黃新生

（中土集團福州勘察設計研究院有限公司，福州350000）

1 引言

波哥大有軌電車系統(tǒng)主要由信號系統(tǒng)（SIG）、通信系統(tǒng)（COMMS）、自動售檢票系統(tǒng)（AFC）、綜合采集和監(jiān)控系統(tǒng)（IACS）等子系統(tǒng)組成，列車運營、子系統(tǒng)間數(shù)據(jù)傳輸?shù)臏蚀_性和安全性將直接影響系統(tǒng)的安全性。因此，網(wǎng)絡安全在該項目中尤為重要，通過分析有軌電車控制和信息網(wǎng)絡安全需求、潛在風險，制定了網(wǎng)絡安全管理策略和程序、防范措施，確保了波哥大西部有軌電車系統(tǒng)控制和信息網(wǎng)絡安全。

2 網(wǎng)絡安全

網(wǎng)絡安全，指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，使系統(tǒng)連續(xù)可靠地正常運行，網(wǎng)絡服務不中斷[1]。

網(wǎng)絡安全的目標是促進能夠提高組織業(yè)務流程的信息流，阻止降低組織業(yè)務流程的信息流[2]。

波哥大西部有軌電車控制和信息系統(tǒng)網(wǎng)絡安全主要根據(jù)當?shù)匦畔踩珣?zhàn)略《網(wǎng)絡安全和網(wǎng)絡防御政策指南》、美國國家標準技術研究所網(wǎng)絡安全框架、國際電工委員會規(guī)范IEC-62243Artificial Intelligence Exchange and Service Tie to All Test Environments(AI-ESTATE)、國際標準化組織信息安全管理體系ISO-27001等標準開展網(wǎng)絡安全活動，主要包括網(wǎng)絡安全管理、管理范圍和網(wǎng)絡安全需求。

2.1 網(wǎng)絡安全管理

網(wǎng)絡安全管理主要包括識別網(wǎng)絡安全的薄弱區(qū)域、定義管理策略和流程、風險分析和評估、風險防范措施等。管理項目運行的數(shù)據(jù)、訪問人員、設備、系統(tǒng)等，確保在運營過程中數(shù)據(jù)傳輸安全。

2.2 網(wǎng)絡安全管理范圍

網(wǎng)絡安全管理范圍主要包括涉及安全相關的子系統(tǒng)，包括SIG、COMMS及其子系統(tǒng)，AFC、IACS，主要的工作內容包括身份驗證和識別、數(shù)據(jù)和信息安全、控制和信息數(shù)據(jù)的維護。

2.3 網(wǎng)絡安全需求

有軌電車系統(tǒng)為列車的運營調度、系統(tǒng)控制、生產(chǎn)管理、運營維護等提供服務，控制和信息的數(shù)據(jù)傳輸、車-地通信主要通過通信傳輸網(wǎng)、TETRA、WiFi等傳輸，并應能滿足國際標準網(wǎng)絡安全要求，保護系統(tǒng)處理、存儲和傳輸?shù)男畔ⅰ?/p>

無線通信網(wǎng)絡安全需要防止無線通信中可能受到的入侵或干擾，并確保數(shù)據(jù)保密及數(shù)據(jù)完整性。提供維護數(shù)據(jù)完整性功能，包括錯誤檢查，驗證未經(jīng)授權的修改或數(shù)據(jù)破壞，提供自動檢測、修改等功能，防止未經(jīng)授權的用戶查閱個人資料，記錄和審查用戶活動，單獨管理用戶信息等功能。

為了確?？刂坪托畔⑾到y(tǒng)的網(wǎng)絡安全，在物理層、無線通信網(wǎng)絡和傳輸網(wǎng)絡、授權認證程序、管理層等設置網(wǎng)絡安全防范措施。

3 網(wǎng)絡安全管理策略和流程

3.1 網(wǎng)絡安全管理策略

控制和信息系統(tǒng)主要從身份驗證和識別、授權訪問控制、通道安全、數(shù)據(jù)安全、應用程序和數(shù)據(jù)庫安全、物理安全等考慮安全管理策略，并遵循如下原則：

1）系統(tǒng)組件將被鎖定和保護，防止未經(jīng)授權方訪問、并不允許接入和數(shù)據(jù)訪問；

2）設備和軟件模塊應確保數(shù)據(jù)的完整性、準確性并防止內部、外部的欺詐；

3）支持SAM技術，確保設備的身份驗證。

控制和信息系統(tǒng)需確保安裝設備和設施、軟件源代碼和編譯的代碼、數(shù)據(jù)庫訪問和信息、數(shù)據(jù)通信和接口、系統(tǒng)數(shù)據(jù)的安全并提供系統(tǒng)和設備授權訪問、用戶唯一的身份和密碼、系統(tǒng)訪問記錄等服務。

3.2 網(wǎng)絡安全管理流程

通過分析系統(tǒng)網(wǎng)絡安全需求，網(wǎng)絡安全管理的范圍涉及全線安全運營的控制和信息系統(tǒng)，制定了網(wǎng)絡安全管理流程，如圖1所示。

4 網(wǎng)絡安全風險評估

網(wǎng)絡安全評估是一種混合進行的過程，采用有效的自動化工具，也包括訓練有素的安全分析員對漏洞、威脅進行人工測試和量定[3]。風險評估定義為識別業(yè)務/運營風險并對其進行優(yōu)先排序的過程，主要指風險評估階段。網(wǎng)絡安全風險評估考慮網(wǎng)絡威脅（如黑客、病毒等）對所分析的系統(tǒng)所構成的風險。圖2為進行風險評估的技術方法。

5 網(wǎng)絡安全風險防范措施

5.1 物理防范措施

在車站、控制中心等設備用房設置物理訪問，除現(xiàn)場設備外的設備將安裝在室內的機柜中，并設置門禁和入侵檢測系統(tǒng)防止非授權用戶進入設備房。

圖1 網(wǎng)絡安全管理流程

圖2 風險評估框架

安裝在列車上的車載設備需安裝在乘客無法到達的區(qū)域，避免重啟、修改或關閉設備。

5.2 無線網(wǎng)絡安全防范措施

無線網(wǎng)絡安全防范措施主要有干擾攻擊防護、加密和鑒權機制。

5.2.1 干擾攻擊防護措施

采用指令天線、CAMA/CA訪問方法、ARQ錯誤控制方法、OFDM多載波傳輸方案、多種頻率規(guī)劃策略、無線網(wǎng)絡物理冗余等措施防護干擾攻擊。

5.2.2 加密和鑒權機制

1）基于WPA2-PSK解決方案，采用AES算法在無線網(wǎng)絡WiFi中實現(xiàn)加密和認證。

2）所有的無線網(wǎng)絡設備配置特定的賬戶，定義對設備的不同訪問權限，禁用工廠默認用戶。

3）在無線網(wǎng)絡范圍內，無線網(wǎng)絡的鏈接遵循如下網(wǎng)絡安全規(guī)定：（1）限制每個接入點的最大用戶數(shù)量；（2）隱藏服務標識（SSID）；（3）啟用身份驗證/安全模式使用WPA2-PSK驗證。

5.2.3 TETRA安全防范措施

1）通過實施用戶身份驗證機制保護基站運行設備的用戶身份和驗證密鑰，無線電網(wǎng)絡將防止通過克隆用戶進行惡意訪問；

2）TETRA提供空中接口和端到端加密方案；

3）所有身份驗證和加密算法都提供高級別的安全性及涉及身份驗證和加密密鑰的管理程序；

4）TETRA提供無線電終端禁用工具，允許暫時或永久停用被盜或丟失的無線電終端設備。

5.3 傳輸系統(tǒng)及服務網(wǎng)絡的防范措施

5.3.1 訪問授權

傳輸系統(tǒng)和服務網(wǎng)絡將建立在專用網(wǎng)絡基礎設施上，按照IEC 62280-1的要求采用封閉式通信系統(tǒng)，構建用于授權MAC地址訪問機制，其參數(shù)允許靈活地限制訪問交換機接入層。

5.3.2 禁用未使用的以太網(wǎng)端口

為加強安全性，所有未使用的以太網(wǎng)端口都配置為“禁用”模式，在授權操作員或管理員啟用之前，無法連接到網(wǎng)絡。

拒絕訪問任何通信網(wǎng)絡設備接入骨干網(wǎng)，防止意外或惡意入侵。

通過管理登錄名和密碼的請求防止重新配置連接端口的入侵。

5.3.3 限制性IP尋址規(guī)則

通信網(wǎng)絡在IP層使用不同類型的網(wǎng)絡保護。系統(tǒng)使用固定的IP地址，通過固定IP地址識別設備和用戶；子系統(tǒng)都使用特定的IP子網(wǎng)來確保子系統(tǒng)的IP隔離。

5.3.4 訪問控制策略

通信網(wǎng)絡架構部署了基于ACL（訪問控制列表）的安全模型。

不同域之間不在IP路由上通信，網(wǎng)關程序將中斷，以獲得最大的安全性。

5.3.5 防火墻

當不同邊界之間需要提供比ACL控制和隔離更強大的控制和隔離時，安裝防火墻設備連接邊界，并提供明確的限制。

不同邊界之間的單一交換采用最新的安全架構和冗余IP防火墻，所有接受或丟棄的會話都將記錄在維護工作站上，并保留6個月。

防火墻提供攻擊檢測或端口掃描檢測，允許攻擊檢測并提供系統(tǒng)未經(jīng)授權使用驗證，檢測和監(jiān)控層將記錄報警和報告。

5.3.6 系統(tǒng)加固

系統(tǒng)加固是指根據(jù)安全評估結果，制定相應的系統(tǒng)加固方案，對操作系統(tǒng)、軟件應用程序和所需的第三方軟件的默認配置進行更改，以限制安全漏洞。采用經(jīng)認證的IT配置管理工具、禁用未使用的服務和協(xié)議、設置操作系統(tǒng)權限等加固措施確保操作系統(tǒng)安全。

5.3.7 安裝配置工具操作系統(tǒng)的默認安裝和手動配置安全性較差。為了提高安全級別，采用經(jīng)過認證的IT配置管理工具。

5.3.8 禁用未使用的服務和協(xié)議

啟用的主機操作系統(tǒng)中未使用的服務或協(xié)議將成為網(wǎng)絡攻擊的潛在入口，只啟用用于服務、提供維護的服務和協(xié)議，以限制潛在的網(wǎng)絡攻擊。

使用SSH和HTTPS協(xié)議遠程管理網(wǎng)絡設備，使用SFTP協(xié)議傳輸文件。

5.3.9 惡意代碼檢測與保護

惡意代碼主要包括特洛伊木馬、蠕蟲、病毒、后門程序等。

為了限制惡意代碼的潛在影響，建立防病毒架構如下：

1）每晚進行硬盤分析，為避免影響應用程序，任務將被配置為控制CPU使用率和管理任務啟動/停止時間；

2）“訪問分析”將設置在可移動媒體驅動器和日志文件驅動器上；

3）主機上的防病毒配置將受密碼保護，每天下載更新防病毒庫；

4）報警和報告記錄在維護工作站上，存儲時間不少于6個月；

5）更新防病毒庫（病毒簽名和引擎分析更新）前須在驗證平臺上進行測試和驗證；

6）在更新SIG、COMM、AFC、IACS等控制和信息系統(tǒng)軟件版本前更新防病毒版本。

5.4 網(wǎng)絡安全管理

在運營過程中持續(xù)開展安全管理活動，保證安全級別。為此，運營人員將遵循如下原則：

1）所有網(wǎng)絡IP設備、服務器和工作站都將在限制訪問的設備中進行物理保護（只有授權用戶才能訪問設備室）；

2）所有網(wǎng)絡設備（接入點、無線網(wǎng)絡、交換機和路由器）的密碼和密匙將保密；

3）設置合適的密匙和密碼（不設置通用密碼或訪客賬戶，密碼長度至少8位且至少具有2個特殊字符、數(shù)字、字母，密碼歷史設置等）；

4）無線電鏈路的加密密碼將保密；

5）定期修改密碼；

6）無線電鏈路加密的加密密碼應遵守最小/最大大小要求（8～63個ASCII字符）。

6 結語

通過分析波哥大西部有軌電車控制和信息系統(tǒng)網(wǎng)絡安全需求，研究了控制和信息系統(tǒng)潛在的網(wǎng)絡安全風險和需求，確定了有軌電車系統(tǒng)網(wǎng)絡安全管理策略和流程、風險評估程序，制定了物理、無線網(wǎng)絡、TETRA、傳輸系統(tǒng)網(wǎng)絡安全風險防范措施和網(wǎng)絡安全管理的原則，確保了有軌電車系統(tǒng)控制和信息的網(wǎng)絡安全。