徐啟祿 高月鑫

(1.青島地鐵集團有限公司，266061，青島； 2.同方股份有限公司，100083，北京 ∥ 第一作者，高級工程師)

《交通運輸信息化“十三五”發(fā)展規(guī)劃》提出：推進交通運輸“互聯(lián)網(wǎng)+”，要求充分利用信息技術(shù)改造傳統(tǒng)交通運輸業(yè)[1]?！吨腥A人民共和國網(wǎng)絡(luò)安全法》明確規(guī)定，對于涉及公共通信、金融、交通等的關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，需在其等級保護(以下簡稱“等?！?制度的基礎(chǔ)上，實施重點保護。2019年12月1日，與等保2.0相關(guān)的GB/T 22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》等國家標準正式實施。等保2.0相比等保1.0更加注重全方面主動防御、感知預(yù)警、動態(tài)防護、安全檢測、應(yīng)急響應(yīng)等，且定級對象擴展至基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計算平臺以及大數(shù)據(jù)等平臺系統(tǒng)[2]。

城市軌道交通綜合監(jiān)控系統(tǒng)(ISCS)深度集成了電力監(jiān)控系統(tǒng)(PSCADA)、環(huán)境與設(shè)備監(jiān)控系統(tǒng)(BAS)等系統(tǒng)，互聯(lián)信號、通信、自動售檢票等系統(tǒng)，對城市軌道交通的多個專業(yè)、系統(tǒng)進行集中監(jiān)控和聯(lián)動，是支撐城市軌道交通可靠、安全運行的關(guān)鍵系統(tǒng)之一，一旦被入侵干擾將造成災(zāi)難性后果。新形勢、新政策也對ISCS的信息安全提出了更高的要求，必須構(gòu)建一個完善的安全體系架構(gòu)。

1 ISCS的信息安全級別

根據(jù)國家標準的相關(guān)要求“綜合監(jiān)控系統(tǒng)的信息安全應(yīng)符合現(xiàn)行國家標準《工業(yè)控制系統(tǒng)信息安全》規(guī)定”“且宜按信息系統(tǒng)安全等級保護標準第三級進行設(shè)計、工程實施和驗收”[3]。等保2.0新規(guī)要求“應(yīng)在工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署訪問控制設(shè)備，配置訪問控制策略”[4]。

雖然上述標準中并未強制要求ISCS必須滿足等保三級標準，但是，考慮到ISCS的集成度越來越高，對城市軌道交通的安全穩(wěn)定運行已經(jīng)不可或缺。建設(shè)、設(shè)計、集成、運營等相關(guān)各方已經(jīng)基本形成一致的認識，即ISCS信息安全應(yīng)滿足等保三級的標準。

2 ISCS信息安全建設(shè)現(xiàn)狀及安全問題分析

等保三級對系統(tǒng)安全保護環(huán)境提出了很多具體明確的要求，但是現(xiàn)階段ISCS信息安全建設(shè)還存在諸多問題。

1) 沒有正確的信息安全觀。ISCS從業(yè)人員存有ISCS處于內(nèi)部局域網(wǎng)環(huán)境、信息安全與我無關(guān)的態(tài)度，導(dǎo)致ISCS信息安全建設(shè)從設(shè)計、工程實施乃至運營管理都得不到重視，并且缺乏管理制度的約束。理念決定行動，如果沒有樹立正確的信息安全理念，就會導(dǎo)致缺乏相關(guān)信息安全預(yù)防措施。

2) 缺乏集中安全管理與審計。由于缺乏信息安全觀，因此也沒有在技術(shù)層面上對設(shè)備、應(yīng)用系統(tǒng)等賬號認證方式進行限制，存在大量弱口令。存在一個賬號多人使用的情況，因此不知道何人何時做了何操作；尤其是在對第三方運維人員管理方面，因為沒有一個集中管理平臺對工作人員、用戶的賬號、認證、授權(quán)、審計等進行管理，因此難以實現(xiàn)統(tǒng)一的信息安全管理。由于缺乏有效的網(wǎng)絡(luò)準入和資源訪問控制機制，在ISCS網(wǎng)絡(luò)任意節(jié)點都可訪問全線系統(tǒng)資源，因此無法對ISCS內(nèi)的網(wǎng)絡(luò)行為進行識別與監(jiān)測。

3) 互聯(lián)接口網(wǎng)絡(luò)無隔離。ISCS的互聯(lián)網(wǎng)絡(luò)環(huán)境復(fù)雜，互聯(lián)接口之間沒有有效的安全隔離措施，ISCS與互聯(lián)專業(yè)接口直接由終端到終端互聯(lián)，網(wǎng)絡(luò)協(xié)議、端口任意開放。

ISCS集成的子系統(tǒng)(PSCADA、BAS等)為傳統(tǒng)工業(yè)控制系統(tǒng)，一方面這些系統(tǒng)的設(shè)計目的在于實現(xiàn)各種實時控制功能，基本不考慮信息安全問題；另一方面這些系統(tǒng)相對比較封閉，一般被認為受到外界入侵的風(fēng)險較小。但ISCS互聯(lián)的子系統(tǒng)(ATS(列車自動監(jiān)控)、PIS(乘客信息系統(tǒng))、AFC(自動售檢票)等)為不同種類的IT系統(tǒng)，使得ISCS的開放性大為提高。在PSCADA、BAS系統(tǒng)與ISCS控制層縱向間無隔離的情況下，這些子系統(tǒng)會完全暴漏在來自ISCS病毒、木馬、網(wǎng)絡(luò)攻擊的威脅下。

4) 終端主機無防護。為了保證系統(tǒng)穩(wěn)定，ISCS各種主機(服務(wù)器、工作站、前置機(FEP)等)在投運后，操作系統(tǒng)一般不進行漏洞補丁修補。漏洞會被入侵者用以獲取系統(tǒng)的完全訪問權(quán)限；外接設(shè)備、移動存儲設(shè)備等介質(zhì)攜帶的病毒也會利用漏洞進行二次傳播，造成網(wǎng)絡(luò)內(nèi)的主機成片感染，甚至造成寄生、蠕蟲、勒索等危害嚴重的病毒泛濫。國內(nèi)的ISCS及相關(guān)系統(tǒng)已經(jīng)出現(xiàn)過多起病毒入侵等信息安全事故。

3 ISCS信息安全方案設(shè)計

ISCS存在的信息安全問題涉及到制度約束、管理與審計、網(wǎng)絡(luò)通信安全、工控系統(tǒng)、主機安全等多個方面，因此，進行ISCS信息安全方案設(shè)計時，需通過梳理ISCS業(yè)務(wù)流程，分析以上關(guān)鍵保護點，然后分層分域設(shè)計安全機制及策略。要確保ISCS信息安全方案技術(shù)與管理有機結(jié)合，相互支撐，實現(xiàn)技管并重。

3.1 ISCS信息安全設(shè)計要點

在管理層面應(yīng)制定管理、檢查制度和信息安全事件應(yīng)急響應(yīng)制度，通過制度的學(xué)習(xí)和執(zhí)行強化信息安全觀念，通過規(guī)章制度和定期監(jiān)督檢查約束信息安全行為，保障信息安全保護能力不斷提高。

在技術(shù)層面，依據(jù)等保2.0新標準的三級防護規(guī)范要求：“通過第三級的安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)以及安全管理中心的設(shè)計加以實現(xiàn)”[5]，即“一個中心”管理下的“計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)的三重防護”體系框架，實施多層隔離和保護，防止某薄弱環(huán)節(jié)影響整體安全；重點對操作人員使用的終端、業(yè)務(wù)服務(wù)器等計算節(jié)點進行安全防護，控制操作人員行為，把住攻擊發(fā)起源頭，防止發(fā)生攻擊行為；同時分析ISCS應(yīng)用系統(tǒng)業(yè)務(wù)流程，制訂訪問控制安全策略，并由安全網(wǎng)關(guān)依據(jù)安全策略自動執(zhí)行，扎牢網(wǎng)絡(luò)漏洞。

ISCS信息安全設(shè)計遵循“分層分域、邊界控制，內(nèi)部監(jiān)測、集中管控”的原則。

“分層分域、邊界控制”即劃分安全管理中心、ISCS中央級/車站級、車站級PSCADA、車站級BAS等安全區(qū)域，區(qū)域邊界部署防火墻，實現(xiàn)協(xié)議層、細粒度的訪問控制。

“內(nèi)部監(jiān)測、集中管控”即在中心級構(gòu)建安全管理中心子系統(tǒng)，結(jié)合審計設(shè)備、終端管理、4A(Authentication身份驗證、Account賬號管理、Authorization授權(quán)控制、Audit安全設(shè)計)堡壘機等，實現(xiàn)網(wǎng)絡(luò)內(nèi)設(shè)備狀態(tài)的集中監(jiān)測，并能夠進行全局日志分析、安全策略統(tǒng)一下發(fā)。

基于上述技防原則的ISCS信息安全構(gòu)架如圖1所示。

圖1 城市軌道交通ISCS信息安全構(gòu)架

3.2 建設(shè)安全管理中心

安全管理中心是ISCS安全管理的核心。等保三級明確要求：安全管理中心實現(xiàn)系統(tǒng)管理、審計管理、安全管理、集中管控，且劃分特定的管理區(qū)域。因此，在ISCS控制中心需建設(shè)安全管理中心，從技術(shù)層面提供系統(tǒng)安全的監(jiān)察和管理手段。安全管理中心可利用ISCS的網(wǎng)管中心設(shè)備進行適當擴容后構(gòu)建，使其兼具網(wǎng)管和信息安全管理的功能。

安全管理中心系統(tǒng)包括4A堡壘機、安全審計與監(jiān)測、工控異常檢測、動態(tài)態(tài)勢感知等子系統(tǒng)。

1) 4A堡壘機：通過4A堡壘機對被授權(quán)人員(運維人員)在系統(tǒng)內(nèi)的維護行為進行解析、分析、記錄、匯報[6]；監(jiān)督管控運維人員對設(shè)備IP地址、用戶名、口令等信息的記錄，控制運維人員能運維哪些設(shè)備、執(zhí)行哪些操作命令，避免運維人員非法或無意執(zhí)行高危操作，并對運維人員的操作進行實時監(jiān)控和事后審計，解決管理運維人員操作難、亂、不可追溯等問題。

2) 安全審計與監(jiān)測：需要對ISCS內(nèi)的網(wǎng)絡(luò)行為的安全性進行感知及預(yù)警。通過對網(wǎng)絡(luò)流量、數(shù)據(jù)庫訪問等進行分析、記錄并挖掘展示，對ISCS網(wǎng)絡(luò)行為進行審計、管控，一方面是審計系統(tǒng)內(nèi)部發(fā)起的行為操作是否合規(guī)，包括系統(tǒng)內(nèi)中央級與車站級、與控制層等方向；二是系統(tǒng)外部對ISCS發(fā)起的訪問是否具有威脅。

審計設(shè)備對ISCS內(nèi)網(wǎng)絡(luò)、數(shù)據(jù)庫提供全面的行為監(jiān)控，對網(wǎng)絡(luò)、數(shù)據(jù)庫訪問進行合規(guī)性管理；對ISCS業(yè)務(wù)網(wǎng)絡(luò)進行安全審計，采集、分析和識別網(wǎng)絡(luò)數(shù)據(jù)流，監(jiān)視網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)，記錄網(wǎng)絡(luò)事件，發(fā)現(xiàn)安全隱患。

安全管理中心還可以集中監(jiān)視全線網(wǎng)絡(luò)設(shè)備和主機設(shè)備的健康狀態(tài)，同時收集全線主機設(shè)備、操作系統(tǒng)、應(yīng)用平臺、數(shù)據(jù)庫等的日志信息，實現(xiàn)對各設(shè)備審計數(shù)據(jù)集中匯總和分析的功能。全面掌控系統(tǒng)狀態(tài)，滿足等保對集中管控的要求。

3) 工控異常檢測：ISCS平臺作為PSCADA、BAS系統(tǒng)控制命令的來源，在ISCS網(wǎng)絡(luò)內(nèi)對該類工控指令的合規(guī)性檢測是非常重要的。通過工控異常檢測系統(tǒng)可檢測工業(yè)指令操控行為、異常報文、工控漏洞攻擊、工控協(xié)議入侵等行為，監(jiān)測工控網(wǎng)絡(luò)中的敏感操控，預(yù)警ISCS網(wǎng)絡(luò)內(nèi)對PSCADA、BAS系統(tǒng)存在威脅的網(wǎng)絡(luò)故障與異常行為，保護PSCADA、BAS等工控系統(tǒng)的安全運行。

4) 動態(tài)態(tài)勢感知：動態(tài)態(tài)勢感知平臺從主機端、網(wǎng)絡(luò)層、流量審計等獲取ISCS的安全日志、流量分析、漏洞信息、資產(chǎn)狀態(tài)、僵木蠕數(shù)據(jù)，完成安全事件信息的采集、聚合、過濾、關(guān)聯(lián)，實現(xiàn)對ISCS安全態(tài)勢的動態(tài)感知。通過大數(shù)據(jù)分析及可視化展示等手段，展示安全威脅實時預(yù)警、監(jiān)控數(shù)據(jù)實時匯總、報表統(tǒng)計等信息，對網(wǎng)絡(luò)風(fēng)險和系統(tǒng)健康態(tài)勢集中呈現(xiàn)、分析、預(yù)測、處理。

3.3 建設(shè)安全的區(qū)域邊界

根據(jù)ISCS與互聯(lián)、集成子系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)邏輯的不同，劃分不同安全區(qū)，將ISCS作為一個整體安全域，從外部系統(tǒng)接入(水平方向)到內(nèi)部集成子系統(tǒng)(垂直方向)部署邊界防護體系，實現(xiàn)對系統(tǒng)內(nèi)外間的隔離防護：部署中央級與互聯(lián)系統(tǒng)邊界防火墻；部署中央級與其他信息系統(tǒng)邊界防火墻；部署車站級與互聯(lián)系統(tǒng)邊界防火墻；部署車站級與集成子系統(tǒng)邊界防火墻。

防火墻可以過濾進出網(wǎng)絡(luò)的數(shù)據(jù)、管理進出訪問網(wǎng)絡(luò)的行為、封堵高危端口、記錄通過防火墻的信息內(nèi)容和活動、對網(wǎng)絡(luò)攻擊進行檢測和告警[7]；通過強制性訪問控制機制實現(xiàn)對源及目標計算節(jié)點的身份、地址、端口和應(yīng)用協(xié)議等的可信驗證。邊界防護是ISCS信息安全的界墻，建設(shè)和加強入侵防護是ISCS網(wǎng)絡(luò)安全防護的關(guān)鍵工作，同樣也是等保三級對于訪問控制和邊界完整性檢查的基本要求。

在水平方向，與外部的互聯(lián)系統(tǒng)間設(shè)置防火墻，對接口通信協(xié)議的內(nèi)容進行分析檢測，實現(xiàn)協(xié)議層、端口細粒度的訪問控制，拒絕外部非法連接，隔離來自外部的安全威脅；在垂直方向，與集成子系統(tǒng)間部署工業(yè)防火墻，用來隔離來自ISCS控制層的安全威脅。工業(yè)防火墻可以對工業(yè)協(xié)議(Modbus/TCP、Ethernet/IP、IEC104等)內(nèi)容、指令進行深度解析檢測和非法阻斷，滿足等保2.0標準對工業(yè)控制系統(tǒng)安全通信網(wǎng)絡(luò)技術(shù)隔離手段的基本要求。

3.4 加固計算環(huán)境安全

主機安全涉及系統(tǒng)內(nèi)部所有主機設(shè)備及系統(tǒng)用戶。ISCS主機主要涉及工作站、服務(wù)器等，它們直接參與監(jiān)視、控制各互聯(lián)、集成子系統(tǒng)的終端設(shè)備。安全的計算環(huán)境是ISCS信息安全的基礎(chǔ)。終端也是安全威脅發(fā)起的源頭，惡意代碼防范、非法外聯(lián)管理、訪問控制、安全日志、漏洞信息、資產(chǎn)狀態(tài)、合規(guī)檢查等都是終端設(shè)備的基礎(chǔ)防護。

為主機配置的用戶安全策略，包括登陸失敗、超時退出、口令復(fù)雜度等策略，設(shè)置限制登陸訪問地址并結(jié)合4A堡壘機安全審計系統(tǒng)實現(xiàn)統(tǒng)一的信息安全策略；部署終端安全管理軟件，實現(xiàn)對全線主機準入控制、非法外聯(lián)控制、外設(shè)及移動存儲介質(zhì)的集中管理，尤其對不可信的移動存儲介質(zhì)，保證進不來、數(shù)據(jù)拷貝不走，還可對主機設(shè)備的漏洞補丁進行統(tǒng)一更新；部署網(wǎng)絡(luò)防病毒軟件，對ISCS全線主機實現(xiàn)防惡意代碼的統(tǒng)一管理，有效防范來自U盤、網(wǎng)絡(luò)共享等各種途徑的惡意代碼入侵，并且終端的相關(guān)安全信息會及時反饋給系統(tǒng)中心，管理員能夠及時了解網(wǎng)絡(luò)內(nèi)安全狀態(tài)、分析安全事件，并能夠遠程操控設(shè)置終端安全策略。

3.5 安全的通信網(wǎng)絡(luò)

在網(wǎng)絡(luò)構(gòu)架方面，規(guī)劃設(shè)計網(wǎng)絡(luò)時需做好網(wǎng)絡(luò)帶寬用量分析、IP分配及預(yù)留、核心網(wǎng)絡(luò)設(shè)備性能選擇，以及通信鏈路、關(guān)鍵硬件設(shè)備(服務(wù)器、FEP、交換機等)冗余部署，保證系統(tǒng)可靠性。對于業(yè)務(wù)數(shù)據(jù)、安全管理，需為其在網(wǎng)絡(luò)交換傳輸中單獨劃分通信通道。

ISCS平臺在車站與控制中心間的通信傳輸采用私有協(xié)議，在保證平臺數(shù)據(jù)實時性傳輸?shù)那疤嵯?，實現(xiàn)可控范圍的數(shù)據(jù)完整性校驗及加密；工業(yè)控制通信協(xié)議(Modbus TCP、IEC 104等)多采用明文傳輸，采用SSL(安全套接字協(xié)議)安全協(xié)議在傳輸層對網(wǎng)絡(luò)連接進行加密，在保持現(xiàn)有通信協(xié)議功能、效率、可靠性基礎(chǔ)上，實現(xiàn)通信加密和雙向認證[8]，滿足通信傳輸中完整性、保密性的要求。

4 ISCS等保的測評認證

ISCS信息安全方案實施完成后，需要經(jīng)過信息安全等級保護的測評認證。等保測評涵蓋了定級、備案、建設(shè)整改、等級測評等流程，是對ISCS安全保護狀況的綜合評價。

根據(jù)測評認證的要求，在ISCS的安全設(shè)計上，應(yīng)注意以下幾點：

1) 重點加固：應(yīng)針對ISCS等保建設(shè)的原則方向，結(jié)合ISCS業(yè)務(wù)特點，針對性地進行安全加固，而不是一味堆砌安全設(shè)備和安全軟件。

2) 適度安全：信息安全防護是為業(yè)務(wù)生產(chǎn)系統(tǒng)服務(wù)的，要基于ISCS的安全需求進行整改。不顧安全成本、違背業(yè)務(wù)需求一味進行信息安全建設(shè)，反而會導(dǎo)致ISCS業(yè)務(wù)運行更加復(fù)雜，影響業(yè)務(wù)平臺的可靠性、實效性，會起相反的作用。

3) 問題整改：測評認證是在技術(shù)與管理共用情況下的一個綜合安全評定。問題整改是落實等級保護工作的關(guān)鍵，適合業(yè)務(wù)系統(tǒng)的整改策略，要充分利用各安全組件，嚴格按照網(wǎng)絡(luò)安全等級保護標準要求、測評要求及時、規(guī)范地進行問題整改。

5 結(jié)語

根據(jù)等保2.0三級防護規(guī)范和實施指南要求，通過部署安全管理中心、加固計算環(huán)境安全、增強邊界安全隔離、進行安全審計等措施，可以顯著提升ISCS信息安全防護能力，滿足等保三級要求。本文介紹的方案已在ISCS信息安全建設(shè)項目中進行實施，并通過了第三方機構(gòu)的信息安全三級評測及CNAS的認證。當然，ISCS的等保三級安全設(shè)計還是較新的課題，等級保護也只是現(xiàn)代信息系統(tǒng)安全應(yīng)達到的底線，還需要根據(jù)后續(xù)的實際運行情況不斷進行改進。