劉 魁

（中鐵第四勘察設(shè)計(jì)院集團(tuán)有限公司，武漢 430063）

隨著城市軌道交通與信息化的融合程度越來越高，各系統(tǒng)之間互聯(lián)互通和數(shù)據(jù)共享越來越多，如綜合監(jiān)控系統(tǒng)與互聯(lián)子系統(tǒng)(自動(dòng)售檢票系統(tǒng)、乘客信息系統(tǒng)和視頻監(jiān)視系統(tǒng)等)之間，互聯(lián)網(wǎng)售票系統(tǒng)與公共網(wǎng)絡(luò)之間數(shù)據(jù)交互和訪問連接日益頻繁。各系統(tǒng)之間互聯(lián)互通的邊界處因各自安全策略與機(jī)制的差異易造成病毒、木馬等乘虛而入在各系統(tǒng)間擴(kuò)散，網(wǎng)絡(luò)安全問題日益突出[1]。一旦系統(tǒng)的安全漏洞被別人利用，將對城市軌道交通的運(yùn)營安全乃至人身安全造成重大影響，集中化管控是減少上述隱患發(fā)生的有效對策。

1 城市軌道交通網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

通過對城市軌道交通各系統(tǒng)的網(wǎng)絡(luò)架構(gòu)和數(shù)據(jù)流向的分析發(fā)現(xiàn)，各系統(tǒng)網(wǎng)絡(luò)安全主要存在以下4方面風(fēng)險(xiǎn)。

1.1 網(wǎng)絡(luò)邊界無隔離

1) 系統(tǒng)與系統(tǒng)之間的網(wǎng)絡(luò)邊界無隔離。各系統(tǒng)之間存在各式各樣的接口，多個(gè)系統(tǒng)之間直接互聯(lián)互通[2]。如乘客信息系統(tǒng)與信號ATS子系統(tǒng)、綜合監(jiān)控系統(tǒng)等存在接口。各系統(tǒng)之間未設(shè)置有效的隔離防護(hù)設(shè)備，存在安全隱患。

2) 系統(tǒng)內(nèi)部子系統(tǒng)之間網(wǎng)絡(luò)邊界無隔離。各系統(tǒng)內(nèi)部各個(gè)子系統(tǒng)之間也存在網(wǎng)絡(luò)邊界無隔離的現(xiàn)象，各集成子系統(tǒng)之間存在無隔離的任意訪問的問題。

3) 生產(chǎn)系統(tǒng)與互聯(lián)網(wǎng)邊界隔離措施不到位。部分系統(tǒng)與互聯(lián)網(wǎng)之間存在網(wǎng)絡(luò)接口，如自動(dòng)售檢票系統(tǒng)與支付寶、銀聯(lián)的接口，這些網(wǎng)絡(luò)接口僅僅部署了簡單的隔離防護(hù)措施，無法抵御有組織的網(wǎng)絡(luò)攻擊。

1.2 計(jì)算機(jī)系統(tǒng)防護(hù)薄弱

各系統(tǒng)在城市軌道交通各個(gè)站點(diǎn)均部署了服務(wù)器和工作站。若各系統(tǒng)主機(jī)、服務(wù)器未安裝殺毒軟件，或更新升級不及時(shí)[3]，則存在一定的安全隱患。而且各個(gè)工作站上安裝的軟件不可控，工作站USB接口雖然管理制度不允許隨便接入存儲設(shè)備，但沒有技術(shù)支撐，管理制度形同虛設(shè)。工作站和服務(wù)器自身的脆弱性成為黑客攻擊得手的關(guān)鍵點(diǎn)，查找自身的弱點(diǎn)，針對工作站和服務(wù)器加強(qiáng)防護(hù)，才能防患于未然。

1.3 入侵行為檢測有遺漏

在各個(gè)系統(tǒng)未部署入侵檢測設(shè)備的情況下，缺少對系統(tǒng)內(nèi)部和系統(tǒng)之間數(shù)據(jù)流量的實(shí)時(shí)監(jiān)控和記錄，容易存在以下幾類問題：

1) 入侵行為看不見。城市軌道交通網(wǎng)絡(luò)入侵行為隱蔽性非常強(qiáng)，會使用正常的應(yīng)用做異常的操作，沒有專門的設(shè)備很難發(fā)現(xiàn)入侵行為。

2) 安全事件查不到。出現(xiàn)安全事件后，沒有審計(jì)記錄和追溯的手段，無法對歷史安全事件進(jìn)行查詢，無法有效預(yù)防類似的安全事件再次發(fā)生。

3) 網(wǎng)絡(luò)異常無感知。網(wǎng)絡(luò)連接、未知設(shè)備接入、通信協(xié)議、網(wǎng)絡(luò)流量等的異常關(guān)鍵事件，只能在業(yè)務(wù)中斷或出現(xiàn)其他故障的情況下才能追溯和查詢，缺少對網(wǎng)絡(luò)異常情況的預(yù)警和實(shí)施監(jiān)控。

1.4 運(yùn)營管理不完善

1) 網(wǎng)絡(luò)安全管理制度[4]不完善，缺少重要網(wǎng)絡(luò)安全崗位、缺少人員的網(wǎng)絡(luò)安全意識培訓(xùn)；

2) 系統(tǒng)集成商或第三方維護(hù)人員對設(shè)備的日常維護(hù)、故障定位、軟件升級等操作缺乏有效的管控措施；

3) 缺少對安全防護(hù)設(shè)備的綜合管理和運(yùn)維，各設(shè)備的安全管理各自為政，沒有形成有效的協(xié)同聯(lián)動(dòng)機(jī)制；

4) 缺少定期的風(fēng)險(xiǎn)評估，無法掌握自身系統(tǒng)的風(fēng)險(xiǎn)和描述系統(tǒng)的安全狀態(tài)。

2 網(wǎng)絡(luò)安全集中管控防護(hù)的必要性

2.1 安全響應(yīng)需要協(xié)同聯(lián)動(dòng)

各業(yè)務(wù)系統(tǒng)獨(dú)立設(shè)計(jì)網(wǎng)絡(luò)安全防護(hù)方案，獨(dú)立選擇網(wǎng)絡(luò)安全產(chǎn)品，缺少總體防護(hù)和深度防護(hù)的思想。不同品牌、不同類型的安全設(shè)備在功能、接口、策略和日志格式方面差異較大，導(dǎo)致安全事件無法同步，安全情報(bào)無法共享，從而無法形成安全有效的防御體系。通過統(tǒng)一建設(shè)網(wǎng)絡(luò)安全集中管控防護(hù)系統(tǒng)，可打破各系統(tǒng)之間的安全數(shù)據(jù)共享壁壘，加強(qiáng)各系統(tǒng)之間的網(wǎng)絡(luò)安全協(xié)同聯(lián)動(dòng)，實(shí)現(xiàn)對各系統(tǒng)協(xié)同持續(xù)監(jiān)控、防御、檢測、響應(yīng)、預(yù)測和分析等功能。通過各系統(tǒng)網(wǎng)絡(luò)安全數(shù)據(jù)的匯聚、分析，可以對網(wǎng)絡(luò)安全威脅事件進(jìn)行關(guān)聯(lián)分析，實(shí)現(xiàn)對整體網(wǎng)絡(luò)安全態(tài)勢的預(yù)測，對安全事件快速響應(yīng)。

2.2 安全設(shè)備需要集中運(yùn)維

由于不同安全廠商之間的網(wǎng)管無法實(shí)現(xiàn)互通，各系統(tǒng)獨(dú)立建設(shè)網(wǎng)絡(luò)安全系統(tǒng)，容易造成多網(wǎng)管的狀態(tài)，運(yùn)營管理人員需登錄不同的網(wǎng)管進(jìn)行安全設(shè)備的配置和維護(hù)，不利于資源的充分共享，而且大大增加了運(yùn)營維護(hù)的工作量。通過統(tǒng)一建設(shè)網(wǎng)絡(luò)安全集中管控防護(hù)系統(tǒng)，可以對各系統(tǒng)網(wǎng)絡(luò)安全設(shè)備進(jìn)行統(tǒng)一監(jiān)控和配置，并對安全設(shè)備的狀態(tài)進(jìn)行集中監(jiān)測，給安全設(shè)備的統(tǒng)一運(yùn)營維護(hù)帶來了極大的便利。

2.3 安全資源需要統(tǒng)一共享

各系統(tǒng)單獨(dú)建設(shè)網(wǎng)絡(luò)安全系統(tǒng)的情況下，由于缺乏統(tǒng)一協(xié)調(diào)的配置管控，在各系統(tǒng)邊界容易出現(xiàn)多重防護(hù)的情況，即各系統(tǒng)均在邊界配置防火墻設(shè)備。一方面設(shè)備重復(fù)配置造成資源浪費(fèi)，另一方面增加了系統(tǒng)數(shù)據(jù)交互時(shí)延，也增加了故障點(diǎn)。而且不同人員配置不同廠家的防火墻設(shè)備，策略可能存在一定的差異，從而導(dǎo)致數(shù)據(jù)阻斷的風(fēng)險(xiǎn)。一體化的集中管控防護(hù)方案可以有效避免防火墻重復(fù)配置的問題，各系統(tǒng)還能共享漏洞掃描、主機(jī)安全防護(hù)服務(wù)器等設(shè)備，有利于資源的充分共享，降低工程造價(jià)。

2.4 安全人員需要整體部署

各系統(tǒng)單獨(dú)建設(shè)網(wǎng)絡(luò)安全的情況下，各系統(tǒng)工班的工作內(nèi)容均涵蓋對機(jī)房的巡檢和對安全設(shè)備工作狀態(tài)、接口狀態(tài)和日志的檢查工作，存在一定的交叉和重復(fù)。各個(gè)工班均需配置安全方面的檢修和維護(hù)人員，造成人力的浪費(fèi)。若采用網(wǎng)絡(luò)安全集中管控防護(hù)方案，可以實(shí)現(xiàn)安全設(shè)備的統(tǒng)一運(yùn)維，配置單獨(dú)的網(wǎng)絡(luò)安全運(yùn)營團(tuán)隊(duì)，各系統(tǒng)工班不需要再去運(yùn)維和管理安全設(shè)備，只要專注于系統(tǒng)業(yè)務(wù)的運(yùn)營和維護(hù)即可，同時(shí)可以利用統(tǒng)一安全管理平臺實(shí)現(xiàn)防護(hù)方案自動(dòng)化部署、設(shè)備狀態(tài)集中分析、設(shè)備配置統(tǒng)一下發(fā)等，降低運(yùn)維難度，大大提高了運(yùn)維的效率和可靠性。

2.5 安全管理需要頂層規(guī)劃

在特殊時(shí)期如重大事件保障的情況下，對網(wǎng)絡(luò)安全的運(yùn)維管理提出了很高的要求，往往需要各個(gè)系統(tǒng)網(wǎng)絡(luò)安全的協(xié)同聯(lián)動(dòng)，緊密配合。傳統(tǒng)方案下各個(gè)系統(tǒng)各自為政，運(yùn)維管理人員參差不齊，安全廠商責(zé)任范圍不明確，很難實(shí)現(xiàn)各系統(tǒng)之間的緊密協(xié)作。一體化的集中管控防護(hù)由于可以統(tǒng)一規(guī)劃和統(tǒng)一運(yùn)維，也不存在多個(gè)安全廠商之間推諉責(zé)任的情況，有利于在重大事件保障情況下提供可靠的網(wǎng)絡(luò)安全服務(wù)。

3 網(wǎng)絡(luò)安全集中管控防護(hù)方案

以某城市的軌道交通線網(wǎng)為例，主要研究包括安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)、外部服務(wù)網(wǎng)和運(yùn)維管理網(wǎng)的網(wǎng)絡(luò)安全集中管控防護(hù)方案。隨著云技術(shù)在城市軌道交通中越來越廣泛地應(yīng)用，目前各系統(tǒng)架構(gòu)正逐步采用統(tǒng)一融合的云架構(gòu)方案，本文按各業(yè)務(wù)系統(tǒng)均采用云計(jì)算的網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)模型(按主備雙中心，設(shè)置車站云節(jié)點(diǎn)的方式考慮)[5]，研究符合等級保護(hù)要求的方案設(shè)計(jì)，建設(shè)網(wǎng)絡(luò)安全集中管控防護(hù)系統(tǒng)。

3.1 系統(tǒng)等級保護(hù)定級

根據(jù)GB/T22240-2020《網(wǎng)絡(luò)安全等級保護(hù)定級指南》以及其他相關(guān)規(guī)范和目前中國既有城市軌道交通各系統(tǒng)定級情況，信號系統(tǒng)、綜合監(jiān)控系統(tǒng)、自動(dòng)售檢票系統(tǒng)、乘客信息系統(tǒng)等生產(chǎn)系統(tǒng)建議定級為等保三級系統(tǒng)，內(nèi)部管理網(wǎng)按照等保二級進(jìn)行建設(shè)，外部服務(wù)網(wǎng)的視頻監(jiān)視系統(tǒng)建議定級為等保二級系統(tǒng)，云平臺的安全等級不低于其所承載的業(yè)務(wù)。

3.2 各系統(tǒng)集中管控防護(hù)

集中管控防護(hù)方案應(yīng)遵循“系統(tǒng)自保、平臺統(tǒng)保、邊界防護(hù)、等保達(dá)標(biāo)、安全確保”的策略，以網(wǎng)絡(luò)安全等級保護(hù)為基礎(chǔ)，分級分類建立應(yīng)用系統(tǒng)的安全保護(hù)措施[6]。網(wǎng)絡(luò)安全集中管控防護(hù)系統(tǒng)由統(tǒng)一安全管理中心、云平臺防護(hù)區(qū)以及各業(yè)務(wù)系統(tǒng)防護(hù)區(qū)(包括信號系統(tǒng)防護(hù)區(qū)、綜合監(jiān)控系統(tǒng)防護(hù)區(qū)、自動(dòng)售檢票系統(tǒng)防護(hù)區(qū)、乘客信息系統(tǒng)防護(hù)區(qū)、視頻監(jiān)視系統(tǒng)防護(hù)區(qū)等)構(gòu)成，實(shí)現(xiàn)對各系統(tǒng)設(shè)備網(wǎng)絡(luò)安全的整體防護(hù)，有效保障軌道交通運(yùn)營安全。

網(wǎng)絡(luò)安全集中化防護(hù)系統(tǒng)總體方案如圖1所示。

圖1 城市軌道交通網(wǎng)絡(luò)安全集中管控防護(hù)總體架構(gòu)Figure 1 Overall architecture of centralized control and protection for urban rail transit network security

1) 統(tǒng)一安全管理中心。統(tǒng)一安全管理中心是整個(gè)線路網(wǎng)絡(luò)安全防護(hù)體系的指揮控制中樞[7]，其功能包括建立安全的信息傳輸路徑，對各業(yè)務(wù)系統(tǒng)及云平臺中的安全設(shè)備進(jìn)行管理，對分散在各業(yè)務(wù)系統(tǒng)主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析，對各業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)及云平臺網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、報(bào)警和分析，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和主機(jī)設(shè)備等的運(yùn)行狀況的集中監(jiān)測等。

統(tǒng)一安全管理中心設(shè)備包括安全管理平臺(含安全態(tài)勢感知)、綜合運(yùn)維安全審計(jì)系統(tǒng)、漏洞掃描管理系統(tǒng)、云安全資源池、安全維護(hù)終端、核心交換機(jī)、接入交換機(jī)以及為了保證自身安全的入侵檢測系統(tǒng)與防火墻。

2) 云平臺防護(hù)區(qū)。云平臺安全體系設(shè)計(jì)方案是為保證云上承載的各業(yè)務(wù)系統(tǒng)安全而設(shè)計(jì)，按照縱深防御和分區(qū)分域原則，對安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)、外部服務(wù)網(wǎng)和運(yùn)維管理網(wǎng)的各網(wǎng)絡(luò)采取邊界防護(hù)和域內(nèi)安全防護(hù)措施[8]，主要考慮云外安全和云內(nèi)安全兩個(gè)方面。對于云外安全，主要通過部署傳統(tǒng)軟硬件安全防護(hù)設(shè)備保障云平臺在對外提供服務(wù)和運(yùn)維管理過程中不被攻擊。對于云內(nèi)安全，主要考慮云內(nèi)各業(yè)務(wù)系統(tǒng)間(即東西向)的邊界隔離與訪問控制。由于云安全資源池可以實(shí)現(xiàn)彈性擴(kuò)展，本文推薦采用云安全資源池的方案進(jìn)行云內(nèi)防護(hù)，通過在云安全資源池上部署虛擬化的安全防護(hù)產(chǎn)品來實(shí)現(xiàn)云內(nèi)安全防護(hù)[9]。云平臺的網(wǎng)絡(luò)安全防護(hù)包括主中心的防護(hù)方案和備中心的防護(hù)方案(備中心防護(hù)方案與主中心類似，本文不再贅述)，如圖2所示[10]。

圖2 云平臺主中心網(wǎng)絡(luò)安全防護(hù)架構(gòu)Figure 2 Network security protection architecture of main center of cloud platform

云平臺的安全防護(hù)設(shè)備主要包括防火墻、入侵檢測系統(tǒng)和云安全資源池等設(shè)備。云安全資源池組件主要包括虛擬化防火墻、虛擬化入侵檢測、虛擬日志審計(jì)、虛擬數(shù)據(jù)庫審計(jì)和虛擬堡壘機(jī)5種，主要提供基礎(chǔ)的邊界防護(hù)、入侵檢測和安全審計(jì)類能力，保障云上應(yīng)用可以滿足最基本的等級保護(hù)合規(guī)要求。

各系統(tǒng)防護(hù)區(qū)需根據(jù)系統(tǒng)自身與其他系統(tǒng)的數(shù)據(jù)流交互情況、系統(tǒng)內(nèi)部各子系統(tǒng)和模塊之間的數(shù)據(jù)流交換情況，結(jié)合“一個(gè)中心”管理下的“三重保護(hù)”體系框架進(jìn)行設(shè)計(jì)。應(yīng)按照系統(tǒng)等級保護(hù)相應(yīng)等級的安全基本要求，構(gòu)建安全機(jī)制和策略，形成定級系統(tǒng)的安全保護(hù)環(huán)境，包括：安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境和安全管理中心，設(shè)計(jì)本系統(tǒng)的安全防護(hù)技術(shù)方案。各系統(tǒng)防護(hù)方案與綜合監(jiān)控系統(tǒng)基本類似(略有區(qū)別，如CCTV系統(tǒng)僅按等保二級進(jìn)行設(shè)計(jì)即可，可以不配置漏洞掃描等設(shè)備)，本文以綜合監(jiān)控系統(tǒng)為例闡述系統(tǒng)防護(hù)方案，綜合監(jiān)控系統(tǒng)等保三級防護(hù)方案如圖3所示[11]。

圖3 綜合監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)架構(gòu)Figure 3 Network security protection architecture of integrated supervisory and control system

控制中心級綜合監(jiān)控系統(tǒng)的安全防護(hù)設(shè)備主要包括工控防火墻、入侵檢測系統(tǒng)和主機(jī)安全防護(hù)等設(shè)備，綜合監(jiān)控與內(nèi)聯(lián)區(qū)的終端之間的防護(hù)由云平臺網(wǎng)絡(luò)防護(hù)方案統(tǒng)一考慮。站段級綜合監(jiān)控系統(tǒng)包括車站、車輛段和停車場，由于網(wǎng)絡(luò)結(jié)構(gòu)類似，所以車站、車輛段和停車場的安全防護(hù)方案一致。站段綜合監(jiān)控系統(tǒng)的安全防護(hù)設(shè)備主要包括工控防火墻、入侵檢測系統(tǒng)和主機(jī)安全防護(hù)等設(shè)備。

4 經(jīng)濟(jì)效益分析

紹興地鐵1、2號線、金義東市域軌道交通和大連地鐵1、2號線改造均采用了一體化的集中管控防護(hù)方案，武漢、廈門、南京、無錫、太原、寧波、昆明、溫州等地采用傳統(tǒng)的各系統(tǒng)分別建設(shè)的方案。結(jié)合各城市網(wǎng)絡(luò)安全的建設(shè)和運(yùn)維經(jīng)驗(yàn)，一體化的集中管控防護(hù)方案能有效降低工程建設(shè)成本、降低運(yùn)營管理成本和提高運(yùn)維效率。

4.1 降低工程建設(shè)成本

各系統(tǒng)安全設(shè)備(如漏洞掃描設(shè)備等)可以在各系統(tǒng)間共享，配套的培訓(xùn)、廠驗(yàn)、安裝督導(dǎo)和驗(yàn)收等服務(wù)均可以共享，且統(tǒng)一打包招標(biāo)能一定程度降低采購價(jià)格。結(jié)合紹興和金華的經(jīng)驗(yàn)，集中管控防護(hù)方案相比傳統(tǒng)建設(shè)方案可以節(jié)省建設(shè)成本約20%。

4.2 降低運(yùn)營管理成本

根據(jù)對廈門地鐵1、2號線各系統(tǒng)維修工班的調(diào)研情況，傳統(tǒng)方案各系統(tǒng)單獨(dú)建設(shè)網(wǎng)絡(luò)安全的情況下，各系統(tǒng)工班的工作內(nèi)容均涵蓋對機(jī)房的巡檢和對安全設(shè)備工作狀態(tài)、接口狀態(tài)和日志的檢查工作，各系統(tǒng)的工作存在一定的重復(fù)。采用網(wǎng)絡(luò)安全集中管控防護(hù)方案，可以配置單獨(dú)的網(wǎng)絡(luò)安全運(yùn)維團(tuán)隊(duì)[12]，大大節(jié)省運(yùn)維人力，降低了運(yùn)營管理成本。

4.3 提高運(yùn)維效率

采用一體化的集中管控防護(hù)方案可以通過安全管理中心進(jìn)行設(shè)備的統(tǒng)一配置和安全策略的統(tǒng)一下發(fā)，相比傳統(tǒng)方案大大提高了運(yùn)維的效率。對比太原地鐵2號線和紹興地鐵1號線，一體化的集成防護(hù)方案使各系統(tǒng)網(wǎng)絡(luò)安全配置部署時(shí)間比傳統(tǒng)方案節(jié)省20%以上，如果多線多專業(yè)同時(shí)建設(shè)，時(shí)間節(jié)省的比例將更大。

5 結(jié)語

由于地鐵集團(tuán)(公司)內(nèi)部組織結(jié)構(gòu)設(shè)置問題，未成立獨(dú)立的網(wǎng)絡(luò)安全運(yùn)營部門，大部分網(wǎng)絡(luò)安全設(shè)備一般納入各系統(tǒng)自行運(yùn)維，一體化的集成管控防護(hù)方案僅在部分城市開展了試點(diǎn)。隨著各地對數(shù)據(jù)融合共享要求的提高，規(guī)范體系的不斷完善以及各地運(yùn)維經(jīng)驗(yàn)的充分積累，一體化的集成管控防護(hù)方案將成為未來發(fā)展的趨勢。在安全數(shù)據(jù)充分共享的情況下，充分利用各系統(tǒng)的數(shù)據(jù)進(jìn)行協(xié)同管控，同時(shí)結(jié)合各系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)，實(shí)現(xiàn)對潛在威脅進(jìn)行及時(shí)預(yù)警，對安全威脅進(jìn)行預(yù)測，從被動(dòng)防御逐步轉(zhuǎn)換為主動(dòng)防御，形成完善的城市軌道交通網(wǎng)絡(luò)安全防護(hù)體系，有效地抵御各類安全威脅。