1 系統概述

城市軌道交通作為城市公共交通的重要組成部分，近年來(lái)在國內取得了巨大的發(fā)展，運營(yíng)里程不斷增長(cháng)。其中的綜合監控系統、信號系統、電力系統更是關(guān)鍵的信息基礎設施，是支撐城市軌道交通安全、穩定運行的基礎。然而，隨著(zhù)技術(shù)的進(jìn)步及數字化、智能化浪潮的推動(dòng)，城市軌道交通實(shí)現全自動(dòng)駕駛已成為一種趨勢，更是推動(dòng)了綜合監控與信號等系統的高度融合，形成了以行車(chē)指揮為核心的行車(chē)綜合自動(dòng)化系統（TIAS）。真正實(shí)現了在統一的信息平臺上對機、電、車(chē)的統一管控。

城市軌道交通TIAS的主要目的是要將分散的自動(dòng)化系統聯(lián)結為一個(gè)有機的整體，實(shí)現各專(zhuān)業(yè)系統之間的信息互通、資源共享，提高各系統間的協(xié)調配合能力及設備聯(lián)動(dòng)能力，提升線(xiàn)路的整體自動(dòng)化水平。最終實(shí)現以行車(chē)指揮為核心的綜合調度，應對各種突發(fā)事件，保障廣大乘客的安全出行。

然而，隨著(zhù)系統集成度的越來(lái)越深，以及“兩化融合”的進(jìn)一步推進(jìn)，TIAS系統面臨的安全威脅也越來(lái)越廣，城市軌道交通信息安全防護體系的建設已迫在眉睫。

2 需求分析

2.1　網(wǎng)絡(luò )安全需求

TIAS系統與外部接入系統互聯(lián)鏈路上無(wú)安全防護措施，易受到來(lái)自軌道交通其它系統（如自動(dòng)售票檢票系統AFC、乘客信息系統PIS、閉路電視監控系統CCTV等）未經(jīng)授權訪(fǎng)問(wèn)、未知流量攻擊、病毒木馬等安全風(fēng)險的入侵，從而影響TIAS的正常運行，引發(fā)行車(chē)安全事故。因此，需要配備必要的邊界防護類(lèi)設備，實(shí)現TIAS與互聯(lián)接入系統之間的邊界隔離防護。同時(shí)，還需對TIAS中的用戶(hù)操作行為、網(wǎng)絡(luò )流量進(jìn)行合規性監測與審計，及時(shí)發(fā)現安全問(wèn)題，保障TIAS的安全運行。

2.2　主機安全需求

TIAS中部署著(zhù)若干的服務(wù)器、操作員站等主機終端，運行著(zhù)TIAS相關(guān)服務(wù)數據與應用程序，其重要性不言而喻。然而主機終端存在的系統漏洞、應用軟件漏洞、弱口令、未經(jīng)授權訪(fǎng)問(wèn)及移動(dòng)存儲介質(zhì)濫用等安全隱患，直接影響著(zhù)主機終端的正常運行及TIAS系統的安全穩定。因此，需要加強對主機終端的安全防護。包括主機的脆弱性檢測、病毒防護、安全加固、外聯(lián)接口管控等，以此來(lái)提升主機終端的安全防護能力，保障主機終端的安全穩定運行。

2.3　應用安全需求

TIAS系統中的應用軟件存在如賬號密碼共享、配置管理不規范、無(wú)安全審計措施等諸多安全隱患。這些隱患一旦被不法分子利用，容易引發(fā)TIAS系統的安全問(wèn)題。因此，需要規范化管理，采用技術(shù)措施對系統的安全運維行為進(jìn)行必要的安全管控和審計，以此來(lái)規避安全風(fēng)險，提升應用軟件的安全防護能力。

2.4　數據安全需求

數據安全對于系統的正常運行起到至關(guān)重要的作用。然而，TIAS系統中的實(shí)時(shí)數據庫、歷史數據庫均存在諸多安全隱患，如數據庫非授權訪(fǎng)問(wèn)、SQL注入、數據泄露等。一旦數據被非法訪(fǎng)問(wèn)或遭受攻擊，造成數據丟失、數據篡改，將直接影響上層應用及整個(gè)系統的正常運行。因此，在數據安全方面，一方面需要在規劃建設時(shí)進(jìn)行數據的冗余備份設計，保護數據的安全性；另一方面需要采用數據合規性檢查、審計等技術(shù)手段，來(lái)保障數據訪(fǎng)問(wèn)層面的安全性。同時(shí)，加強安全管理措施的執行，全面提升數據安全防護能力。

3 方案設計

3.1　設計理念

根據《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》中的相關(guān)技術(shù)要求，對TIAS系統進(jìn)行安全防護體系設計。一方面，滿(mǎn)足國家信息安全等級保護三級建設的要求；另一方面，為T(mén)IAS系統安全運行提供必要的安全保障。

本方案安全防護體系的設計主要包括以下幾個(gè)方面：

第一，結合TIAS系統的業(yè)務(wù)特點(diǎn)及安全需求，在不改變系統網(wǎng)絡(luò )架構的情況下，視整個(gè)TIAS系統為一個(gè)整體來(lái)進(jìn)行安全防護。

第二，加強TIAS系統網(wǎng)絡(luò )邊界的安全策略配置，構建細粒度的邊界安全防護能力，保障系統不受外來(lái)風(fēng)險的入侵。

第三，強化TIAS系統中用戶(hù)操作行為的合規性審計，重點(diǎn)對異常流量、異常入侵行為、異常操作行為等進(jìn)行安全審計，提高系統網(wǎng)絡(luò )的行為監測與審計能力，為事后的追蹤溯源提供依據。

第四，加強工作站、服務(wù)器等主機終端的安全防護能力，包括主機的加固、外聯(lián)接口管控、服務(wù)進(jìn)程管控、主機防病毒等。提升主機終端的安全防護能力，增強主機終端的抗入侵能力。

第五，加強TIAS系統安全設備的集中管控能力。

3.2　安全防護體系設計

本方案安全防護體系的設計是從安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境、安全管理中心四個(gè)方面進(jìn)行的設計，構建了“一個(gè)中心，三重防護”的動(dòng)態(tài)縱深安全防護體系。

下文將按照等級保護三級的相關(guān)要求進(jìn)行安全防護體系的設計。

3.2.1　安全域劃分

在不改變原有系統網(wǎng)絡(luò )架構的情況下，將城市軌道交通TIAS系統劃分為控制中心、車(chē)站、車(chē)輛段三個(gè)大區。其中，控制中心區域又劃分為控制中心TIAS區、控制中心TIAS外聯(lián)系統區、軟件測試區以及DMS區（設備維修支持系統區）；車(chē)站區域又劃分為車(chē)站TIAS區、車(chē)站TIAS外聯(lián)系統區；車(chē)輛段區域又劃分為車(chē)輛段TIAS區、車(chē)輛段TIAS外聯(lián)系統區以及TMS區（培訓管理系統區）。

詳細的安全域劃分示意圖如圖1所示。

圖1 TIAS系統安全域劃分示意圖

3.2.2　安全通信網(wǎng)絡(luò )

城市軌道交通TIAS系統與外部互聯(lián)系統的安全防護，則是通過(guò)采用邊界安全防護設備來(lái)實(shí)現安全技術(shù)的隔離，并通過(guò)安全策略的配置以及協(xié)議的深度解析來(lái)實(shí)現系統間數據的安全傳輸及非授權訪(fǎng)問(wèn)行為的阻斷。

在城市軌道交通TIAS系統網(wǎng)絡(luò )架構中，將TIAS系統大致分為控制中心TIAS系統、車(chē)站TIAS系統以及車(chē)輛段TIAS系統三大類(lèi)。其中，控制中心TIAS系統是實(shí)現對各個(gè)車(chē)站、車(chē)輛段TIAS系統中數據的集中監控以及相應的備份存儲。并通過(guò)TIAS系統的功能要求實(shí)現對各車(chē)站TIAS系統的權限的控制。然而這種權限的控制只是簡(jiǎn)單的權限的下放以及權限的回收等，并不能有效阻止其它系統的非授權訪(fǎng)問(wèn)以及數據的傳輸。因此，需要在TIAS系統與其它互聯(lián)系統之間部署工控防火墻，通過(guò)配置相應的訪(fǎng)問(wèn)控制策略，建立白名單機制，對流經(jīng)防火墻的數據流量基于工業(yè)協(xié)議進(jìn)行深度的協(xié)議解析及指令級的內容檢查和過(guò)濾，從而有效地實(shí)現對TIAS系統網(wǎng)絡(luò )的非法訪(fǎng)問(wèn)、非法操作以及異常操作指令等的實(shí)時(shí)監測和防護。

3.2.3　安全區域邊界

（1）邊界隔離防護

邊界隔離防護技術(shù)主要是根據已合理劃分的安全域進(jìn)行安全防護，原則上在每個(gè)安全域邊界采取邊界隔離措施，配置不同安全域間的安全策略，明確不同安全域的網(wǎng)絡(luò )邊界，對非授權或越權跨越邊界的行為進(jìn)行阻斷并報警。

本方案TIAS系統邊界隔離防護采用的是工控防火墻來(lái)實(shí)現相應的功能。

（2）訪(fǎng)問(wèn)控制防護

在TIAS系統與其它系統邊界以及控制中心TIAS系統與軟件測試平臺邊界，通過(guò)部署工控防火墻設備，利用工控防火墻的深度包解析引擎和內容檢測技術(shù)，再結合訪(fǎng)問(wèn)控制白名單技術(shù)，實(shí)現對TIAS系統與外部互聯(lián)系統的細粒度訪(fǎng)問(wèn)控制防護，保障TIAS系統正常業(yè)務(wù)數據的通行，阻止異常業(yè)務(wù)流量的惡意訪(fǎng)問(wèn)。

（3）入侵防護

對于TIAS系統的入侵防護，則是通過(guò)旁路部署工控入侵檢測類(lèi)設備，依據設備內置的工控入侵規則庫，再結合業(yè)務(wù)系統的功能需求，制定符合應用場(chǎng)景的安全策略，實(shí)現對系統網(wǎng)絡(luò )中通信內容的行為匹配，可有效發(fā)現基于病毒、蠕蟲(chóng)、木馬、DDoS、異常行為、異常流量、惡意程序等內外部攻擊威脅，并進(jìn)行實(shí)時(shí)告警，幫助TIAS安全運維人員及時(shí)發(fā)現安全威脅，保障TIAS系統網(wǎng)絡(luò )的安全運行。

（4）安全審計防護

對于TIAS系統網(wǎng)絡(luò )安全的審計，是通過(guò)在TIAS系統核心交換機處旁路部署安全審計類(lèi)設備，以鏡像流量方式，對網(wǎng)絡(luò )區域內的操作行為、訪(fǎng)問(wèn)記錄進(jìn)行監測與審計，同時(shí)詳細記錄一切網(wǎng)絡(luò )通信行為，并基于工業(yè)協(xié)議對通信報文進(jìn)行深度解析，實(shí)時(shí)檢測針對工業(yè)協(xié)議的網(wǎng)絡(luò )攻擊、用戶(hù)誤操作、違規操作、非法設備接入以及蠕蟲(chóng)、病毒等惡意代碼的傳播并實(shí)時(shí)報警、審計記錄，為T(mén)IAS系統的事后的追蹤溯源提供依據。

3.2.4　安全計算環(huán)境

考慮到城市軌道交通TIAS系統的業(yè)務(wù)特點(diǎn)及主機終端的特殊性。對于TIAS系統主機終端的安全防護，白名單機制的工業(yè)主機衛士更加適合。畢竟TIAS系統運行的軟件、進(jìn)程、服務(wù)等都比較固定，而且也不存在與互聯(lián)網(wǎng)的連接。傳統的防病毒無(wú)法應對這種特殊應用場(chǎng)景，并且存在工業(yè)應用軟件中的進(jìn)程、服務(wù)等被防病毒軟件誤殺的可能性。因此，通過(guò)在TIAS系統主機終端上安裝基于“白名單”的主機安全防護軟件，以最小化原則配置相應的安全策略，以此來(lái)實(shí)現對TIAS系統主機終端的安全加固、服務(wù)進(jìn)程的安全管控、外聯(lián)接口的實(shí)時(shí)監控，保障TIAS系統主機終端的安全穩定運行，阻止其它一切惡意程序、病毒木馬，以及與系統運行無(wú)關(guān)應用程序的運行。

對于軟件測試平臺區域的主機終端的安全防護，則可以通過(guò)部署防病毒軟件來(lái)實(shí)現對相關(guān)主機、服務(wù)器等設備的安全防護。畢竟該區域需要與外部系統進(jìn)行連接，實(shí)現相關(guān)軟件的測試工作。因此，需要頻繁地進(jìn)行端口、進(jìn)程及服務(wù)的變更，不適合用基于白名單機制的工業(yè)主機衛士來(lái)實(shí)現。更適合用具有防病毒功能的終端威脅防御系統，基于終端殺毒及靜態(tài)特征匹配和動(dòng)態(tài)沙箱技術(shù)，實(shí)現主機終端的安全防護。同時(shí)系統還能實(shí)時(shí)監控每個(gè)服務(wù)器/工作站的運行狀態(tài)、攻擊日志、病毒狀態(tài)信息等，并可通過(guò)策略與標簽的配合來(lái)實(shí)現對移動(dòng)存儲介質(zhì)的管理以及外聯(lián)設備的監控，保障整個(gè)主機終端服務(wù)、進(jìn)程等的安全運行。

3.2.5　安全管理中心

本方案TIAS系統安全管理中心的建設，是通過(guò)在控制中心部署安全集中管理平臺、日志審計類(lèi)及運維安全審計類(lèi)設備來(lái)實(shí)現安全管理中心的建設。其中，安全集中管理平臺實(shí)現安全設備、安全事件、安全策略等的集中監控管理及策略的統一下發(fā)，可以為T(mén)IAS系統運維管理提供決策支持，提升安全事件響應速度與安全運維感知能力，增強整體安全防護水平。

日志審計類(lèi)設備采用主動(dòng)、被動(dòng)技術(shù)，實(shí)時(shí)采集安全設備、網(wǎng)絡(luò )設備、主機、操作系統、數據庫以及各類(lèi)業(yè)務(wù)系統等的海量日志信息數據，并對海量原始數據進(jìn)行高效存儲、整理與分析，實(shí)現對海量日志的集中管理。為管理員提供一個(gè)方便、高效、直觀(guān)的審計平臺，提高安全管理員的工作效率和質(zhì)量，更加有效地保障TIAS系統的安全運行。

運維安全審計類(lèi)設備實(shí)現對用戶(hù)、用戶(hù)角色、資源和用戶(hù)行為的集中授權、賬號的集中管理、身份的集中認證等，以達到對權限的細粒度控制，最大限度保護用戶(hù)資源的安全。并且能夠有效攔截非法訪(fǎng)問(wèn)和惡意攻擊，對不合法命令進(jìn)行阻斷，過(guò)濾掉所有對目標設備的非法訪(fǎng)問(wèn)行為，保障合法用戶(hù)的權益，支撐系統安全可靠地運行。

4 部署應用

城市軌道交通TIAS系統安全防護的部署應用如圖2所示。

圖2 TIAS系統安全防護部署示意圖

（1）邊界安全防護

通過(guò)在控制中心/車(chē)站/車(chē)輛段TIAS系統與其它系統邊界、控制中心TIAS系統與軟件測試平臺邊界以及TIAS系統與DMS系統邊界等處部署工控防火墻備，實(shí)現區域邊界的安全技術(shù)隔離，并基于工業(yè)協(xié)議深度解析技術(shù)結合白名單機制對訪(fǎng)問(wèn)內容進(jìn)行細粒度的控制，防止異常流量、異常操作及非授權訪(fǎng)問(wèn)行為的通過(guò)。

（2）網(wǎng)絡(luò )安全防護

通過(guò)在TIAS系統核心交換機處旁路部署工控審計類(lèi)設備或工控入侵檢測類(lèi)設備，基于工業(yè)協(xié)議的深度報文解析技術(shù)，對網(wǎng)絡(luò )中的數據流量進(jìn)行深度檢測、實(shí)時(shí)分析匹配，對數據變化及寫(xiě)操作行為進(jìn)行監測審計，及時(shí)發(fā)現來(lái)自?xún)韧獠烤W(wǎng)絡(luò )攻擊的行為，并發(fā)出報警?？苫诩泄芾砥脚_聯(lián)動(dòng)工控防火墻實(shí)現對攻擊的檢測與防御。

（3）主機安全防護

通過(guò)在TIAS系統工作站、服務(wù)器等主機終端上安裝工業(yè)主機衛士軟件或防病毒軟件來(lái)實(shí)現主機終端的安全防護，增強主機終端防病毒、木馬、惡意代碼等入侵的能力，保障TIAS系統主機終端的安全穩定運行。

（4）應用安全防護

通過(guò)在控制中心設備維修支持系統（DMS）區部署安全集中管理平臺類(lèi)、日志審計類(lèi)、運維安全審計類(lèi)等安全設備，來(lái)實(shí)現系統內安全設備的集中監控管理、策略的配置下發(fā)；安全設備、網(wǎng)絡(luò )設備、主機、操作系統、數據庫等各類(lèi)設備日志信息數據的采集、存儲、管理與分析；網(wǎng)絡(luò )設備、服務(wù)器等核心資產(chǎn)的常用訪(fǎng)問(wèn)方式的控制和審計；提升TIAS系統安全事件的響應速度、安全運維的感知能力，確保合法用戶(hù)安全、方便使用特定資源；有效保障合法用戶(hù)的權益，支撐系統安全可靠地運行；實(shí)現對用戶(hù)行為的控制、追蹤、判定；增強TIAS系統運維應用安全防護水平。

（5）數據安全防護

通過(guò)在控制中心旁路部署具有數據庫審計類(lèi)的安全設備來(lái)實(shí)現對用戶(hù)數據庫服務(wù)器的安全判斷、攻擊檢測等。能夠有效地對攻擊行為做出告警等處理，并且能夠通過(guò)審計記錄發(fā)現數據庫一些潛在的安全威脅，比如SQL注入、密碼猜解、執行操作系統級的命令等。同時(shí)通過(guò)內置的數據庫入侵檢測規則庫，能及時(shí)發(fā)現并阻止數據庫安全威脅，保證數據庫安全運行。

5 總結

TIAS系統進(jìn)一步將列車(chē)自動(dòng)監控系統（ATS）、綜合監控系統（ISCS）進(jìn)行了深度集成，實(shí)現了機、車(chē)、電的統一整合，為全自動(dòng)駕駛的發(fā)展提供了條件。然而，TIAS系統的信息安全問(wèn)題隨著(zhù)集成度的越來(lái)越深也將面臨嚴重的威脅。本方案的設計則從根本上保障了城市軌道交通TIAS系統的正常運行，有效支撐了整個(gè)城市軌道交通的安全、穩定運營(yíng)。

作者簡(jiǎn)介

陳鑫鑫（1990-），男，甘肅天水人，中級工程師，學(xué)士，現就職于北京天融信網(wǎng)絡(luò )安全技術(shù)有限公司，主要研究方向是城市軌道交通網(wǎng)絡(luò )安全、工業(yè)控制系統安全、工業(yè)互聯(lián)網(wǎng)安全、物聯(lián)網(wǎng)安全。

參考文獻：

[1] DB43/T 1310-2017. 城市軌道交通控制系統信息安全通用要求[S].

[2] GB/T 22239-2019. 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求[S].

[3] GB/T 25070-2019. 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求[S].

[4] 工信部信息技術(shù)發(fā)展司. 工業(yè)控制系統信息安全防護指南〔2016〕338號[Z].

[5] 張輝, 錢(qián)江. 基于全自動(dòng)駕駛的TIAS系統建設方案[J]. 鐵道通信信號, 2019, (03) : 79 - 81.

摘自《自動(dòng)化博覽》2022年1月刊暨《工業(yè)控制系統信息安全專(zhuān)刊（第八輯）》