安全管理中心，部署堡壘機(jī)、日志審計(jì)、病毒查殺系統(tǒng)和安全管理模塊，同時(shí)與生產(chǎn)網(wǎng)其他系統(tǒng)共建共享一套安全態(tài)勢(shì)平臺(tái)。

2) 在OCC部署終端防病毒檢測(cè)軟件，OCC的交換機(jī)和服務(wù)器冗余配置。OCC交換機(jī)旁掛安全探針設(shè)備或入侵檢測(cè)設(shè)備，接口邊界部署下一代防火墻。OCC的縱向和橫向邊界部署下一代防火墻，做好區(qū)域邊界隔離。

3) 在停車場(chǎng)段、各車站部署終端防病毒檢測(cè)軟件，網(wǎng)絡(luò)交換機(jī)旁掛安全探針設(shè)備，接口邊界側(cè)部署下一代防火墻做邊界隔離。車站級(jí)的乘客信息系統(tǒng)與綜合監(jiān)控系統(tǒng)間不必重復(fù)設(shè)置防火墻，可由綜合監(jiān)控配置一道防火墻，并統(tǒng)一策略管理。乘客信息系統(tǒng)的安全設(shè)計(jì)方案如圖1所示。

注：AP——無(wú)線訪問接入點(diǎn)。

3.2.2 信號(hào)系統(tǒng)

考慮到ATS(列車自動(dòng)監(jiān)控)、ATC(列車自動(dòng)控制)系統(tǒng)的可靠性和穩(wěn)定性要求，任何數(shù)據(jù)或傳輸上的錯(cuò)誤都可能造成嚴(yán)重的生產(chǎn)事故，因此在車站和停車場(chǎng)段信號(hào)系統(tǒng)內(nèi)部的網(wǎng)絡(luò)防護(hù)主要以檢測(cè)為主。特別是ATC系統(tǒng)，不考慮任何串接設(shè)備，以保障信號(hào)系統(tǒng)網(wǎng)絡(luò)的穩(wěn)定性。

1) 在OCC設(shè)置安全管理中心，部署堡壘機(jī)、日志審計(jì)、病毒查殺系統(tǒng)、安全管理模塊，增配數(shù)據(jù)庫(kù)審計(jì)、漏洞掃描、網(wǎng)絡(luò)準(zhǔn)入。同時(shí)，與生產(chǎn)網(wǎng)其他系統(tǒng)共建共享一套安全態(tài)勢(shì)平臺(tái)，滿足安全保護(hù)等級(jí)三級(jí)要求。

2) 在OCC部署終端防病毒檢測(cè)軟件，中心交換機(jī)旁掛安全探針設(shè)備或入侵檢測(cè)設(shè)備，系統(tǒng)間接口邊界側(cè)部署下一代防火墻。OCC的上聯(lián)、下聯(lián)部署防火墻做好區(qū)域邊界隔離。

3) 在場(chǎng)段、各車站部署終端防病毒檢測(cè)軟件。ATS網(wǎng)絡(luò)交換機(jī)旁掛安全探針設(shè)備，F(xiàn)EP(前端處理器)前面部署下一代防火墻。信號(hào)系統(tǒng)的安全設(shè)計(jì)方案如圖2所示。

注：ATO——列車自動(dòng)運(yùn)行;BBU——基帶處理單元。

3.2.3 綜合監(jiān)控系統(tǒng)

綜合監(jiān)控系統(tǒng)的典型特點(diǎn)是采用“三級(jí)控制、兩級(jí)管理”架構(gòu)，系統(tǒng)間接口多，因此網(wǎng)絡(luò)安全設(shè)計(jì)上應(yīng)加強(qiáng)系統(tǒng)內(nèi)的縱向區(qū)域防護(hù)和系統(tǒng)間的橫向區(qū)域防護(hù)。

1) 在OCC設(shè)置安全管理中心，在該中心滿足安全保護(hù)等級(jí)二級(jí)的基礎(chǔ)上，增配數(shù)據(jù)庫(kù)審計(jì)、漏洞掃描設(shè)備。與生產(chǎn)網(wǎng)其他系統(tǒng)共建共享一套安全態(tài)勢(shì)平臺(tái)，該平臺(tái)應(yīng)滿足安全保護(hù)等級(jí)三級(jí)的要求。

2) 在OCC部署終端防病毒檢測(cè)軟件，OCC交換機(jī)旁掛安全探針設(shè)備或入侵檢測(cè)設(shè)備，系統(tǒng)間FEP前置機(jī)接口邊界部署下一代防火墻。OCC系統(tǒng)內(nèi)部署下一代防火墻做好區(qū)域邊界隔離。

3) 在場(chǎng)段、各車站部署終端防病毒檢測(cè)軟件。網(wǎng)絡(luò)交換機(jī)旁掛安全探針設(shè)備，橫向系統(tǒng)間FEP前置機(jī)接口邊界部署下一代防火墻，縱向系統(tǒng)內(nèi)互聯(lián)中心邊界部署下一代防火墻,以做好區(qū)域邊界隔離。綜合監(jiān)控系統(tǒng)的安全設(shè)計(jì)方案如圖3所示。

3.2.4 自動(dòng)售檢票系統(tǒng)的實(shí)施方案

1) 在OCC設(shè)置安全管理中心，部署堡壘機(jī)、日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、病毒查殺、漏洞掃描和安全管理模塊。共享弱電生產(chǎn)網(wǎng)其他系統(tǒng)或ACC(自動(dòng)售檢票清分中心)的安全態(tài)勢(shì)平臺(tái)，應(yīng)滿足車站和線路中心安全保護(hù)等級(jí)三級(jí)的要求。

2) 在OCC部署終端防病毒檢測(cè)軟件，OCC的交換機(jī)旁掛安全探針設(shè)備或入侵檢測(cè)設(shè)備。OCC系統(tǒng)內(nèi)部部署上聯(lián)、下聯(lián)防火墻,做好區(qū)域邊界隔離。

3) 在車站部署終端防病毒檢測(cè)軟件。系統(tǒng)內(nèi)網(wǎng)絡(luò)交換機(jī)旁掛安全探針設(shè)備，上聯(lián)中心邊界旁掛防火墻,以做好區(qū)域邊界隔離。自動(dòng)售檢票系統(tǒng)的安全設(shè)計(jì)方案如圖4所示。

4 結(jié)語(yǔ)

本文結(jié)合最新的等保2.0標(biāo)準(zhǔn)，著重對(duì)城市軌道交通四個(gè)生產(chǎn)系統(tǒng)(乘客信息系統(tǒng)、信號(hào)系統(tǒng)、綜合監(jiān)控系統(tǒng)和自動(dòng)售檢票系統(tǒng))中存在的信息安全隱患進(jìn)行了深入剖析，闡述了網(wǎng)絡(luò)安全綜合縱深防護(hù)技術(shù)系統(tǒng)的防護(hù)方案，最后給出了各系統(tǒng)的網(wǎng)絡(luò)安全落地設(shè)計(jì)方案。各地城市軌道交通生產(chǎn)系統(tǒng)的新技術(shù)和新方案在不斷發(fā)展，其網(wǎng)絡(luò)安全技術(shù)防護(hù)體系也應(yīng)根據(jù)生產(chǎn)系統(tǒng)的特點(diǎn)和運(yùn)維模式不斷予以完善。此外，除了做好網(wǎng)絡(luò)安全技術(shù)防護(hù)體系建設(shè)外，運(yùn)營(yíng)單位還應(yīng)不斷完善安全運(yùn)維和安全管理制度，最終形成城市軌道交通的安全防護(hù)體系。

注：IMS——視頻監(jiān)視系統(tǒng)；ACS——門禁系統(tǒng)；PSD——站臺(tái)門；FAS——火災(zāi)報(bào)警系統(tǒng)；BAS——環(huán)境與設(shè)備監(jiān)控系統(tǒng)；

圖4 自動(dòng)售檢票系統(tǒng)的網(wǎng)絡(luò)安全設(shè)計(jì)方案