摘要：基于CBTC信號系統的業(yè)務(wù)模型，從網(wǎng)絡(luò )安全法、工控信息安全和網(wǎng)絡(luò )安全等級保護等國家相關(guān)法規、標準角度出發(fā)，分析了城市軌道交通信號系統的網(wǎng)絡(luò )安全防護現狀以及存在的安全隱患，提出了一種信號系統網(wǎng)絡(luò )安全防護方案，可全面防護信號系統的網(wǎng)絡(luò )安全。

關(guān)鍵詞：城市軌道交通；信號系統；網(wǎng)絡(luò )安全

Abstract: From the perspective of relevant laws, regulations andthe national standards related to network security，industrial control security and network security protection, this paper analyzes the current network security status and hidden risks ofurban rail based on CBTC system. Furthermore，a scheme forthe protection of signal system network security is proposed， which can achieve the goal of comprehensive protection.

Key words: Urban rail transit；Signal system；Network security

1　概述

隨著(zhù)城鎮化建設步伐的加快，城市軌道交通迎來(lái)新一輪建設高潮?；跓o(wú)線(xiàn)網(wǎng)絡(luò )通信的CBTC系統在可用性、可靠性等方面均能滿(mǎn)足當前城市軌道交通安全高效運營(yíng)的需要，是實(shí)現軌道交通高安全、高速度和高密度的最佳技術(shù)之一。但隨著(zhù)計算機和網(wǎng)絡(luò )技術(shù)的發(fā)展，特別是信息化與信號系統深度融合，CBTC系統產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與綜合監控系統網(wǎng)絡(luò )、旅客信息系統、語(yǔ)音廣播等公共網(wǎng)絡(luò )連接，容易造成病毒、木馬等威脅向CBTC系統擴散，信號系統安全問(wèn)題日益突出。一旦CBTC系統的信息安全出現漏洞，將對城市軌道交通的生產(chǎn)運行和國家安全造成重大隱患。

《中華人民共和國網(wǎng)絡(luò )安全法》中明確要求“國家實(shí)行網(wǎng)絡(luò )安全等級保護制度，網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行安全保護義務(wù)”；“國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能?chē)乐匚：野踩?、國計民生、公共利益的關(guān)鍵信息基礎設施，在網(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護?！?

中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組辦公室（簡(jiǎn)稱(chēng)“中央網(wǎng)信辦”）發(fā)布了《國家網(wǎng)絡(luò )安全檢查操作指南》，并確定了關(guān)鍵信息基礎設施的定義和范圍。對于生產(chǎn)業(yè)務(wù)系統一旦發(fā)生安全事故，可能造成影響單個(gè)地市級行政區30%以上人口的工作、生活，可能影響10萬(wàn)人用水、用電、用氣、用油、取暖或交通出行等，均屬于關(guān)鍵信息基礎設施，如圖1所示。城市軌道交通一旦發(fā)生安全事故，則可能會(huì )影響幾十萬(wàn)人的交通出行，所以城市軌道交通屬于市政類(lèi)關(guān)鍵信息基礎設施，需要在網(wǎng)絡(luò )安全等級保護的基礎上，實(shí)行重點(diǎn)保護。

圖1 關(guān)鍵信息基礎設施判定圖

市政 水、暖、氣供應管理城市軌道交通污水處理智慧城市運行及管控城市軌道交通信號系統從系統規劃、設計、實(shí)施、上線(xiàn)、生產(chǎn)、運維到廢棄的整個(gè)漫長(cháng)的生命周期中，各個(gè)階段都面臨著(zhù)不同的網(wǎng)絡(luò )安全問(wèn)題。要真正做到信號系統網(wǎng)絡(luò )安全，需要按照等級保護建設的思路作為最佳實(shí)踐，建立健全信號系統的信息安全管理制度和信息安全管理機構，完善信號信息安全管理體制；建立信號系統信息安全縱深防御技術(shù)體系，需要從網(wǎng)絡(luò )編輯到內部流量、再到主機的全方位技術(shù)防護措施，從而保障城市軌道交通平穩、安全、高效運行。

2　安全防護現狀及需求分析

2.1　安全現狀與隱患分析

目前，大部分已開(kāi)通線(xiàn)路信號系統的安全防護措施嚴重缺失，無(wú)法有效防御攻擊者對信號系統發(fā)起的網(wǎng)絡(luò )攻擊?；趪液托袠I(yè)內網(wǎng)絡(luò )安全標準，結合已開(kāi)通線(xiàn)路網(wǎng)絡(luò )安全調研情況，分析了信號系統的網(wǎng)絡(luò )安全隱患如下：

（1）安全區域邊界問(wèn)題

信號系統與綜合監控系統、旅客信息系統、廣播系統、時(shí)鐘系統等多個(gè)外部系統互聯(lián)互通，缺乏訪(fǎng)問(wèn)控制措施，不能對進(jìn)出網(wǎng)絡(luò )的信息內容進(jìn)行過(guò)濾，不能實(shí)現對應用層協(xié)議命令級的控制，無(wú)法在網(wǎng)絡(luò )邊界處對惡意攻擊進(jìn)行檢測和清除；缺少防止地址欺騙的技術(shù)手段。

（2）安全通信網(wǎng)絡(luò )方面

缺乏有效的安全審計功能，缺少對業(yè)務(wù)模型的異常分析，缺少流量的實(shí)時(shí)監控和記錄，所以無(wú)法有效的檢測到網(wǎng)絡(luò )攻擊行為，也無(wú)法對攻擊源IP、攻擊類(lèi)型等信息進(jìn)行記錄，無(wú)法及時(shí)發(fā)現業(yè)務(wù)流程的異常操作，無(wú)法發(fā)現高級持續威脅、無(wú)法有效應對目標性強的攻擊。

（3）安全計算環(huán)境方面

缺少惡意代碼防護手段，采用傳統網(wǎng)絡(luò )防病毒軟件，對業(yè)務(wù)應用誤殺現象突出，影響業(yè)務(wù)系統穩定運行，傳統防病毒軟件無(wú)法及時(shí)更新惡意代碼庫，無(wú)法識別新的惡意軟件，起不到完整的主機防護作用；USB接口濫用現象明顯，缺少技術(shù)手段對外設接口實(shí)施有效管控。

（4）安全管控方面

未建設統一的安全管控平臺，整體安全態(tài)勢無(wú)感知；各安全設備獨立運行，沒(méi)有形成縱深防御的安全合力。

2.2　安全防護要求

《城市軌道交通信號系統用戶(hù)需求書(shū)（范本）》第一部分通用技術(shù)要求和第二部分專(zhuān)用技術(shù)要求中分別對信號系統的網(wǎng)絡(luò )安全提出要求。信號系統應符合國家安全部門(mén)對信號信息系統等級（暫定3級）保護要求，能夠防范病毒入侵、黑客攻擊、對數據有審計功能等技術(shù)要求的能力。信號系統應接受并通過(guò)信息保護等級相適應的測試，并在正式運營(yíng)前通過(guò)等級保護測評。參照《信息系統安全等級保護基本要求》中第三級的要求，進(jìn)行差異分析和安全加固，保障信號系統能夠防范病毒入侵、黑客攻擊、對數據有審計功能等技術(shù)要求的能力。

3　方案設計

城市軌道交通信號系統等級保護建設方案將根據系統在不同階段的需求、業(yè)務(wù)特性及應用重點(diǎn)，采用評估、管理、技術(shù)和持續運維安全體系設計方法，幫助用戶(hù)構建一套覆蓋全面、重點(diǎn)突出、節約成本、持續運行的縱深安全防御體系。

3.1　技術(shù)防護方案

根據城市軌道交通信號系統與其他系統的數據流交互情況、系統內部各子系統和模塊之間的數據流交換情況，結合“一個(gè)中心”管理下的“三重保護”體系框架進(jìn)行設計，構建安全機制和策略，形成定級系統的安全保護環(huán)境。包括：安全區域邊界、安全通信網(wǎng)絡(luò )、安全計算環(huán)境和安全管理中心，設計信號系統的安全防護技術(shù)方案，如圖2所示。

圖2 信號系統網(wǎng)絡(luò )安全防護圖

3.1.1　安全區域邊界

城市軌道交通信號系統根據系統自身的網(wǎng)絡(luò )特點(diǎn)，各子系統結合比較緊密，同時(shí)城市軌道交通的《技術(shù)需求書(shū)》要求信號系統內網(wǎng)與外網(wǎng)相互獨立，所以本方案將信號系統和外部互聯(lián)系統從結構上劃分為不同的安全域，將信號系統整體作為一個(gè)完整的安全域進(jìn)行保護。

為滿(mǎn)足等級保護建設對訪(fǎng)問(wèn)控制、邊界完整性檢查、入侵防范等基本安全要求，在信號系統與外部系統互聯(lián)處，通過(guò)部署工業(yè)防火墻來(lái)實(shí)現隔離與訪(fǎng)問(wèn)控制，能夠根據數據包的源地址、目的地址、傳輸層協(xié)議、應用層協(xié)議、端口（對應請求的服務(wù)類(lèi)型）等信息執行訪(fǎng)問(wèn)控制規則，允許信號系統和其他互聯(lián)系統正常業(yè)務(wù)數據穿過(guò)該平臺，禁止其他應用的連接請求，以保障信號系統的安全性。由于信號系統與外部系統互聯(lián)的網(wǎng)絡(luò )是冗余網(wǎng)絡(luò )，所以本方案在控制中心與互聯(lián)系統（旅客信息系統、綜合監控系統、時(shí)鐘系統、廣播系統等）的網(wǎng)絡(luò )邊界位置冗余部署2臺工業(yè)防火墻產(chǎn)品。通過(guò)配置訪(fǎng)問(wèn)控制策略，能夠根據數據包的源地址、目的地址、傳輸層協(xié)議、應用層協(xié)議、端口（對應請求的服務(wù)類(lèi)型）、時(shí)間、用戶(hù)名等信息執行訪(fǎng)問(wèn)控制規則，允許信號系統和其他互聯(lián)系統正常業(yè)務(wù)數據穿過(guò)該網(wǎng)絡(luò )邊界，同時(shí)禁止其他與業(yè)務(wù)無(wú)關(guān)的訪(fǎng)問(wèn)連接。

3.1.2　安全通信網(wǎng)絡(luò )

通信網(wǎng)絡(luò )的安全性是指由外部攻擊和內部誤操作甚至惡意操作行為引起的安全問(wèn)題，一般隱藏在正常的通信流量中、合法的操作行為中，所以通過(guò)對關(guān)鍵位置核心流量的實(shí)時(shí)監控，可實(shí)現對異常流量和操作的及時(shí)告警和記錄。

為滿(mǎn)足等級保護建設對網(wǎng)絡(luò )安全的安全審計、入侵防范等基本安全要求，根據信號系統業(yè)務(wù)特點(diǎn)，本方案需要在控制中心核心交換機、設備集中站接入交換機、停車(chē)場(chǎng)接入交換機、車(chē)輛段接入交換機、維修中心接入交流旁路部署監測審計平臺，分別接收來(lái)自安全網(wǎng)（冗余）、非安全（冗余）和管理網(wǎng)的鏡像流量數據，并分析網(wǎng)絡(luò )內是否存在異常流量、操作等行為，同時(shí)基于網(wǎng)絡(luò )流量、協(xié)議和應用進(jìn)行全方位的審計記錄，以便發(fā)生安全事件后能夠快速對事件進(jìn)行分析溯源。

3.1.3　安全計算環(huán)境

城市軌道交通信號系統的計算任務(wù)執行主要是工作站、服務(wù)器和控制器，這些工作站和服務(wù)器直接參與列車(chē)運行調度命令的下發(fā)、運行圖的繪制存儲、列車(chē)運行狀態(tài)數據存儲等業(yè)務(wù)過(guò)程。所以需要通過(guò)多種加固措施提升主機自身的安全能力，從而提升信號系統整體安全能力，達到立體防御的安全防護目標。

為滿(mǎn)足等級保護建設對主機的惡意代碼防范、入侵防范等基本安全要求，在信號系統中各工作站和服務(wù)器上，安裝主機安全防護系統軟件，通過(guò)進(jìn)程白名單的方式從根本上扼制惡意代碼的運行。在控制中心、設備集中站、非設備集中站、車(chē)輛段、停車(chē)場(chǎng)等處的工作站和服務(wù)器分別安裝主機安全防護系統軟件。通過(guò)安全策略配置，主機只能運行與列車(chē)運行控制相關(guān)的軟件應用程序（例如計算機聯(lián)鎖的表示軟件），其他與列車(chē)運行無(wú)關(guān)的軟件或應用程序需要禁止安裝，以防止無(wú)關(guān)程序的漏洞或誤操作而影響業(yè)務(wù)程序的運行，所以主機安全防護系統能夠智能識別軟件的安裝與升級，并以白名單方式避免非法軟件安裝。主機安全防護系統在進(jìn)程啟動(dòng)之前進(jìn)行安全性檢查以保證運行進(jìn)程的合法性和完整性，同時(shí)對系統做深入的分析，感知針對操作系統漏洞進(jìn)行的惡意代碼執行過(guò)程，發(fā)現隱藏的進(jìn)程，保護系統的完整性。

3.1.4　安全管控中心

信號系統的安全防護設計，從網(wǎng)絡(luò )邊界安全、主機安全、入侵行為安全等不同維度部署了相應的防護設備和軟件進(jìn)行縱深防御，那么多種技術(shù)類(lèi)型的防護設備和軟件需要一個(gè)統一指揮的平臺，才能形成安全防護的合力，構成縱深防護的整體，以達到協(xié)同聯(lián)動(dòng)抵御針對網(wǎng)絡(luò )攻擊的目的。

為滿(mǎn)足等級保護建設對監控管理和安全管理中心的基本安全要求，本方案在控制中心維護網(wǎng)交換機上旁路部署安全管理平臺，其他監測審計平臺和工業(yè)防火墻的管理口就近接入維護網(wǎng)中，這樣方便運營(yíng)方對信號系統部署的所有的安全防護設備進(jìn)行統一管理和維護，以及提高全面的安全態(tài)勢感知能力?？刂浦行木S護網(wǎng)交換機旁路部署統一安全管理平臺。

部署統一安全管理平臺，可以實(shí)現對各車(chē)站和控制中心的安全防護設備和軟件進(jìn)行集中管理，提供統一的策略配置接口，總覽各設備和軟件的運行狀態(tài)、事件記錄和威脅日志等關(guān)鍵信息。各安全防護設備和軟件由集中管理裝置統一控制、配置和管理，統一部署安全策略，并監測信號系統網(wǎng)絡(luò )的通信流量與安全事件，對信號系統網(wǎng)絡(luò )內的安全威脅進(jìn)行分析，消除安全孤島，從整體視角進(jìn)行安全事件分析、安全攻擊溯源等，重點(diǎn)解決安全防護設備各自運維而導致的信息不暢和事件處置效率低下等問(wèn)題。

3.2　安全管理方案

為滿(mǎn)足等級保護建設對信號系統安全管理的基本安全要求，本方案通過(guò)等保安全咨詢(xún)服務(wù)實(shí)現安全管理方案的建設。結合城市軌道交通信號系統的業(yè)務(wù)流程，從安全管理制度、安全管理機構、安全人員管理、安全意識培訓等方面進(jìn)行全面梳理，并設置相應的組織架構、人員職責、管理制度、培訓機制等管理方案，以保障信號系統能夠長(cháng)時(shí)間持續的安全穩定運行。

3.2.1　安全管理制度

根據安全管理制度的基本要求制定各類(lèi)管理規定、管理辦法和暫行規定。從安全策略主文檔中規定的安全各個(gè)方面所應遵守的原則方法和指導性策略引出的具體管理規定、管理辦法和實(shí)施辦法，是具有可操作性，且必須得到有效推行和實(shí)施的制度。

制定嚴格的制度與發(fā)布流程、方式、范圍等，制度需要統一格式并進(jìn)行有效版本控制；發(fā)布方式需要正式、有效并注明發(fā)布范圍，對收發(fā)文進(jìn)行登記。信息安全領(lǐng)導小組負責定期組織相關(guān)部門(mén)和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定，定期或不定期對安全管理制度進(jìn)行評審和修訂，修訂不足及進(jìn)行改進(jìn)。

3.2.2　安全組織架構

根據基本要求設置安全管理機構的組織形式和運作方式，明確崗位職責；設置安全管理崗位，設立系統管理員、網(wǎng)絡(luò )管理員、安全管理員等崗位，根據要求進(jìn)行人員配備，配備專(zhuān)職安全員；成立指導和管理信息安全工作的委員會(huì )或領(lǐng)導小組，其最高領(lǐng)導由單位主管領(lǐng)導委任或授權；制定文件明確安全管理機構各個(gè)部門(mén)和崗位的職責、分工和技能要求。建立授權與審批制度； 建立內外部溝通合作渠道；定期進(jìn)行全面安全檢查，特別是系統日常運行、系統漏洞和數據備份等。

3.2.3　人員安全管理根據基本要求制定人員錄用，離崗、考核、培訓幾個(gè)方面的規定，并嚴格執行；規定外部人員訪(fǎng)問(wèn)流程，并嚴格執行。

3.2.4　系統建設管理

根據基本要求制定系統建設管理制度，包括：系統定級、安全方案設計、產(chǎn)品采購和使用、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測試驗收、系統交付、系統備案、安全評測、安全服務(wù)商選擇等方面。從工程實(shí)施的前、中、后三個(gè)方面，從初始定級設計到驗收評測完整的工程周期角度進(jìn)行系統建設管理。

3.2.5　系統運維管理

根據基本要求進(jìn)行信息系統日常運行維護管理，利用管理制度以及安全管理中心進(jìn)行，包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設備管理、監控管理和安全管理中心、網(wǎng)絡(luò )安全管理、系統安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理等，使系統始終處于安全狀態(tài)中。

4　總結

（1）完善的安全建設方案

本方案基于軌道交通各專(zhuān)業(yè)的業(yè)務(wù)流程進(jìn)行設計，以保障業(yè)務(wù)安全為目標，將網(wǎng)絡(luò )安全產(chǎn)品以對業(yè)務(wù)最小影響方式融入既有業(yè)務(wù)系統網(wǎng)絡(luò )，例如，串接到網(wǎng)絡(luò )中的工業(yè)防火墻部署在各系統網(wǎng)絡(luò )外部邊界，同時(shí)具備Bypass功能，以保障故障情況下的業(yè)務(wù)可用性。主機安全防護系統軟件通過(guò)白名單技術(shù)，徹底解決工控主機不能安裝殺毒軟件的問(wèn)題或者病毒庫升級后影響程序運行的問(wèn)題，保障了軟件的兼容性和對業(yè)務(wù)系統的無(wú)影響性。

（2）安全合規的防護體系建設

城市軌道交通作為市政體系的關(guān)鍵信息基礎設施，需要符合《網(wǎng)絡(luò )安全法》中的信息安全等級保護制度要求，同時(shí)城市軌道交通由多個(gè)重要的工業(yè)控制系統組成，需要符合《工業(yè)控制系統安全防護指南》要求，所以本方案深度融合法規標準進(jìn)行設計，結合等保評估、等保咨詢(xún)、運維實(shí)施等持續的安全服務(wù)，協(xié)助軌道交通建設和運營(yíng)單位規避法律風(fēng)險。

（3）領(lǐng)先的縱深防御技術(shù)方案

本方案以縱深防御理念為核心，在充分了解信號系統的網(wǎng)絡(luò )結構和安全現狀的基礎上，構建了從區域邊界隔離、通信流量監測、主機終端防護到統一安全管控一體的縱深防御技術(shù)體系，針對攻擊鏈條的各個(gè)階段采取有效的防護措施，切實(shí)保護業(yè)務(wù)系統遠離復雜多樣的網(wǎng)絡(luò )攻擊手段，保障城市軌道交通信號系統安全穩定運行。

（4）可靠的工業(yè)級安全產(chǎn)品

城市軌道交通各業(yè)務(wù)系統的現場(chǎng)工作環(huán)境惡劣，大部分設備部署在地下機房、軌旁等位置，EMC干擾嚴重、溫濕度環(huán)境苛刻、振動(dòng)沖擊環(huán)境惡劣，本方案所選用的網(wǎng)絡(luò )安全產(chǎn)品具備工業(yè)級品質(zhì)，關(guān)鍵網(wǎng)絡(luò )安全設備采用低功耗無(wú)風(fēng)扇設計，滿(mǎn)足城市軌道交通相關(guān)標準要求并通過(guò)測試，穩定可靠、堅固耐用。

參考文獻：

[1] 中國人大網(wǎng). 中華人民共和國網(wǎng)絡(luò )安全法[EB/OL]. 2016 - 11 - 08.

[2] 中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組辦公室網(wǎng)絡(luò )安全協(xié)調局. 國家網(wǎng)絡(luò )安全檢查操作指南[Z]. 2016.

[3] 中城裝備. 城市軌道交通信號系統用戶(hù)需求書(shū)（范本）[Z]. 2015.

[4] GB/T 22239-2008, 信息安全技術(shù) 信息系統安全等級保護基本要求[S].

[5] GB/T 25070-2010, 信息安全技術(shù) 信息系統等級保護安全設計技術(shù)要求[S].

[6] 工信部信軟司, 工業(yè)控制系統信息安全防護指南〔2016〕338號[Z].

作者簡(jiǎn)介：

姜立群，男，遼寧阜新人，畢業(yè)于中國科學(xué)院研究生院沈陽(yáng)自動(dòng)化研究所。具備多年網(wǎng)絡(luò )安全工作經(jīng)驗，從事過(guò)網(wǎng)絡(luò )產(chǎn)品開(kāi)發(fā)、鐵路網(wǎng)絡(luò )產(chǎn)品規劃、信息安全產(chǎn)品規劃等工作，曾負責列控網(wǎng)絡(luò )產(chǎn)品、下一代防火墻產(chǎn)品設計項目，負責國內多條地鐵線(xiàn)路網(wǎng)絡(luò )安全等級保護解決方案研究與設計項目。

井   柯，男，河南人，畢業(yè)于北京理工大學(xué)。多年從事工業(yè)控制系統信息安全研究，參與各地工控安全檢查、評估、測試工作以及軌道交通、石化、電力等行業(yè)工控安全解決方案的研究與設計工作。主要研究領(lǐng)域為信息安全研究、解決方案研究與設計等。

劉   暢，女，重慶人，畢業(yè)于重慶大學(xué)工商管理學(xué)院。具備多年網(wǎng)絡(luò )安全項目管理經(jīng)驗，參與過(guò)國家支撐計劃、智能制造專(zhuān)項、北京市網(wǎng)絡(luò )安全研究等多個(gè)項目。