城市轨道交通生产系统网络安全设计方案研究

熊栋宇 黄 魏

(1.中铁二院工程集团有限责任公司， 610031， 成都；2.浙江浙大中控信息技术有限公司， 310052， 杭州∥第一作者， 高级工程师)

1 城市轨道交通网络安全的现状分析

随着信息化、人工智能、移动支付、大数据、全自动运行等技术在城市轨道交通领域内的不断发展，弱电生产系统的信息资源共享与互通越来越多，接口关系越来越复杂，容易造成病毒入侵，对各弱电生产系统产生一定的威胁。一旦某个系统的信息安全出现漏洞，可能会对城市轨道交通的生产运行甚至国家安全造成很大的隐患。本文通过对城市轨道交通弱电生产系统中的乘客信息系统、信号系统、综合监控系统和自动售检票系统深入研究，发现城市轨道交通网络安全存在以下几个方面的隐患和风险。

1.1 边界风险

城市轨道交通生产网的业务系统多，系统间接口也多，系统内没有进行安全域划分。随着城市轨道交通业务信息化的发展，生产运营数据共享，势必要打通传统生产网络封闭的现状。若缺少相应的边界防护措施，则不能有效控制运营控制中心(OCC)、停车场段和车站之间的数据访问。一旦外部威胁进入，安全风险容易在城市轨道交通生产网全网内扩散。

以信号系统为例，其边界风险主要包括：

1) 与相关系统互联的风险。相关系统主要包括车辆、站台门、防淹门、通信(乘客信息、无线通信、广播、时钟)、综合监控的互联通信安全(如恶意代码、蠕虫病毒、非预期的数据指令、非授权的访问)等。

2) 区域边界保密性和完整性。如信号系统与综合监控系统采用标准Modbus协议进行通讯，采用明文传输方式容易造成信息被监听或完整性被破坏。

3) 互联风险。主要包括信号系统中OCC与线网指挥中心(TCC)等上层构架之间互联(以下简称“上联”)产生的边界安全风险，以及OCC与车站、场段等下层架构之间互联(以下简称“下联”)产生的边界安全风险。

4) 网络风险。信号系统环网可能存在广播风暴、病毒传播等情况，如蠕虫病毒堵塞网络的风险。

1.2 终端风险

城市轨道交通各生产系统在OCC、场段、车站内均部署有一定的服务器和操作工作站，通常在线路开通运营前没有关闭掉多余的系统服务，缺少对终端的安全管控和病毒防护措施，或在运营期间补丁修复不及时、漏洞隐患严重。

1) 病毒风险。指通过U盘、外部设备(如手持终端、高拍仪等)、电脑终端接入等操作带入的病毒风险。

2) 漏洞风险。指操作系统存在漏洞，可被网络病毒利用的风险。

3) 程序违规执行风险。指非预期的程序、进程的执行风险，如APT(定向威胁攻击)程序、数据窃取程序、勒索程序等。

1.3 综合风险

1) 系统运维风险。除了城市轨道交通线路运营单位内部的运维人员外，通常还包括第三方运维人员和系统供货商，容易产生操作风险，并存在敏感信息外泄风险，需要有效控制这些人员在运维时的登录认证、权限控制、操作审计等过程。目前，城市轨道交通系统的安全运维多呈被动状态，发生安全事件后存在追查缺少证据、缺少关联分析等问题，若要做到对安全事件的提前预警则难度更大。

2) 合法及合规风险。根据网络安全法，安全日志至少留存6个月。运营单位应定期开展风险评估、完善应急预案、进行应急演练，并依据信息安全技术网络安全等级保护(以下简称“等保”)2.0标准的要求[1-2]实施安全集中管控、新型威胁分析。

2 城市轨道交通网络安全的建设标准

根据等保2.0标准的相关要求，城市轨道交通的弱电生产系统网络应构建具备相应等级安全保护能力的网络安全综合纵深防御体系。城市轨道交通弱电生产系统应以分区、分域为基础，以突出重点、主动防御、综合防控为原则，建设“一个中心”管理下的“三重防护”网络安全技术防护体系[3]。其中：“一个中心”为安全管理中心，“三重防护”为安全通信网络、安全区域边界、安全计算环境。

根据城市轨道交通行业的相关规范[4-5]，考虑到各生产系统的重要性，弱电生产系统安全保护等级分类如表1所示。

表1 城市轨道交通各生产系统安全保护等级分类

3 城市轨道交通网络安全的系统设计方案

目前，城市轨道交通弱电系统各子系统机房的安全物理环境基本符合等保2.0标准的要求。本文重点讨论在“一个中心”管理下的“三重防护”体系框架下如何构建城市轨道交通弱电生产系统的安全技术体系。弱电生产的各子系统应把横向子系统划分为独立的安全域，对纵向子系统内的架构(TCC、OCC、车站、场段)做好安全分区，在满足安全功能项的同时保证每个子系统的各项功能均可正常、可靠运行。

3.1 网络安全防护方案

3.1.1 “一中心”的控制措施

为满足安全管理中心的控制项，需要在OCC各业务系统中设置等保业务专区，划分独立的VLAN(虚拟局域网)，并分别建设安全审计、集中管控的控制项。落实到具体的实际生产业务，可以归纳为两点：

1) 安全审计。为满足等保2.0标准，OCC需部署运维审计、日志审计和数据库审计。其中：运维审计的设备部署在管理平面上，用以实现和业务数据的隔离，对于重要的应用系统应统一通过运维审计接入平台进行访问，实现集中账号、授权、认证、访问控制等功能；日志审计和数据库审计重点对各安全设备、业务系统、网络设备、数据库服务器等进行操作记录、事件分析和安全审计，并设置独立的审计管理员，对分布在生产系统各个组成部分的安全审计机制进行集中管理。

2) 集中管控。为满足集中管控的控制项，OCC的集中管控可分为病毒防护、漏洞扫描、安全管理三个方面。其中：病毒防护和安全管理为安全保护等级二级的必配项，在安全保护等级三级通常会配置漏洞扫描设备。病毒防护可实现对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。漏洞扫描通过对主机漏洞、Web(广域网)漏洞、弱口令等方面的漏洞检测，可帮助用户及时发现系统风险并及时修复。安全管理可实现防火墙、探针、防病毒等安全设备的配置管理、访问控制、内容安全检查，以及设置匹配条件的管控，并可通过安全感知平台对生产系统进行信息安全的识别、报警和分析。

3.1.2 “三重防护”的控制措施

本文围绕弱电生产系统的安全通信网络、安全计算环境、安全区域边界三个主要防护类别，重点对其主要控制项的防护措施方案、通用安全产品进行深入分析，如表2所示。

表2 “三重防护”的主要控制措施

3.1.3 等级保护测评

等级保护测评由第三方专业测评机构进行综合安全测评，一般管理得分与技术得分近乎对半[3]。在没有高风险项的前提下，技术上若满足对应的主要控制项目标，可达到35～40分及以上的分数；同时在管理上，若有合理的管理制度和管理机构,专职的安全人员,配套的系统交付管理,完善的运维管理体制和应急预案及其配置变更管理，正常测评能达到40分以上的成绩。最终综合得分若达到75分，则满足等保的测评标准。

3.2 网络安全系统的设计方案

由于城市轨道交通各生产系统具有不同的业务特点和不同的保护等级，建议各系统应采用不同的安全设备配置方案。为了清晰地界定权责，基于系统自保的设计原则，推荐各系统在安全管理中心独立配置安全审计、集中管控的安全设备。从投资和安全管理角度，推荐各系统共建、共享安全态势感知平台的方案。根据上文列出的各重大控制项，本文制定了各系统满足等保要求的技术落地方案。

3.2.1 乘客信息系统

1) 在OCC设置安全管理中心，部署堡垒机、日志审计、病毒查杀系统和安全管理模块，同时与生产网其他系统共建共享一套安全态势平台。

2) 在OCC部署终端防病毒检测软件，OCC的交换机和服务器冗余配置。OCC交换机旁挂安全探针设备或入侵检测设备，接口边界部署下一代防火墙。OCC的纵向和横向边界部署下一代防火墙，做好区域边界隔离。

3) 在停车场段、各车站部署终端防病毒检测软件，网络交换机旁挂安全探针设备，接口边界侧部署下一代防火墙做边界隔离。车站级的乘客信息系统与综合监控系统间不必重复设置防火墙，可由综合监控配置一道防火墙，并统一策略管理。乘客信息系统的安全设计方案如图1所示。

注：AP——无线访问接入点。

3.2.2 信号系统

考虑到ATS(列车自动监控)、ATC(列车自动控制)系统的可靠性和稳定性要求，任何数据或传输上的错误都可能造成严重的生产事故，因此在车站和停车场段信号系统内部的网络防护主要以检测为主。特别是ATC系统，不考虑任何串接设备，以保障信号系统网络的稳定性。

1) 在OCC设置安全管理中心，部署堡垒机、日志审计、病毒查杀系统、安全管理模块，增配数据库审计、漏洞扫描、网络准入。同时，与生产网其他系统共建共享一套安全态势平台，满足安全保护等级三级要求。

2) 在OCC部署终端防病毒检测软件，中心交换机旁挂安全探针设备或入侵检测设备，系统间接口边界侧部署下一代防火墙。OCC的上联、下联部署防火墙做好区域边界隔离。

3) 在场段、各车站部署终端防病毒检测软件。ATS网络交换机旁挂安全探针设备，FEP(前端处理器)前面部署下一代防火墙。信号系统的安全设计方案如图2所示。

注：ATO——列车自动运行;BBU——基带处理单元。

3.2.3 综合监控系统

综合监控系统的典型特点是采用“三级控制、两级管理”架构，系统间接口多，因此网络安全设计上应加强系统内的纵向区域防护和系统间的横向区域防护。

1) 在OCC设置安全管理中心，在该中心满足安全保护等级二级的基础上，增配数据库审计、漏洞扫描设备。与生产网其他系统共建共享一套安全态势平台，该平台应满足安全保护等级三级的要求。

2) 在OCC部署终端防病毒检测软件，OCC交换机旁挂安全探针设备或入侵检测设备，系统间FEP前置机接口边界部署下一代防火墙。OCC系统内部署下一代防火墙做好区域边界隔离。

3) 在场段、各车站部署终端防病毒检测软件。网络交换机旁挂安全探针设备，横向系统间FEP前置机接口边界部署下一代防火墙，纵向系统内互联中心边界部署下一代防火墙,以做好区域边界隔离。综合监控系统的安全设计方案如图3所示。

3.2.4 自动售检票系统的实施方案

1) 在OCC设置安全管理中心，部署堡垒机、日志审计、数据库审计、病毒查杀、漏洞扫描和安全管理模块。共享弱电生产网其他系统或ACC(自动售检票清分中心)的安全态势平台，应满足车站和线路中心安全保护等级三级的要求。

2) 在OCC部署终端防病毒检测软件，OCC的交换机旁挂安全探针设备或入侵检测设备。OCC系统内部部署上联、下联防火墙,做好区域边界隔离。

3) 在车站部署终端防病毒检测软件。系统内网络交换机旁挂安全探针设备，上联中心边界旁挂防火墙,以做好区域边界隔离。自动售检票系统的安全设计方案如图4所示。

4 结语

本文结合最新的等保2.0标准，着重对城市轨道交通四个生产系统(乘客信息系统、信号系统、综合监控系统和自动售检票系统)中存在的信息安全隐患进行了深入剖析，阐述了网络安全综合纵深防护技术系统的防护方案，最后给出了各系统的网络安全落地设计方案。各地城市轨道交通生产系统的新技术和新方案在不断发展，其网络安全技术防护体系也应根据生产系统的特点和运维模式不断予以完善。此外，除了做好网络安全技术防护体系建设外，运营单位还应不断完善安全运维和安全管理制度，最终形成城市轨道交通的安全防护体系。

注：IMS——视频监视系统；ACS——门禁系统；PSD——站台门；FAS——火灾报警系统；BAS——环境与设备监控系统；

图4 自动售检票系统的网络安全设计方案