摘要：基于CBTC信號系統(tǒng)的業(yè)務模型，從網(wǎng)絡安全法、工控信息安全和網(wǎng)絡安全等級保護等國家相關法規(guī)、標準角度出發(fā)，分析了城市軌道交通信號系統(tǒng)的網(wǎng)絡安全防護現(xiàn)狀以及存在的安全隱患，提出了一種信號系統(tǒng)網(wǎng)絡安全防護方案，可全面防護信號系統(tǒng)的網(wǎng)絡安全。

　　關鍵詞：城市軌道交通；信號系統(tǒng)；網(wǎng)絡安全

　　1、概述

　　隨著城鎮(zhèn)化建設步伐的加快，城市軌道交通迎來新一輪建設高潮?；跓o線網(wǎng)絡通信的CBTC系統(tǒng)在可用性、可靠性等方面均能滿足當前城市軌道交通安全高效運營的需要，是實現(xiàn)軌道交通高安全、高速度和高密度的最佳技術之一。但隨著計算機和網(wǎng)絡技術的發(fā)展，特別是信息化與信號系統(tǒng)深度融合，CBTC系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與綜合監(jiān)控系統(tǒng)網(wǎng)絡、旅客信息系統(tǒng)、語音廣播等公共網(wǎng)絡連接，容易造成病毒、木馬等威脅向CBTC系統(tǒng)擴散，信號系統(tǒng)安全問題日益突出。一旦CBTC系統(tǒng)的信息安全出現(xiàn)漏洞，將對城市軌道交通的生產(chǎn)運行和國家安全造成重大隱患。

　　《中華人民共和國網(wǎng)絡安全法》中明確要求“國家實行網(wǎng)絡安全等級保護制度，網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行安全保護義務”；“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護?！?/p>

　　中央網(wǎng)絡安全和信息化領導小組辦公室（簡稱“中央網(wǎng)信辦”）發(fā)布了《國家網(wǎng)絡安全檢查操作指南》，并確定了關鍵信息基礎設施的定義和范圍。對于生產(chǎn)業(yè)務系統(tǒng)一旦發(fā)生安全事故，可能造成影響單個地市級行政區(qū)30%以上人口的工作、生活，可能影響10萬人用水、用電、用氣、用油、取暖或交通出行等，均屬于關鍵信息基礎設施，如圖1所示。城市軌道交通一旦發(fā)生安全事故，則可能會影響幾十萬人的交通出行，所以城市軌道交通屬于市政類關鍵信息基礎設施，需要在網(wǎng)絡安全等級保護的基礎上，實行重點保護。

　　圖1 關鍵信息基礎設施判定圖

　　城市軌道交通信號系統(tǒng)從系統(tǒng)規(guī)劃、設計、實施、上線、生產(chǎn)、運維到廢棄的整個漫長的生命周期中，各個階段都面臨著不同的網(wǎng)絡安全問題。要真正做到信號系統(tǒng)網(wǎng)絡安全，需要按照等級保護建設的思路作為最佳實踐，建立健全信號系統(tǒng)的信息安全管理制度和信息安全管理機構，完善信號信息安全管理體制；建立信號系統(tǒng)信息安全縱深防御技術體系，需要從網(wǎng)絡編輯到內(nèi)部流量、再到主機的全方位技術防護措施，從而保障城市軌道交通平穩(wěn)、安全、高效運行。

　　2、安全防護現(xiàn)狀及需求分析

　　2.1　安全現(xiàn)狀與隱患分析

　　目前，大部分已開通線路信號系統(tǒng)的安全防護措施嚴重缺失，無法有效防御攻擊者對信號系統(tǒng)發(fā)起的網(wǎng)絡攻擊?；趪液托袠I(yè)內(nèi)網(wǎng)絡安全標準，結合已開通線路網(wǎng)絡安全調(diào)研情況，分析了信號系統(tǒng)的網(wǎng)絡安全隱患如下：

　?。?1 ） 安全區(qū)域邊界問題

　　信號系統(tǒng)與綜合監(jiān)控系統(tǒng)、旅客信息系統(tǒng)、廣播系統(tǒng)、時鐘系統(tǒng)等多個外部系統(tǒng)互聯(lián)互通，缺乏訪問控制措施，不能對進出網(wǎng)絡的信息內(nèi)容進行過濾，不能實現(xiàn)對應用層協(xié)議命令級的控制，無法在網(wǎng)絡邊界處對惡意攻擊進行檢測和清除；缺少防止地址欺騙的技術手段。

　?。?2 ） 安全通信網(wǎng)絡方面

　　缺乏有效的安全審計功能，缺少對業(yè)務模型的異常分析，缺少流量的實時監(jiān)控和記錄，所以無法有效的檢測到網(wǎng)絡攻擊行為，也無法對攻擊源IP、攻擊類型等信息進行記錄，無法及時發(fā)現(xiàn)業(yè)務流程的異常操作，無法發(fā)現(xiàn)高級持續(xù)威脅、無法有效應對目標性強的攻擊。

　?。?3 ） 安全計算環(huán)境方面

　　缺少惡意代碼防護手段，采用傳統(tǒng)網(wǎng)絡防病毒軟件，對業(yè)務應用誤殺現(xiàn)象突出，影響業(yè)務系統(tǒng)穩(wěn)定運行，傳統(tǒng)防病毒軟件無法及時更新惡意代碼庫，無法識別新的惡意軟件，起不到完整的主機防護作用；USB接口濫用現(xiàn)象明顯，缺少技術手段對外設接口實施有效管控。

　?。?4 ） 安全管控方面

　　未建設統(tǒng)一的安全管控平臺，整體安全態(tài)勢無感知；各安全設備獨立運行，沒有形成縱深防御的安全合力。

　　2.2　安全防護要求

　　《城市軌道交通信號系統(tǒng)用戶需求書（范本）》第一部分通用技術要求和第二部分專用技術要求中分別對信號系統(tǒng)的網(wǎng)絡安全提出要求。信號系統(tǒng)應符合國家安全部門對信號信息系統(tǒng)等級（暫定3級）保護要求，能夠防范病毒入侵、黑客攻擊、對數(shù)據(jù)有審計功能等技術要求的能力。信號系統(tǒng)應接受并通過信息保護等級相適應的測試，并在正式運營前通過等級保護測評。參照《信息系統(tǒng)安全等級保護基本要求》中第三級的要求，進行差異分析和安全加固，保障信號系統(tǒng)能夠防范病毒入侵、黑客攻擊、對數(shù)據(jù)有審計功能等技術要求的能力。

　　3　方案設計

　　城市軌道交通信號系統(tǒng)等級保護建設方案將根據(jù)系統(tǒng)在不同階段的需求、業(yè)務特性及應用重點，采用評估、管理、技術和持續(xù)運維安全體系設計方法，幫助用戶構建一套覆蓋全面、重點突出、節(jié)約成本、持續(xù)運行的縱深安全防御體系。

　　3.1　技術防護方案

　　根據(jù)城市軌道交通信號系統(tǒng)與其他系統(tǒng)的數(shù)據(jù)流交互情況、系統(tǒng)內(nèi)部各子系統(tǒng)和模塊之間的數(shù)據(jù)流交換情況，結合“一個中心”管理下的“三重保護”體系框架進行設計，構建安全機制和策略，形成定級系統(tǒng)的安全保護環(huán)境。包括：安全區(qū)域邊界、安全通信網(wǎng)絡、安全計算環(huán)境和安全管理中心，設計信號系統(tǒng)的安全防護技術方案，如圖2所示。

　　圖2 信號系統(tǒng)網(wǎng)絡安全防護圖

　　3.1.1　安全區(qū)域邊界

　　城市軌道交通信號系統(tǒng)根據(jù)系統(tǒng)自身的網(wǎng)絡特點，各子系統(tǒng)結合比較緊密，同時城市軌道交通的《技術需求書》要求信號系統(tǒng)內(nèi)網(wǎng)與外網(wǎng)相互獨立，所以本方案將信號系統(tǒng)和外部互聯(lián)系統(tǒng)從結構上劃分為不同的安全域，將信號系統(tǒng)整體作為一個完整的安全域進行保護。

　　為滿足等級保護建設對訪問控制、邊界完整性檢查、入侵防范等基本安全要求，在信號系統(tǒng)與外部系統(tǒng)互聯(lián)處，通過部署工業(yè)防火墻來實現(xiàn)隔離與訪問控制，能夠根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、應用層協(xié)議、端口（對應請求的服務類型）等信息執(zhí)行訪問控制規(guī)則，允許信號系統(tǒng)和其他互聯(lián)系統(tǒng)正常業(yè)務數(shù)據(jù)穿過該平臺，禁止其他應用的連接請求，以保障信號系統(tǒng)的安全性。由于信號系統(tǒng)與外部系統(tǒng)互聯(lián)的網(wǎng)絡是冗余網(wǎng)絡，所以本方案在控制中心與互聯(lián)系統(tǒng)（旅客信息系統(tǒng)、綜合監(jiān)控系統(tǒng)、時鐘系統(tǒng)、廣播系統(tǒng)等）的網(wǎng)絡邊界位置冗余部署2臺工業(yè)防火墻產(chǎn)品。通過配置訪問控制策略，能夠根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、應用層協(xié)議、端口（對應請求的服務類型）、時間、用戶名等信息執(zhí)行訪問控制規(guī)則，允許信號系統(tǒng)和其他互聯(lián)系統(tǒng)正常業(yè)務數(shù)據(jù)穿過該網(wǎng)絡邊界，同時禁止其他與業(yè)務無關的訪問連接。

　　3.1.2　安全通信網(wǎng)絡

　　通信網(wǎng)絡的安全性是指由外部攻擊和內(nèi)部誤操作甚至惡意操作行為引起的安全問題，一般隱藏在正常的通信流量中、合法的操作行為中，所以通過對關鍵位置核心流量的實時監(jiān)控，可實現(xiàn)對異常流量和操作的及時告警和記錄。

　　為滿足等級保護建設對網(wǎng)絡安全的安全審計、入侵防范等基本安全要求，根據(jù)信號系統(tǒng)業(yè)務特點，本方案需要在控制中心核心交換機、設備集中站接入交換機、停車場接入交換機、車輛段接入交換機、維修中心接入交流旁路部署監(jiān)測審計平臺，分別接收來自安全網(wǎng)（冗余）、非安全（冗余）和管理網(wǎng)的鏡像流量數(shù)據(jù)，并分析網(wǎng)絡內(nèi)是否存在異常流量、操作等行為，同時基于網(wǎng)絡流量、協(xié)議和應用進行全方位的審計記錄，以便發(fā)生安全事件后能夠快速對事件進行分析溯源。

　　3.1.3　安全計算環(huán)境

　　城市軌道交通信號系統(tǒng)的計算任務執(zhí)行主要是工作站、服務器和控制器，這些工作站和服務器直接參與列車運行調(diào)度命令的下發(fā)、運行圖的繪制存儲、列車運行狀態(tài)數(shù)據(jù)存儲等業(yè)務過程。所以需要通過多種加固措施提升主機自身的安全能力，從而提升信號系統(tǒng)整體安全能力，達到立體防御的安全防護目標。

　　為滿足等級保護建設對主機的惡意代碼防范、入侵防范等基本安全要求，在信號系統(tǒng)中各工作站和服務器上，安裝主機安全防護系統(tǒng)軟件，通過進程白名單的方式從根本上扼制惡意代碼的運行。在控制中心、設備集中站、非設備集中站、車輛段、停車場等處的工作站和服務器分別安裝主機安全防護系統(tǒng)軟件。通過安全策略配置，主機只能運行與列車運行控制相關的軟件應用程序（例如計算機聯(lián)鎖的表示軟件），其他與列車運行無關的軟件或應用程序需要禁止安裝，以防止無關程序的漏洞或誤操作而影響業(yè)務程序的運行，所以主機安全防護系統(tǒng)能夠智能識別軟件的安裝與升級，并以白名單方式避免非法軟件安裝。主機安全防護系統(tǒng)在進程啟動之前進行安全性檢查以保證運行進程的合法性和完整性，同時對系統(tǒng)做深入的分析，感知針對操作系統(tǒng)漏洞進行的惡意代碼執(zhí)行過程，發(fā)現(xiàn)隱藏的進程，保護系統(tǒng)的完整性。

　　3.1.4　安全管控中心

　　信號系統(tǒng)的安全防護設計，從網(wǎng)絡邊界安全、主機安全、入侵行為安全等不同維度部署了相應的防護設備和軟件進行縱深防御，那么多種技術類型的防護設備和軟件需要一個統(tǒng)一指揮的平臺，才能形成安全防護的合力，構成縱深防護的整體，以達到協(xié)同聯(lián)動抵御針對網(wǎng)絡攻擊的目的。

　　為滿足等級保護建設對監(jiān)控管理和安全管理中心的基本安全要求，本方案在控制中心維護網(wǎng)交換機上旁路部署安全管理平臺，其他監(jiān)測審計平臺和工業(yè)防火墻的管理口就近接入維護網(wǎng)中，這樣方便運營方對信號系統(tǒng)部署的所有的安全防護設備進行統(tǒng)一管理和維護，以及提高全面的安全態(tài)勢感知能力。控制中心維護網(wǎng)交換機旁路部署統(tǒng)一安全管理平臺。

　　部署統(tǒng)一安全管理平臺，可以實現(xiàn)對各車站和控制中心的安全防護設備和軟件進行集中管理，提供統(tǒng)一的策略配置接口，總覽各設備和軟件的運行狀態(tài)、事件記錄和威脅日志等關鍵信息。各安全防護設備和軟件由集中管理裝置統(tǒng)一控制、配置和管理，統(tǒng)一部署安全策略，并監(jiān)測信號系統(tǒng)網(wǎng)絡的通信流量與安全事件，對信號系統(tǒng)網(wǎng)絡內(nèi)的安全威脅進行分析，消除安全孤島，從整體視角進行安全事件分析、安全攻擊溯源等，重點解決安全防護設備各自運維而導致的信息不暢和事件處置效率低下等問題。

　　3.2　安全管理方案

　　為滿足等級保護建設對信號系統(tǒng)安全管理的基本安全要求，本方案通過等保安全咨詢服務實現(xiàn)安全管理方案的建設。結合城市軌道交通信號系統(tǒng)的業(yè)務流程，從安全管理制度、安全管理機構、安全人員管理、安全意識培訓等方面進行全面梳理，并設置相應的組織架構、人員職責、管理制度、培訓機制等管理方案，以保障信號系統(tǒng)能夠長時間持續(xù)的安全穩(wěn)定運行。

　　3.2.1　安全管理制度

　　根據(jù)安全管理制度的基本要求制定各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理規(guī)定、管理辦法和實施辦法，是具有可操作性，且必須得到有效推行和實施的制度。

　　制定嚴格的制度與發(fā)布流程、方式、范圍等，制度需要統(tǒng)一格式并進行有效版本控制；發(fā)布方式需要正式、有效并注明發(fā)布范圍，對收發(fā)文進行登記。信息安全領導小組負責定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定，定期或不定期對安全管理制度進行評審和修訂，修訂不足及進行改進。

　　3.2.2　安全組織架構

　　根據(jù)基本要求設置安全管理機構的組織形式和運作方式，明確崗位職責；設置安全管理崗位，設立系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等崗位，根據(jù)要求進行人員配備，配備專職安全員；成立指導和管理信息安全工作的委員會或領導小組，其最高領導由單位主管領導委任或授權；制定文件明確安全管理機構各個部門和崗位的職責、分工和技能要求。建立授權與審批制度；建立內(nèi)外部溝通合作渠道；定期進行全面安全檢查，特別是系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等。

　　3.2.3　人員安全管理

　　根據(jù)基本要求制定人員錄用，離崗、考核、培訓幾個方面的規(guī)定，并嚴格執(zhí)行；規(guī)定外部人員訪問流程，并嚴格執(zhí)行。

　　3.2.4　系統(tǒng)建設管理

　　根據(jù)基本要求制定系統(tǒng)建設管理制度，包括：系統(tǒng)定級、安全方案設計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、安全評測、安全服務商選擇等方面。從工程實施的前、中、后三個方面，從初始定級設計到驗收評測完整的工程周期角度進行系統(tǒng)建設管理。

　　3.2.5　系統(tǒng)運維管理

　　根據(jù)基本要求進行信息系統(tǒng)日常運行維護管理，利用管理制度以及安全管理中心進行，包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理等，使系統(tǒng)始終處于安全狀態(tài)中。

　　4、總結

　?。?1 ） 完善的安全建設方案

　　本方案基于軌道交通各專業(yè)的業(yè)務流程進行設計，以保障業(yè)務安全為目標，將網(wǎng)絡安全產(chǎn)品以對業(yè)務最小影響方式融入既有業(yè)務系統(tǒng)網(wǎng)絡，例如，串接到網(wǎng)絡中的工業(yè)防火墻部署在各系統(tǒng)網(wǎng)絡外部邊界，同時具備Bypass功能，以保障故障情況下的業(yè)務可用性。主機安全防護系統(tǒng)軟件通過白名單技術，徹底解決工控主機不能安裝殺毒軟件的問題或者病毒庫升級后影響程序運行的問題，保障了軟件的兼容性和對業(yè)務系統(tǒng)的無影響性。

　?。?2 ） 安全合規(guī)的防護體系建設

　　城市軌道交通作為市政體系的關鍵信息基礎設施，需要符合《網(wǎng)絡安全法》中的信息安全等級保護制度要求，同時城市軌道交通由多個重要的工業(yè)控制系統(tǒng)組成，需要符合《工業(yè)控制系統(tǒng)安全防護指南》要求，所以本方案深度融合法規(guī)標準進行設計，結合等保評估、等保咨詢、運維實施等持續(xù)的安全服務，協(xié)助軌道交通建設和運營單位規(guī)避法律風險。

　?。?3 ） 領先的縱深防御技術方案

　　本方案以縱深防御理念為核心，在充分了解信號系統(tǒng)的網(wǎng)絡結構和安全現(xiàn)狀的基礎上，構建了從區(qū)域邊界隔離、通信流量監(jiān)測、主機終端防護到統(tǒng)一安全管控一體的縱深防御技術體系，針對攻擊鏈條的各個階段采取有效的防護措施，切實保護業(yè)務系統(tǒng)遠離復雜多樣的網(wǎng)絡攻擊手段，保障城市軌道交通信號系統(tǒng)安全穩(wěn)定運行。

　　（ 4 ） 可靠的工業(yè)級安全產(chǎn)品

　　城市軌道交通各業(yè)務系統(tǒng)的現(xiàn)場工作環(huán)境惡劣，大部分設備部署在地下機房、軌旁等位置，EMC干擾嚴重、溫濕度環(huán)境苛刻、振動沖擊環(huán)境惡劣，本方案所選用的網(wǎng)絡安全產(chǎn)品具備工業(yè)級品質(zhì)，關鍵網(wǎng)絡安全設備采用低功耗無風扇設計，滿足城市軌道交通相關標準要求并通過測試，穩(wěn)定可靠、堅固耐用。