劉 魁

（中鐵第四勘察設計院集團有限公司，武漢 430063）

隨著城市軌道交通與信息化的融合程度越來越高，各系統(tǒng)之間互聯(lián)互通和數(shù)據(jù)共享越來越多，如綜合監(jiān)控系統(tǒng)與互聯(lián)子系統(tǒng)(自動售檢票系統(tǒng)、乘客信息系統(tǒng)和視頻監(jiān)視系統(tǒng)等)之間，互聯(lián)網(wǎng)售票系統(tǒng)與公共網(wǎng)絡之間數(shù)據(jù)交互和訪問連接日益頻繁。各系統(tǒng)之間互聯(lián)互通的邊界處因各自安全策略與機制的差異易造成病毒、木馬等乘虛而入在各系統(tǒng)間擴散，網(wǎng)絡安全問題日益突出[1]。一旦系統(tǒng)的安全漏洞被別人利用，將對城市軌道交通的運營安全乃至人身安全造成重大影響，集中化管控是減少上述隱患發(fā)生的有效對策。

1 城市軌道交通網(wǎng)絡安全風險分析

通過對城市軌道交通各系統(tǒng)的網(wǎng)絡架構和數(shù)據(jù)流向的分析發(fā)現(xiàn)，各系統(tǒng)網(wǎng)絡安全主要存在以下4方面風險。

1.1 網(wǎng)絡邊界無隔離

1) 系統(tǒng)與系統(tǒng)之間的網(wǎng)絡邊界無隔離。各系統(tǒng)之間存在各式各樣的接口，多個系統(tǒng)之間直接互聯(lián)互通[2]。如乘客信息系統(tǒng)與信號ATS子系統(tǒng)、綜合監(jiān)控系統(tǒng)等存在接口。各系統(tǒng)之間未設置有效的隔離防護設備，存在安全隱患。

2) 系統(tǒng)內(nèi)部子系統(tǒng)之間網(wǎng)絡邊界無隔離。各系統(tǒng)內(nèi)部各個子系統(tǒng)之間也存在網(wǎng)絡邊界無隔離的現(xiàn)象，各集成子系統(tǒng)之間存在無隔離的任意訪問的問題。

3) 生產(chǎn)系統(tǒng)與互聯(lián)網(wǎng)邊界隔離措施不到位。部分系統(tǒng)與互聯(lián)網(wǎng)之間存在網(wǎng)絡接口，如自動售檢票系統(tǒng)與支付寶、銀聯(lián)的接口，這些網(wǎng)絡接口僅僅部署了簡單的隔離防護措施，無法抵御有組織的網(wǎng)絡攻擊。

1.2 計算機系統(tǒng)防護薄弱

各系統(tǒng)在城市軌道交通各個站點均部署了服務器和工作站。若各系統(tǒng)主機、服務器未安裝殺毒軟件，或更新升級不及時[3]，則存在一定的安全隱患。而且各個工作站上安裝的軟件不可控，工作站USB接口雖然管理制度不允許隨便接入存儲設備，但沒有技術支撐，管理制度形同虛設。工作站和服務器自身的脆弱性成為黑客攻擊得手的關鍵點，查找自身的弱點，針對工作站和服務器加強防護，才能防患于未然。

1.3 入侵行為檢測有遺漏

在各個系統(tǒng)未部署入侵檢測設備的情況下，缺少對系統(tǒng)內(nèi)部和系統(tǒng)之間數(shù)據(jù)流量的實時監(jiān)控和記錄，容易存在以下幾類問題：

1) 入侵行為看不見。城市軌道交通網(wǎng)絡入侵行為隱蔽性非常強，會使用正常的應用做異常的操作，沒有專門的設備很難發(fā)現(xiàn)入侵行為。

2) 安全事件查不到。出現(xiàn)安全事件后，沒有審計記錄和追溯的手段，無法對歷史安全事件進行查詢，無法有效預防類似的安全事件再次發(fā)生。

3) 網(wǎng)絡異常無感知。網(wǎng)絡連接、未知設備接入、通信協(xié)議、網(wǎng)絡流量等的異常關鍵事件，只能在業(yè)務中斷或出現(xiàn)其他故障的情況下才能追溯和查詢，缺少對網(wǎng)絡異常情況的預警和實施監(jiān)控。

1.4 運營管理不完善

1) 網(wǎng)絡安全管理制度[4]不完善，缺少重要網(wǎng)絡安全崗位、缺少人員的網(wǎng)絡安全意識培訓；

2) 系統(tǒng)集成商或第三方維護人員對設備的日常維護、故障定位、軟件升級等操作缺乏有效的管控措施；

3) 缺少對安全防護設備的綜合管理和運維，各設備的安全管理各自為政，沒有形成有效的協(xié)同聯(lián)動機制；

4) 缺少定期的風險評估，無法掌握自身系統(tǒng)的風險和描述系統(tǒng)的安全狀態(tài)。

2 網(wǎng)絡安全集中管控防護的必要性

2.1 安全響應需要協(xié)同聯(lián)動

各業(yè)務系統(tǒng)獨立設計網(wǎng)絡安全防護方案，獨立選擇網(wǎng)絡安全產(chǎn)品，缺少總體防護和深度防護的思想。不同品牌、不同類型的安全設備在功能、接口、策略和日志格式方面差異較大，導致安全事件無法同步，安全情報無法共享，從而無法形成安全有效的防御體系。通過統(tǒng)一建設網(wǎng)絡安全集中管控防護系統(tǒng)，可打破各系統(tǒng)之間的安全數(shù)據(jù)共享壁壘，加強各系統(tǒng)之間的網(wǎng)絡安全協(xié)同聯(lián)動，實現(xiàn)對各系統(tǒng)協(xié)同持續(xù)監(jiān)控、防御、檢測、響應、預測和分析等功能。通過各系統(tǒng)網(wǎng)絡安全數(shù)據(jù)的匯聚、分析，可以對網(wǎng)絡安全威脅事件進行關聯(lián)分析，實現(xiàn)對整體網(wǎng)絡安全態(tài)勢的預測，對安全事件快速響應。

2.2 安全設備需要集中運維

由于不同安全廠商之間的網(wǎng)管無法實現(xiàn)互通，各系統(tǒng)獨立建設網(wǎng)絡安全系統(tǒng)，容易造成多網(wǎng)管的狀態(tài)，運營管理人員需登錄不同的網(wǎng)管進行安全設備的配置和維護，不利于資源的充分共享，而且大大增加了運營維護的工作量。通過統(tǒng)一建設網(wǎng)絡安全集中管控防護系統(tǒng)，可以對各系統(tǒng)網(wǎng)絡安全設備進行統(tǒng)一監(jiān)控和配置，并對安全設備的狀態(tài)進行集中監(jiān)測，給安全設備的統(tǒng)一運營維護帶來了極大的便利。

2.3 安全資源需要統(tǒng)一共享

各系統(tǒng)單獨建設網(wǎng)絡安全系統(tǒng)的情況下，由于缺乏統(tǒng)一協(xié)調(diào)的配置管控，在各系統(tǒng)邊界容易出現(xiàn)多重防護的情況，即各系統(tǒng)均在邊界配置防火墻設備。一方面設備重復配置造成資源浪費，另一方面增加了系統(tǒng)數(shù)據(jù)交互時延，也增加了故障點。而且不同人員配置不同廠家的防火墻設備，策略可能存在一定的差異，從而導致數(shù)據(jù)阻斷的風險。一體化的集中管控防護方案可以有效避免防火墻重復配置的問題，各系統(tǒng)還能共享漏洞掃描、主機安全防護服務器等設備，有利于資源的充分共享，降低工程造價。

2.4 安全人員需要整體部署

各系統(tǒng)單獨建設網(wǎng)絡安全的情況下，各系統(tǒng)工班的工作內(nèi)容均涵蓋對機房的巡檢和對安全設備工作狀態(tài)、接口狀態(tài)和日志的檢查工作，存在一定的交叉和重復。各個工班均需配置安全方面的檢修和維護人員，造成人力的浪費。若采用網(wǎng)絡安全集中管控防護方案，可以實現(xiàn)安全設備的統(tǒng)一運維，配置單獨的網(wǎng)絡安全運營團隊，各系統(tǒng)工班不需要再去運維和管理安全設備，只要專注于系統(tǒng)業(yè)務的運營和維護即可，同時可以利用統(tǒng)一安全管理平臺實現(xiàn)防護方案自動化部署、設備狀態(tài)集中分析、設備配置統(tǒng)一下發(fā)等，降低運維難度，大大提高了運維的效率和可靠性。

2.5 安全管理需要頂層規(guī)劃

在特殊時期如重大事件保障的情況下，對網(wǎng)絡安全的運維管理提出了很高的要求，往往需要各個系統(tǒng)網(wǎng)絡安全的協(xié)同聯(lián)動，緊密配合。傳統(tǒng)方案下各個系統(tǒng)各自為政，運維管理人員參差不齊，安全廠商責任范圍不明確，很難實現(xiàn)各系統(tǒng)之間的緊密協(xié)作。一體化的集中管控防護由于可以統(tǒng)一規(guī)劃和統(tǒng)一運維，也不存在多個安全廠商之間推諉責任的情況，有利于在重大事件保障情況下提供可靠的網(wǎng)絡安全服務。

3 網(wǎng)絡安全集中管控防護方案

以某城市的軌道交通線網(wǎng)為例，主要研究包括安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)、外部服務網(wǎng)和運維管理網(wǎng)的網(wǎng)絡安全集中管控防護方案。隨著云技術在城市軌道交通中越來越廣泛地應用，目前各系統(tǒng)架構正逐步采用統(tǒng)一融合的云架構方案，本文按各業(yè)務系統(tǒng)均采用云計算的網(wǎng)絡架構和業(yè)務模型(按主備雙中心，設置車站云節(jié)點的方式考慮)[5]，研究符合等級保護要求的方案設計，建設網(wǎng)絡安全集中管控防護系統(tǒng)。

3.1 系統(tǒng)等級保護定級

根據(jù)GB/T22240-2020《網(wǎng)絡安全等級保護定級指南》以及其他相關規(guī)范和目前中國既有城市軌道交通各系統(tǒng)定級情況，信號系統(tǒng)、綜合監(jiān)控系統(tǒng)、自動售檢票系統(tǒng)、乘客信息系統(tǒng)等生產(chǎn)系統(tǒng)建議定級為等保三級系統(tǒng)，內(nèi)部管理網(wǎng)按照等保二級進行建設，外部服務網(wǎng)的視頻監(jiān)視系統(tǒng)建議定級為等保二級系統(tǒng)，云平臺的安全等級不低于其所承載的業(yè)務。

3.2 各系統(tǒng)集中管控防護

集中管控防護方案應遵循“系統(tǒng)自保、平臺統(tǒng)保、邊界防護、等保達標、安全確?！钡牟呗?，以網(wǎng)絡安全等級保護為基礎，分級分類建立應用系統(tǒng)的安全保護措施[6]。網(wǎng)絡安全集中管控防護系統(tǒng)由統(tǒng)一安全管理中心、云平臺防護區(qū)以及各業(yè)務系統(tǒng)防護區(qū)(包括信號系統(tǒng)防護區(qū)、綜合監(jiān)控系統(tǒng)防護區(qū)、自動售檢票系統(tǒng)防護區(qū)、乘客信息系統(tǒng)防護區(qū)、視頻監(jiān)視系統(tǒng)防護區(qū)等)構成，實現(xiàn)對各系統(tǒng)設備網(wǎng)絡安全的整體防護，有效保障軌道交通運營安全。

網(wǎng)絡安全集中化防護系統(tǒng)總體方案如圖1所示。

圖1 城市軌道交通網(wǎng)絡安全集中管控防護總體架構Figure 1 Overall architecture of centralized control and protection for urban rail transit network security

1) 統(tǒng)一安全管理中心。統(tǒng)一安全管理中心是整個線路網(wǎng)絡安全防護體系的指揮控制中樞[7]，其功能包括建立安全的信息傳輸路徑，對各業(yè)務系統(tǒng)及云平臺中的安全設備進行管理，對分散在各業(yè)務系統(tǒng)主機設備、網(wǎng)絡設備上的審計數(shù)據(jù)進行收集匯總和集中分析，對各業(yè)務系統(tǒng)網(wǎng)絡及云平臺網(wǎng)絡中發(fā)生的各類安全事件進行識別、報警和分析，實現(xiàn)各業(yè)務系統(tǒng)網(wǎng)絡鏈路、安全設備、網(wǎng)絡設備和主機設備等的運行狀況的集中監(jiān)測等。

統(tǒng)一安全管理中心設備包括安全管理平臺(含安全態(tài)勢感知)、綜合運維安全審計系統(tǒng)、漏洞掃描管理系統(tǒng)、云安全資源池、安全維護終端、核心交換機、接入交換機以及為了保證自身安全的入侵檢測系統(tǒng)與防火墻。

2) 云平臺防護區(qū)。云平臺安全體系設計方案是為保證云上承載的各業(yè)務系統(tǒng)安全而設計，按照縱深防御和分區(qū)分域原則，對安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)、外部服務網(wǎng)和運維管理網(wǎng)的各網(wǎng)絡采取邊界防護和域內(nèi)安全防護措施[8]，主要考慮云外安全和云內(nèi)安全兩個方面。對于云外安全，主要通過部署傳統(tǒng)軟硬件安全防護設備保障云平臺在對外提供服務和運維管理過程中不被攻擊。對于云內(nèi)安全，主要考慮云內(nèi)各業(yè)務系統(tǒng)間(即東西向)的邊界隔離與訪問控制。由于云安全資源池可以實現(xiàn)彈性擴展，本文推薦采用云安全資源池的方案進行云內(nèi)防護，通過在云安全資源池上部署虛擬化的安全防護產(chǎn)品來實現(xiàn)云內(nèi)安全防護[9]。云平臺的網(wǎng)絡安全防護包括主中心的防護方案和備中心的防護方案(備中心防護方案與主中心類似，本文不再贅述)，如圖2所示[10]。

圖2 云平臺主中心網(wǎng)絡安全防護架構Figure 2 Network security protection architecture of main center of cloud platform

云平臺的安全防護設備主要包括防火墻、入侵檢測系統(tǒng)和云安全資源池等設備。云安全資源池組件主要包括虛擬化防火墻、虛擬化入侵檢測、虛擬日志審計、虛擬數(shù)據(jù)庫審計和虛擬堡壘機5種，主要提供基礎的邊界防護、入侵檢測和安全審計類能力，保障云上應用可以滿足最基本的等級保護合規(guī)要求。

各系統(tǒng)防護區(qū)需根據(jù)系統(tǒng)自身與其他系統(tǒng)的數(shù)據(jù)流交互情況、系統(tǒng)內(nèi)部各子系統(tǒng)和模塊之間的數(shù)據(jù)流交換情況，結合“一個中心”管理下的“三重保護”體系框架進行設計。應按照系統(tǒng)等級保護相應等級的安全基本要求，構建安全機制和策略，形成定級系統(tǒng)的安全保護環(huán)境，包括：安全區(qū)域邊界、安全通信網(wǎng)絡、安全計算環(huán)境和安全管理中心，設計本系統(tǒng)的安全防護技術方案。各系統(tǒng)防護方案與綜合監(jiān)控系統(tǒng)基本類似(略有區(qū)別，如CCTV系統(tǒng)僅按等保二級進行設計即可，可以不配置漏洞掃描等設備)，本文以綜合監(jiān)控系統(tǒng)為例闡述系統(tǒng)防護方案，綜合監(jiān)控系統(tǒng)等保三級防護方案如圖3所示[11]。

圖3 綜合監(jiān)控系統(tǒng)網(wǎng)絡安全防護架構Figure 3 Network security protection architecture of integrated supervisory and control system

控制中心級綜合監(jiān)控系統(tǒng)的安全防護設備主要包括工控防火墻、入侵檢測系統(tǒng)和主機安全防護等設備，綜合監(jiān)控與內(nèi)聯(lián)區(qū)的終端之間的防護由云平臺網(wǎng)絡防護方案統(tǒng)一考慮。站段級綜合監(jiān)控系統(tǒng)包括車站、車輛段和停車場，由于網(wǎng)絡結構類似，所以車站、車輛段和停車場的安全防護方案一致。站段綜合監(jiān)控系統(tǒng)的安全防護設備主要包括工控防火墻、入侵檢測系統(tǒng)和主機安全防護等設備。

4 經(jīng)濟效益分析

紹興地鐵1、2號線、金義東市域軌道交通和大連地鐵1、2號線改造均采用了一體化的集中管控防護方案，武漢、廈門、南京、無錫、太原、寧波、昆明、溫州等地采用傳統(tǒng)的各系統(tǒng)分別建設的方案。結合各城市網(wǎng)絡安全的建設和運維經(jīng)驗，一體化的集中管控防護方案能有效降低工程建設成本、降低運營管理成本和提高運維效率。

4.1 降低工程建設成本

各系統(tǒng)安全設備(如漏洞掃描設備等)可以在各系統(tǒng)間共享，配套的培訓、廠驗、安裝督導和驗收等服務均可以共享，且統(tǒng)一打包招標能一定程度降低采購價格。結合紹興和金華的經(jīng)驗，集中管控防護方案相比傳統(tǒng)建設方案可以節(jié)省建設成本約20%。

4.2 降低運營管理成本

根據(jù)對廈門地鐵1、2號線各系統(tǒng)維修工班的調(diào)研情況，傳統(tǒng)方案各系統(tǒng)單獨建設網(wǎng)絡安全的情況下，各系統(tǒng)工班的工作內(nèi)容均涵蓋對機房的巡檢和對安全設備工作狀態(tài)、接口狀態(tài)和日志的檢查工作，各系統(tǒng)的工作存在一定的重復。采用網(wǎng)絡安全集中管控防護方案，可以配置單獨的網(wǎng)絡安全運維團隊[12]，大大節(jié)省運維人力，降低了運營管理成本。

4.3 提高運維效率

采用一體化的集中管控防護方案可以通過安全管理中心進行設備的統(tǒng)一配置和安全策略的統(tǒng)一下發(fā)，相比傳統(tǒng)方案大大提高了運維的效率。對比太原地鐵2號線和紹興地鐵1號線，一體化的集成防護方案使各系統(tǒng)網(wǎng)絡安全配置部署時間比傳統(tǒng)方案節(jié)省20%以上，如果多線多專業(yè)同時建設，時間節(jié)省的比例將更大。

5 結語

由于地鐵集團(公司)內(nèi)部組織結構設置問題，未成立獨立的網(wǎng)絡安全運營部門，大部分網(wǎng)絡安全設備一般納入各系統(tǒng)自行運維，一體化的集成管控防護方案僅在部分城市開展了試點。隨著各地對數(shù)據(jù)融合共享要求的提高，規(guī)范體系的不斷完善以及各地運維經(jīng)驗的充分積累，一體化的集成管控防護方案將成為未來發(fā)展的趨勢。在安全數(shù)據(jù)充分共享的情況下，充分利用各系統(tǒng)的數(shù)據(jù)進行協(xié)同管控，同時結合各系統(tǒng)的網(wǎng)絡數(shù)據(jù)、業(yè)務數(shù)據(jù)，實現(xiàn)對潛在威脅進行及時預警，對安全威脅進行預測，從被動防御逐步轉換為主動防御，形成完善的城市軌道交通網(wǎng)絡安全防護體系，有效地抵御各類安全威脅。